我的书签
添加书签
移除书签从私有仓库拉取镜像
- 你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:
要获知版本信息,请输入 .
您需要 和密码来进行本练习。
登录 Docker 镜像仓库
在个人电脑上,要想拉取私有镜像必须在镜像仓库上进行身份验证。
当提示时,输入 Docker 用户名和密码。
登录过程会创建或更新保存有授权令牌的 config.json 文件。
查看 config.json 文件:
cat ~/.docker/config.json
输出结果包含类似于以下内容的部分:
{"auths": {"https://index.docker.io/v1/": {"auth": "c3R...zE2"}}}
Kubernetes 集群使用 docker-registry 类型的 Secret 来通过容器仓库的身份验证,进而提取私有映像。
创建 Secret,命名为 regcred:
在这里:
<your-registry-server>是你的私有 Docker 仓库全限定域名(FQDN)。(参考 中关于 DockerHub 的部分)<your-name>是你的 Docker 用户名。<your-pword>是你的 Docker 密码。<your-email>是你的 Docker 邮箱。
这样您就成功地将集群中的 Docker 凭据设置为名为 的 Secret。
检查 Secret regcred
要了解你创建的 regcred Secret 的内容,可以用 YAML 格式进行查看:
输出和下面类似:
apiVersion: v1data:.dockerconfigjson: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=kind: Secretmetadata:...name: regcred...type: kubernetes.io/dockerconfigjson
.dockerconfigjson 字段的值是 Docker 凭据的 base64 表示。
要了解 dockerconfigjson 字段中的内容,请将 Secret 数据转换为可读格式:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
{"auths":{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"jdoe@example.com","auth":"c3R...zE2"}}}
要了解 auth 字段中的内容,请将 base64 编码过的数据转换为可读格式:
输出结果中,用户名和密码用 : 链接,类似下面这样:
janedoe:xxxxxxxxxxx
注意,Secret 数据包含与本地 ~/.docker/config.json 文件类似的授权令牌。
这样您就已经成功地将 Docker 凭据设置为集群中的名为 regcred 的 Secret。
下面是一个 Pod 配置文件,它需要访问 中的 Docker 凭据:
下载上述文件:
wget -O my-private-reg-pod.yaml https://k8s.io/examples/pods/private-reg-pod.yaml
在my-private-reg-pod.yaml 文件中,使用私有仓库的镜像路径替换 <your-private-image>,例如:
要从私有仓库拉取镜像,Kubernetes 需要凭证。 配置文件中的 imagePullSecrets 字段表明 Kubernetes 应该通过名为 regcred 的 Secret 获取凭证。
kubectl create -f my-private-reg-pod.yamlkubectl get pod private-reg
接下来
- 进一步了解 Secrets。
- 进一步了解 。
- 参考 kubectl create secret docker-registry。
- 参考 。
- 参考 PodSpec 中的 字段 。
