配置 kubelet 镜像凭据提供程序

    FEATURE STATE:

    从 Kubernetes v1.20 开始,kubelet 可以使用 exec 插件动态检索容器镜像注册中心的凭据。 kubelet 和 exec 插件使用 Kubernetes 版本化 API 通过标准输入输出(标准输入、标准输出和标准错误)通信。 这些插件允许 kubelet 动态请求容器注册中心的凭据,而不是将静态凭据存储在磁盘上。 例如,插件可能会与本地元数据通信,以检索 kubelet 正在拉取的镜像的短期凭据。

    如果以下任一情况属实,你可能对此功能感兴趣:

    • 需要调用云提供商的 API 来检索注册中心的身份验证信息。
    • 凭据的到期时间很短,需要频繁请求新凭据。
    • kubelet 镜像凭证提供程序在 v1.20 版本作为 alpha 功能引入。 与其他 alpha 功能一样,当前仅当在 kubelet 启动 KubeletCredentialProviders 特性门禁才能使该功能正常工作。
    • 凭据提供程序 exec 插件的工作实现。你可以构建自己的插件或使用云提供商提供的插件。

    为了使用这个特性,kubelet 需要设置以下两个标志:

    • --image-credential-provider-config —— 凭据提供程序插件配置文件的路径。
    • --image-credential-provider-bin-dir —— 凭据提供程序插件二进制文件所在目录的路径。

    kubelet 会读取传入 --image-credential-provider-config 的配置文件文件, 以确定应该为哪些容器镜像调用哪些 exec 插件。 如果你正在使用基于 ECR 插件, 这里有个样例配置文件你可能最终会使用到:

    providers 字段是 kubelet 使用的已启用插件列表。每个条目都有几个必填字段:

    • name:插件的名称,必须与传入--image-credential-provider-bin-dir 的目录中存在的可执行二进制文件的名称相匹配。
    • :用于匹配图像以确定是否应调用此提供程序的字符串列表。更多相关信息如下。
    • defaultCacheDuration:如果插件未指定缓存持续时间,kubelet 将在内存中缓存凭据的默认持续时间。

    配置镜像匹配

    kubelet 使用每个凭证提供程序的 matchImages 字段来确定是否应该为 Pod 正在使用的给定镜像调用插件。 matchImages 中的每个条目都是一个镜像模式,可以选择包含端口和路径。 通配符可以在域中使用,但不能在端口或路径中使用。 支持通配符作为子域,如 *.k8s.iok8s.*.io,以及顶级域,如 k8s.*。 还支持匹配部分子域,如 。每个通配符只能匹配一个子域段, 因此 *.io 不匹配 *.k8s.io

    当以下所有条件都为真时,镜像名称和 matchImage 条目之间存在匹配:

    • 两者都包含相同数量的域部分并且每个部分都匹配。
    • 匹配图片的 URL 路径必须是目标图片 URL 路径的前缀。
    • 如果 imageMatch 包含端口,则该端口也必须在镜像中匹配。

    matchImages 模式的一些示例值:

    • 123456789.dkr.ecr.us-east-1.amazonaws.com
    • *.azurecr.io
    • gcr.io