系列目录

前面我们讲解了如何搭建nexus服务器,以及如何使用nexus搭建docker私有镜像仓库,示例中我们都是手动docker login登陆私服,然后通过命令拉取镜像然后运行容器.然而这种做法在kubernetes集群中是不可行的.第一,项目规模不同,每天产生的镜像数量也不同,如果每天产生大量仓库都要手动执行docker pull来拉取,非常麻烦也非常容易出错.第二,集群规模不同,节点数量也不同,少则三五个,多则成百上千甚至更多.我们一台台拉取显然非常麻烦,即便使用ansible脚本批量执行命令也同样存在问题:因为不同的容器分布在不同的节点上.把所有镜像都用批量脚本拉到所有服务器上显然会浪费非常多的资源,并且集群扩容或者缩容器都需要更改脚本,很容易出现错误.这时候我们更倾向使用kubernetes自身的强大管理功能.其实kubernetes可以把docker的登陆信息做成secrets,在容器编排时显式指定要用到的secret,kubernetes就会自动去拉取私服上编排时指定的镜像.大大方便我们自动化的流程.下面我们就讲解如何如何制作docker私仓拉取secrets以及如何在拉取镜像时使用.

我们在拉取公仓镜像的时候,是不需要输入账户密码的.但是私仓往往都是要登陆以后才能拉取里面的镜像.前面讲解nexus docker私服的时候我们也讲到过,所有操作的前提就是使用docker login -u 用户名 -p 密码 服务器首先登陆私服.我们登陆过一次后下次再次登陆其实不用指定用户名和密码,比如,我可以使用以下命令直接登陆:

[root@k8s-node1 ~]# docker login 192.168.124.43:8002
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store Login Succeeded
[root@k8s-node1 ~]#

可以看到没有指定用户名和密码我们也同样登陆了.实际上,我们首次登陆成功后,docker便把登陆信息存在了~/.docker/config.json这个文件里,我们可以看一下

[root@k8s-node1 ~]# .
{
"auths": {
"192.168.124.43:8002": {
"auth": "YWRtaW46YWRtaW4xMjM="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/18.09.4 (linux)"
}
}[root@k8s-node1 ~]#

基于现有docker登陆信息创建kubernetes密钥

命令如下

kubectl create secret generic regcred \
--from-file=.dockerconfigjson= ~/.docker/config.json \
--type=kubernetes.io/dockerconfigjson

以上方法同其它创建kubernetes密钥的方法并没有区别,这里的关键是.docker目录下的config.json文件.

当然,如果你想对生成出来的secrets有更多的控制,比如指定这个secrets的名称空间,可以使用yml文件来声明式创建.步骤与上面略有不同,如下

  • data字段的名称必须设置为.dockerconfigjson

  • 对config.json文件进行base64编码,然后把编码后的内容复制到.dockerconfigjson字段

  • 类型设置为kubernetes.io/dockerconfigjson

示例:

apiVersion: v1
kind: Secret
metadata:
name: myregistrykey
namespace: awesomeapps
data:
.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson

常用报错解析:

  • error: no objects passed to create这意味着base64编码信息无效

  • Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ... 这意味着base64编码成功,但是不能解码为.docker/config.json

直接从命令行创建secret

上面是使用docker存储的已经登陆的信息创建的secret,如果没有使用docker登陆,也可以直接通过命令行来创建secret,命令格式如下:

kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>

下面对上面字段做简要描述:

  • docker私服地址

  • 登陆名

  • 登陆密码

  • 邮箱,此字段为非必填项

这里仍然基于前面搭建的nexus docker私仓为例:

kubectl create secret docker-registry regcred --docker-server=192.168.124.43:8002 --docker-username=admin --docker-password=admin123

便可以创建secret了.

查看密钥信息

可以使用以下命令查看刚创建的密钥:

kubectl get secret regcred --output=yaml
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output=yaml
apiVersion: v1
data:
.dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjEyNC40Mzo4MDAyIjp7IlVzZXJuYW1lIjoiYWRtaW4iLCJQYXNzd29yZCI6ImFkbWluMTIzIiwiRW1haWwiOiIifX19
kind: Secret
metadata:
creationTimestamp: "2019-04-12T05:53:19Z"
name: regcred
namespace: default
resourceVersion: "3763835"
selfLink: /api/v1/namespaces/default/secrets/regcred
uid: 46028dd4-5ce7-11e9-bc12-0050568417a2
type: kubernetes.io/dockerconfigjson
[centos@k8s-master trackingapi]$

其中.dockerconfigjson字段为docker的登陆信息,我们可以通过base64解码来查看它:

kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
{"auths":{"192.168.124.43:8002":{"Username":"admin","Password":"admin123","Email":""}}}[centos@k8s-master trackingapi]$

可以看到以上正信息与我们创建密码时输入的信息吻合

注 以上是我们通过命令行生成的,如果是通过config.json生成的则解码后的信息与以上略有不同.通过config.json生成的密钥解码后有 个auth字段,它仍然是base64编码形式存在的,我们需要再次对其解码才能查看到信息

比如

[centos@k8s-master trackingapi]$ echo "YWRtaW46YWRtaW4xMjM="|base64 --decode
admin:admin123
[centos@k8s-master trackingapi]$

创建pod使用密钥拉取私仓镜像

编排文件示例如下:

apiVersion: v1
kind: Pod
metadata:
name: ubuntu-demo
spec:
restartPolicy: Never
containers:
- name: u-demo
image: 192.168.124.43:8002/ubuntu
imagePullPolicy: IfNotPresent
command: ["printenv"]
args: ["HOSTNAME"]
imagePullSecrets:
- name: regcred

以上示例我们使用了预先上传到私服里的一个ubuntu镜像来创建一个pod,由于以上镜像创建完成后马上就结束了.因此我们让打印一个环境变量信息,然后再使用log命令来查看,以证明操作是成功的.

镜像创建完成以后,我们查看pod的状态

[centos@k8s-master trackingapi]$ kubectl get po
NAME READY STATUS RESTARTS AGE
busybox 1/1 Running 552 23d
consul-0 1/1 Running 2 28h
consul-1 1/1 Running 3 28h
consul-2 1/1 Running 2 28h
helloworld-7fdc8d9855-ncfdz 1/1 Running 3 30d
hostaliases-pod 1/1 Running 0 3h42m
ubuntu-demo 0/1 Completed 0 50m

可以看到pod已处于完成状态,我们使用kubectl logs来查看它是否打印了信息

[centos@k8s-master trackingapi]$ kubectl logs ubuntu-demo
ubuntu-demo

可以看到,输出了host的名称.

kubernetes实战篇之创建密钥自动拉取私服镜像的更多相关文章

  1. kubernetes实战篇之创建一个只读权限的用户

    系列目录 上一节我们讲解到了如何限制用户访问dashboard的权限,这节我们讲解一个案例:如何创建一个只读权限的用户. 虽然可以根据实际情况灵活创建各种权限用户,但是实际生产环境中往往只需要两个就行 ...

  2. kubelet拉取pause镜像报错pull access denied for 172.20.59.190:81/kubernetes/pause-amd64, repository does not exist or may require 'docker login': denied

    目录 1 背景说明 2 现象 pod无法启动,一直显示ContainerCreating 3 问题分析 kubelet的启动参数如下 4 尝试的解决方法 4.1 本地docker login登录镜像仓 ...

  3. xmake v2.5.2 发布, 支持自动拉取交叉工具链和依赖包集成

    xmake 是一个基于 Lua 的轻量级跨平台构建工具,使用 xmake.lua 维护项目构建,相比 makefile/CMakeLists.txt,配置语法更加简洁直观,对新手非常友好,短时间内就能 ...

  4. python自动拉取备份压缩包并删除3天前的旧备份

    业务场景,异地机房自动拉取已备份好的tar.gz数据库压缩包,并且只保留3天内的压缩包文件,用python实现 #!/usr/bin/env python import requests,time,o ...

  5. docker拉取oracle11g镜像配置

    开始拉取oracle11g镜像 下载过程稍长,镜像大小6.8G(之前拉取过了,所以就不截图了) #docker pull registry.cn-hangzhou.aliyuncs.com/helow ...

  6. 配置kuernetes集群pod拉取私有镜像仓库中的镜像

    目录 1 背景说明 2 实现方法 3 具体实现 配置镜像仓库项目为公开类型(任何人可以访问) 配置docker-registry类型的secret(pod使用secret获取镜像认证) 通过账户名密码 ...

  7. Window中的Docker 拉取Mysql镜像 并在本地Navicate链接

    首先本地   拉取mysql镜像 以下是所有mysql镜像 我自己下载的为5.6   下面 以5.6为例:(拉取mysql5.6镜像) docker pull mysql:5.6 创建一个容器 doc ...

  8. 【docker】centos7 上拉取docker镜像,一直拉取不到,报错:Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while w

    镜像拉取一直报错: Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request cancel ...

  9. docker每次都重新拉取远程镜像的问题

    将镜像上传到远程之后,dockerfile按理来说只需一次拉取远程镜像就好了,之后每次都是使用第一次拉取的远程镜像. 但是实际上出现的问题是:dockerfile每次都从远程拉取镜像,浪费了资源和时间 ...

随机推荐

  1. 配置文件——App.config文件读取和修改

    作为普通的xml文件读取的话,首先就要知道怎么寻找文件的路径.我们知道一般配置文件就在跟可执行exe文件在同一目录下,且仅仅在名称后面添加了一个.config 因此,可以用Application.Ex ...

  2. 0-1分布(伯努利分布)、n 重伯努利分布(二项分布)

    1. 0-1 分布(伯努利分布) 0-1分布又名两点分布,或叫伯努利分布. P{X=k}=pk(1−p)1−k 其中 k=0,1. 伯努利分布未必一定是 0-1 分布,也可能是 a-b 分布,只需满足 ...

  3. The Python Challenge 题解

    仔细阅读,图画下面的提示(网页的 title 也是重要的提示信息,至少告诉你考察的对象是什么) 1. 238 >> 2**38 274877906944L 根据提示,在 URL 地址处,0 ...

  4. Leetcode 238 Product of Array Except Self 递推

    给出一个数组 nums[i](i = 0,1,...,n-1)  输出数组output[i]满足 output[i] = nums[0] * num[1] * num[2] *..*num[i-1] ...

  5. vs2013+cocos2d-x-2.2.3组态

    win8/win8.1+vs2013+cocos2d-x-2.2.3组态 前言: 这是我人生第一篇博客,假设你认为不好,还请见谅!!!!! 工具: 1.vs2013 2.Python2.7(百度一大片 ...

  6. Android经典项目开发之天气APP实例分享

    原文:Android经典项目开发之天气APP实例分享 版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/mzc186/article/details/5 ...

  7. mac 端安装JAVA开发环境

    一.maven安装 下载地址   https://maven.apache.org/download.cgi 下载 apache-maven-3.5.2-bin-zip 将下载的文件放在某路径下 修改 ...

  8. dom写法和jquery写法

    <!DOCTYPE html><html><head><meta http-equiv="Content-Type" content=&q ...

  9. Spring 中 CharacterEncodingFilter 失效?

    # 问题 Spring 提供了CharcterEncodingFilter,专门解决字符串编码的问题. 诡异的是,在类 AbstractAnnotationConfigDispatcherServle ...

  10. Android 查看APK文件的签名算法

    查看APK使用了什么签名算法 keytool -list -printcert -jarfile xxx.apk 示例: 签名者 #1: 签名: 所有者: 发布者: 序列号: 有效期开始日期: 证书指 ...