通常来讲，我们在通过公共镜像仓库拉取docker镜像的时候，不需要任何的认证操作，但我们在构建了企业的私有镜像以后，就不得不在拉取镜像之前通过用户名密码来完成认证。

在docker单机环境中，我们可以直接在宿主机上执行docker login https://myhub.fdccloud.com类似这种命令的方式来完成认证。但在通过kubernetes来对docker做相关集群管理时，就不得不在所有的节点机上通过上面那种方式完成认证。这在大规模的应用架构中，是不可取的。

当然，我们有另外一种稍微简便的方法。事实上，在执行docker login https://xxxxx完成认证的时候，实际是在当前用户的家目录的.docker目录下生成了一个config.json文件。我们查看该文件的内容如下：

    {"auths": {"https://myhub.fdccloud.com": {"auth": "xxxx","email": "yanw02@mysoft.com.cn"},}}

这个文件包含了认证信息。所以另一个可行的办法，就是直接将该文件通过自动化的方式，推送到所有节点机的相应目录即可。但在实际的测试中，这种方式推送的节点仍然会偶尔出现认证失败的情况，具体什么原因目前尚不清楚。

kubernetes提供多种针对私有仓库认证的方式，在这里，我只说明其中的一种方法，也是我实际使用的方法，通过k8s的secret来实现。

1. 在k8s master上通过docker login登录registry，生成config.json文件。然后执行如下命令，将文件转换成base64编码：

    cat /root/.docker/config.json|base64 -w 0

1. 生成registrykey-myhub.yml的配置文件，内容如下：

    apiVersion: v1kind: Secretmetadata:name: registrykey-myhubnamespace: defaulttype: kubernetes.io/dockerconfigjsondata:.dockerconfigjson: ewoJImF1dGhzIjogewoJCSJodHRwczovL215aHViLmZkY2Nsb3VkLmNvbS8iOiB7CgkJCSJhdXRoIjogIllXUnRhVzQ2VFhsemIyWjBPVFU1TXpnPSIsCgkJCSJlbWFpbCI6ICJ5YW53MDJAbXlzb2Z0LmNvbS5jbiIKCQl9Cgl9Cn0=#创建secret：kubectl create -f registrykey-myhub.yml

1. 在创建pod时，指定imagePullSecrets，示例如下：

    apiVersion: v1kind: ReplicationControllermetadata:name: sqltools-yczlabels:name: sqltools-yczspec:replicas: 1selector:name: sqltools-ycztemplate:metadata:labels:name: sqltools-yczspec:containers:- name: sqltools-yczimage: myhub.fdccloud.com/common/sqltoolsports:- containerPort: 80env:- name: DB_HOSTvalue: "mysql-ycz.default.svc.cluster.local"- name: DB_NAMEvalue: "config"- name: DB_USERNAMEvalue: "ycz"- name: DB_PASSWORDvalue: "77TqrfPaMbwaZXYu"- name: CACHE_HOSTvalue: "memcached-ycz.default.svc.cluster.local"- name: CACHE_PORTvalue: "11211"- name: CACHE_PREFIXvalue: "ycz"nodeSelector:kubernetes.io/hostname: k8s-masterimagePullSecrets:- name: registrykey-myhub

官方文档配置说明如下：
https://kubernetes.io/docs/tasks/configure-pod-container/pull-image-private-registry/

需要说明的是，按照官方文档的配置，验证是失败的，这一点确实是很奇怪。