kubernetes实战篇之创建密钥自动拉取私服镜像
系列目录
前面我们讲解了如何搭建nexus服务器,以及如何使用nexus搭建docker私有镜像仓库,示例中我们都是手动docker login
登陆私服,然后通过命令拉取镜像然后运行容器.然而这种做法在kubernetes集群中是不可行的.第一,项目规模不同,每天产生的镜像数量也不同,如果每天产生大量仓库都要手动执行docker pull
来拉取,非常麻烦也非常容易出错.第二,集群规模不同,节点数量也不同,少则三五个,多则成百上千甚至更多.我们一台台拉取显然非常麻烦,即便使用ansible脚本批量执行命令也同样存在问题:因为不同的容器分布在不同的节点上.把所有镜像都用批量脚本拉到所有服务器上显然会浪费非常多的资源,并且集群扩容或者缩容器都需要更改脚本,很容易出现错误.这时候我们更倾向使用kubernetes自身的强大管理功能.其实kubernetes可以把docker的登陆信息做成secrets,在容器编排时显式指定要用到的secret,kubernetes就会自动去拉取私服上编排时指定的镜像.大大方便我们自动化的流程.下面我们就讲解如何如何制作docker私仓拉取secrets以及如何在拉取镜像时使用.
我们在拉取公仓镜像的时候,是不需要输入账户密码的.但是私仓往往都是要登陆以后才能拉取里面的镜像.前面讲解nexus docker私服的时候我们也讲到过,所有操作的前提就是使用docker login -u 用户名 -p 密码 服务器
首先登陆私服.我们登陆过一次后下次再次登陆其实不用指定用户名和密码,比如,我可以使用以下命令直接登陆:
[root@k8s-node1 ~]# docker login 192.168.124.43:8002
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded
[root@k8s-node1 ~]#
可以看到没有指定用户名和密码我们也同样登陆了.实际上,我们首次登陆成功后,docker便把登陆信息存在了~/.docker/config.json
这个文件里,我们可以看一下
[root@k8s-node1 ~]# .
{"auths": {"192.168.124.43:8002": {"auth": "YWRtaW46YWRtaW4xMjM="}},"HttpHeaders": {"User-Agent": "Docker-Client/18.09.4 (linux)"}
}[root@k8s-node1 ~]#
基于现有docker登陆信息创建kubernetes密钥
命令如下
kubectl create secret generic regcred \--from-file=.dockerconfigjson= ~/.docker/config.json \--type=kubernetes.io/dockerconfigjson
以上方法同其它创建kubernetes密钥的方法并没有区别,这里的关键是.docker目录下的config.json文件.
当然,如果你想对生成出来的secrets有更多的控制,比如指定这个secrets的名称空间,可以使用yml文件来声明式创建.步骤与上面略有不同,如下
data字段的名称必须设置为
.dockerconfigjson
对config.json文件进行base64编码,然后把编码后的内容复制到
.dockerconfigjson
字段类型设置为
kubernetes.io/dockerconfigjson
示例:
apiVersion: v1
kind: Secret
metadata:name: myregistrykeynamespace: awesomeapps
data:.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
常用报错解析:
error: no objects passed to create
这意味着base64编码信息无效Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ...
这意味着base64编码成功,但是不能解码为.docker/config.json
直接从命令行创建secret
上面是使用docker存储的已经登陆的信息创建的secret,如果没有使用docker登陆,也可以直接通过命令行来创建secret,命令格式如下:
kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>
下面对上面字段做简要描述:
docker私服地址
登陆名
登陆密码
邮箱,此字段为非必填项
这里仍然基于前面搭建的nexus docker私仓为例:
kubectl create secret docker-registry regcred --docker-server=192.168.124.43:8002 --docker-username=admin --docker-password=admin123
便可以创建secret了.
查看密钥信息
可以使用以下命令查看刚创建的密钥:
kubectl get secret regcred --output=yaml
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output=yaml
apiVersion: v1
data:.dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjEyNC40Mzo4MDAyIjp7IlVzZXJuYW1lIjoiYWRtaW4iLCJQYXNzd29yZCI6ImFkbWluMTIzIiwiRW1haWwiOiIifX19
kind: Secret
metadata:creationTimestamp: "2019-04-12T05:53:19Z"name: regcrednamespace: defaultresourceVersion: "3763835"selfLink: /api/v1/namespaces/default/secrets/regcreduid: 46028dd4-5ce7-11e9-bc12-0050568417a2
type: kubernetes.io/dockerconfigjson
[centos@k8s-master trackingapi]$
其中.dockerconfigjson
字段为docker的登陆信息,我们可以通过base64解码来查看它:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
{"auths":{"192.168.124.43:8002":{"Username":"admin","Password":"admin123","Email":""}}}[centos@k8s-master trackingapi]$
可以看到以上正信息与我们创建密码时输入的信息吻合
注 以上是我们通过命令行生成的,如果是通过config.json生成的则解码后的信息与以上略有不同.通过config.json生成的密钥解码后有 个
auth
字段,它仍然是base64编码形式存在的,我们需要再次对其解码才能查看到信息
比如
[centos@k8s-master trackingapi]$ echo "YWRtaW46YWRtaW4xMjM="|base64 --decode
admin:admin123
[centos@k8s-master trackingapi]$
创建pod使用密钥拉取私仓镜像
编排文件示例如下:
apiVersion: v1
kind: Pod
metadata:name: ubuntu-demo
spec:restartPolicy: Nevercontainers:- name: u-demoimage: 192.168.124.43:8002/ubuntuimagePullPolicy: IfNotPresentcommand: ["printenv"]args: ["HOSTNAME"]imagePullSecrets:- name: regcred
以上示例我们使用了预先上传到私服里的一个ubuntu镜像来创建一个pod,由于以上镜像创建完成后马上就结束了.因此我们让打印一个环境变量信息,然后再使用log命令来查看,以证明操作是成功的.
镜像创建完成以后,我们查看pod的状态
[centos@k8s-master trackingapi]$ kubectl get po
NAME READY STATUS RESTARTS AGE
busybox 1/1 Running 552 23d
consul-0 1/1 Running 2 28h
consul-1 1/1 Running 3 28h
consul-2 1/1 Running 2 28h
helloworld-7fdc8d9855-ncfdz 1/1 Running 3 30d
hostaliases-pod 1/1 Running 0 3h42m
ubuntu-demo 0/1 Completed 0 50m
可以看到pod已处于完成状态,我们使用kubectl logs
来查看它是否打印了信息
[centos@k8s-master trackingapi]$ kubectl logs ubuntu-demo
ubuntu-demo
可以看到,输出了host的名称.
转载于:https://www.cnblogs.com/tylerzhou/p/11112086.html
kubernetes实战篇之创建密钥自动拉取私服镜像相关推荐
- jenkins 通过自动拉取Gitlab上的代码实现自动更新NGINX
所需要用到的环境: Gitlab: 172.20.7.70Jenkins: 172.20.7.71nginx: 172.20.7.72 gitlab 和Jenkins安装自行百度 开始实验操作 首先通 ...
- java 实现自动生成部署文档_jenkins的部署、实现自动拉取gitlab仓库代码、实现项目中代码自动部署以及项目关联触发......
jenkins主机内存和gitlab主机内存最好配置4G及以上,防止各自的web端打不开 1.配置JDK环境 1)jdk解压到此目录 [root@localhost src]# pwd /usr/lo ...
- CMQ——多线程实现自动拉取消息
何为CMQ? 腾讯云消息队列(Cloud Message Queue,CMQ)是一种分布式消息队列服务,它能够提供可靠的基于消息的异步通信机制,能够将分布式部署的不同应用(或同一应用的不同组件)之间的 ...
- 如何拉取k8s镜像_K8s 从懵圈到熟练 – 镜像拉取这件小事
导读:相比 K8s 集群的其他功能,私有镜像的自动拉取,看起来可能是比较简单的.而镜像拉取失败,大多数情况下都和权限有关.所以,在处理相关问题的时候,我们往往会轻松的说:这问题很简单,肯定是权限问题. ...
- docker使用填坑记录(修改无法启动容器, 拉取国外镜像)
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 docker学习笔记:修改无法启动的容器中的内容 直接修改容器的文件 所有的容器数据都存在/var/lib/docker/aufs/diff/路径下. ...
- Docker拉取Mysql镜像并启动访问及docker常用命令介绍
上篇文章介绍了 Centos7安装docker并修改成阿里云镜像源地址 可以参考使用: https://blog.csdn.net/weixin_44232093/article/details/12 ...
- Window中的Docker 拉取Mysql镜像 并在本地Navicate链接
首先本地 拉取mysql镜像 以下是所有mysql镜像 我自己下载的为5.6 下面 以5.6为例:(拉取mysql5.6镜像) docker pull mysql:5.6 创建一个容器 doc ...
- docker pull下载很慢_假如服务器上没有 Docker 环境,你还能愉快的拉取容器镜像吗?...
你是否曾经遇到过需要在没有安装任何 Docker 客户端的机器上拉取容器镜像这样变态的需求呢?如果有,你当时又是如何解决的呢?今天我们就来给大家介绍几种另辟蹊径的方法来实现这样的需求. 使用 dock ...
- MAC M1安装docker并拉取mysql镜像
MAC M1安装docker并拉取mysql镜像 inter芯片和m1芯片安装docker方式些许不同,本次我只记录m1安装docker和拉取镜像 Docker常用命令 拉取镜像:docker pul ...
最新文章
- MFC界面库BCGControlBar v25.0新功能详解六:属性网格和其他
- boost::gil::matrix3x2用法的测试程序
- 1.逐帧动画shader
- java面试题8 牛客:在Web应用程序中,( )负责将HTTP请求转换为HttpServletRequest对象
- python字符串常见操作_python 字符串常用操作
- JavaScript_原型链继承
- 巫妖王之怒诺森德大陆全貌视频 魔兽世界
- Kafka | Kafka的消费再均衡是指什么?
- 物联网是什么?物联网应用场景有哪些?物联网有什么好处?
- offsetParent解释
- 【JavaEE进阶系列 | 从小白到工程师】JavaWeb中的过滤器(Filter)和监听器(Listener)区别,看这一篇就够
- 如何在Joomla中创建一个漂亮的单页网站
- Idx推出AI系统检测糖尿病视网膜病变
- MAC解决Python绘图中文无法显示问题
- 初学oracle--join的整体实例说明
- 华为linux改ip地址,ubuntu9.10校园网上网配置详细教程(华为h3c,mac地址绑定)
- Devc++运行窗口中文乱码怎么办?
- 如果查询本机ip地址?
- python中判断生肖和星座哪个准_生肖与星座配对,生肖和星座配对,哪个准啊
- 关灯游戏 Lights out (三)(线性代数+高斯消元,搜索全部解)
热门文章
- 爬虫python爬取页面请求_03 Python网络爬虫第三弹《爬取get请求的页面数据》,urllib...
- halcon机器视觉算法原理与编程实战_快速弄懂机器学习里的集成算法:原理、框架与实战...
- php统计凌晨6点,凌晨是哪一段时间,0:00-6:00(午夜到天亮前)
- java的编译和连接方法_Java:编译时解析和“最具体的方法”
- 【ruoyi若依】echarts图表跑版
- BigDecimal类基础
- springboot启动报错:Unregistering JMX-exposed beans on shutdown
- tdd干扰波形_LTE常见干扰排查(中国移动)
- 火车头采集php源码不同,防火车头采集的功能
- php preg match x,PHP的preg_match噩梦