KubergnetesがPrivate Registryから容器の鏡像を引き出す方法
18398 ワード
原文のリンク:http://tonybai.com/2016/11/16/how-to-pull-p_w_picpaths-from-prvate-registry-on-kubergnetes-cluster/?utm_source=rss
公式リンク:https://kubernetes.io/docs/concepts/containers/p_w_picpaths/萶using-a-prvate-registry
Private Registryをk 8 sで引くと、エルImagePull、ImagePurBackOffなどのPod statusに出会います。クベルクdescribe pod/MyPodコマンドで確認したら、以下のエラーメッセージが見つかりました。
Dockerをする時、多くの友達が自分のPrivate Registryを構築したことがあります。Dockerは、baic auth方式で認証を行うPrivate Registryにアクセスして、現地でdocker loginを実行するだけで、ユーザー名とパスワードを入力すると、Registry Pushイメージやpullイメージに自由に現地に行くことができます。
実際の効果はどうですか?私たちはPod yamlを作成して、runが起きるかどうかテストします。
方法2:クベックスを通じてdocker-registryのsecretを作成する
K 8 sが提供する第二の方法は、クベックスを通じてdocker-registryのsecretを作成し、Pod記述ファイルでsecretを引用してPrivate Registry Pule Imageの目的を達成することである。
操作する前に、まず各Nodeのdocker/config.jsonを削除します。
kubectl create secret docker-registryを実行する時はprvate registryの訪問UserNameとPasswordを提供する必要があります。
もし一つのpodの中に異なる私有倉庫からの鏡像があるとしたら、どうすればいいですか?クbectl create secret docker-registryを通じて、私達は一回に一回だけregistrykeyを作ることができます。二つのミラー倉庫を訪問するなら、それぞれの倉庫のためにregistrykeyを作る必要があります。gzhoo.aliyuncs.com/xxxx/test:
このPodを作成:
四、方法3:secret yamlファイルを通じてpull puwuplicpath用のsecretを作成する。
上記のクベルクによって、簡単にPull puwuplicpath用のsecretを作成できるほか、従来の手段であるyaml記述ファイルを使って、私たちが必要とするsecretリソースを作成することもできます。
registrykey-m 3-1 secretを作成します。
次に、registrykey-m 3-1を参照したPodを作成します。
この方法はどのように対応していますか?複数のミラー倉庫containerからのPodを含んでいますか?ここの考え方と方法は少し違っています。2つ以上のsecretを作成して引用する必要はありません。複数のプライベートミラー倉庫にアクセスできるsecretを作成します。複数のミラー倉庫のアクセス許可列を全部入れます。docker/config.json:
方法1の紹介によって、まずlogin registry.cn-hangzhoo.aliyuncs.com/xxxx/rbd-ret-appiを獲得し、config.jsonを以下の通りとします。
五、APIを呼び出してregistrykey secretを作成する
方法2と方法3を比較して、方法2はより簡潔で、方法3はより強大である。しかし、どの製品でもsecretはマニュアルで作成されるべきではない。この場合、APIはregistrykey secretを作成することが必要だ。APIを通じて作成することを選択すると、方法2の原理に従って、config.jsonの中の内容をAPIで要求されたBodypt 8 Posevに与えることが明らかになる。あなた
どうやってリモートでconfig.jsonの内容を構築しますか?そしてsecret yamlの中で.dockerconfigjsonの値データを構築しますか?私達はconfig.jsonのコースを発見しました。唯一不確定なのはprvate repositoryの下のauth列です。じゃ、この列は何ですか?あなたはビッグbase 64-d:
公式リンク:https://kubernetes.io/docs/concepts/containers/p_w_picpaths/萶using-a-prvate-registry
Private Registryをk 8 sで引くと、エルImagePull、ImagePurBackOffなどのPod statusに出会います。クベルクdescribe pod/MyPodコマンドで確認したら、以下のエラーメッセージが見つかりました。
23s 5s 2 {kubelet 10.57.136.60} spec.containers{rbd-rest-api} Warning Failed Failed to pull p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest": p_w_picpath pull failed for registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest, this may be because there are no credentials on this request. details: (Error: p_w_picpath xxxx/rbd-rest-api:latest not found)Dockerをする時、多くの友達が自分のPrivate Registryを構築したことがあります。Dockerは、baic auth方式で認証を行うPrivate Registryにアクセスして、現地でdocker loginを実行するだけで、ユーザー名とパスワードを入力すると、Registry Pushイメージやpullイメージに自由に現地に行くことができます。
# docker login registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api
Username: {UserName}
Password:
Login Succeeded# cat ~/.docker/config.json
{
"auths": {
"registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api": {
"auth": "xxxxyyyyzzzz"
}
}
}実際の効果はどうですか?私たちはPod yamlを作成して、runが起きるかどうかテストします。
//rbd-rest-api-using-node-config.yaml
apiVersion: v1
kind: Pod
metadata:
name: rbd-rest-api-using-node-config
spec:
containers:
- name: rbd-rest-api-using-node-config
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest
p_w_picpathPullPolicy: Always# kubectl create -f rbd-rest-api-using-node-config.yaml
pod "rbd-rest-api-using-node-config" created
# kubectl get pods
NAME READY STATUS RESTARTS AGE
rbd-rest-api-using-node-config 0/1 ErrImagePull 0 5s# kubectl describe pod/rbd-rest-api-using-node-config
... ...
Events:
FirstSeen LastSeen Count From SubobjectPath Type Reason Message
--------- -------- ----- ---- ------------- -------- ------ -------
1m 1m 1 {default-scheduler } Normal Scheduled Successfully assigned rbd-rest-api-using-node-config to 10.66.181.146
1m 42s 3 {kubelet 10.66.181.146} spec.containers{rbd-rest-api-using-node-config} Normal Pulling pulling p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest"
1m 42s 3 {kubelet 10.66.181.146} spec.containers{rbd-rest-api-using-node-config} Warning Failed Failed to pull p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest": p_w_picpath pull failed for registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest, this may be because there are no credentials on this request. details: (Error: p_w_picpath xxxx/rbd-rest-api:latest not found)
1m 42s 3 {kubelet 10.66.181.146} Warning FailedSync Error syncing pod, skipping: failed to "StartContainer" for "rbd-rest-api-using-node-config" with ErrImagePull: "p_w_picpath pull failed for registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest, this may be because there are no credentials on this request. details: (Error: p_w_picpath xxxx/rbd-rest-api:latest not found)"
... ...方法2:クベックスを通じてdocker-registryのsecretを作成する
K 8 sが提供する第二の方法は、クベックスを通じてdocker-registryのsecretを作成し、Pod記述ファイルでsecretを引用してPrivate Registry Pule Imageの目的を達成することである。
操作する前に、まず各Nodeのdocker/config.jsonを削除します。
kubectl create secret docker-registryを実行する時はprvate registryの訪問UserNameとPasswordを提供する必要があります。
# kubectl create secret docker-registry registrykey-m2-1 --docker-server=registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api --docker-username={UserName} --docker-password={Password} [email protected]
secret "registrykey-m2-1" created
# kubectl get secret
NAME TYPE DATA AGE
registrykey-m2-1 kubernetes.io/dockercfg 1 29s//rbd-rest-api-registrykey-m2-1.yaml
apiVersion: v1
kind: Pod
metadata:
name: rbd-rest-api-registrykey-m2-1
spec:
containers:
- name: rbd-rest-api-registrykey-m2-1
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest
p_w_picpathPullPolicy: Always
p_w_picpathPullSecrets:
- name: registrykey-m2-1# kubectl create -f rbd-rest-api-registrykey-m2-1.yaml
pod "rbd-rest-api-registrykey-m2-1" created
# kubectl get pods
NAME READY STATUS RESTARTS AGE
rbd-rest-api-registrykey-m2-1 1/1 Running 0 7s
rbd-rest-api-using-node-config 0/1 ImagePullBackOff 0 29mEvents:
FirstSeen LastSeen Count From SubobjectPath Type Reason Message
--------- -------- ----- ---- ------------- -------- ------ -------
1m 1m 1 {default-scheduler } Normal Scheduled Successfully assigned rbd-rest-api-registrykey-m2-1 to 10.57.136.60
1m 1m 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-registrykey-m2-1} Normal Pulling pulling p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest"
1m 1m 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-registrykey-m2-1} Normal Pulled Successfully pulled p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest"
1m 1m 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-registrykey-m2-1} Normal Created Created container with docker id d842565e762d
1m 1m 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-registrykey-m2-1} Normal Started Started container with docker id d842565e762dもし一つのpodの中に異なる私有倉庫からの鏡像があるとしたら、どうすればいいですか?クbectl create secret docker-registryを通じて、私達は一回に一回だけregistrykeyを作ることができます。二つのミラー倉庫を訪問するなら、それぞれの倉庫のためにregistrykeyを作る必要があります。gzhoo.aliyuncs.com/xxxx/test:
# kubectl create secret docker-registry registrykey-m2-2 --docker-server=registry.cn-hangzhou.aliyuncs.com/xxxx/test --docker-username={UserName} --docker-password={Password} [email protected]
secret "registrykey-m2-2" created
root@node1:~/pullp_w_picpathtest/test# kubectl get secret
NAME TYPE DATA AGE
registrykey-m2-1 kubernetes.io/dockercfg 1 1h
registrykey-m2-2 kubernetes.io/dockercfg 1 6s//rbd-rest-api-multi-registrykeys-m2-2.yaml
apiVersion: v1
kind: Pod
metadata:
name: rbd-rest-api-multi-registrykeys-m2-2
spec:
containers:
- name: rbd-rest-api-multi-registrykeys-m2-2
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest
p_w_picpathPullPolicy: Always
- name: test-multi-registrykeys-m2-2
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/test:latest
p_w_picpathPullPolicy: Always
command:
- "tail"
- "-f"
- "/var/log/bootstrap.log"
p_w_picpathPullSecrets:
- name: registrykey-m2-1
- name: registrykey-m2-2このPodを作成:
# kubectl create -f rbd-rest-api-multi-registrykeys-m2-2.yaml
pod "rbd-rest-api-multi-registrykeys-m2-2" created
# kubectl get pod
NAME READY STATUS RESTARTS AGE
rbd-rest-api-multi-registrykeys-m2-2 2/2 Running 0 5sEvents:
FirstSeen LastSeen Count From SubobjectPath Type Reason Message
--------- -------- ----- ---- ------------- -------- ------ -------
44s 44s 1 {default-scheduler } Normal Scheduled Successfully assigned rbd-rest-api-multi-registrykeys-m2-2 to 10.57.136.60
43s 43s 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-multi-registrykeys-m2-2} Normal Pulling pulling p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest"
43s 43s 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-multi-registrykeys-m2-2} Normal Pulled Successfully pulled p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest"
42s 42s 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-multi-registrykeys-m2-2} Normal Created Created container with docker id 7c09048a41f6
42s 42s 1 {kubelet 10.57.136.60} spec.containers{rbd-rest-api-multi-registrykeys-m2-2} Normal Started Started container with docker id 7c09048a41f6
42s 42s 1 {kubelet 10.57.136.60} spec.containers{test-multi-registrykeys-m2-2} Normal Pulling pulling p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/test:latest"
42s 42s 1 {kubelet 10.57.136.60} spec.containers{test-multi-registrykeys-m2-2} Normal Pulled Successfully pulled p_w_picpath "registry.cn-hangzhou.aliyuncs.com/xxxx/test:latest"
42s 42s 1 {kubelet 10.57.136.60} spec.containers{test-multi-registrykeys-m2-2} Normal Created Created container with docker id 9930834fe4a3
42s 42s 1 {kubelet 10.57.136.60} spec.containers{test-multi-registrykeys-m2-2} Normal Started Started container with docker id 9930834fe4a3四、方法3:secret yamlファイルを通じてpull puwuplicpath用のsecretを作成する。
上記のクベルクによって、簡単にPull puwuplicpath用のsecretを作成できるほか、従来の手段であるyaml記述ファイルを使って、私たちが必要とするsecretリソースを作成することもできます。
//registrykey-m3-1.yaml
apiVersion: v1
kind: Secret
metadata:
name: registrykey-m3-1
namespace: default
data:
.dockerconfigjson: {base64 -w 0 ~/.docker/config.json}
type: kubernetes.io/dockerconfigjsonregistrykey-m 3-1 secretを作成します。
# kubectl create -f registrykey-m3-1.yaml
secret "registrykey-m3-1" created
# kubectl get secret
NAME TYPE DATA AGE
myregistrykey3 kubernetes.io/dockerconfigjson 1 3h
registrykey-m2-1 kubernetes.io/dockercfg 1 1h
registrykey-m2-2 kubernetes.io/dockercfg 1 23m
registrykey-m3-1 kubernetes.io/dockerconfigjson 1 29s次に、registrykey-m 3-1を参照したPodを作成します。
//rbd-rest-api-registrykey-m3-1.yaml
apiVersion: v1
kind: Pod
metadata:
name: rbd-rest-api-registrykey-m3-1
spec:
containers:
- name: rbd-rest-api-registrykey-m3-1
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest
p_w_picpathPullPolicy: Always
p_w_picpathPullSecrets:
- name: registrykey-m3-1# kubectl create -f rbd-rest-api-registrykey-m3-1.yaml
pod "rbd-rest-api-registrykey-m3-1" created
# kubectl get pods
NAME READY STATUS RESTARTS AGE
rbd-rest-api-registrykey-m3-1 1/1 Running 0 8sこの方法はどのように対応していますか?複数のミラー倉庫containerからのPodを含んでいますか?ここの考え方と方法は少し違っています。2つ以上のsecretを作成して引用する必要はありません。複数のプライベートミラー倉庫にアクセスできるsecretを作成します。複数のミラー倉庫のアクセス許可列を全部入れます。docker/config.json:
方法1の紹介によって、まずlogin registry.cn-hangzhoo.aliyuncs.com/xxxx/rbd-ret-appiを獲得し、config.jsonを以下の通りとします。
{
"auths": {
"registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api": {
"auth": ".... ...."
}
}
}{
"auths": {
"registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api": {
"auth": ".... ...."
},
"registry.cn-hangzhou.aliyuncs.com/xxxx/test": {
"auth": ".... ...."
}
}
}//registrykey-m3-2.yaml
apiVersion: v1
kind: Secret
metadata:
name: registrykey-m3-2
namespace: default
data:
.dockerconfigjson: {base64 -w 0 ~/.docker/config.json}
type: kubernetes.io/dockerconfigjson# kubectl create -f registrykey-m3-2.yaml
secret "registrykey-m3-2" created
# kubectl get secrets
NAME TYPE DATA AGE
registrykey-m2-1 kubernetes.io/dockercfg 1 1h
registrykey-m2-2 kubernetes.io/dockercfg 1 42m
registrykey-m3-1 kubernetes.io/dockerconfigjson 1 19m
registrykey-m3-2 kubernetes.io/dockerconfigjson 1 6s//rbd-rest-api-multi-registrykeys-m3-2.yaml
apiVersion: v1
kind: Pod
metadata:
name: rbd-rest-api-multi-registrykeys-m3-2
spec:
containers:
- name: rbd-rest-api-multi-registrykeys-m3-2
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest
p_w_picpathPullPolicy: Always
- name: test-multi-registrykeys-m3-2
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/test:latest
p_w_picpathPullPolicy: Always
command:
- "tail"
- "-f"
- "/var/log/bootstrap.log"
p_w_picpathPullSecrets:
- name: registrykey-m3-2# kubectl create -f rbd-rest-api-multi-registrykeys-m3-2.yaml
pod "rbd-rest-api-multi-registrykeys-m3-2" created
# kubectl get pod
NAME READY STATUS RESTARTS AGE
rbd-rest-api-multi-registrykeys-m3-2 2/2 Running 0 4s五、APIを呼び出してregistrykey secretを作成する
方法2と方法3を比較して、方法2はより簡潔で、方法3はより強大である。しかし、どの製品でもsecretはマニュアルで作成されるべきではない。この場合、APIはregistrykey secretを作成することが必要だ。APIを通じて作成することを選択すると、方法2の原理に従って、config.jsonの中の内容をAPIで要求されたBodypt 8 Posevに与えることが明らかになる。あなた
どうやってリモートでconfig.jsonの内容を構築しますか?そしてsecret yamlの中で.dockerconfigjsonの値データを構築しますか?私達はconfig.jsonのコースを発見しました。唯一不確定なのはprvate repositoryの下のauth列です。じゃ、この列は何ですか?あなたはビッグbase 64-d:
# echo -n "VXNlck5hbWU6UGFzc3dvcmQ="|base64 -d
UserName:Password{
"auths": {
"registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api": {
"auth": "VXNlck5hbWU6UGFzc3dvcmQ="
}
}$ curl -v -H "Content-type: application/json" -X POST -d ' {
"apiVersion": "v1",
"kind": "Secret",
"metadata": {
"name": "registrykey-m4-1",
"namespace": "default"
},
"data": {
".dockerconfigjson": "{cat ~/.docker/config.json |base64 -w 0}"
},
"type": "kubernetes.io/dockerconfigjson"
}' http://10.57.136.60:8080/api/v1/namespaces/default/secrets
# kubectl get secret
NAME TYPE DATA AGE
registrykey-m2-1 kubernetes.io/dockercfg 1 2h
registrykey-m2-2 kubernetes.io/dockercfg 1 1h
registrykey-m3-1 kubernetes.io/dockerconfigjson 1 43m
registrykey-m3-2 kubernetes.io/dockerconfigjson 1 24m
registrykey-m4-1 kubernetes.io/dockerconfigjson 1 18s//rbd-rest-api-registrykey-m4-1.yaml
apiVersion: v1
kind: Pod
metadata:
name: rbd-rest-api-registrykey-m4-1
spec:
containers:
- name: rbd-rest-api-registrykey-m4-1
p_w_picpath: registry.cn-hangzhou.aliyuncs.com/xxxx/rbd-rest-api:latest
p_w_picpathPullPolicy: Always
p_w_picpathPullSecrets:
- name: registrykey-m4-1
# kubectl create -f rbd-rest-api-registrykey-m4-1.yaml
pod "rbd-rest-api-registrykey-m4-1" created
# kubectl get pod
NAME READY STATUS RESTARTS AGE
rbd-rest-api-registrykey-m4-1 1/1 Running 0 5s