secret

service Account：对于有些pod需要和api-server交互。比如flannel,coredns。但是api-server不是谁都可以访问的，对于pod来说就是通过service Account方案。

Opaque：编码加密方式的

dockerconfigjson：私有仓库去下载镜像，会有一些认证方案。这个认证是由docker 仓库完成的。需要嵌入用户名和密码信息。就可以通过该方式保存私有仓库认证的用户名和密码。让他在下载镜像的时候自动达成注入的方案。

第一种是由kubernets自动创建的，所以看下使用即可。

随便找一个pod,比如proxy就会访问api接口



ca.crt就是访问API server 的，因为需要https认证，所以需要证书。

token就是认证的密钥信息。
就是因为这三个才使proxy向api server访问达到认证的目的。



挂在的卷的名字是secrets和上面volume的name一样。挂在路径在/etc/secrets下



发现已经解密了 使用的时候自己完成解密

和之前的很像

也就是吧username的值admin赋值给TEST_USER

吧之前的都删除，因为该标签麻烦


使用之前创建的私有仓库harbor，看到里面有一个镜像


把之前的仓库改成私有的仓库

新建立一个私有仓库

推送的镜像格式


推送景象禁止了




首先需要logout退出
测试认证


排查思路：
如果还能拉去景象排错

1.之前访问的密钥信息，可以删除。
2.删除docker images是否已经有了，防止从本地缓存的下载
3.之前是否已经login了。docker logout

禁止了
三个节点都logout下


使用私有仓库镜像，



必须认证后才能下载，所以报错

设置私有仓库自己认证



因为有myregistry镜像认证密码，所以就运行成功。

参考下腾讯云似有仓库，一样的