k8s的imagePullSecrets如何生成及使用

最新推荐文章于 2025-05-07 16:49:14 发布
最新推荐文章于 2025-05-07 16:49:14 发布
阅读量824 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: kubernetes 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mnasd/article/details/127485425
本文详细介绍了如何在Kubernetes集群中创建和使用secret,以便对私有Docker镜像库进行安全认证,包括生成config.json文件、创建harborsecret并应用到deployment yaml中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、概述

公司的docker仓库(harbor),是私有的,需要用户认证之后,才能拉取镜像。

二、生成secret

登录docker

登录到k8s master节点,先登录docker

root@k8s-master:~# docker login 192.168.10.122 -u admin -p Harbor12345
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
Error response from daemon: Get https://192.168.10.122/v2/: dial tcp 192.168.10.122:443: connect: connection refused

注意:出现这个报错,是由于harbor为了安全性考虑,默认是需要https证书支持的

但是我们可以通过一个简单的办法解决

修改 /etc/docker/daemon.json 文件

vim /etc/docker/daemon.json

内容如下:

{"insecure-registries": ["192.168.10.122"]}

重新加载docker配置

/etc/init.d/docker reload

再次登录

root@k8s-master:~# docker login 192.168.10.122 -u admin -p Harbor12345
WARNING! Using --password via the CLI is insecure. Use --password-stdin.
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded

提示登录成功。

登录过程创建或更新一个包含授权令牌的config.json文件。 查看config.json文件:

cat ~/.docker/config.json

输出包含类似以下内容的部分:

{
    "auths": {
        "192.168.10.122": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.1 (linux)"
    }
}

注意:如果您使用Docker凭据存储,您将看不到该auth条目,而是看到一个以存储名称为值的credsstore条目。

基于现有Docker凭据创建secret

kubernetes集群使用docker注册表类型的秘密对容器注册表进行身份验证,以获取私有映像。

如果您已经运行了Docker登录,则可以将该凭证复制到Kubernetes中:

kubectl create secret generic harborsecret \
    --from-file=.dockerconfigjson=/root/.docker/config.json \
    --type=kubernetes.io/dockerconfigjson

注意:主要修改红色部分。

harborsecret 表示key名

/root/.docker/config.json 表示docker认证文件,注意要写绝对路径。

查看内容

kubectl get secrets harborsecret --output="jsonpath={.data.\.dockerconfigjson}" | base64 -d

输出:

{
    "auths": {
        "192.168.10.122": {
            "auth": "YWRtaW46SGFyYm9yMTIzNDU="
        }
    },
    "HttpHeaders": {
        "User-Agent": "Docker-Client/19.03.1 (linux)"
    }
}

要了解刚刚创建的regcred秘密的内容,请从以yaml格式查看秘密开始:

kubectl get secret harborsecret --output=yaml

输出:

apiVersion: v1
data:
  .dockerconfigjson: ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjEwLjEyMiI6IHsKCQkJImF1dGgiOiAiWVdSdGFXNDZTR0Z5WW05eU1USXpORFU9IgoJCX0KCX0sCgkiSHR0cEhlYWRlcnMiOiB7CgkJIlVzZXItQWdlbnQiOiAiRG9ja2VyLUNsaWVudC8xOS4wMy4xIChsaW51eCkiCgl9Cn0=
kind: Secret
metadata:
  creationTimestamp: "2019-08-30T06:14:10Z"
  name: harborsecret
  namespace: default
  resourceVersion: "6128"
  selfLink: /api/v1/namespaces/default/secrets/harborsecret
  uid: 76e16e61-a6b9-4a47-a842-e884cf6f468d
type: kubernetes.io/dockerconfigjson

三、在demployment yaml文件中的使用示例

... 
spec:
      imagePullSecrets:
      - name:harborsecret
      containers:
      - name: eureka
        image: 192.168.10.122/library/alpine:latest
...

复制

如果需要删除secret,使用命令

kubectl delete secrets harborsecret

本文参考链接:

Pull an Image from a Private Registry | Kubernetes

https://www.cnblogs.com/aguncn/p/9789320.html

云原生之容器编排实践-在K8S集群中使用Registry2搭建私有镜像仓库
Heartsuit的博客
02-18 1973
基于前面搭建的3节点 Kubernetes 集群,今天我们使用 Registry2 搭建私有镜像仓库,这在镜像安全性以及离线环境下运维等方面具有重要意义。作为测试环境,本次使用 Registry2 搭建了私有镜像仓库,实际生产环境建议使用 Harbor;创建了一个 local-storage 的 StorageClass ,并使用本地磁盘的方式创建使用 PV ,实际建议使用 NFS 。
K8S中Deployment控制器的概念、原理解读以及使用技巧
景天科技苑
01-21 2283
Deployment是kubernetes中最常用的资源对象,为ReplicaSet和Pod的创建提供了一种声明式的定义方法, 在Deployment对象中描述一个期望的状态,Deployment控制器就会按照一定的控制速率把实际状态改成期望状态, 通过定义一个Deployment控制器会创建一个新的ReplicaSet控制器,通过ReplicaSet创建pod,删除Deployment控制器, 也会删除Deployment控制器下对应的ReplicaSet控制器和pod资源.
k8s实战篇-(在 ServiceAccount 中设置 imagePullSecrets,为Pod 注入 imagePullSecrets 信息)
liuchenbei的博客
09-09 1993
在 ServiceAccount 中设置 imagePullSecrets,为Pod 注入 imagePullSecrets 信息。
k8s:解决pod拉取镜像失败问题(docker和containerd)
最新发布
baiyuekuin的博客
05-07 757
我用dockerd来运行了一个镜像仓库,该镜像仓库的运行端口是127.0.0.1:30081/woqutech/registry:2,并且我的宿主机上是同机双仓库,存在有dockerd和containerd两个本地镜像池,如果想要从镜像仓库拉取镜像都需要docker/crictl pull 127.0.0.1:30081...这样的命令。4.使用docker拉取镜像并检查本地dockerd镜像池是否拉取成功。1.确认两个镜像池都没有对应镜像,并查询镜像仓库是否有对应镜像。2.查看镜像存在有哪些版本。
K8S通过Yaml配置镜像仓库 imagePullSecrets
SHELLCODE_8BIT的博客
07-21 658
k8s中可以通过配置。
创建 imagePullSecret 的命令
chechenshi的博客
11-10 353
创建 imagePullSecret 的命令。
k8simagePullSecrets
zenglingmin8的博客
05-24 2404
k8s集群的使用过程中,初学者可能会碰到这样的(怪异)问题: 在一个k8s集群里,部署服务(用的私有镜像仓库,如harbor)的时候,只有个别node的服务是部署成功的,其他都是部署失败的,错误的原因就是镜像拉取失败,如下: kubectl get pods -A -owide |grep jenkins-demo devlopment jenkins-demo-67d4f9d666-2fh8k 1/1 Running 0 27
使用python脚本自动生成K8S-YAML的方法示例
09-16
本篇文章将深入探讨如何使用Python脚本来自动生成K8S的YAML文件,以`service.yaml`和`deployment.yaml`为例。 ### 1. 生成`service.yaml` #### 1.1 YAML转JSON 首先,我们需要一个基础的`service.yaml`模板,它...
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7659
K8S之存储Secret概述与类型说明,并详解常用Secret示例
docker registry的搭建并结合k8s使用
宫凯宁的博客
07-26 4337
一、搭建docker registry 1、安装docker 由于使用docker容器安装docker registry: yum install -y yum-utils yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo yum -y install dock...
k8s之镜像拉取时使用secret
qq_44209563的博客
12-05 2132
重新执行yaml文件,镜像拉取成功。当前secret类型使用的是。需要在拉取镜像时添加。在yaml文件中配置。
DCOS之k8s的secret
公众号
02-27 4933
作为kubernetes中一个重要的资源secret,它的设计初衷是为了解决container在访问外部网络或外部资源时验证的问题,例如访 问一个git仓库,连接一个数据库,设置一些密码配置等,需要额外验证的场景。它被作为一种资源的形式被设计,由kubernetes集群统一管理,从字 面意思来看已经表现了敏感,安全等特性,因此集群对待这类资源的管理需要额外的保护,对其内容进行加密是十分有必要的。当
k8s 配置imagePullSecrets仓库认证
菜鸡的博客
03-19 1212
之后,需要在 Pod、Deployment、StatefulSet、DaemonSet 等工作负载的。,例如 Docker Hub、Harbor、阿里云镜像仓库、腾讯云 TCR 或自建的。如果 Pod 不是由 Deployment 控制,而是。类型的 Secret 存储镜像仓库的认证信息。命名空间中创建的所有 Pod 默认都会使用。在 Kubernetes (K8s) 中,保存后,K8s 会自动重新创建 Pod。Kubernetes 通过。
k8s使用harbor私有仓库镜像 —— 筑梦之路
筑梦之路
04-17 1697
官方文档:ImagePullSecrets的设置是kubernetes机制的另一亮点,习惯于直接使用Docker Pull来拉取公共镜像,但非所有容器镜像都是公开的。此外,并不是所有的镜像仓库都允许匿名拉取,也就是说需要身份认证;kubernetes有一个secret记录类型,可用于配置镜像登陆凭证,secret的一个特定的类型:kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson。
ImagePullSecret和DownWard API
m0_74206365的博客
06-01 806
/本文件创建的存储卷名称为volumedownward,这个名称会被容器设置的存储卷引用。//上述命令执行完毕后可以使用下面命令输出该secret的yaml内容,在改内容中data字段下包含了一串字符串,这串内容就是编码之后的值,可以对该字符串进行解码,使其采用明文的形式展示出来,可以使用下面的命令。此类型主要用来存储私有Dcoker Registry的认证信息,在设置Pod模板时,如果需要从私有仓库中拉取镜像,可以设置imagePullSecret属性为此类型的Secret,以作为仓库的登陆密钥。
Kubernetes k8s拉取镜像失败最简单最快最完美解决方法 [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver
热门推荐
weixin_43168190的博客
07-09 7万+
问题 由于国内网络原因,kubeadm init会卡住不动,一卡就是半个小时,然后报出这种问题: [ERROR ImagePull]: failed to pull image k8s.gcr.io/kube-apiserver:v1.18.5: output: Error response from daemon: Get https://k8s.gcr.io/v2/: net/http: request canceled while waiting for connection (Client.Time
kubernetes imagePullSecrets认证拉取私仓
qq_37377136的博客
03-15 1225
官方文档: https://kubernetes.io/docs/concepts/containers/images/ 认证方式有两种不过官方推介使用第二种: 第一种(配置节点以对专用注册表进行身份验证) 第二种(在Pod上指定ImagePullSecrets) 部署方式第一种: 一、创建登录认证: docker login -uadmin -pRoot123. https://192...
k8s使用harbor仓库
03-31
### 如何配置 Kubernetes 使用 Harbor 私有镜像仓库 为了使 Kubernetes 能够从 Harbor 私有镜像仓库中拉取容器镜像,需要完成以下几个方面的配置: #### 1. 创建 Docker 凭据 首先,在本地创建一个用于访问 Harbor 的 `docker-registry` 类型 Secret。这个 Secret 将存储登录 Harbor 所需的用户名和密码。 可以通过以下命令生成 Secret: ```bash kubectl create secret docker-registry regcred \ --namespace=<目标命名空间> \ --docker-server=<Harbor服务器地址> \ --docker-username=<Harbor用户名> \ --docker-password=<Harbor密码> ``` 其中 `<Harbor服务器地址>` 是 Harbor 提供的服务 URL,例如 `https://harbor.example.com`[^1]。 #### 2. 编写 Pod 或 Deployment 配置文件 在定义 Kubernetes 工作负载(如 Pod 或 Deployment)时,需要指定使用的私有镜像以及对应的 ImagePullSecrets 字段来关联之前创建的 Secret。 下面是一个完整的 Pod 配置示例: ```yaml apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mycontainer image: harbor.example.com/<项目名称>/<镜像名称>:<标签> ports: - containerPort: 80 imagePullSecrets: - name: regcred ``` 在这个例子中,`imagePullSecrets` 字段指向了名为 `regcred` 的 Secret,该 Secret 包含了访问 Harbor 的认证信息[^4]。 #### 3. 测试镜像拉取与服务部署 一旦完成了上述配置,可以尝试启动工作负载以验证是否可以从 Harbor 正常拉取镜像并运行容器。如果一切正常,则说明配置成功;如果有错误发生,请检查日志输出中的具体原因,通常可能是由于权限不足或网络连接问题引起[^5]。 --- ### 注意事项 - **安全性考虑**:建议定期更新 Harbor 用户账号密码,并重新同步至 Kubernetes 中的相关 Secrets。 - **性能优化**:对于大规模生产环境下的频繁镜像分发需求,可评估引入缓存机制或其他加速策略来降低源站压力。 - **合规性审查**:利用 Harbor 自带的安全扫描特性对入库镜像进行全面检测,确保其符合企业内部标准及外部法规要求[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值