如何利用k8s拉取私有仓库镜像

最新推荐文章于 2025-11-15 20:05:38 发布
原创 最新推荐文章于 2025-11-15 20:05:38 发布 · 5k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #java #kubernetes #linux #编程语言

本文介绍了在kubernetes(k8s)中遇到拉取私有仓库镜像时遇到的ImagePullBackOff问题及解决方法。包括修改daemon.json、生成Secret以及使用不同拉取策略。推荐使用通过用户信息生成Secret的方式,因为当密码变更时,只需更新secret即可。

现象

最近实战时,发现一个很奇怪的问题,在通过 k8s 创建 pod,拉取镜像时,总是显示如下信息:

Error syncing pod, skipping: failed to "StartContainer" for "POD" with ImagePullBackOff: "Back-off pulling image ..."

该现象出现的原因可能是网络问题、docker 环境问题等。但如果访问的是一个公开的镜像仓库,在 pull image 的时候,不应该会提示:ImagePullBackOff,但如果访问的是私有仓库,那就有可能出现如下的错误:

这个错误出现的原因,刚才说了,有可能的网络问题,也有可能是 docker 问题,但有时候,这些不能解决的情况下,可以采用下面三种方式来解决。



方式一

第一种方式,我们可以使用文件生成 secret,然后通过 k8s 中的 imagePullSecrets 来解决拉取镜像时的验证问题。具体方式如下:

修改 /etc/docker/daemon.json

在 k8s 集群节点上,修改 docker 的 daemon.json 配置文件:

{
"registry-mirrors": [ "https://registry.docker-cn.com"],
"insecure-registries":["私有仓库服务地址"]
}

在里面加上自己私有的仓库服务地址,然后重启 docker 服务,使其生效。


生成 ~/.docker/config.json 文件
docker login 私有服务地址

在命令行输入上面的命令,回车后,会提示输入用户名和密码。输入正确信息后,这会生成一个 /root/.docker/config.json 文件。同时会提示:

Login Succeeded

生成 Secret 串

根据上面生成的 ~/.docker/config.json 文件,我们可以生成一个密文秘钥:

base64 -w 0 ~/.docker/config.json

执行上面的命令后,会生成一个长串,即为我们所要的 Secret 串。

我们会在 source 下看见一个新的文件夹,_drafts,这个里面会装我们所有的草稿文件。

创建 Secret

通过 k8s 我们可以生成一个 Secret 资源:

apiVersion: v1
kind: Secret
metadata:
  name: docker_reg_secret
  namespace: default
data:
    .dockerconfigjson: ewoJImF1dGhjNWdlpHVnVaenB5Wld4aFFFeFdUa2xCVGtBeU1ERTMiCgkJfASEkidXJlZy5rOHMueXVud2VpLnJlbGEubWUiOiB7CgkJCSJhdXRoIjogIloyRnZaM1Z2WkdWdVSrsaaehoUUV4V1RrbEJUa0F5TURFMyIKCQl9Cgl9LAoJIkh0dHBIZWFkZXJzIjogewoJSetcaFTssZW50IjogIkRvY2tlci1DbGllbnQvMTguMDYuMS1jZSAobGludXgpIgoJfQp9
type: kubernetes.io/dockerconfigjson

执行这个资源的配置:

kubectl create -f secret.yml
在服务配置加上依赖

最后,可以在 我们的服务 yml 文件中加上拉取镜像时的依赖 secret,部分代码如下:

imagePullSecrets:
- name: docker_reg_secret

方式二

第二种方式,我们可以直接使用 docker 的用户信息来生成 secret:

kubectl create secret docker-registry docker_reg_secret --docker-server=XXX --docker-username=XXX --docker-password=XXX

参数含义:

  • docker_reg_secret:指定密钥的键名称,自定义

  • docker-server: 指定docker仓库地址

  • docker-username:指定docker仓库账号

  • docker-password:指定docker仓库密码

创建完 Secret 资源后,其他的如方式一,这就简单了。


方式三

第三种方式所使用的是最简单的办法,即我们利用 k8s 的拉取镜像的策略来处理,主要有如下三种:

  • Always:每次创建时都会拉取镜像

  • IfNotPresent:宿主机器不存在时拉取镜像(默认值)

  • Never:从不主动拉取镜像

使用 IfNotPresent、Never 策略来处理。


以上三种方式,我比较推荐第二种,最中意第二种,因为假如密码修改了,就更新一下 secret 就好了,k8s node 不需要改动。而第一种需要改动,第三种会导致镜像丢失,毕竟只有本地存在。

最后,欢迎大家关注个站哟:www.damon8.cn

最后介绍新号:天山六路折梅手,欢迎关注。

往期回顾

微服务自动化部署CI/CD

ArrayList、LinkedList 你真的了解吗?

微服务架构设计之解耦合

浅谈负载均衡

浅谈开发与研发之差异

大佬整理的mysql规范,分享给大家

如果张东升是个程序员

Oauth2的授权码模式《上》

Oauth2的认证实战-HA篇

浅谈 Java 集合 | 底层源码解析

基于 Sentinel 作熔断 | 文末赠资料

基础设施服务k8s快速部署之HA篇

今天被问微服务,这几点,让面试官刮目相看

Spring cloud 之多种方式限流(实战)

Spring cloud 之熔断机制(实战)

面试被问finally 和 return,到底谁先执行?

Springcloud Oauth2 HA篇

Spring Cloud Kubernetes之实战一配置管理

Spring Cloud Kubernetes之实战二服务注册与发现

Spring Cloud Kubernetes之实战三网关Gateway

关注公众号,回复入群,获取更多惊喜!公众号(程序猿Damon)里回复 ES、Flink、Java、Kafka、MQ、ML、监控、大数据、k8s 等关键字可以查看更多关键字对应的文章。

如有收获,点个在看,谢谢

k8s pod 镜像策略
岳来的博客
04-28 3877
k8s pod 镜像策略
k8s私有仓库镜像
LoveyourselfJiuhao的博客
06-28 919
1、实战目的 从私有docker仓库镜像,部署pod。上一篇中,我们搭建了私有的镜像仓库,这一篇我们将与k8s结合实战使用私有仓库。 2、登录docker 为了完成本次实战,需要登录docker,如下: 3、为k8s集群创建Secret 当pod从私用仓库镜像时,k8s集群使用类型为docker-registry的Secret来提供身份认证,创建一个名为registry-key的S...
kubernetes 导入镜像tar包
最新发布
m0_37843156的博客
11-15 410
Kubernetes 中直接导入镜像通常是通过使用 kubectl 命令行工具来操作的,而不是直接导入 tar 包。但是,如果你的目的是将本地的 Docker 镜像导入到 Kubernetes 中,你可以先将镜像导出为 tar 包,然后将其导入到 Kubernetes 所在的节点或集群中。首先,你需要将 Docker 镜像导出为 tar 包。这可以通过 Docker 的 save 命令完成:bash这里,myimage 是你的镜像名称,tag 是你的镜像标签。
microk8s部署k8s或harbor镜像
u013326684的博客
09-03 999
microk8s署kubenertes,harbor镜像 https使用自签证书 1、首先说下tls或者说是ssl的理解:一般会使用一种非对称方式来传输一些重要的信息或者用于数字签名。非对称算法如rsa,服务端先用openssl生成私钥,用这个私钥生成证书请求,这个证书请求发给权威机构,权威机构会返回带有公钥,且包含客户身份信息的证书。这个证书跟自己的私钥就是一对非对称密钥。 2、当客户端请求时,客户端会把自己支持的算法告诉服务端,服务端返回证书公钥给客户,客户端再把对称密钥通过公钥加密传送给服务端,之
k8s镜像规则_K8S私有仓库镜像
weixin_39870199的博客
12-22 835
通常来讲,我们在通过公共镜像仓库docker镜像的时候,不需要任何的认证操作,但我们在构建了企业的私有镜像以后,就不得不在镜像之前通过用户名密码来完成认证。在docker单机环境中,我们可以直接在宿主机上执行docker login https://myhub.fdccloud.com类似这种命令的方式来完成认证。但在通过kubernetes来对docker做相关集群管理时,就不得不在所有...
k8s从本地docker仓库镜像
weixin_41788000的博客
08-29 690
我整理的一些关于【k8s,Docker,Deployment,K8S】的项目学习资料(附讲解~~)和大家一起分享、学习一下:https://d.51cto.com/xltfovK8s从本地Docker仓库镜像 Kubernetes(一般被称为K8s)是一种流行的容器编排工具,它能帮助用户自动化应用程序的部署、扩展和管...
k8s私有镜像仓库认证
qq_50487743的博客
08-26 1307
使用命令创建一个包含认证信息的 Docker Secret。在 Kubernetes 的 Deployment 配置中使用来指定该 Secret。确保 Secret 正确配置并在你的 Deployment 中引用。通过这些步骤,你可以确保 Kubernetes 能够从你的私有阿里云镜像仓库镜像
K8s 私有仓库镜像方法
Shallow的博客
04-13 2679
一般公司开发的image一般放在私有仓库,不对外开放。 在阿里云创建一个私有镜像库,并构建一个image: registry.cn-shenzhen.aliyuncs.com/koza/test:latest 创建阿里云镜像私有仓库和构建image方法参考:https://dev.aliyun.com/ docker 私有镜像的方法: a. 登陆私有仓库 mac-temp:~ test...
k8s - docker/containerd私有仓库镜像
RayPick的博客
09-28 5695
我这边的需求是第二种才满足,但是看官方文档上的,是对docker运行时的应用,这就导致我containerd运行时的时候,不知道该怎么去配置了。所以咱们要做的就是把harbor的用户名和密码先Base64,在放进auth,再对整体进行Base64处理,那么问题就解决了。公司内部搭建Harbor作为镜像仓库,k8s底层为containerd运行时,此时需要。同时在该用户下创建一个私有项目,名字随便就叫ttt3吧,然后推一个镜像上去,此时需要我们去对应的namespace下创建secret,
81、k8s网络配置以及k8s私有仓库
m0_74149099的博客
08-27 1650
----------------------------以上做仓库指向--------------------------------------pod的ip地址进行封装,通过node节点作为路由器,转发到其他的node节点,其他的node节点收到数据包之后解包,把数据包转发到指定的pod。pod内部容器的通信,pod创建完成之后,集群会分配pod一个全局的唯一ip地址。flannel的功能简单,不具备复杂的网络策略的配置能力。calico------->veth-pair虚拟设备,一个虚拟的网卡。
K8S免密私有仓库容器镜像
manwufeilong的博客
08-24 3469
K8S私有仓库镜像有多种方式,其中用云托管的K8S,可以使用云厂商的扩展实现免密,如果是自建K8S集群,则建议节点配置私有仓库身份认证或在Pod中设置ImagePullSecrets的方式。创建私有仓库secret,即可以通过命令行直接创建secret的方式,也可以通过文件(config.json)创建的方式,两者实现的功能一样,区别在于命令行创建只支持单个私有仓库使用,而 .docker/config.json文件创建的方式支持多个私有仓库,如有多个私有仓库,建议文件创建的方式使用。
K8S 私有仓库镜像
小云的博客
11-30 958
K8S 私有仓库镜像在使用Kubernetesk8s)从私有仓库镜像时,会出现无法镜像的情况,私有仓库需要认证才能访问,如果Kubernetes无法通过认证,就会导致失败,这时我们就需要手动创建私有仓库的登录信息。省流版#创建secret #【harbor-docker】自定义名称 #【--namespace】和应用在同一个命名空间下 #【--docker-ser...
如何k8s镜像_K8s 从懵圈到熟练 – 镜像这件小事
weixin_29370183的博客
01-16 3708
导读:相比 K8s 集群的其他功能,私有镜像的自动,看起来可能是比较简单的。而镜像失败,大多数情况下都和权限有关。所以,在处理相关问题的时候,我们往往会轻松的说:这问题很简单,肯定是权限问题。但实际的情况是,我们经常为一个问题,花了多个人的时间却找不到原因。这主要还是我们对镜像,特别是私有镜像自动的原理理解不深。这篇文章,作者将带领大家讨论下相关原理。顺序上来说,私有镜像自动...
k8s镜像脚本
河静
11-26 1011
#!/bin/bash #Author:Hejing #Date:2021-11-26 #Function:指定版本的k8s所需镜像 url=registry.cn-hangzhou.aliyuncs.com/google_containers version=v1.17.17 images=(`kubeadm config images list --kubernetes-version=v1.17.17 | awk -F "/" '{print $2}'`) for imagename in $
Kubernetes(K8S)本地镜像部署Pod 实现类似函数/微服务功能(可设置参数并实时调用)
m0_49558200的博客
01-19 3598
本文介绍了Kubernetes(K8S)集群中,本地镜像部署Pod的具体方法,实现了kubernetes集群中类似微服务,函数的实现与调用。实现了一个两数相加的具体示例。
Kubernetes - 如何利用 K8S 私有仓库镜像
02-04 2515
Kubernetes - 如何利用 K8S 私有仓库镜像
k8s镜像策略
运维@小兵的博客
08-29 3123
k8s镜像策略
k8s私有仓库镜像创建pod
08-20
Kubernetes 中使用私有镜像仓库镜像并创建 Pod 的过程主要包括以下几个关键步骤: 1. **准备私有镜像仓库的认证信息** Kubernetes 使用 `Secret` 资源来存储私有仓库的认证凭据。用户需要使用 `kubectl create secret docker-registry` 命令创建一个包含用户名、密码和镜像仓库地址的 Secret。例如: ```bash kubectl create secret docker-registry my-registry-secret \ --docker-server=DOCKER_REGISTRY_SERVER \ --docker-username=DOCKER_USER \ --docker-password=DOCKER_PASSWORD \ --docker-email=DOCKER_EMAIL ``` 这个 Secret 将用于 Kubernetes私有镜像时进行身份验证 [^2]。 2. **在 Pod 定义中引用 Secret** 创建 Pod 时,需要在 Pod 的 YAML 定义文件中通过 `imagePullSecrets` 字段引用之前创建的 Secret。例如: ```yaml apiVersion: v1 kind: Pod metadata: name: my-private-pod spec: containers: - name: my-container image: my-registry.example.com/my-image:tag imagePullSecrets: - name: my-registry-secret ``` 这样,Kubernetes 在调度该 Pod 并镜像时,会使用指定的 Secret 进行认证 [^2]。 3. **确保 Kubernetes 节点可以访问私有仓库** Kubernetes 节点上的 kubelet 必须能够访问私有镜像仓库。这可能涉及到网络配置、DNS 解析、防火墙规则以及 TLS 证书的配置。如果使用的是自签名证书的私有仓库,需要在每个节点上信任该证书 [^1]。 4. **使用 Helm 或 Operator 管理复杂部署** 对于更复杂的部署场景,可以使用 Helm Chart 或 Operator 来封装镜像的配置逻辑。这样可以在多个环境中复用配置,并简化部署流程 [^4]。 5. **Harbor 仓库的特殊配置** 如果使用 Harbor 作为私有镜像仓库,除了创建 Secret 外,还需要确保 Kubernetes 集群能够解析 Harbor 的地址,并且在使用 HTTPS 的情况下,Harbor 的证书被正确信任。创建 Secret 的方式与普通私有仓库一致 [^3]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值