阿里云Kubernetes容器服务支持免密拉取私有镜像仓库

最新推荐文章于 2025-05-04 13:59:00 发布
最新推荐文章于 2025-05-04 13:59:00 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 serverless
原文链接:https://yq.aliyun.com/articles/640906
阿里云容器服务现已支持免密拉取ACR私有镜像,用户无需配置ImagePullSecrets即可轻松拉取。此功能适用于特定版本的托管Kubernetes集群及Serverless Kubernetes集群。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

名字解释:
ACS: 阿里云容器服务,https://cs.console.aliyun.com
ACR: 阿里云容器镜像服务,https://cr.console.aliyun.com/

相信不少用户因为在使用容器服务时需要配置私有镜像的ImagePullSecrets而感到倍感繁琐,今天和大家分享的是阿里云容器服务已经支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。

如下图所示,docker pull命令失败是因为没有给私有镜像配置用户名密码,相对比的是,通过免密拉取功能,kubectl无需配置ImagePullSecrets则可直接拉取私有镜像。
image

适用要求说明

  • 仅支持免密拉取当前用户的ACR私有镜像,无法拉取其他用户的私有镜像
  • 支持跨Region拉取ACR私有镜像

  • 目前适用的集群包括:

    • 所有Serverless Kubernetes集群
    • 新创建的托管Kubernetes集群,并且版本需高于1.11.2
    • 新创建的Kubernetes集群,并且版本需高于1.11.2。对于已创建的集群,请参看下面的步骤进行手动配置。
  • 只可在default namespace下使用,暂不支持多namespace场景

手动配置已有Kuberentes集群的免密拉取功能

对于新建集群,用户无需任何配置即可使用免密拉取功能,但是对于已有Kubernetes集群,因为需要新增ram权限的授权,所以需要用户手动修改自定义授权和部署相关服务。具体过程如下。

1. 给worker节点的RAM角色添加ACR相关权限

  • 打开集群节点页面:
    image
  • 点击进入节点ECS信息页面,查看worker节点的自定义RAM角色
    image
  • 在RAM控制台找到相对应的worker的自定义ram授权策略
    image
  • 在其授权策略中添加ACR相关权限,授权容器服务可以访问ACR得到临时的token密码
    image

  • 需添加的权限如下:

    {
     "Action": [
       "cr:Get*",
       "cr:List*",
       "cr:PullRepository"
     ],
     "Resource": "*",
     "Effect": "Allow"
   }

2. 部署aliyun-acr-credential-helper服务: 用于定时刷新ACR临时token密码

apiVersion: v1
kind: ServiceAccount
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
 ---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
     name: aliyun-acr-credential-helper-rolebinding
     namespace: kube-system
roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: cluster-admin
subjects:
     - kind: ServiceAccount
       name: aliyun-acr-credential-helper
       namespace: kube-system
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-public --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-a
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-vpc --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-b
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
apiVersion: apps/v1beta2
kind: Deployment
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
     labels:
       app: aliyun-acr-credential-helper
spec:
     replicas: 1
     selector:
       matchLabels:
         app: aliyun-acr-credential-helper
     template:
       metadata:
         labels:
           app: aliyun-acr-credential-helper
       spec:
         serviceAccount: aliyun-acr-credential-helper
         containers:
         - name: aliyun-acr-credential-helper
           image: registry.cn-shanghai.aliyuncs.com/acs/aliyun-acr-credential-helper:1.0-793003d
           imagePullPolicy: Always
         terminationGracePeriodSeconds: 0

开始体验

至此,自主集群的自动拉取私有镜像功能已经配置完成,那就使用kubectl命令或者登录控制台(https://cs.console.aliyun.com )快速试用吧。

阿里云容器服务将持续优化容器的云上使用体验,请保持关注。

【devops】非必要 不要自建harbor 能力不足 真的被坑的服了 阿里云ACR不香吗?k8s接入ACR
CTRA®王大大技术中心
04-04 530
非必要 不要自建harbor 能力不足 真的被坑的服了 阿里云ACR不香吗 k8s接入ACR
【云原生】kubeadm搭建企业级K8S高可用集群保姆级攻略
景天科技苑
01-04 2082
我们都知道,k8s中有三位大哥:kubelet, kubeadm, kubectl 其中: kubelet是服务,用来调用下层的container管理器,从而对底层容器进行管理。 kubectl是API,供我们调用,键入命令对k8s资源进行管理。 kubeadm是管理器,我们可以使用它进行k8s节点的管理。 今天,我们就基于kubeadm来详细讲讲怎么部署高可用K8S集群
如何高效利用阿里云Docker镜像仓库管理您的容器镜像
拥有必珍惜
08-07 1万+
Docker镜像仓库是存储、管理和分发Docker镜像的集中化存储库,它允许开发人员和运维人员在构建、发布和部署应用程序时轻松地共享和访问Docker镜像。Docker私有仓库通过提供安全性、网络性能优化、灵活的镜像管理和版本控制,以及用户友好的体验,成为企业和组织内部Docker镜像管理的理想选择。“笑对人生,智慧同行!博客新文出炉,微信订阅号更新更实时,等你笑纳~”
阿里云弹性容器实例(ECI)已经支持容器镜像 ...
测试0901-1
12-25 705
名词解释 ECI:阿里云弹性容器实例ACR: 阿里云容器镜像服务  相信很多使用过阿里云ECI的用户都会有个比较头疼的问题,就是私有镜像还需要手动明文输入仓库的认证用户名和码。虽然我们ECI管控会对用户的敏感信息进行编码、压缩后传输,但是依然繁琐而且用户端操作依然不够安全。目前阿里云容器镜像服务也提供openAPI让用户获临时用户名和,但是会有过...
Docker镜像仓库
2301_79875463的博客
05-04 3172
公司服务器大部分都是私网,为了安全和方便可以搭建私有仓库,而不用完全手动的去导入导出镜像,因为是局域网速度非常快,可以节省带宽和大量时间。此时只是修改了标签,10.11的客户机还识别不了哪台是仓库服务器,要想识别要修改配置文件。将镜像推送到Registry:此时容器中没有镜像(将本地镜像推送到阿里云的私人仓库)下载完成之后,移动到/usr/local/bin/目录(直接下载到环境变量目录)阿里云上做本地仓库时做的是私有的,(也可以做成公有的)镜像(假如10.11主机的镜像都没有了)
使用阿里云容器镜像服务创建容器镜像仓库
qq_56189058的博客
07-29 2222
绑定codeup、需要创建云效代码管理里的代码库。为了方便像K8S等,镜像地址在外网的镜像。后面需要用到镜像,就可以镜像仓库的镜像了。
阿里云容器镜像服务搭一个自己的镜像仓库
ζั͡山 ั͡有扶苏 ั͡✾的博客
09-26 671
摘要:自建镜像仓库,集群镜像超时解决问题
docker_阿里云镜像仓库
qq_43527128的博客
09-26 2250
登录阿里云——控制台——容器镜像服务——创建个人版实例。设置后可在终端复制上图2测试。5.新机器自己仓库的镜像。
【云原生】Kubernetes----k8s使用harbor私有仓库
hy199707的博客
07-29 1691
Kubernetes(k8s)环境中,使用私有镜像仓库如Harbor来存储和管理容器镜像是一种常见做法。Harbor是由VMware公司开源的企业级Docker Registry管理项目,支持丰富的权限控制和完善的架构设计,尤其适合大规模Docker集群部署。然而,每次Pod私有镜像时都需要进行身份验证,这可能会增加系统的复杂性和运维成本。本文将介绍如何在Kubernetes中配置使用Harbor私有仓库的方法。
二进制部署Kubernetes v1.27.1 高可用集群(保姆级超详细,可通过在线或离线部署) 附安装包及镜像网盘费下载
热门推荐
Mr.L-OAM的博客
08-22 2万+
本文详细介绍了Kubernetes(k8s)集群的部署过程,采用2主1从架构(master1、master2、node1)和1个镜像仓库节点。文章首先说明了环境规划,包括主机IP分配(192.168.1.21-23)、软件版本(k8s v1.27.1、etcd v3.5.8等)和网络划分(Node/Service/Pod网段)。接着详细讲解了基础环境配置步骤:设置静态IP和主机名、配置主机解析、SSH登录、yum源配置(支持本地iso挂载或阿里云镜像)。该部署方案通过逐组件安装方式,清晰展示各组件所需配
k8s-Kubernetes--集群部署
Gong_yz的博客
03-06 4476
在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年,Borg系统运行管理着成千上万的容器应用。Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了Borg系统中的经验和教训。Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交给用户。隐藏资源管理和错误处理,用户仅需要关注应用的开发。服务高可用、高可靠。可将负载运行在由成千上万的机器联合而成的集群中。
阿里云Docker镜像仓库(Docker Registry)
liuhehe的博客
08-15 2万+
https://www.cnblogs.com/danielyoung/p/10608677.html 阿里云镜像仓库 https://cr.console.aliyun.com/cn-shanghai/instances/repositories
阿里云私有镜像仓库配置及使用
专注 专业 专心
08-28 5218
阿里云访问地址:https://www.aliyun.com/右上角选择“
DevOps搭建(二)-阿里云镜像仓库的使用详解
tigerhhzz的博客
12-15 920
Java领域优质创作者。
DevOps搭建(十二)-阿里云镜像仓库的使用详解
Java高知社区
12-15 2703
DevOps搭建(十二)-阿里云镜像仓库的使用详解。有时候,不想在服务器自己搭建镜像仓库,那么我们可以使用阿里云镜像仓库,详细使用方法如下……
docker&contianerd配置登录
qq_39109226的博客
03-26 522
cat zjx.txt | docker login --username=xxxxxx 仓库地址 --password-stdin。docker login --username=xxxxxxx --password=xxxxxxxx 仓库地址。ctr -n k8s.io images pull 镜像地址 --user “用户名:码”1.配置地址:cat /root/.docker/config.json。
私有仓库镜像配置
github_38730134的博客
05-29 1822
私有仓库镜像配置 当我们制作好一个镜像后,我们可以传到公共镜像仓库,供所有人使用,不需要指定镜像的用户、码。我们也可以将镜像推送到自己搭建的镜像库,比如harbor镜像仓库中,如果我们在镜像仓库中的项目是公开项目,镜像也是不要用户名、码的。但如果是私有项目,则需要指定用户名、码才能。下面将介绍两种方式通过用户名、私有镜像 制作镜像secret 不论是何种姿势私有镜像,都需要先创建镜像的secret。创建镜像secret有两种方式,如下 根据config.js
使用SSH和推送项目
tripleDemo的博客
09-28 428
生成SSH KEY 使用ssh-keygen工具生成,位置在Git安装目录下…/Git/usr/bin/ssh-keygen.exe 输入命令: ssh-keygen -t rsa -C "your_email@example.com" 复制SSH公钥 在GitLab中新建SSH公钥 修改SSH client路径 成功使用SSH和推送项目! ...
linux怎么从阿里云私有仓库镜像
最新发布
07-10
<think>我们正在回答用户的问题:如何在Linux系统中从阿里云私有容器仓库镜像。根据引用内容,用户已经创建了阿里云私有仓库,现在需要知道如何镜像。 步骤分解: 1. 登录阿里云Docker Registry 2. 使用docker pull命令镜像 具体步骤: ### 步骤1:登录阿里云Docker Registry 在私有镜像之前,必须先登录到阿里云容器镜像服务。使用以下命令登录: ```bash docker login --username=<阿里云账号> registry.cn-hangzhou.aliyuncs.com ``` 执行后会提示输入码(阿里云账号的码)。如果开通了容器镜像服务,也可以使用开通时设置的Registry登录码(可以在容器镜像服务控制台设置)。 > 注意:如果使用子账号,需要确保该子账号具有操作镜像仓库的权限。 ### 步骤2:镜像 登录成功后,使用`docker pull`命令镜像。镜像的完整路径格式为: ``` registry.cn-hangzhou.aliyuncs.com/<命名空间>/<仓库名称>:<标签> ``` 例如,如果命名空间为`lxybj`,仓库名称为`myubuntu`,标签为`v1.0`,则命令为: ```bash docker pull registry.cn-hangzhou.aliyuncs.com/lxybj/myubuntu:v1.0 ``` ### 示例完整流程 ```bash # 登录(替换<username>为你的阿里云账号) docker login --username=<username> registry.cn-hangzhou.aliyuncs.com # 输入码(登录阿里云码或Registry独立码) # 镜像(替换命名空间、仓库名和标签) docker pull registry.cn-hangzhou.aliyuncs.com/lxybj/myubuntu:v1.0 # 查看的镜像 docker images ``` ### 常见问题 1. **登录失败**:检查用户名和码是否正确,确保网络连接正常。如果使用子账号,确认已授权。 2. **镜像失败**:检查镜像路径是否正确(包括命名空间、仓库名称和标签是否存在)。可以在阿里云容器镜像服务控制台查看镜像的完整路径。 3. **权限不足**:确保当前用户对目标镜像仓库权限(在阿里云控制台设置)。 ### 安全建议 - 不要在脚本中直接写入码,可以使用`docker login`保存凭证(默认保存在`$HOME/.docker/config.json`)。 - 对于自动化流程(如CI/CD),建议使用访问凭证(Access Token)代替码。 > 提示:阿里云容器镜像服务支持多个地域,如果仓库不在杭州(hangzhou),需要替换地域代码,如北京为`registry.cn-beijing.aliyuncs.com`。具体地域代码可在控制台查看。 ### 参考文档 - [阿里云容器镜像服务文档](https://help.aliyun.com/document_detail/60743.html) [^1] §§相关问题§§ 1. 如何将本地构建的Docker镜像推送到阿里云私有仓库? 2. 如何创建阿里云容器镜像服务的访问凭证? 3. 如何在Kubernetes中配置从阿里云私有仓库镜像?</think>### 在 Linux 中从阿里云私有容器仓库镜像的完整指南 #### 步骤 1:登录阿里云容器镜像服务 ```bash # 使用阿里云账号登录(需替换<username>为实际账号) docker login --username=<username> registry.cn-hangzhou.aliyuncs.com # 示例: # docker login --username=yourname@example.com registry.cn-hangzhou.aliyuncs.com ``` 执行后会提示输入码(阿里云账号码或独立仓库码)[^2] #### 步骤 2:获镜像完整路径 1. 登录[阿里云容器镜像控制台](https://cr.console.aliyun.com) 2. 找到目标镜像,复制完整路径(格式如下): ``` registry.cn-<地域>.aliyuncs.com/<命名空间>/<仓库名>:<标签> ``` 例如:`registry.cn-hangzhou.aliyuncs.com/my-namespace/myapp:v1.0`[^1] #### 步骤 3:私有镜像 ```bash # 使用完整镜像路径 docker pull registry.cn-hangzhou.aliyuncs.com/my-namespace/myapp:v1.0 # 验证结果 docker images | grep 'myapp' ``` #### 步骤 4:Kubernetes私有镜像(可选) 1. 创建镜像钥: ```bash kubectl create secret docker-registry aliyun-secret \ --docker-server=registry.cn-hangzhou.aliyuncs.com \ --docker-username=<username> \ --docker-password=<password> ``` 2. 在 Pod 配置中引用钥: ```yaml apiVersion: v1 kind: Pod metadata: name: private-app spec: containers: - name: app image: registry.cn-hangzhou.aliyuncs.com/my-namespace/myapp:v1.0 imagePullSecrets: - name: aliyun-secret ```[^3] #### 常见问题解决 **问题 1:登录失败** ```bash # 检查凭证存储位置 cat ~/.docker/config.json # 清除错误凭证 docker logout registry.cn-hangzhou.aliyuncs.com ``` **问题 2:权限不足** -阿里云控制台检查账号是否具有仓库「读」权限 - 子账号需授权 `AliyunContainerRegistryReadOnlyAccess` 策略 **问题 3:TLS 证书错误** ```bash # 临时跳过证书验证(不推荐生产环境) export DOCKER_CONTENT_TRUST=0 # 永久解决方案:更新CA证书 sudo yum update ca-certificates ``` #### 最佳实践 1. **使用访问令牌代替码**: ```bash # 控制台生成访问令牌后使用 docker login --username=<token_username> --password=<token> registry.cn-hangzhou.aliyuncs.com ``` 2. **配置镜像缓存加速**: ```bash # 在 /etc/docker/daemon.json 添加 { "registry-mirrors": ["https://<your_id>.mirror.aliyuncs.com"] } ``` 3. **自动化脚本示例**: ```bash #!/bin/bash REGISTRY="registry.cn-hangzhou.aliyuncs.com" IMAGE="$REGISTRY/my-namespace/myapp:latest" echo "登录阿里云容器仓库..." docker login -u $USERNAME -p $PASSWORD $REGISTRY echo "镜像: $IMAGE" docker pull $IMAGE ``` > ⚠️ **安全提示**: > - 敏感操作建议使用RAM子账号 > - 生产环境推荐使用VPC专用端点(`registry-vpc.cn-hangzhou.aliyuncs.com`) > - 定期轮转访问凭证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值