1.无法拉取原因
可以登陆相应的docker库,也可以手动拉取,但是服务上线或者更新的时候无法自动拉取镜像
原因为:
- k8s是通过kubelet来调用docker,然后通过docker去拉取镜像,而公共仓库的镜像只需要拉取即可,是不需要输入账户密码的.但是私仓往往都是要登陆以后才能拉取里面的镜像。
如果每天产生大量仓库都要手动执行
docker pull来拉取,非常麻烦也非常容易出错.第二,集群规模不同,节点数量也不同,少则三五个,多则成百上千甚至更多.我们一台台拉取显然非常麻烦,即便使用ansible脚本批量执行命令也同样存在问题:因为不同的容器分布在不同的节点上.把所有镜像都用批量脚本拉到所有服务器上显然会浪费非常多的资源,并且集群扩容或者缩容器都需要更改脚本,很容易出现错误.这时候我们更倾向使用kubernetes自身的强大管理功能.其实kubernetes可以把docker的登陆信息做成secrets,在容器编排时显式指定要用到的secret,kubernetes就会自动去拉取私服上编排时指定的镜像.大大方便我们自动化的流程
2.secret制作流程
我们首次登陆成功后,docker便把登陆信息存在了~/.docker/config.json这个文件里,我们可以看一下
[root@k8s-node1 ~]# cat .docker/config.json`
{
"auths": {
"192.168.124.43:8002": {
"auth": "YWRtaW46YWRtaW4xMjM="
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/18.09.4 (linux)"
}
}[root@k8s-node1 ~]#3.基于现有docker登陆信息创建kubernetes密钥
kubectl create secret generic regcred \
--from-file=.dockerconfigjson= ~/.docker/config.json \
--type=kubernetes.io/dockerconfigjson但是这种方法只适用于只有一个登录信息的情况,如果有多个信息,会报:error: exactly one NAME is required, got 2
以上方法同其它创建kubernetes密钥的方法并没有区别,这里的关键是.docker目录下的config.json文件.
当然,如果你想对生成出来的secrets有更多的控制,比如指定这个secrets的名称空间,可以使用yml文件来声明式创建.步骤与上面略有不同,如下:
- data字段的名称必须设置为
.dockerconfigjson - 对config.json文件进行base64编码,然后把编码后的内容复制到
.dockerconfigjson字段 - 类型设置为
kubernetes.io/dockerconfigjson
示例:
apiVersion: v1
kind: Secret
metadata:
name: myregistrykey
namespace: test
data:
.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson常用报错解析:
error: no objects passed to create这意味着base64编码信息无效Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ...这意味着base64编码成功,但是不能解码为.docker/config.json
直接从命令行创建secret
上面是使用docker存储的已经登陆的信息创建的secret,如果没有使用docker登陆,也可以直接通过命令行来创建secret,命令格式如下:
kubectl create secret docker-registry secretname --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>下面对上面字段做简要描述:
- docker私有地址
- 登陆名
- 登陆密码
- 邮箱,此字段为非必填项
这里仍然基于前面搭建的nexus docker私仓为例:
kubectl create secret docker-registry secretname --docker-server=192.168.124.43:8002 --docker-username=admin --docker-password=admin123便可以创建secret了.
5.3 查看密钥信息
可以使用以下命令查看刚创建的密钥:
kubectl get secret regcred --output=yaml
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output=yaml
apiVersion: v1
data:
.dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjEyNC40Mzo4MDAyIjp7IlVzZXJuYW1lIjoiYWRtaW4iLCJQYXNzd29yZCI6ImFkbWluMTIzIiwiRW1haWwiOiIifX19
kind: Secret
metadata:
creationTimestamp: "2019-04-12T05:53:19Z"
name: regcred
namespace: default
resourceVersion: "3763835"
selfLink: /api/v1/namespaces/default/secrets/regcred
uid: 46028dd4-5ce7-11e9-bc12-0050568417a2
type: kubernetes.io/dockerconfigjson
[centos@k8s-master trackingapi]$其中.dockerconfigjson字段为docker的登陆信息,我们可以通过base64解码来查看它:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
[centos@k8s-master trackingapi]$ kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode
{"auths":{"192.168.124.43:8002":{"Username":"admin","Password":"admin123","Email":""}}}[centos@k8s-master trackingapi]$可以看到以上正信息与我们创建密码时输入的信息吻合
注: 以上是我们通过命令行生成的,如果是通过config.json生成的则解码后的信息与以上略有不同.通过config.json生成的密钥解码后有 个
auth字段,它仍然是base64编码形式存在的,我们需要再次对其解码才能查看到信息
比如
[centos@k8s-master trackingapi]$ echo "YWRtaW46YWRtaW4xMjM="|base64 --decode
admin:admin123
[centos@k8s-master trackingapi]$4.创建pod使用密钥拉取私仓镜像
编排文件示例如下:
apiVersion: v1
kind: Pod
metadata:
name: ubuntu-demo
spec:
restartPolicy: Never
containers:
- name: u-demo
image: 192.168.124.43:8002/ubuntu
imagePullPolicy: IfNotPresent
command: ["printenv"]
args: ["HOSTNAME"]
#添加对应的仓库登录信息
imagePullSecrets:
- name: regcred以上示例我们使用了预先上传的一个ubuntu镜像来创建一个pod,由于以上镜像创建完成后马上就结束了.因此我们让打印一个环境变量信息,然后再使用log命令来查看,以证明操作是成功的.
