从一个私有的仓库拉取镜像
登录Docker
docker login
当出现提示的时候,输入Docker的用户名和密码。
登录的过程创建或更新config.json文件来保存验证信息。
查看config.json文件:
cat ~/.docker/config.json
输出包含下面类似的部分:
{
"auths": {
"https://index.docker.io/v1/": {
"auth": "c3R...zE2"
}
}
}
新建一个Secret保存验证信息
新建一个名字为regsecret的Secret:
kubectl create secret docker-registry regsecret --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>
参数解释
- <your-registry-server> Docker私有的镜像存储地址。
- <your-name> 仓库的用户名。
- <your-pword> 仓库的密码。
- <your-email> 仓库的email。
理解Secret
可以通过查看Secret YAML格式的试图来理解在Sercet创建了什么。
kubectc get secret regsecret --output=yaml
输出类似于下面:
apiVersion: v1
data:
.dockercfg: eyJodHRwczovL2luZGV4L ... J0QUl6RTIifX0=
kind: Secret
metadata:
...
name: regsecret
...
type: kubernetes.io/dockercfg
.dockercfg字段的值是base64编码过得数据。
复制这个数据给一个名字为secret64的文件。
理解.dockercfg字段的内容是什么,可以转换成可读的格式。
base64 -d secret64
输出类似于下面:
{"yourprivateregistry.com":{"username":"janedoe","password":"xxxxxxxxxxx","email":"jdoe@example.com","auth":"c3R...zE2"}}
注意 秘密数据包含config.json文件里面的验证信息。
创建一个Pod使用你的Secret
下面是一个pod的配置文件需要访问秘密数据:
apiVersion: v1
kind: Pod
metadata:
name: private-reg
spec:
containers:
- name: private-reg-container
image: <your-private-image>
imagePullSecrets:
- name: regsecret
把<your-private-image>替换成自己的私有仓库的镜像。
例如:
janedoe/jdoe-private:v1
从私有的镜像仓库拉取镜像Kubernetes需要认证信息。imagePullSecrets字段配置从名字为regsecret的Secret里面获取认证信息。
创建一个Pod使用Secret,并且验证Pod是否运行。
kubectl create -f my-private-reg-pod.yaml
kubectl get pod private-reg
