kubernetes实战篇之创建密钥自动拉取私服镜像
系列目錄
前面我們講解了如何搭建nexus服務(wù)器,以及如何使用nexus搭建docker私有鏡像倉庫,示例中我們都是手動(dòng)docker login登陸私服,然后通過命令拉取鏡像然后運(yùn)行容器.然而這種做法在kubernetes集群中是不可行的.第一,項(xiàng)目規(guī)模不同,每天產(chǎn)生的鏡像數(shù)量也不同,如果每天產(chǎn)生大量倉庫都要手動(dòng)執(zhí)行docker pull來拉取,非常麻煩也非常容易出錯(cuò).第二,集群規(guī)模不同,節(jié)點(diǎn)數(shù)量也不同,少則三五個(gè),多則成百上千甚至更多.我們一臺(tái)臺(tái)拉取顯然非常麻煩,即便使用ansible腳本批量執(zhí)行命令也同樣存在問題:因?yàn)椴煌娜萜鞣植荚诓煌墓?jié)點(diǎn)上.把所有鏡像都用批量腳本拉到所有服務(wù)器上顯然會(huì)浪費(fèi)非常多的資源,并且集群擴(kuò)容或者縮容器都需要更改腳本,很容易出現(xiàn)錯(cuò)誤.這時(shí)候我們更傾向使用kubernetes自身的強(qiáng)大管理功能.其實(shí)kubernetes可以把docker的登陸信息做成secrets,在容器編排時(shí)顯式指定要用到的secret,kubernetes就會(huì)自動(dòng)去拉取私服上編排時(shí)指定的鏡像.大大方便我們自動(dòng)化的流程.下面我們就講解如何如何制作docker私倉拉取secrets以及如何在拉取鏡像時(shí)使用.
我們?cè)诶」珎}鏡像的時(shí)候,是不需要輸入賬戶密碼的.但是私倉往往都是要登陸以后才能拉取里面的鏡像.前面講解nexus docker私服的時(shí)候我們也講到過,所有操作的前提就是使用docker login -u 用戶名 -p 密碼 服務(wù)器首先登陸私服.我們登陸過一次后下次再次登陸其實(shí)不用指定用戶名和密碼,比如,我可以使用以下命令直接登陸:
[root@k8s-node1 ~]# docker login 192.168.124.43:8002 Authenticating with existing credentials... WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-storeLogin Succeeded [root@k8s-node1 ~]#可以看到?jīng)]有指定用戶名和密碼我們也同樣登陸了.實(shí)際上,我們首次登陸成功后,docker便把登陸信息存在了~/.docker/config.json這個(gè)文件里,我們可以看一下
[root@k8s-node1 ~]# . {"auths": {"192.168.124.43:8002": {"auth": "YWRtaW46YWRtaW4xMjM="}},"HttpHeaders": {"User-Agent": "Docker-Client/18.09.4 (linux)"} }[root@k8s-node1 ~]#基于現(xiàn)有docker登陸信息創(chuàng)建kubernetes密鑰
命令如下
kubectl create secret generic regcred \--from-file=.dockerconfigjson= ~/.docker/config.json \--type=kubernetes.io/dockerconfigjson以上方法同其它創(chuàng)建kubernetes密鑰的方法并沒有區(qū)別,這里的關(guān)鍵是.docker目錄下的config.json文件.
當(dāng)然,如果你想對(duì)生成出來的secrets有更多的控制,比如指定這個(gè)secrets的名稱空間,可以使用yml文件來聲明式創(chuàng)建.步驟與上面略有不同,如下
data字段的名稱必須設(shè)置為.dockerconfigjson
對(duì)config.json文件進(jìn)行base64編碼,然后把編碼后的內(nèi)容復(fù)制到.dockerconfigjson字段
類型設(shè)置為kubernetes.io/dockerconfigjson
示例:
apiVersion: v1 kind: Secret metadata:name: myregistrykeynamespace: awesomeapps data:.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg== type: kubernetes.io/dockerconfigjson常用報(bào)錯(cuò)解析:
error: no objects passed to create這意味著base64編碼信息無效
Secret "myregistrykey" is invalid: data[.dockerconfigjson]: invalid value ... 這意味著base64編碼成功,但是不能解碼為.docker/config.json
直接從命令行創(chuàng)建secret
上面是使用docker存儲(chǔ)的已經(jīng)登陸的信息創(chuàng)建的secret,如果沒有使用docker登陸,也可以直接通過命令行來創(chuàng)建secret,命令格式如下:
kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>下面對(duì)上面字段做簡(jiǎn)要描述:
docker私服地址
登陸名
登陸密碼
郵箱,此字段為非必填項(xiàng)
這里仍然基于前面搭建的nexus docker私倉為例:
kubectl create secret docker-registry regcred --docker-server=192.168.124.43:8002 --docker-username=admin --docker-password=admin123便可以創(chuàng)建secret了.
查看密鑰信息
可以使用以下命令查看剛創(chuàng)建的密鑰:
kubectl get secret regcred --output=yaml [centos@k8s-master trackingapi]$ kubectl get secret regcred --output=yaml apiVersion: v1 data:.dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjEyNC40Mzo4MDAyIjp7IlVzZXJuYW1lIjoiYWRtaW4iLCJQYXNzd29yZCI6ImFkbWluMTIzIiwiRW1haWwiOiIifX19 kind: Secret metadata:creationTimestamp: "2019-04-12T05:53:19Z"name: regcrednamespace: defaultresourceVersion: "3763835"selfLink: /api/v1/namespaces/default/secrets/regcreduid: 46028dd4-5ce7-11e9-bc12-0050568417a2 type: kubernetes.io/dockerconfigjson [centos@k8s-master trackingapi]$其中.dockerconfigjson字段為docker的登陸信息,我們可以通過base64解碼來查看它:
kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode [centos@k8s-master trackingapi]$ kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 --decode {"auths":{"192.168.124.43:8002":{"Username":"admin","Password":"admin123","Email":""}}}[centos@k8s-master trackingapi]$可以看到以上正信息與我們創(chuàng)建密碼時(shí)輸入的信息吻合
注 以上是我們通過命令行生成的,如果是通過config.json生成的則解碼后的信息與以上略有不同.通過config.json生成的密鑰解碼后有 個(gè)auth字段,它仍然是base64編碼形式存在的,我們需要再次對(duì)其解碼才能查看到信息
比如
[centos@k8s-master trackingapi]$ echo "YWRtaW46YWRtaW4xMjM="|base64 --decode admin:admin123 [centos@k8s-master trackingapi]$創(chuàng)建pod使用密鑰拉取私倉鏡像
編排文件示例如下:
apiVersion: v1 kind: Pod metadata:name: ubuntu-demo spec:restartPolicy: Nevercontainers:- name: u-demoimage: 192.168.124.43:8002/ubuntuimagePullPolicy: IfNotPresentcommand: ["printenv"]args: ["HOSTNAME"]imagePullSecrets:- name: regcred以上示例我們使用了預(yù)先上傳到私服里的一個(gè)ubuntu鏡像來創(chuàng)建一個(gè)pod,由于以上鏡像創(chuàng)建完成后馬上就結(jié)束了.因此我們讓打印一個(gè)環(huán)境變量信息,然后再使用log命令來查看,以證明操作是成功的.
鏡像創(chuàng)建完成以后,我們查看pod的狀態(tài)
[centos@k8s-master trackingapi]$ kubectl get po NAME READY STATUS RESTARTS AGE busybox 1/1 Running 552 23d consul-0 1/1 Running 2 28h consul-1 1/1 Running 3 28h consul-2 1/1 Running 2 28h helloworld-7fdc8d9855-ncfdz 1/1 Running 3 30d hostaliases-pod 1/1 Running 0 3h42m ubuntu-demo 0/1 Completed 0 50m可以看到pod已處于完成狀態(tài),我們使用kubectl logs來查看它是否打印了信息
[centos@k8s-master trackingapi]$ kubectl logs ubuntu-demo ubuntu-demo可以看到,輸出了host的名稱.
轉(zhuǎn)載于:https://www.cnblogs.com/tylerzhou/p/11112086.html
總結(jié)
以上是生活随笔為你收集整理的kubernetes实战篇之创建密钥自动拉取私服镜像的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [SourceInsight].SI自动
- 下一篇: 初使用swagger遇到的问题(1)