当 K8s 遇见私有镜像仓库,如何传递访问凭证?使用 docker-registry Secret 的配置,让你的集群安全、顺畅地拉取私密镜像,一起来看看如何使用吧!
1、私有镜像仓库
- 当前配置了一个需要身份验证的私有镜像仓库 registry,其中包含 test/httpd 测试镜像
- 生产部署时可能为 Harbor 等专业的镜像仓库管理系统
2、未配置 Secret
- 集群环境:Kubernetes 1.35,容器运行时为 Docker
- Pod 部署失败:镜像拉取异常,因为镜像仓库认证凭据缺失
bash
kubectl apply -f test.yaml
kubectl get pod
kubectl describe pod httpd-5974c4f5f6-ps7cl
3、配置 Secret
- 创建 secret - > docker-registry
bash
# 根据镜像仓库实际配置进行修改
kubectl create secret docker-registry test --docker-server=http://x.x.x.x:port --docker-username=<user> --docker-password=<password> -o yaml --dry-run=client > secret.yaml
bash
# 也可手动修改 data,使用 base64 加密
# 此处私有镜像仓库的用户名/密码:admin/admin
echo eyJhdXRocyI6eyJodHRwOi8vMTcyLjE2LjEzLjk1OjUwMDAiOnsidXNlcm5hbWUiOiJhZG1pbiIsInBhc3N3b3JkIjoiYWRtaW4iLCJhdXRoIjoiWVdSdGFXNDZZV1J0YVc0PSJ9fX0= |base64 -d
# 返回
{"auths":{"http://172.16.13.95:5000":{"username":"admin","password":"admin","auth":"YWRtaW46YWRtaW4="}}}
echo YWRtaW46YWRtaW4= |base64 -d
# 返回
admin:admin
- 配置 imagePullSecrets
- 应用后,可正常拉取镜像
4、常见报错
-
报错:Failed to pull image "172.16.13.95:5000/test/httpd:2": Error response from daemon: Get "https://172.16.13.95:5000/v2/": http: server gave HTTP response to HTTPS client
-
原因:上方案例的镜像仓库为 HTTP,Docker 默认要求使用 HTTPS 连接仓库
-
解决:修改 Docker 守护进程配置后重启
bash
# 创建或编辑 Docker 配置文件
vi /etc/docker/daemon.json
# 添加以下内容,根据实际镜像仓库地址修改
{
"insecure-registries": [
"172.16.13.95:5000"
]
}
# 重新加载配置
systemctl reload docker
# 重启 Docker 服务
systemctl restart docker
# 验证配置
docker info | grep -A 5 "Insecure Registries"