【Kubernetes】镜像拉取密钥 - Docker Registry

当 K8s 遇见私有镜像仓库，如何传递访问凭证？使用 docker-registry Secret 的配置，让你的集群安全、顺畅地拉取私密镜像，一起来看看如何使用吧！

1、私有镜像仓库

当前配置了一个需要身份验证的私有镜像仓库 registry，其中包含 test/httpd 测试镜像
生产部署时可能为 Harbor 等专业的镜像仓库管理系统

2、未配置 Secret

集群环境：Kubernetes 1.35，容器运行时为 Docker

Pod 部署失败：镜像拉取异常，因为镜像仓库认证凭据缺失

bash 复制代码

kubectl apply -f test.yaml
kubectl get pod
kubectl describe pod httpd-5974c4f5f6-ps7cl

3、配置 Secret

创建 secret - > docker-registry

bash 复制代码

# 根据镜像仓库实际配置进行修改
kubectl create secret docker-registry test --docker-server=http://x.x.x.x:port --docker-username=<user> --docker-password=<password> -o yaml --dry-run=client > secret.yaml

bash 复制代码

# 也可手动修改 data，使用 base64 加密
# 此处私有镜像仓库的用户名/密码：admin/admin
echo eyJhdXRocyI6eyJodHRwOi8vMTcyLjE2LjEzLjk1OjUwMDAiOnsidXNlcm5hbWUiOiJhZG1pbiIsInBhc3N3b3JkIjoiYWRtaW4iLCJhdXRoIjoiWVdSdGFXNDZZV1J0YVc0PSJ9fX0= |base64 -d
# 返回
{"auths":{"http://172.16.13.95:5000":{"username":"admin","password":"admin","auth":"YWRtaW46YWRtaW4="}}}

echo YWRtaW46YWRtaW4= |base64 -d
# 返回
admin:admin

配置 imagePullSecrets

应用后，可正常拉取镜像

4、常见报错

报错：Failed to pull image "172.16.13.95:5000/test/httpd:2": Error response from daemon: Get "https://172.16.13.95:5000/v2/": http: server gave HTTP response to HTTPS client
原因：上方案例的镜像仓库为 HTTP，Docker 默认要求使用 HTTPS 连接仓库
解决：修改 Docker 守护进程配置后重启

bash 复制代码

# 创建或编辑 Docker 配置文件
vi /etc/docker/daemon.json

# 添加以下内容，根据实际镜像仓库地址修改
{
  "insecure-registries": [
    "172.16.13.95:5000"
  ]
}

# 重新加载配置
systemctl reload docker
# 重启 Docker 服务
systemctl restart docker
# 验证配置
docker info | grep -A 5 "Insecure Registries"