📝
kubernetes-note
  • 前言
  • Kubernetes安装
    • 安装
      • 使用minikube
        • 创建用户
      • 使用kubeadm
      • 安装监控插件
  • Kubernetes介绍
    • Kubernetes
      • 集群架构
        • etcd分布式存储
        • API服务器
        • Scheduler调度器
        • ControllerManager控制器管理器
        • kubelet
        • kube-proxy
      • 使用Kubernetes好处
      • Deployment资源部署流程案例
      • Pod中的基础容器
      • 集群底层网络
      • 高可用
  • Namespace
    • Namespace
  • Pod
    • Pod
      • 管理 Pod
      • 标签
      • 注解
      • 探针
      • 共享宿主机命名空间
      • Pod 的安全管理
        • 安全上下文
        • PodSecurityPolicy 限制 Pod 使用安全上下文中的相关特性
        • 网络安全
      • 资源管理
        • 资源申请和限制
        • QoS 优先级
        • LimitRange 校验资源申请和限制量
        • ResourceQuota 限制可用资源总量
      • init 容器
      • 生命周期钩子
  • 控制器Controllers
    • Controllers介绍
    • Controllers
      • ReplicationController
      • ReplicaSet
      • Deployment
      • DaemonSet
      • Job
      • CronJob
      • StatefulSet
  • Service
    • Service介绍
      • 内部Pod发现Service
      • HeadlessService
    • 与集群外部服务映射
    • 集群外部访问内部Pod
      • NodePort
      • LoadBalancer
      • Ingress
  • 卷
    • 卷介绍
    • 卷类型
      • emptyDir
      • gitRepo
      • hostPath
      • nfs
    • PVC-持久卷声明
      • StorageClass自动创建卷
  • ConfigMap和Secret
    • ConfigMap和Secret应用场景
    • ConfigMap
      • 配置传入ConfigMap
      • 从ConfigMap中读取配置
        • 读取为环境变量
        • 读取为文件
    • Secret
      • Secret特性
      • 默认Secret
      • Secret类型
        • generic
        • docker-registry
        • tls
  • 获取集群元数据
    • 获取集群元数据
      • 环境变量
      • downward API卷
      • 与Kubernetes API服务器交互
        • 用户通过代理与API服务器交互
        • Pod内部与API服务器交互
          • 使用默认Secret提供的验证信息
          • 使用ambassador容器
        • 通过SDK与API服务器交互
  • 认证与授权
    • 认证与授权
      • 认证机制
        • 用户与组
        • ServiceAccount
      • 授权机制
        • RBAC 插件介绍
        • Role 和 RoleBinding
        • ClusterRole 和 ClusterRoleBinding
  • 扩缩容
    • 自动伸缩 Pod 与 Node
      • 伸缩 Pod
        • 横向伸缩
        • 纵向伸缩
      • 横向伸缩 Node
  • 高级调度
    • 高级调度
      • Node 污点与 Pod 容忍度
      • Pod 中的亲缘性
        • 与 Node 的亲缘性
        • 与 Pod 的亲缘性
  • 基于 Kubernetes 的应用开发注意点
    • 基于 Kubernetes 的应用开发注意点
  • 扩展 Kubernetes
    • 扩展 Kubernetes
      • CRD 资源
      • APIService 资源
  • 命令汇总
    • 常用命令汇总
Powered by GitBook
On this page
  • 配置传入Secret
  • 使用Secret拉取镜像

Was this helpful?

  1. ConfigMap和Secret
  2. Secret
  3. Secret类型

docker-registry

docker-registry类型的Secret主要用于存储从私有镜像库中下载容器镜像所需的相关信息,而不是为了向容器中传递数据的,其中主要包括:

  1. 访问Docker私有镜像仓库所需的用户名;

  2. 访问Docker私有镜像仓库所需的密码;

  3. 访问Docker私有镜像仓库账户的Email;

  4. Docker私有镜像仓库的地址(只有当不使用docker hub时,才需要指定,如使用阿里云的镜像仓库);

这里将分作两部分讨论,第一部分是将所需信息传入docker-registry类型的Secret,即创建Secret,第二部分是Pod使用其中保存的信息从私有镜像仓库中下载容器所需镜像。

该类型的Secret的secret.type=kubernetes.io/dockerconfigjson。

配置传入Secret

数据传入Secret的过程,即创建Secret的过程,在创建时,可以将需要用来访问私有镜像仓库的信息以键/值对的形式写入Secret中。这里主要包括:访问私有镜像仓库所需的用户名、密码和Email。

创建Secret与ConfigMap同样有两种方式:

  1. 使用指令创建(优选);

  2. 使用配置文件创建;

在这里我们仅展示使用第一种方式创建Secret的方式,即使用指令创建。下面展示一个创建该类型Secret的案例:

kubectl create secret docker-registry mydockerhubsecret --docker-username=myusername --docker-password=mypassword --docker-email=my.email@provider.com --docker-server=registry.cn-hangzhou.aliyuncs.com

--docker-username:(必须)访问镜像仓库的用户名;

--docker-password:(必须)访问镜像仓库的密码;

--docker-email:(必须)访问镜像仓库的账户的Email;

--docker-server:镜像仓库不是Docker Hub时,需要另外指定,这里用的是阿里云的镜像仓库;

查看Secret中保存的数据,可以发现只有一个条目.dockerconfigjson,相当于用户主目录下的 .dockercfg 文件,该文件通常在运行docker login命令时由Docker自动创建。

使用Secret拉取镜像

Pod通过在spec.imagePullSecrets中的name指定包含了从私有镜像仓库中拉取镜像所需的信息的docker-registry类型的Secret名,进而利用该信息,从私有镜像仓库中下载容器镜像。

下面举一个例子,下载一个来自于私有镜像仓库的镜像registry.cn-hangzhou.aliyuncs.com/yangsijie666/test:latest生成容器:

apiVersion: v1
kind: Pod
metadata:
  name: private-pod
spec:
  imagePullSecrets:    # 从私有镜像仓库中拉取镜像所需的登录信息的docker-registry类型的Secret
  - name: mydockerhubsecret    # Secret名
  containers:
  - image: registry.cn-hangzhou.aliyuncs.com/yangsijie666/test:latest    # 来自于私有镜像仓库的镜像
    name: tcpdump
    command:
      - /bin/sh
PreviousgenericNexttls

Last updated 4 years ago

Was this helpful?