kubernetes之基于ServiceAccount拉取私有镜像
前面可以通过ImagPullPolicy和ImageullSecrets指定下载镜像的策略,ServiceAccount也可以基于spec.imagePullSecret字段附带一个由下载镜像专用的Secret资源组成的列表,用于在容器创建时,从某个私有镜像仓库下载镜像文件之前的服务认证。 1.创建Secrets资源
这里根据自己的实际去定义即可;一定要是对方的地址和认证信息;否则无法pull/push root@ks-master01-10:~# kubectl create secret docker-registry > aliyun-haitang-registry > --docker-server=registry.cn-hangzhou.aliyuncs.com > --docker-username=xxxxxxx > --docker-password=xxxxxx secret/aliyun-haitang-registry created1.1查看Secretsroot@ks-master01-10:~# kubectl describe secret aliyun-haitang Name: aliyun-haitang Namespace: default Labels: Annotations: Type: kubernetes.io/dockerconfigjson Data ==== .dockerconfigjson: 140 bytes2.创建ServiceAccount2.1不设置任何策略,测试是否能拉取私有仓库镜像
此处不配置任何镜像拉取策略,测试是否能拉取私有仓库镜像; root@ks-master01-10:~# cat pod-serviceaccount-secret.yaml apiVersion: v1 kind: Pod metadata: name: stree-serviceaccount spec: containers: - name: stree image: registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest2.2查看Pod,处于ErrImageroot@ks-master01-10:~# kubectl get pods NAME READY STATUS RESTARTS AGE stree-serviceaccount 0/1 ErrImagePull 0 8s2.3describe查看Events
可以看到事件,是Docker认证的问题; root@ks-master01-10:~# kubectl describe pods stree-serviceaccount Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal Scheduled 20s default-scheduler Successfully assigned default/stree-serviceaccount to ks-node02-12 Normal BackOff 17s kubelet Back-off pulling image "registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest" Warning Failed 17s kubelet Error: ImagePullBackOff Normal Pulling 2s (x2 over 19s) kubelet Pulling image "registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest" Warning Failed 2s (x2 over 18s) kubelet Failed to pull image "registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest": rpc error: code = Unknown desc = Error response from daemon: pull access denied for registry.cn-hangzhou.aliyuncs.com/lengyuye/stress, repository does not exist or may require "docker login": denied: requested access to the resource is denied Warning Failed 2s (x2 over 18s) kubelet Error: ErrImagePull2.4创建ServiceAccount
aliyun-haitang是docker-registry类型的Secrets对象,由用户提前手动创建,它可以通过键值数据提供docker仓库服务器的地址,接入服务器的用户名,密码及用户的电子邮件信息等,认证通过后,引用ServiceAccount的Pod资源即可从指定的镜像仓库下载image。 root@ks-master01-10:~# cat serviceaccount-imagepullsecret.yaml apiVersion: v1 kind: ServiceAccount metadata: name: imagepull-aliyun-sa imagePullSecrets: - name: aliyun-haitang root@ks-master01-10:~# kubectl apply -f serviceaccount-imagepullsecret.yaml serviceaccount/imagepull-aliyun-sa created2.5查看SAroot@ks-master01-10:~# kubectl get sa imagepull-aliyun-sa -o yaml apiVersion: v1 imagePullSecrets: - name: aliyun-haitang kind: ServiceAccount metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"v1","imagePullSecrets":[{"name":"aliyun-haitang"}],"kind":"ServiceAccount","metadata":{"annotations":{},"name":"imagepull-aliyun-sa","namespace":"default"}} creationTimestamp: "2022-09-07T02:31:05Z" name: imagepull-aliyun-sa namespace: default resourceVersion: "226300" uid: fabc93b1-572c-4703-a2dd-465d4e0915cb secrets: - name: imagepull-aliyun-sa-token-vf67z2.6Pod引用ServiceAccountroot@ks-master01-10:~# cat pod-serviceaccount-secret.yaml apiVersion: v1 kind: Pod metadata: name: stree-serviceaccount spec: serviceAccount: imagepull-aliyun-sa # 这里则是创建的sa的名称 containers: - name: stree image: registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest root@ks-master01-10:~/rbac# kubectl apply -f pod-serviceaccount-secret.yaml pod/stree-serviceaccount created3.创建Pod测试;3.1查看Podroot@ks-master01-10:~# kubectl get pods NAME READY STATUS RESTARTS AGE stree-serviceaccount 1/1 Running 0 8s3.2describe查看事件root@ks-master01-10:~# kubectl describe pods stree-serviceaccount Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal Scheduled 3m36s default-scheduler Successfully assigned default/stree-serviceaccount to ks-node02-12 Normal Pulling 3m35s kubelet Pulling image "registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest" Normal Pulled 3m33s kubelet Successfully pulled image "registry.cn-hangzhou.aliyuncs.com/lengyuye/stress:latest" in 1.729555429s Normal Created 3m33s kubelet Created container stree Normal Started 3m33s kubelet Started container stree3.3查看详细信息root@ks-master01-10:~# kubectl get pods stree-serviceaccount -o yaml imagePullSecrets: - name: aliyun-haitang nodeName: ks-node02-12 preemptionPolicy: PreemptLowerPriority priority: 0 restartPolicy: Always schedulerName: default-scheduler securityContext: {} serviceAccount: imagepull-aliyun-sa serviceAccountName: imagepull-aliyun-sa
20221119日更翻译Problemmotivationisnoteasy(andsometimesnearlyimpossible)tocultivateondemand。Looknofurthert如果重返二十岁,有一个一夜成名的机会,你要不要?各位友友大家好,我是阿春。今天我躺在床上百无聊赖,有个想法蹿到了我的脑子里,突然想到这么一个问题,如果能让你重返二十岁,有一个成名的机会,你要不要?长这么大是不是有很多不可多得的机浙江省第十七届运动会开幕观众直呼难忘今宵一束光打在舞台,照亮了陈望道的柴房。董易鑫摄中新网金华11月19日电(记者董易鑫)全场暗下来,一束光打在舞台,照亮了陈望道的柴房这是真理的味道特别甜的故事,缘于浙江金华。18日晚,中国保存最完好的县衙之一,用两把大铁锤,防止犯人逃跑我们国家的历史上,有很多的古建筑,这些建筑也是最好的研究材料,比如故宫,它在北京六百多年了,至今还让人瞻仰它的雄伟,参观故宫的游客,都会赞叹它的雄伟。那么,你可听说过平遥县署吗?这法院三连号,苏宁易购上海公司被申请破产清算刚刚,上海市第三中级人民法院公布企业破产审查案件信息,其中苏宁易购上海两家公司上了名单,分别是上海宝山苏宁易购商业管理有限公司和上海苏宁易购商业管理发展有限公司。案号分别是(202爆冷淘汰中超劲旅,这支县级球队啥来头?甘肃泾川文汇是过去两天中国足坛热度最高的名词这支来自第四级联赛中冠的县级球队在2022中国足协杯第二轮比赛中点球大战淘汰曾四夺足协杯冠军的中超劲旅北京国安创造了近年来足协杯最大冷门11月19日决赛之夜,王艺迪首发战早田希娜,铜牌战水落石出2022年乒乓球亚洲杯赛事在泰国曼谷进行,这次的主办方确实有些不懂球一样,赛程的安排让人无语,18决赛从下午开始,一直进行到凌晨,这对于运动员的消耗很大,而决赛的赛程更是让人难以理61!进攻狂人打爆世界冠军,英锦赛新纪录诞生,丁俊晖赛程出炉北京时间11月19日凌晨,2022年斯诺克英锦赛继续进行,在一场14决赛争夺中,进攻狂人利索夫斯基打爆了世界冠军墨菲,一场悬殊的61!利索夫斯基昂首挺进4强,墨菲黯然出局,从职业生哈姆谈浓眉禁区出手增多AD曾在白板上写下要求新赛季把球给他直播吧11月19日讯湖人将在今天上午1130迎战活塞。赛前哈姆接受了采访。当谈到本赛季浓眉在禁区的出手增多时,哈姆打趣道这很有趣,因为在本赛季开打之前浓眉就来到我的办公室,在我的小极限补强!湖人欲签24岁3510超级悍将,3分超准和老詹浓眉绝配北京时间11月19日消息,本赛季NBA已经已经打了一段时间,湖人队目前以3胜10负的战绩排在西部第14的位置,球队距离西部第10的森林狼有3个胜差,距离西部第1的开拓者有6个胜差,湖人喜夺两连胜!浓眉3816无解,4大奇兵杀出两人命中率100北京时间11月19日,湖人主场126比121击败活塞取得两连胜,浓眉哥延续了火爆表现,得到38分16篮板4盖帽。这场比赛詹姆斯继续缺阵,但是浓眉哥和威少表现出色,威少得到10分5篮