Kubernetes-通过Rancher从Harbor私有仓库拉
引言
前一篇文章详细描述了如何使用rancher搭建Kubernetes高可用集群,集群搭建好了后,我们就需要开始部署应用了,那么如何从私有镜像仓库拉取镜像呢?
原理
Harbor使用了基于角色的访问控制策略,正常情况下我们从Harbor中拉去镜像的时候,首先要配置docker daemon,配置方法可以参考这篇文章,docker daemo配置中–insecure-registry属性是来告诉docker daemo我们所使用的docker registry是可信的,这样才能从私有的docker registry中拉取镜像,然后进行身份认证,输入【docker login {harbor} -u xxx -p xxx】,如果提示登录成功,我们接下来才可以输入【docker pull】命令拉取镜像。
但是在Kubernetes中使用Harbor作为私有镜像仓库拉取镜像时使用这招就不灵了,kubernetes提供了2个对象:Secret和ServiceAccount
- Secret 用来存储敏感信息,例如密码、认证令牌和免密登录信息,把这些信息放在secret中相比放在POD的定义或Docker镜像中更安全也更灵活,可以被用来kubelet拉取镜像;
- ServiceAccount 为运行在pod中的进程提供身份信息。
配置
通过上面的描述可以看出Kubernetes通过Secret配置连接Harbor私有仓库,详细配置之前在这篇文章中介绍过,但是我们现在使用的是Rancher搭建的Kubernetes集群,会发现一个问题,现在的Kubernetes都是部署在容器内的,和之前的直接部署不一样,不过在Rancher的界面上能看到一个按钮【执行kubectl命令行】
Cluster我们点击这个按钮后就可以通过命令行创建Secret,输入如下信息
kubectl create secret docker-registry secret-name --namespace=default \
--docker-server=http://192.168.242.132 --docker-username=username \
--docker-password=password --docker-email=xxx@xxx.xxx
secret-name: secret的名称
namespace: 命名空间
docker-server: Harbor仓库地址
docker-username: Harbor仓库登录账号
docker-password: Harbor仓库登录密码
docker-email: 邮件地址
运行完就能看到创建成功的提示了,接着转到部署服务的界面,在docker镜像那里输入我们Harbor仓库中的镜像地址,点击运行,就可以看到创建成功了。