引言
前一篇文章详细描述了如何使用rancher搭建Kubernetes高可用集群,集群搭建好了后,我们就需要开始部署应用了,那么如何从私有镜像仓库拉取镜像呢?
原理
Harbor使用了基于角色的访问控制策略,正常情况下我们从Harbor中拉去镜像的时候,首先要配置docker daemon,配置方法可以参考这篇文章,docker daemo配置中–insecure-registry属性是来告诉docker daemo我们所使用的docker registry是可信的,这样才能从私有的docker registry中拉取镜像,然后进行身份认证,输入【docker login {harbor} -u xxx -p xxx】,如果提示登录成功,我们接下来才可以输入【docker pull】命令拉取镜像。
但是在Kubernetes中使用Harbor作为私有镜像仓库拉取镜像时使用这招就不灵了,kubernetes提供了2个对象:Secret和ServiceAccount
- Secret 用来存储敏感信息,例如密码、认证令牌和免密登录信息,把这些信息放在secret中相比放在POD的定义或Docker镜像中更安全也更灵活,可以被用来kubelet拉取镜像;
京公网安备 11010802041100号