阿里云Kubernetes容器服务支持免密拉取私有镜像仓库-阿里云开发者社区

开发者社区> 阿里云容器服务 ACK> 正文
登录阅读全文

阿里云Kubernetes容器服务支持免密拉取私有镜像仓库

简介: 阿里云容器服务已经正式支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。

名字解释:
ACS: 阿里云容器服务,https://cs.console.aliyun.com
ACR: 阿里云容器镜像服务,https://cr.console.aliyun.com/

相信不少用户因为在使用容器服务时需要配置私有镜像的ImagePullSecrets而感到倍感繁琐,今天和大家分享的是阿里云容器服务已经支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。

如下图所示,docker pull命令失败是因为没有给私有镜像配置用户名密码,相对比的是,通过免密拉取功能,kubectl无需配置ImagePullSecrets则可直接拉取私有镜像。
image

适用要求说明

  • 仅支持免密拉取当前用户的ACR私有镜像,无法拉取其他用户的私有镜像
  • 支持跨Region拉取ACR私有镜像
  • 目前适用的集群包括:

    • 所有Serverless Kubernetes集群
    • 新创建的托管Kubernetes集群,并且版本需高于1.11.2
    • 新创建的Kubernetes集群,并且版本需高于1.11.2。对于已创建的集群,请参看下面的步骤进行手动配置。
  • 只可在default namespace下使用,暂不支持多namespace场景

手动配置已有Kuberentes集群的免密拉取功能

对于新建集群,用户无需任何配置即可使用免密拉取功能,但是对于已有Kubernetes集群,因为需要新增ram权限的授权,所以需要用户手动修改自定义授权和部署相关服务。具体过程如下。

1. 给worker节点的RAM角色添加ACR相关权限

  • 打开集群节点页面:
    image
  • 点击进入节点ECS信息页面,查看worker节点的自定义RAM角色
    image
  • 在RAM控制台找到相对应的worker的自定义ram授权策略
    image
  • 在其授权策略中添加ACR相关权限,授权容器服务可以访问ACR得到临时的token密码
    image
  • 需添加的权限如下:

    {
         "Action": [
           "cr:Get*",
           "cr:List*",
           "cr:PullRepository"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }

2. 部署aliyun-acr-credential-helper服务: 用于定时刷新ACR临时token密码

apiVersion: v1
kind: ServiceAccount
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
 ---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
     name: aliyun-acr-credential-helper-rolebinding
     namespace: kube-system
roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: cluster-admin
subjects:
     - kind: ServiceAccount
       name: aliyun-acr-credential-helper
       namespace: kube-system
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-public --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-a
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-vpc --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-b
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
apiVersion: apps/v1beta2
kind: Deployment
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
     labels:
       app: aliyun-acr-credential-helper
spec:
     replicas: 1
     selector:
       matchLabels:
         app: aliyun-acr-credential-helper
     template:
       metadata:
         labels:
           app: aliyun-acr-credential-helper
       spec:
         serviceAccount: aliyun-acr-credential-helper
         containers:
         - name: aliyun-acr-credential-helper
           image: registry.cn-shanghai.aliyuncs.com/acs/aliyun-acr-credential-helper:1.0-793003d
           imagePullPolicy: Always
         terminationGracePeriodSeconds: 0

开始体验

至此,自主集群的自动拉取私有镜像功能已经配置完成,那就使用kubectl命令或者登录控制台(https://cs.console.aliyun.com )快速试用吧。

阿里云容器服务将持续优化容器的云上使用体验,请保持关注。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
阿里云容器服务 ACK
使用钉钉扫一扫加入圈子
+ 订阅

云端最佳容器应用运行环境,安全、稳定、极致弹性

官方博客
官网链接