开发者社区> 贤维> 正文

阿里云Kubernetes容器服务支持免密拉取私有镜像仓库

简介: 阿里云容器服务已经正式支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。
+关注继续查看

名字解释:
ACS: 阿里云容器服务,https://cs.console.aliyun.com
ACR: 阿里云容器镜像服务,https://cr.console.aliyun.com/

相信不少用户因为在使用容器服务时需要配置私有镜像的ImagePullSecrets而感到倍感繁琐,今天和大家分享的是阿里云容器服务已经支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。

如下图所示,docker pull命令失败是因为没有给私有镜像配置用户名密码,相对比的是,通过免密拉取功能,kubectl无需配置ImagePullSecrets则可直接拉取私有镜像。
image

适用要求说明

  • 仅支持免密拉取当前用户的ACR私有镜像,无法拉取其他用户的私有镜像
  • 支持跨Region拉取ACR私有镜像
  • 目前适用的集群包括:

    • 所有Serverless Kubernetes集群
    • 新创建的托管Kubernetes集群,并且版本需高于1.11.2
    • 新创建的Kubernetes集群,并且版本需高于1.11.2。对于已创建的集群,请参看下面的步骤进行手动配置。
  • 只可在default namespace下使用,暂不支持多namespace场景

手动配置已有Kuberentes集群的免密拉取功能

对于新建集群,用户无需任何配置即可使用免密拉取功能,但是对于已有Kubernetes集群,因为需要新增ram权限的授权,所以需要用户手动修改自定义授权和部署相关服务。具体过程如下。

1. 给worker节点的RAM角色添加ACR相关权限

  • 打开集群节点页面:
    image
  • 点击进入节点ECS信息页面,查看worker节点的自定义RAM角色
    image
  • 在RAM控制台找到相对应的worker的自定义ram授权策略
    image
  • 在其授权策略中添加ACR相关权限,授权容器服务可以访问ACR得到临时的token密码
    image
  • 需添加的权限如下:

    {
         "Action": [
           "cr:Get*",
           "cr:List*",
           "cr:PullRepository"
         ],
         "Resource": "*",
         "Effect": "Allow"
       }

2. 部署aliyun-acr-credential-helper服务: 用于定时刷新ACR临时token密码

apiVersion: v1
kind: ServiceAccount
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
 ---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
     name: aliyun-acr-credential-helper-rolebinding
     namespace: kube-system
roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: cluster-admin
subjects:
     - kind: ServiceAccount
       name: aliyun-acr-credential-helper
       namespace: kube-system
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-public --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-a
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-vpc --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-b
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
apiVersion: apps/v1beta2
kind: Deployment
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
     labels:
       app: aliyun-acr-credential-helper
spec:
     replicas: 1
     selector:
       matchLabels:
         app: aliyun-acr-credential-helper
     template:
       metadata:
         labels:
           app: aliyun-acr-credential-helper
       spec:
         serviceAccount: aliyun-acr-credential-helper
         containers:
         - name: aliyun-acr-credential-helper
           image: registry.cn-shanghai.aliyuncs.com/acs/aliyun-acr-credential-helper:1.0-793003d
           imagePullPolicy: Always
         terminationGracePeriodSeconds: 0

开始体验

至此,自主集群的自动拉取私有镜像功能已经配置完成,那就使用kubectl命令或者登录控制台(https://cs.console.aliyun.com )快速试用吧。

阿里云容器服务将持续优化容器的云上使用体验,请保持关注。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
容器服务-Kubernetes知识图谱
1. 概述  容器服务 kubernetes知识图谱,部分内容参考网上一知识图谱,更加结合阿里云容器服务。https://www.processon.com/view/link/5ac64532e4b00dc8a02f05eb#map 2.
2027 0
阿里云轻量应用服务器镜像列表大全
阿里云轻量应用服务器镜像列表汇总,为什么买前必看?因为如果没有用户想要的镜像,就真的没有了,轻量应用服务器相对于ECS云服务器来讲,镜像真的少了很多,云服务器吧分享: 随着时间推移,轻量支持的镜像可能会有变化,关于轻量的常见问题参考:轻量应用服务器常见问题 - 阿里云,建议大家移步官方文档,一般来讲,用户遇到的问题文档中都有解答。
3752 0
如何将数据仓库从 AWS Redshift 迁移到阿里云 AnalyticDB for PostgreSQL
阿里云AnalyticDB for PosgreSQL与 AWS Redshift 均为采用PosgreSQL内核的MPP架构数据仓库服务,语法高度兼容一致。本文介绍两者的差异比较,以及如何从AWS Redshift迁移应用和数据到阿里云 ADB for PG。
3812 0
阿里云服务器上利用IIS部署.net网站(windows server2012r2系统)
本文介绍了在在一台新的阿里云服务器(windows server2012r系统)上,利用IIS发布net网站的教程,分享给大家。(还有代金券礼包领取,希望大家有所帮助)具体如下: 1.添加站点(1)创建连接池 (2)添加网站 添加网站这里,需要注意上图中这个画框的这个位置,ip地址这里,不要填 服务器的 公有ip地址 ,而是直接按照默认的写 全部未分配 ,端口这里,服务器的默认端口只有 80 。
4096 0
CICD联动阿里云容器服务Kubernetes实践之CodePipeline篇
通过CodePipeline可以构建您的代码工作流模板,配置从应用编译到容器镜像构建和推送,再到Kubernetes应用的发布,打通代码应用发布全过程自动化。
3453 0
喜报!阿里云自研云原生数据仓库AnalyticDB获颁浙江省科学技术奖成果产业化奖励
2021年4月28日,杭州市制造业高质量发展大会召开,并公布《2020年全市制造业高质量发展重点奖项目录》。阿里云自研云原生数据仓库AnalyticDB因曾荣获2019年浙江省科技进步一等奖,再次入选科技创新类省级科学技术奖成果产业化项目。
949 0
+关注
贤维
阿里云高级技术专家,关注Serverless Kubernetes,Docker,微服务、云计算等领域。
19
文章
0
问答
来源圈子
更多
容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级 Kubernetes 容器化应用的全生命周期管理。容器服务 Kubernetes 版简化集群的搭建和扩容等工作,整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳的 Kubernetes 容器化应用运行环境。
+ 订阅
相关文档: 容器镜像服务 ACR 容器服务 ACK 服务网格 ASM
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载