AI 助理
文档备案控制台
开发者社区 云原生 容器服务 文章 正文

阿里云Kubernetes容器服务支持免密拉取私有镜像仓库

2018-09-17 8412
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 阿里云容器服务已经正式支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。

名字解释:
ACS: 阿里云容器服务,https://cs.console.aliyun.com
ACR: 阿里云容器镜像服务,https://cr.console.aliyun.com/

相信不少用户因为在使用容器服务时需要配置私有镜像的ImagePullSecrets而感到倍感繁琐,今天和大家分享的是阿里云容器服务已经支持免密拉取ACR私有镜像,用户无需在kubernetes集群中为自己的ACR私有镜像配置ImagePullSecrets,拉取ACR私有镜像从未如此简单和轻松。

如下图所示,docker pull命令失败是因为没有给私有镜像配置用户名密码,相对比的是,通过免密拉取功能,kubectl无需配置ImagePullSecrets则可直接拉取私有镜像。
image

适用要求说明

  • 仅支持免密拉取当前用户的ACR私有镜像,无法拉取其他用户的私有镜像
  • 支持跨Region拉取ACR私有镜像

  • 目前适用的集群包括:

    • 所有Serverless Kubernetes集群
    • 新创建的托管Kubernetes集群,并且版本需高于1.11.2
    • 新创建的Kubernetes集群,并且版本需高于1.11.2。对于已创建的集群,请参看下面的步骤进行手动配置。
  • 只可在default namespace下使用,暂不支持多namespace场景

手动配置已有Kuberentes集群的免密拉取功能

对于新建集群,用户无需任何配置即可使用免密拉取功能,但是对于已有Kubernetes集群,因为需要新增ram权限的授权,所以需要用户手动修改自定义授权和部署相关服务。具体过程如下。

1. 给worker节点的RAM角色添加ACR相关权限

  • 打开集群节点页面:
    image
  • 点击进入节点ECS信息页面,查看worker节点的自定义RAM角色
    image
  • 在RAM控制台找到相对应的worker的自定义ram授权策略
    image
  • 在其授权策略中添加ACR相关权限,授权容器服务可以访问ACR得到临时的token密码
    image

  • 需添加的权限如下:

    {
     "Action": [
       "cr:Get*",
       "cr:List*",
       "cr:PullRepository"
     ],
     "Resource": "*",
     "Effect": "Allow"
   }

2. 部署aliyun-acr-credential-helper服务: 用于定时刷新ACR临时token密码

apiVersion: v1
kind: ServiceAccount
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
 ---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
     name: aliyun-acr-credential-helper-rolebinding
     namespace: kube-system
roleRef:
     apiGroup: rbac.authorization.k8s.io
     kind: ClusterRole
     name: cluster-admin
subjects:
     - kind: ServiceAccount
       name: aliyun-acr-credential-helper
       namespace: kube-system
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-public --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-a
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
 #kubectl create secret docker-registry acr-image-pull-secret-vpc --docker-server=cr-tmp-xxx --docker-username=cr-temp-xxx --docker-password=cr-temp-xxx --docker-email=cr-temp-xxx
apiVersion: v1
data:
     .dockerconfigjson: eyJhdXRocyI6eyJjci10bXAteHh4Ijp7InVzZXJuYW1lIjoiY3ItdGVtcC14eHgiLCJwYXNzd29yZCI6ImNyLXRlbXAteHh4IiwiZW1haWwiOiJjci10ZW1wLXh4eCIsImF1dGgiOiJZM0l0ZEdWdGNDMTRlSGc2WTNJdGRHVnRjQzE0ZUhnPSJ9fX0=
kind: Secret
metadata:
     name: aliyun-acr-credential-b
     namespace: default
type: kubernetes.io/dockerconfigjson
 ---
apiVersion: apps/v1beta2
kind: Deployment
metadata:
     name: aliyun-acr-credential-helper
     namespace: kube-system
     labels:
       app: aliyun-acr-credential-helper
spec:
     replicas: 1
     selector:
       matchLabels:
         app: aliyun-acr-credential-helper
     template:
       metadata:
         labels:
           app: aliyun-acr-credential-helper
       spec:
         serviceAccount: aliyun-acr-credential-helper
         containers:
         - name: aliyun-acr-credential-helper
           image: registry.cn-shanghai.aliyuncs.com/acs/aliyun-acr-credential-helper:1.0-793003d
           imagePullPolicy: Always
         terminationGracePeriodSeconds: 0

开始体验

至此,自主集群的自动拉取私有镜像功能已经配置完成,那就使用kubectl命令或者登录控制台(https://cs.console.aliyun.com )快速试用吧。

阿里云容器服务将持续优化容器的云上使用体验,请保持关注。

文章标签:
容器镜像服务
容器计算服务
容器服务Kubernetes版
容器
Kubernetes
数据安全/隐私保护
关键词:
容器服务Kubernetes版容器
容器服务Kubernetes版kubernetes
阿里云kubernetes容器
阿里云kubernetes容器服务Kubernetes版
容器服务Kubernetes版镜像仓库
相关实践学习
Docker镜像管理快速入门
本教程将介绍如何使用Docker构建镜像,并通过阿里云镜像服务分发到ECS服务器,运行该镜像。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
贤维
目录
相关文章
啦啦啦191
|
5月前
|
Kubernetes Docker Python
Docker 与 Kubernetes 容器化部署核心技术及企业级应用实践全方案解析
本文详解Docker与Kubernetes容器化技术,涵盖概念原理、环境搭建、镜像构建、应用部署及监控扩展,助你掌握企业级容器化方案,提升应用开发与运维效率。
啦啦啦191
929 108
南瓜佬
|
4月前
|
存储 Kubernetes 网络安全
关于阿里云 Kubernetes 容器服务(ACK)添加镜像仓库的快速说明
本文介绍了在中国大陆地区因网络限制无法正常拉取 Docker 镜像的解决方案。作者所在的阿里云 Kubernetes 集群使用的是较旧版本的 containerd(1.2x),且无法直接通过 SSH 修改节点配置,因此采用了一种无需更改 Kubernetes 配置文件的方法。通过为 `docker.io` 添加 containerd 的镜像源,并使用脚本自动修改 containerd 配置文件中的路径错误(将错误的 `cert.d` 改为 `certs.d`),最终实现了通过多个镜像站点拉取镜像。作者还提供了一个可重复运行的脚本,用于动态配置镜像源。虽然该方案能缓解镜像拉取问题,
南瓜佬
533 3
南瓜佬
|
4月前
|
Kubernetes Devops Docker
Kubernetes 和 Docker Swarm:现代 DevOps 的理想容器编排工具
本指南深入解析 Kubernetes 与 Docker Swarm 两大主流容器编排工具,涵盖安装、架构、网络、监控等核心维度,助您根据团队能力与业务需求精准选型,把握云原生时代的技术主动权。
南瓜佬
364 1
阿里云基础设施.
|
10月前
|
存储 运维 Kubernetes
容器数据保护:基于容器服务 Kubernetes 版(ACK)备份中心实现K8s存储卷一键备份与恢复
阿里云ACK备份中心提供一站式容器化业务灾备及迁移方案,减少数据丢失风险,确保业务稳定运行。
阿里云基础设施.
417 0
八进智
|
3月前
|
人工智能 算法 调度
阿里云ACK托管集群Pro版共享GPU调度操作指南
本文介绍在阿里云ACK托管集群Pro版中,如何通过共享GPU调度实现显存与算力的精细化分配,涵盖前提条件、使用限制、节点池配置及任务部署全流程,提升GPU资源利用率,适用于AI训练与推理场景。
八进智
359 1
探索云世界
|
3月前
|
弹性计算 监控 调度
ACK One 注册集群云端节点池升级:IDC 集群一键接入云端 GPU 算力,接入效率提升 80%
ACK One注册集群节点池实现“一键接入”,免去手动编写脚本与GPU驱动安装,支持自动扩缩容与多场景调度,大幅提升K8s集群管理效率。
探索云世界
275 89
容器小师妹
|
8月前
|
资源调度 Kubernetes 调度
从单集群到多集群的快速无损转型:ACK One 多集群应用分发
ACK One 的多集群应用分发,可以最小成本地结合您已有的单集群 CD 系统,无需对原先应用资源 YAML 进行修改,即可快速构建成多集群的 CD 系统,并同时获得强大的多集群资源调度和分发的能力。
容器小师妹
352 9
阿里云云原生
|
8月前
|
资源调度 Kubernetes 调度
从单集群到多集群的快速无损转型:ACK One 多集群应用分发
本文介绍如何利用阿里云的分布式云容器平台ACK One的多集群应用分发功能,结合云效CD能力,快速将单集群CD系统升级为多集群CD系统。通过增加分发策略(PropagationPolicy)和差异化策略(OverridePolicy),并修改单集群kubeconfig为舰队kubeconfig,可实现无损改造。该方案具备多地域多集群智能资源调度、重调度及故障迁移等能力,帮助用户提升业务效率与可靠性。
阿里云云原生
363 8
云原生

容器服务

热门文章

最新文章

  • 1
    Docker CE 镜像源站
  • 2
    Minikube - Kubernetes本地实验环境
  • 3
    Docker的Windows容器初体验
  • 4
    Docker学习路线图 (持续更新中)
  • 5
    当 Kubernetes 遇到阿里云
  • 6
    基于Docker容器的,Jenkins、GitLab构建持续集成CI
  • 7
    谈谈 Docker Volume 之权限管理(一)
  • 8
    容器镜像服务 Docker镜像的基本使用
  • 9
    使用阿里云容器服务Jenkins 2.0实现持续集成之Pipeline篇(updated on 2016.12.23)
  • 10
    利用Helm简化Kubernetes应用部署
  • 1
    使用 ASM Hash Tagging 插件进行按比例灰度发布
    139
  • 2
    【k8s-1.34.2安装部署】九.k8s管理平台xkube安装部署
    149
  • 3
    【k8s-1.34.2安装部署】八.metric-server-0.8.0安装
    190
  • 4
    【k8s-1.34.2安装部署】七.coredns-v1.13.1安装
    125
  • 5
    【k8s-1.34.2安装部署】六.企业级部署cilium-1.18.4网络插件
    503
  • 6
    【k8s-1.34.2安装部署】五.worker端containerd2.2.1、kubelet-1.34.2安装
    156
  • 7
    【k8s-1.34.2安装部署】四.kubernets master组件kube-apiserver,kube-controller-manager,kube-scheduler安装
    134
  • 8
    kubernetes-1.34.2 二级制快速安装部署
    279
  • 9
    【k8s-1.34.2安装部署】三.etcd-v3.6.6 TLS版集群安装
    164
  • 10
    【k8s-1.34.2安装部署】一.系统初始化及k8s集群规划
    344

    • 相关产品

  • 容器镜像服务
    文档详情 产品详情
  • 容器计算服务
    文档详情 产品详情
  • 容器服务Kubernetes版
    文档详情 产品详情

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 推荐镜像

    更多
  • kubernetes
    • 下一篇
    基于JAVA的高校宿舍管理系统的设计与实现(论文+源码)_kaic