关于java:k8s-配置-Secret-集成Harbor

45次阅读

共计 4077 个字符,预计需要花费 11 分钟才能阅读完成。

本篇次要 记录一下 在 k8s 中如果想要 从 harbor 拉取镜像 该怎么操作,以及介绍了一下 k8s 中 Secret 是什么

1.Secret 是什么

1.1 Secret 概述

Secret 是一种蕴含大量 敏感信息例如明码 令牌或密钥 的对象。这样的信息可能会被放在 Pod 规约中或者镜像中。应用 Secret 意味着你不须要在利用程序代码中蕴含秘密数据。

因为创立 Secret 能够独立于应用它们的 Pod,因而在创立、查看和编辑 Pod 的工作流程中裸露 Secret(及其数据)的危险较小。Kubernetes 和在集群中运行的应用程序也能够对 Secret 采取额定的预防措施,例如防止将秘密数据写入非易失性存储。

Secret 相似于 ConfigMap 但专门用于保留秘密数据。

说白了就是用于保留 重要的明码等信息

Pod 能够用三种形式之一来应用 Secret:

  • 作为挂载到一个或多个容器上的卷 中的文件。
  • 作为容器的环境变量。
  • 由 kubelet 在为 Pod 拉取镜像时应用。

本篇次要说一下 在 Pod 拉取镜像时 如何应用

1.2 Secret 的类型

创立 Secret 时,你能够应用 Secret 资源的 type 字段,或者与其等价的 kubectl 命令行参数(如果有的话)为其设置类型。Secret 类型有助于对 Secret 数据进行编程解决。

Kubernetes 提供若干种内置的类型,用于一些常见的应用场景。针对这些类型,Kubernetes 所执行的合法性检查操作以及对其所施行的限度各不相同。

内置类型 用法
Opaque 用户定义的任意数据
kubernetes.io/service-account-token 服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg 文件的序列化模式
kubernetes.io/dockerconfigjson ~/.docker/config.json 文件的序列化模式
kubernetes.io/basic-auth 用于根本身份认证的凭据
kubernetes.io/ssh-auth 用于 SSH 身份认证的凭据
kubernetes.io/tls 用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token 启动疏导令牌数据

本篇次要波及 kubernetes.io/dockerconfigjson 用于 Pod 拉取镜像应用的 Secret

2.Docker pull 概述

咱们都晓得 docker pull 镜像之前的时候 其实是须要 docker login 进行登录的,如下:

当我去拉取 harbor 的时候,提醒 没有进行认证

当咱们 docker login 后 明码就被加密存储在 ~/.docker/config.json 中

~/.docker/config.json 文件内容如下:

{
  "auths":{
    "harbor.demo.com:5667":
           {
            "username":"admin",
            "password":"Harbor12345",
            "auth":"YWRtaW46SGFyYm9yMTIzNDU="
           }
       }
}

那咱们思考,如果让 k8s 去拉取这个 harbor 上的镜像的时候,它必定也要去认证,让咱们来试一下吧 不认证的状况

3. 编写部署 文件(未配置 Secret)

指定镜像拉取地址是 harbor,镜像还是 后面创立的 springboot 简略镜像

apiVersion: apps/v1
kind: Deployment
metadata:
  name: pull-harbor-web-demo
spec:
  selector:
    matchLabels:
      app: pull-harbor-web-demo
  template:
    metadata:
      labels:
        app: pull-harbor-web-demo
    spec:
      containers:
      - name: boot-demo
        image: harbor.demo.com:5667/k8s-project/boot-k8s-demo:v2 #指定从 harbor 拉取镜像 
        ports:
        - containerPort: 8081

---

apiVersion: v1
kind: Service
metadata:
  name: pull-harbor-web-demo
spec:
  selector:
    app: pull-harbor-web-demo
  ports:
  - port: 8081
    name: boot-demo
    targetPort: 8081
  type: NodePort

4. 部署服务(未认证,失败)

kubectl apply -f deploy-many-container_test.yaml

kubectl get pods #能够看到 pod 状态是 ImagePullBackOff

kubectl describe pods name  | grep Failed #能够查看到具体信息

能够看到,在没有配置 secret 的时候,k8s 调度起 pod,因为拉取不到对应的镜像

5. 创立 Secret

5.1 文件的形式 创立 Secret(kubernetes.io/dockerconfigjson)

你能够应用上面两种 type 值之一来创立 Secret,用以寄存拜访 Docker 仓库 来下载镜像的凭据。

  • kubernetes.io/dockercfg 老旧类型 不开展说
  • kubernetes.io/dockerconfigjson

类型 kubernetes.io/dockerconfigjson 被设计用来保留 JSON 数据的序列化模式,该 JSON 也听从 ~/.docker/config.json 文件的格局规定,是 ~/.dockercfg 的新版本格局。应用此 Secret 类型时,Secret 对象的 data 字段必须蕴含 .dockerconfigjson 键,其键值为 base64 编码的字符串蕴含 ~/.docker/config.json 文件的内容。

上面是一个 kubernetes.io/dockercfg 类型 Secret 的示例:

apiVersion: v1
kind: Secret
metadata:
  name: secret-dockercfg
type: kubernetes.io/dockerconfigjson #指定类型 应用新版本的 
data:
  .dockerconfigjson: |
        "<base64 encoded ~/.docker/config.json file>"

5.2 命令的形式 创立 Secret(kubernetes.io/dockerconfigjson)

kubectl create secret docker-registry loginharbor \
  --docker-email=tiger@acme.example \ #能够不填写
  --docker-username=admin \
  --docker-password=Harbor12345 \ 
  --docker-server=harbor.demo.com:5667 #harbor 的 地址 要加端口的
  • kubectl create secret docker-registry 固定局部
  • loginharbor 自定义的 secret 的名称
  • 指定 username password
  • 指定 镜像仓库地址
kubectl get secret loginharbor -o yaml #查看 主动生成的 secret 文件信息

tips:留神它不会在 master 节点上保留 这个 ~/.docker/config.json,而是把 secret 文件信息保留到 etcd 存储外面,后续下发到对应的 pod 援用的 node 节点上

通过下面的形容:.dockerconfigjson 其键值为 base64 编码的字符串蕴含 ~/.docker/config.json 文件的内容, 那咱们尝试用 base64 解密一下 看看内容是什么

echo "eyJhdXRocyI6eyJoYXJib3IuZGVtby5jb206NTY2NyI6eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiJIYXJib3IxMjM0NSIsImF1dGgiOiJZV1J0YVc0NlNHRnlZbTl5TVRJek5EVT0ifX19" | base64 -d  #解密 base64 

能够看到 内容就是

6. 批改部署 文件(配置 Secret)

6.1 Pod 配置 Secret

如果你尝试从公有仓库拉取容器镜像,你须要一种形式让每个节点上的 kubelet 可能实现与镜像库的身份认证。你能够配置 镜像拉取 Secret 来实现这点。Secret 是在 Pod 层面来配置的。

Pod 的 imagePullSecrets 字段是一个对 Pod 所在的名字空间中的 Secret 的援用列表。你能够应用 imagePullSecrets 来将镜像仓库拜访凭据传递给 kubelet。kubelet 应用这个信息来替你的 Pod 拉取公有镜像。

6.2 ServiceAccount 援用 Secret

你能够手动创立 imagePullSecret,并在一个 ServiceAccount 中援用它。对应用该 ServiceAccount 创立的所有 Pod,或者默认应用该 ServiceAccount 创立的 Pod 而言,其 imagePullSecrets 字段都会设置为该服务账号。请

上面 简略点 抉择第一种 形式,对下面的 部署文件进行批改,增加 imagePullSecrets

6.3 批改部署文件 增加 imagePullSecrets

7. 再次部署服务(认证,胜利)

kubectl delete -f deploy-many-container_test.yaml

kubectl apply -f deploy-many-container_test.yaml

kubectl describe pods  name  #查看 pods 详情

8. 测试拜访

轻易拜访集群的任何节点,因为下面的 Service type = NodePort

总结

本篇次要介绍了 k8s 中的 Secret,以及应用它的 kubernetes.io/dockerconfigjson 类型测试 集成 Pod 拉取 Harbor 镜像仓库,Secret 还是蛮简略的 官网撸一遍 即可实操作

欢送大家拜访 集体博客 Johnny 小屋

正文完
 0