我是靠谱客的博主 魁梧人生,最近开发中收集的这篇文章主要介绍k8s的pod出现ImagePullBackOff(解决拉取私有镜像的权限问题),觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

出现的情况:ImagePullBackOff

当大家部署deployment的时候,如果拉取的是私有仓库一般会先登录上去拉取镜像。但是有时候当某个节点资源紧张,或者是节点故障等原因,pod发生迁移的时候,会重新拉取镜像。这时候如果你的k8s是多个私有镜像账号混用等情况导致的登录状态失效,会导致ImagePullBackOff的错误。

查看kubectl describe pod …

Failed create pod sandbox: rpc error: code = Unknown desc = failed pulling image ...
Error response from daemon: pull access denied for ...
repository does not exist or may require 'docker login'

这就是因为没有正确配置pull权限所致。

~/.docker/config.json无效
首先,不要寄望于~/.docker/config.json。与Docker Swarm不同,Kubernetes不会使用这里的配置来pull。

当然,用docker login测试过账户、密码、Registry、镜像均无误后,再走下一步,是更好的选择。

使用imagePullSecrets

通过创建docker-registry类的secrets,可以实现类似docker login的功能。

kubectl create secret docker-registry SECRETNAME 
    --docker-server= 
    --docker-username= 
    --docker-password= 
    --docker-email= 
    -n NAMESPACE

其中,server、username和password都是必填项,email可以不填。注意秘钥也是有命名空间的。

在使用时,把imagePullSecrets添加到Pod配置中。

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: your-private-image
  imagePullSecrets:
  - name: SECRETNAME

其中,SECRETNAME为secrets名称,可随意指定。

注意Namespace

即使创建了secrets、配置了imagePullSecrets,如果命名空间配置的不对,有时仍然无法pull镜像。

通过以下命令可以查看特定secrets的详细信息。

# kubectl get secret regcred -o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJodHRwOi8vaGFyYm9yLnR1cmluZy1jaS5oaXNpbGljb24uY29tIjp7IlVzZXJuYW1lIjoiY2hyaXN0b3BoZXIiLCJQYXNzd29yZCI6IlFpZGRZYWZkQmF2YTYjIiwiRW1haWwiOiJ5MDA0NDU0ODBAbm90ZXNtYWlsLmh1YXdlaS5jb20ifX19
kind: Secret
metadata:
  creationTimestamp: "2019-01-10T08:51:03Z"
  name: regcred
namespace: default
  resourceVersion: "100110"
  selfLink: /api/v1/namespaces/default/secrets/regcred
  uid: dc96580b-14b4-11e9-9f81-e435c87f8d90
type: kubernetes.io/dockerconfigjson
在创建secrets时需要指定Namespace:

kubectl --namespace kube-system 
    create secret docker-registry test_secret 
    --docker-server= 
    --docker-username= 
    --docker-password= 
    --docker-email=

不同Namespace,secrets可以同名

在secrets创建后可以修改一些内容

kubectl edit secret test_secret --namespace=kube-system

但不能修改Namespace。所以,必须在创建时准确指定。

** 注意这里的–namespace=kube-system是指定命名空间,而不是修改命名空间。**

用patch避免设置imagePullSecrets

每个私有镜像在使用前,都需要设置imagePullSecrets,这是一件非常繁琐的事。在迁移服务时,它能有效地提醒secrets的迁移。这是一个优点,但能被良好的迁移文档所解决。

用patch可以避免这么繁琐。

kubectl patch serviceaccount default -n NAMESPACE -p '{"imagePullSecrets": [{"name": "test_secret"}]}'

这相当于,在default这个Namespace中的所有镜像pull操作,都自动使用这个test_secret的账户密码。

注意:这里的示例只针对default这种普通的Namespace。某些场景下,比如网络组件Calico,似乎只能老老实实地写imagePullSecrets。

对k8s系统镜像无效

系统镜像中,kube-proxy、pause是在所有Slave节点都需要使用的。如果这些系统镜像被设为私有,则无法下载。以上方法无效,原因不明。

所以,k8s系统镜像,即使同步到了本地Registry,也不要设为私有。

本文重点:

1.秘钥是有命名空间的,不同命名空间可以重名。

2.如果没有秘钥导致的问题是,deployment初始部署的时候因为使用的docker login,所以可以部署。但是pod迁移的时候拉不到镜像报错。

3.可以通过打patch的方式设置某一个命名空间下的所有pod的默认秘钥。

最后

以上就是魁梧人生为你收集整理的k8s的pod出现ImagePullBackOff(解决拉取私有镜像的权限问题)的全部内容,希望文章能够帮你解决k8s的pod出现ImagePullBackOff(解决拉取私有镜像的权限问题)所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(41)

评论列表共有 0 条评论

立即
投稿
返回
顶部