K8S集群范围使用imagePullSecret示例详解

Kubernetes 在每个 Pod 或每个 Namespace 的基础上使用 imagePullSecrets 对私有容器注册表进行身份验证。要做到这一点，你需要创建一个秘密与凭据：

{% note warning %} ⚠️ 警告：

现在随着公共镜像仓库（如：docker.io 等）开始对匿名用户进行限流，配置公共仓库的身份认证也变得有必要。 {% endnote %}

例如配置 docker.io 的 pull secret：

{% note info %} ℹ️ 信息：

如果 docker.io 启用了「2 阶段认证」，可能需要创建 Access Token（对应上面的 docker-password，创建链接在这里：账号 -> 安全 {% endnote %}

现在我们可以在一个 pod 中使用这个 secret 来下载 docker 镜像：

另一种方法是将它添加到命名空间的默认 ServiceAccount 中：

在 K8S 集群范围使用 imagePullSecrets

我找到了一个叫做 imagepullsecret-patch 的工具，它可以在你所有的命名空间上做这个：

编辑下载的文件，一般需要修改image-pull-secret-src的内容，这个 pull secret 就会应用到 K8S 集群范围。

这里背后创建的资源有：

NameSpace

RBAC 权限相关：

imagepullsecret-patcher ServiceAccount

imagepullsecret-patcher ClusterRole，具有对 service account 和 secret 的所有权限

imagepullsecret-patcher ClusterRoleBinding，为 imagepullsecret-patcher ServiceAccount 赋予 imagepullsecret-patcher ClusterRole 的权限。

• 全局 pull secret image-pull-secret-src，里面是你的 K8S 全局包含的所有的镜像库地址和认证信息。
• Deployment imagepullsecret-patcher，指定 ServiceAccount 是 imagepullsecret-patcher 就有了操作 service account 和 secret 的所有权限，并将上面的 secret 挂载到 Deployment pod 内。

可以包含多个镜像库地址和认证信息，如：

base64 编码后写到 secret 的 .dockerconfigjson 字段即可：

启动后的 pod 会在所有 NameSpace 下创建 image-pull-secret secret（内容来自于image-pull-secret-src) 并把它 patch 到 default service account 及该 K8S 集群的所有 ServiceAccount 里，日志如下：

今后我们只需要更新 image-pull-secret-src 这一个即可了。