19

我正在尝试让 Kubernetes 从另一个项目的 Google Container Registry 下载图像。根据文档,您应该使用以下方法创建图像拉取机密:

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

但我想知道我应该使用什么DOCKER_USERDOCKER_PASSWORD使用 Google Container Registry 进行身份验证?查看GCR 文档,它说密码是您可以通过运行获得的访问令牌:

$ gcloud auth print-access-token

这实际上有效......一段时间。问题似乎是这个访问令牌在(我认为是)一小时后过期。我需要一个在创建图像提取密码时不会过期的密码(或其他密码)。否则 Kubernetes 集群在一个小时左右后无法下载新镜像。这样做的正确方法是什么?

4

6 回答 6

18

这真的很棘手,但经过大量的跟踪和错误后,我认为我已经让它工作了。

  1. 转到 Google Developer Console > Api Manager > Credentials 并单击“创建凭据”并创建“服务帐户密钥”
  2. 在“服务帐户”下选择新建并将新密钥命名为“gcr”(让密钥类型为 json)
  3. 创建密钥并将文件存储在磁盘上(从这里开始,我们假设它存储在 下~/secret.json

  4. 现在从命令行使用 Docker 登录到 GCR:

    $ docker login -e your@email.se -u _json_key -p "$(cat ~/secret.json)" https://eu.gcr.io

    这将在您的文件中为“ https://eu.gcr.io ”生成一个条目。~/.docker/config.json

  5. 将“ https://eu.gcr.io ”下的 JSON 结构复制到一个名为“~/docker-config.json”的新文件中,删除换行符!例如:

    {"https://eu.gcr.io": { "auth": "<key>","email": "your@email.se"}}

  6. Base64 编码此文件:

    $ cat ~/docker-config.json | base64

  7. 这将打印一个长的 base64 编码字符串,复制该字符串并将其粘贴到图像拉取机密定义(称为~/pullsecret.yaml)中:

apiVersion: v1
  kind: Secret
  metadata:
    name: mykey
  data:
    .dockercfg: <paste base64 encoded string here>
  type: kubernetes.io/dockercfg

  1. 现在创建秘密:

    $ kubectl create -f ~/pullsecret.yaml

  2. 现在你可以从一个 pod 中使用这个 pull secret,例如:
apiVersion: v1
kind: Pod
metadata: 
  name: foo
  namespace: awesomeapps
spec: 
  containers: 
    - image: "janedoe/awesomeapp:v1"
      name: foo
  imagePullSecrets: 
    - name: mykey

或将其添加到服务帐户

于 2016-03-29T14:05:12.550 回答
13

使用 kubectl 更容易

kubectl create secret docker-registry mydockercfg \
  --docker-server "https://eu.gcr.io" \
  --docker-username _json_key \
  --docker-email not@val.id \
  --docker-password=$(cat your_service_account.json)

从 google 下载 your_service_account.json 后的一个重要细节是将 json 中的所有行合并为一行。为此,您可以替换catpaste

  --docker-password=$(paste -s your_service_account.json)
于 2016-05-29T14:25:11.477 回答
3

此答案可确保您的 Kubernetes 机密中仅包含一组 docker 凭据,并为您处理修剪换行符。

遵循 Johan 的最佳答案中相同的前三个步骤:

  1. 转到 Google Developer Console > Api Manager > Credentials 并单击“创建凭据”并创建“服务帐户密钥”

  2. 在“服务帐户”下选择新建并将新密钥命名为“gcr”(让密钥类型为 json)

  3. 创建密钥并将文件存储在磁盘上(从这里开始,我们假设它存储在 下~/secret.json

接下来,运行这些命令以生成所需的 Docker 凭据并将其注入您的集群:

export GCR_KEY_JSON=$(cat ~/secret.json | tr -d '\n')
mv ~/.docker/config.json ~/.docker/config-orig.json
cat >~/.docker/config.json <<EOL
{
  "auths": {
    "gcr.io": {}
  }
}
EOL
docker login --username _json_key --password "$GCR_KEY_JSON" https://gcr.io
export DOCKER_CONFIG_JSON_NO_NEWLINES=$(cat ~/.docker/config.json | tr -d '\n')
mv ~/.docker/config-orig.json ~/.docker/config.json
cat >secrets.yaml <<EOL
apiVersion: v1
kind: Secret
metadata:
  name: gcr-key
data:
  .dockerconfigjson: $(echo -n ${DOCKER_CONFIG_JSON_NO_NEWLINES} | base64 | tr -d '\n')
type: kubernetes.io/dockerconfigjson

EOL
kubectl create -f secrets.yaml

当您指定从 GCR 提取图像的 Pod 时,gcr-key请在您的部分中包含秘密名称spec

spec:
  imagePullSecrets:
    - name: gcr-key
  containers:
  - image: ...
于 2017-04-08T02:35:47.780 回答
2

您还可以授予集群运行的服务帐户作为对 GCS 存储桶的访问权限:

  eu.artifacts.{project-id}.appspot.com

这个答案有一些gsutil命令可以做到这一点。

于 2016-03-29T15:35:45.267 回答
1

官方方式,您可以:

$ docker login -e 1234@5678.com -u _json_key -p "$JSON_KEY" https://gcr.io

注意:电子邮件没有被使用,所以你可以在里面放任何你想要的东西。

更改为您的Google 容器注册表gcr.io中显示的任何域(例如)。eu.gcr.io

得到那个$JSON_KEY

  1. 转到API 管理器 > 凭据
  2. 单击“创建凭据”>服务帐户密钥
    • 服务帐号:新服务帐号
      • 名称:任何你想要的,比如Docker Registry (read-only)
      • 作用:存储(向下滚动)>存储对象查看器
    • 密钥类型:JSON
  3. 下载为keyfile.json
  4. JSON_KEY=$(cat keyfile.json | tr '\n' ' ')
  5. 现在你可以使用它了。

登录后,您只需运行docker pull. 您还可以复制更新的内容~/.dockercfg以保留设置。

于 2017-03-31T12:18:29.450 回答
1

不需要镜像拉取密钥,可以通过 IAM 配置完成

我尝试了其他答案,但无法使用 Image Pull Secret 方法。

但是我发现这可以通过在 Kubernetes 集群所在的项目中授予对Compute Engine 默认服务帐户的访问权限来完成。此服务帐号由 GCP 自动创建。

如此处所述: https ://cloud.google.com/container-registry/docs/access-control#granting_users_and_other_projects_access_to_a_registry

您需要执行以下命令来授予对服务于 Container Registry 的 Cloud Storage 存储桶的访问权限

gsutil iam ch serviceAccount:[EMAIL-ADDRESS]:objectViewer gs://[BUCKET_NAME]

桶名:

artifacts.[PROJECT-ID].appspot.com for images pushed to gcr.io/[PROJECT-ID], or
[REGION].artifacts.[PROJECT-ID].appspot.com, where [REGION] is:
us for registry us.gcr.io
eu for registry eu.gcr.io
asia for registry asia.gcr.io

电子邮件地址:

The email address of the service account called: **Compute Engine default service account** in the GCP project where the Kubernetes cluster run
于 2018-02-01T00:49:04.397 回答