kubernetes配置Harbor详细教程(测试通过)

时间:2024-04-10 10:28:22

前置条件

已经安装完成kubernetes集群
已经安装完成harbor
在harbor中创建完成项目,用户,把用户添加到项目的成员当中,成员具有pull镜像的权限

登录到harbor(这个步骤是用来获取**的,yaml创建secret可以使用到)

根据配置的harbor域名,登录到harbor当中,如:

docker login xf.com

输入用户名和密码,即可登录成功。登录完成之后会在config.json文件中保存授权令牌。通过以下命令查看config.json

cat ~/.docker/config.json

文件内容如下:

{
        "auths": {
                "xf.com": {
                        "auth": "d2FuZ3hpYW5mZW5xxlhpYW5mZW5nOTk="
                }
        }
}

在k8s集群中创建一个Secret,包含harbor授权令牌

cat /root/.docker/config.json | base64 -w 0

-w 0 是为了输出不换行。
这个值为 .dockerconfigjson

yaml文件创建secret

通过yaml文件创建

apiVersion: v1
kind: Secret
metadata:
  name: registrykey-m3-1
  namespace: default
data:
    .dockerconfigjson: {base64 -w 0 ~/.docker/config.json}
type: kubernetes.io/dockerconfigjson
   .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg== 

指令创建secret

当从私有仓库harbor中pull镜像的时候,k8s集群使用类型为docker-registry的Secret进行认证。
现在创建一个Secret,名称为regcred:

kubectl create secret docker-registry  regcred 
 --namespace=<NAME_SPACE>
 --docker-server=<your-registry-server> 
 --docker-username=<your-name> 
 --docker-password=<your-pword> 
 --docker-email=<your-email>
    your-registry-server 私有docker镜像仓库域名,如xf.com
    your-name is your Docker username(用户名).
    your-pword is your Docker password(密码).
    your-email is your Docker email(注册所用的邮箱).

看一下Secret regcred的详细信息

使用如下命令查看regcred的详细信息

kubectl get secret regcred --output=yaml

或者

kubectl get secret regcred --namespace=<NAME_SPACE> -o yaml

输出类似如下:

apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJha...PVGs9In19fQ==
kind: Secret
metadata:
  creationTimestamp: 2018-06-27T02:43:53Z
  name: regcred
  namespace: default
  resourceVersion: "3399680"
  selfLink: /api/v1/namespaces/default/secrets/regcred
  uid: ee450abc-79b3-11e8-b5d7-286ed488c89e
type: kubernetes.io/dockerconfigjson

图中data部分,dockerconfigjson为data的类型,后面的一长串即为进过base64加密的内容,通过解密后,你就会发现,里面的内容基本上就是/root/.docker/config.json中的内容。其中.dockerconfigjson的值包含了登录harbor的用户名和密码等信息,通过以下命令进行查看:

kubectl get secret regcred --output="jsonpath={.data.\.dockerconfigjson}" | base64 -d

用Secret创建一个Pod

创建文件private-reg-pod.yaml,使用Secret regcred

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: xf.com/4a/nginx
  imagePullSecrets:
  - name: regcred

要从私有仓库pull镜像,k8s需要认证信息,imagePullSecrets这个配置信息指明了k8s需要从名称为regcred的Secret中获取认证信息。然后使用如下命令创建Pod

kubectl create -f private-reg-pod.yaml
kubectl get pod private-reg

需要查看Pod被分配到了哪个节点上,看节点上是否已经成功下载了所需要的镜像。

配置默认规则

如果仅仅是这样的话,每次编写yaml脚本都需要添加imagePullSecrets这2行配置也太麻烦了。
我们需要使其默认就自动可以从私有仓库中下载还需要几步。
创建一个serviceaccout(zzq-serviceaccount.yaml)

apiVersion: v1
kind: ServiceAccount
metadata:
  name: zzq-serviceaccount
  namespace: zzq

将该regcred**放置到namespace为zzq,serviceaccount为zzq-serviceaccount中:

kubectl patch serviceaccount zzq-serviceaccount --namespace=zzq  -p '{"imagePullSecrets": [{"name": "regcred"}]}'

查看 zzq-serviceaccount账号配置:

kubectl get serviceaccounts zzq-serviceaccount --namespace=zzq  -o yaml

账户的详细配置如下:

apiVersion: v1
imagePullSecrets:
- name: regcred
kind: ServiceAccount
metadata:
  creationTimestamp: "2019-03-13T02:05:45Z"
  name: zzq-serviceaccount
  namespace: zzq
  resourceVersion: "480957"
  selfLink: /api/v1/namespaces/zzq/serviceaccounts/zzq-serviceaccount
  uid: 83050f1c-4534-11e9-bdda-505bc2d6ffbb
secrets:
- name: zzq-serviceaccount-token-fsr74

我们发现已经添加了imagePullSecrets,这样我们后续就不用在每个yaml脚本中都添加这个配置啦,自动会加上去的。
不同的namespace命名空间secret是隔离的。
使用的时候,只需要在yaml文件中添加:

    spec:
      serviceAccount: zzq-serviceaccount
      containers:
      - name: myweb
        image: 192.168.10.100/wayne/tomcat:v100
        ports:
        - containerPort: 80

PS:需要注意这里必须要**ServiceAccount,否则会报错。

kubernetes配置Harbor详细教程(测试通过)