Kubernetes-通过Rancher从Harbor私有仓库拉取镜像

引言

---

  前一篇文章详细描述了如何使用rancher搭建Kubernetes高可用集群，集群搭建好了后，我们就需要开始部署应用了，那么如何从私有镜像仓库拉取镜像呢？

原理

---

  Harbor使用了基于角色的访问控制策略，正常情况下我们从Harbor中拉去镜像的时候，首先要配置docker daemon，配置方法可以参考这篇文章，docker daemo配置中–insecure-registry属性是来告诉docker daemo我们所使用的docker registry是可信的，这样才能从私有的docker registry中拉取镜像，然后进行身份认证，输入【docker login {harbor} -u xxx -p xxx】，如果提示登录成功，我们接下来才可以输入【docker pull】命令拉取镜像。
  但是在Kubernetes中使用Harbor作为私有镜像仓库拉取镜像时使用这招就不灵了，kubernetes提供了2个对象：Secret和ServiceAccount

• Secret 用来存储敏感信息，例如密码、认证令牌和免密登录信息，把这些信息放在secret中相比放在POD的定义或Docker镜像中更安全也更灵活，可以被用来kubelet拉取镜像；

image pull secret

• ServiceAccount 为运行在pod中的进程提供身份信息。

配置

---

  通过上面的描述可以看出Kubernetes通过Secret配置连接Harbor私有仓库，详细配置之前在这篇文章中介绍过，但是我们现在使用的是Rancher搭建的Kubernetes集群，会发现一个问题，现在的Kubernetes都是部署在容器内的，和之前的直接部署不一样，不过在Rancher的界面上能看到一个按钮【执行kubectl命令行】

Cluster

我们点击这个按钮后就可以通过命令行创建Secret，输入如下信息

kubectl create secret docker-registry secret-name --namespace=default \
--docker-server=http://192.168.242.132 --docker-username=username \
--docker-password=password --docker-email=xxx@xxx.xxx

secret-name： secret的名称
namespace： 命名空间
docker-server： Harbor仓库地址
docker-username： Harbor仓库登录账号
docker-password： Harbor仓库登录密码
docker-email： 邮件地址
运行完就能看到创建成功的提示了，接着转到部署服务的界面，在docker镜像那里输入我们Harbor仓库中的镜像地址，点击运行，就可以看到创建成功了。

deploy

set docker image

pod state