使用 VKE 组件内网免密拉取镜像

免密组件 cr-credential-controller 支持从火山引擎镜像仓库 CR 的体验版或标准版仓库中免密拉取私有类型镜像。本文以创建无状态工作负载场景为例，为您介绍免密拉取私有镜像的方法。

使用说明

使用 cr-credential-controller 免密组件涉及的镜像及集群说明如下：

• 支持拉取镜像仓库 CR 标准版实例和体验版实例中的私有镜像。
• 支持集群中的多个命名空间免密拉取私有镜像。

注意事项

• 在 Kubernetes 的工作负载（例如 Deployment、Statefulset 等）模板中配置拉取凭证（imagePullSecret）会导致免密组件失效，如果需使用免密组件，请按照本文说明操作，避免手工配置拉取凭证（imagePullSecret）。
• 如果部署的 Kubernetes 工作负载使用了自定义的 ServiceAccount，需要先调整免密组件配置文件中的Service-Account字段，使其作用于自定义的 ServiceAccount，再进行部署工作负载操作。

前提条件

• 已创建容器服务集群，操作说明参见 创建集群。
• 已在镜像仓库中创建私有镜像，操作方法参见 使用标准版实例拉取和推送镜像 或 使用体验版实例推送和拉取镜像。
• 如果使用 IAM 用户操作集群，请确保已授权 IAM 用户。详细操作，请参见 权限管理。

操作步骤

步骤一：安装免密组件

1. 登录 容器服务控制台。
2. 单击左侧导航栏中的 集群。
3. 在 集群 页面，单击目标集群。
4. 在集群详情页面左侧导航栏，选择 运维管理 > 组件管理。
5. 在 组件管理 页面，单击 镜像 页签，找到 cr-credential-controller 组件，单击 … > 安装。
   
6. 在 cr-credential-controller 参数配置 对话框，根据如下表说明设置参数，然后单击 确定，完成免密组件的安装。
   

   参数	说明
   镜像仓库实例	配置可以免密拉取私有镜像的目标镜像仓库实例和所在地域。 说明 可选同一个地域中的一个或多个镜像仓库实例。 该镜像仓库实例中，后续新推送的私有镜像也能被免密拉取。
   免密配置	设置容器服务 VKE 侧的免密配置。 命名空间：当前集群下可以免密拉取私有镜像的命名空间。 默认值为*，表示所有命名空间都可以免密拉取私有镜像；您也可以输入具体的命名空间名称，可以指定多个命名空间，多个名称之间以英文逗号（ , ）分隔。 ServiceAccount：能够使用免密组件的Kubernetes 中的服务账号。 默认值为*，表示已配置命名空间下的所有 ServiceAccount，都可以免密拉取私有镜像；您也可以输入具体的 ServiceAccount，可以指定多个 ServiceAccount，多个名称之间以英文逗号（ , ）分隔。

步骤二：创建工作负载

1. 在集群详情页面左侧导航栏，选择 工作负载 > 无状态负载。
2. 在 无状态负载 页面，单击 创建无状态负载。
3. 在 创建无状态负载 页面，配置无状态负载信息。
   1. 基本信息：根据您的实际情况配置。详细的参数说明，请参见 创建无状态负载。
      
   2. 容器配置：部分参数说明如下所示，其余参数请参见 创建无状态负载。
      配置 容器镜像 参数时，可以选择已配置免密组件的镜像仓库实例中的私有镜像。
      
      
   3. 高级配置：根据您的实际情况配置。详细的参数说明，请参见 创建无状态负载。
4. 单击 确定，创建完成无状态负载。
   操作完成后可以在 工作负载 > 无状态负载 页面查看工作负载的状态。