You need to enable JavaScript to run this app.
导航
使用 VKE 组件内网免密拉取镜像
最近更新时间:2024.01.02 10:32:53首次发布时间:2023.03.07 11:52:29

免密组件 cr-credential-controller 支持从火山引擎镜像仓库 CR 的体验版或标准版仓库中免密拉取私有类型镜像。本文以创建无状态工作负载场景为例,为您介绍免密拉取私有镜像的方法。

注意

免密组件 cr-credential-controller 仅支持使用 系统域名 免密拉取镜像。请在目标实例的 域名管理 页面,查看镜像仓库实例的 系统域名

使用说明

使用 cr-credential-controller 免密组件涉及的镜像及集群说明如下:

  • 支持拉取镜像仓库 CR 标准版实例和体验版实例中的私有镜像。
  • 支持集群中的多个命名空间免密拉取私有镜像。

注意事项

  • 在 Kubernetes 的工作负载(例如 Deployment、Statefulset 等)模板中配置拉取凭证(imagePullSecret)会导致免密组件失效,如果需使用免密组件,请按照本文说明操作,避免手工配置拉取凭证(imagePullSecret)。
  • 如果部署的 Kubernetes 工作负载使用了自定义的 ServiceAccount,需要先调整免密组件配置文件中的Service-Account字段,使其作用于自定义的 ServiceAccount,再进行部署工作负载操作。

前提条件

操作步骤

步骤一:安装免密组件

  1. 登录 容器服务控制台
  2. 单击左侧导航栏中的 集群
  3. 集群 页面,单击目标集群。
  4. 在集群详情页面左侧导航栏,选择 运维管理 > 组件管理
  5. 组件管理 页面,单击 镜像 页签,找到 cr-credential-controller 组件,单击 > 安装
    alt
  6. cr-credential-controller 参数配置 对话框,根据如下表说明设置参数,然后单击 确定,完成免密组件的安装。
    alt
    参数说明

    镜像仓库实例

    配置可以免密拉取私有镜像的目标镜像仓库实例和所在地域。

    说明

    • 可选同一个地域中的一个或多个镜像仓库实例。
    • 该镜像仓库实例中,后续新推送的私有镜像也能被免密拉取。

    免密配置

    设置容器服务 VKE 侧的免密配置。

    • 命名空间:当前集群下可以免密拉取私有镜像的命名空间。

      默认值为*,表示所有命名空间都可以免密拉取私有镜像;您也可以输入具体的命名空间名称,可以指定多个命名空间,多个名称之间以英文逗号( , )分隔。

    • ServiceAccount:能够使用免密组件的Kubernetes 中的服务账号。

      默认值为*,表示已配置命名空间下的所有 ServiceAccount,都可以免密拉取私有镜像;您也可以输入具体的 ServiceAccount,可以指定多个 ServiceAccount,多个名称之间以英文逗号( , )分隔。

步骤二:创建工作负载

  1. 在集群详情页面左侧导航栏,选择 工作负载 > 无状态负载
  2. 无状态负载 页面,单击 创建无状态负载
  3. 创建无状态负载 页面,配置无状态负载信息。
    1. 基本信息:根据您的实际情况配置。详细的参数说明,请参见 创建无状态负载
      alt
    2. 容器配置:部分参数说明如下所示,其余参数请参见 创建无状态负载
      配置 容器镜像 参数时,可以选择已配置免密组件的镜像仓库实例中的私有镜像。
      alt
      alt
    3. 高级配置:根据您的实际情况配置。详细的参数说明,请参见 创建无状态负载
  4. 单击 确定,创建完成无状态负载。
    操作完成后可以在 工作负载 > 无状态负载 页面查看工作负载的状态。