概述

安装免密拉取插件 cube-credential-helper，可以使CCSE集群免密拉取容器镜像服务企业版和个人版的私有镜像，简化工作负载的发布流程。

安装

1、登陆云容器引擎控制台；

2、左侧导航栏点击集群，在集群管理页面点击已有集群名称进入集群信息页面，左侧导航栏点击【插件>插件市场】， 在页面中找到 cube-credential-helper插件并安装。

使用步骤

前提条件

• 已创建容器镜像服务实例。

配置参数

namespaces和serviceAccounts参数指定插件生效的命名空间和serviceAccount。

# 使免密拉取插件作用于集群指定的Namespace

# 默认值为"default"。当取值为"*"时，表示期望所有Namespace均能免密拉取。如需配置多个Namespace时，以英文半角逗号（,）分隔。

namespaces: "default"

# 使免密拉取插件作用于集群指定的ServiceAccount

# 默认值为"default"。当取值为"*"时， 表示支持指定命名空间下的所有ServiceAccount。如需配置多个ServiceAccount时,以英文半角逗号（,）分隔。

serviceAccounts: "default"

credentials参数指定镜像拉取凭证，注意需要填写实际的CRS实例的内网地址、用户名和密码，否则免密拉取插件不生效。

# 镜像拉取凭证，支持配置多个。需要将以下样例中的CRS实例的内网地址、用户名和密码替换为实际值。

credentials:

  - registry: "registry-vpc-crs-huadong1.ctyun.cn" # CRS实例的内网地址

    username: "username" # CRS实例的用户名

    password: "password" # CRS实例的密码

免密拉取验证

在云容器引擎控制台新建工作负载，使用插件指定的命名空间和serviceAccount（非显示指定时，工作负载默认使用default serviceAccount），拉取插件指定的镜像服务实例中的私有镜像时，可实现无需镜像拉取凭证即可成功拉取镜像并运行。

注意
新建工作负载时不能指定镜像拉取凭证，否则会覆盖插件的配置，可能导致拉取镜像失败。

修改配置

安装完插件后，如果需要修改插件配置，可以在【配置管理>配置项】页面找到kube-system命名空间下cube-credential-helper配置项：

并修改其中的appConfig.yaml变量：

修改完成后，配置生效需要大约1分钟时间。注意要保证配置的格式正确，否则会导致配置无法生效。