概述
安装免密拉取插件cube-credential-helper,可以使云容器引擎集群免密拉取容器镜像服务企业版和个人版的私有镜像,简化工作负载的发布流程。
安装步骤
登陆云容器引擎控制台。
左侧导航栏点击"集群"。
在集群管理页面点击已有集群名称进入集群信息页面。
左侧导航栏点击"插件" - "插件市场",在页面中找到cube-credential-helper插件并安装。
使用步骤
前置条件
已创建容器镜像服务实例。
配置参数
namespaces和serviceAccounts参数指定插件生效的命名空间和serviceAccount。
# 使免密拉取插件作用于集群指定的Namespace
# 默认值为"default"。当取值为"*"时,表示期望所有Namespace均能免密拉取。如需配置多个Namespace时,以英文半角逗号(,)分隔。
namespaces: "default"
# 使免密拉取插件作用于集群指定的ServiceAccount
# 默认值为"default"。当取值为"*"时, 表示支持指定命名空间下的所有ServiceAccount。如需配置多个ServiceAccount时,以英文半角逗号(,)分隔。
serviceAccounts: "default"credentials参数指定镜像拉取凭证,注意需要填写实际的CRS实例的内网地址、用户名和密码,否则免密拉取插件不生效。
# 镜像拉取凭证,支持配置多个。需要将以下样例中的CRS实例的内网地址、用户名和密码替换为实际值。
credentials:
- registry: "registry-huadong1.crs-internal.ctyun.cn" # CRS实例的内网地址
username: "username" # CRS实例的用户名
password: "password" # CRS实例的密码免密拉取验证
在云容器引擎控制台新建工作负载,使用插件指定的命名空间和serviceAccount(非显示指定时,工作负载默认使用default serviceAccount),拉取插件指定的镜像服务实例中的私有镜像时,可实现无需镜像拉取凭证即可成功拉取镜像并运行。
注意
新建工作负载时不能指定镜像拉取凭证,否则会覆盖插件的配置,可能导致拉取镜像失败。
修改配置
安装完插件后,如果需要修改插件配置,可以在"配置管理" - "配置项"页面找到kube-system命名空间下cube-credential-helper配置项,并修改其中的appConfig.yaml变量。
修改完成后,配置生效需要大约1分钟时间。注意要保证配置的格式正确,否则会导致配置无法生效。
