通过容器服务 VKE 拉取 Docker Hub 镜像--镜像仓库-火山引擎

文档中心

立即注册

导航

通过容器服务 VKE 拉取 Docker Hub 镜像

最近更新时间：2024.11.20 18:50:44首次发布时间：2024.10.29 16:51:37

远端代理实例通过远端代理的缓存功能，实现就近访问的效果，有效提升跨境镜像拉取的效率。本文介绍容器服务 VKE 调用远端代理仓中的镜像文件，发布应用的方法。当前支持多种调用发布的方式，请根据您的具体使用场景选择。

前提条件

已创建 VKE 集群，操作详情参见创建集群。
已获取 VKE 集群所处 VPC 信息，支持在集群概览页查看。
获取远端代理仓库登录名称和密码。

操作步骤

第一步：创建远端代理仓

登录镜像仓库控制台，创建远端代理仓。操作详情参见创建远端代理仓。
在远端代理仓中创建命名空间，操作详情参见创建命名空间。
说明
- 创建远端代理仓未填写用户名密码，且类型为 Docker Hub 时，仅允许创建 library 命名空间。如果需要使用公共镜像请设置远端代理仓的用户名和密码。
- 远端代理仓中的命名空间的名称必须需与拉取镜像所处的命名空间相同。
使用标准版本远端代理仓时，需要在远端代理仓的 访问控制 > VPC 页面，添加 VKE 集群所在 VPC，确保代理和集群的网络连通。添加 VPC 的说明参见连通本账号 VPC。
说明
小微版远端代理仓时默认使用同地域内网，无需单独配置。

第二步：发布应用

支持多种方式调用远端代理仓中的镜像文件，发布应用。

方式一：通过远端代理仓域名
使用 访问域名 下载并使用镜像文件，域名支持在远端代理仓概览页查看。
注意
发布应用时需要将 nginx 替换为 {访问域名}/library/nginx:latest。

方式二：通过 Docker Hub 官方地址

登录所有 VKE 集群节点，修改 contianerd 配置。

创建 /etc/containerd/certs.d/docker.io目录。

配置 /etc/containerd/config.toml 增加鉴权信息。

说明

命名空间设置为公开时可跳过该步骤。

[plugins."io.containerd.grpc.v1.cri".registry]
  config_path = "/etc/containerd/certs.d"
    [plugins."io.containerd.grpc.v1.cri".registry.configs."<访问域名>".auth]
        username="<远端代理仓的用户名>"
        password="<远端代理仓的密码>"

创建文件 /etc/containerd/certs.d/docker.io/hosts.toml。

server = "https://registry-1.docker.io"    # Exclude this to not use upstream
[host."https://<访问域名>"]
  capabilities = ["resolve","pull"]

重启 contianerd。

systemctl stop containerd
systemctl start containerd

镜像地址直接填写 nginx:latest 发布应用。

方式三：通过 Kyverno 替换访问域名

通过 Kyverno，在部署 Kubernetes 应用时自动替换访问域名。

安装 Kyverno。

创建 policy。

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: replace-image-registry-with-harbor
  annotations:
    policies.kyverno.io/title: Replace Image Registry With Harbor
    pod-policies.kyverno.io/autogen-controllers: none
    policies.kyverno.io/category: Sample
    policies.kyverno.io/severity: medium
    policies.kyverno.io/subject: Pod
    kyverno.io/kyverno-version: 1.11.4
    kyverno.io/kubernetes-version: "1.27"
    policies.kyverno.io/description: >-
      Some registries like Harbor offer pull-through caches for images from certain registries.
      Images can be re-written to be pulled from the redirected registry instead of the original and
      the registry will proxy pull the image, adding it to its internal cache.
      The imageData context variable in this policy provides a normalized view
      of the container image, allowing the policy to make decisions based on various 
      "live" image details. As a result, it requires access to the source registry and the existence
      of the target image to verify those details.
spec:
  rules:
    - name: redirect-docker
      match:
        any:
          - resources:
              kinds:
                - Pod
              operations:
                - CREATE
                - UPDATE
      mutate:
        foreach:
          - list: request.object.spec.initContainers[]
            context:
              - name: imageData
                imageRegistry:
                  reference: "{{ element.image }}"
            preconditions:
              any:
                - key: "{{imageData.registry}}"
                  operator: Equals
                  value: index.docker.io
            patchStrategicMerge:
              spec:
                initContainers:
                  - name: "{{ element.name }}"
                    image: <访问域名>/{{imageData.repository}}:{{imageData.identifier}}
          - list: request.object.spec.containers[]
            context:
              - name: imageData
                imageRegistry:
                  reference: "{{ element.image }}"
            preconditions:
              any:
                - key: "{{imageData.registry}}"
                  operator: Equals
                  value: index.docker.io
            patchStrategicMerge:
              spec:
                containers:
                  - name: "{{ element.name }}"
                    image: <访问域名>/{{imageData.repository}}:{{imageData.identifier}}

使用 nginx:latest 发布应用。