免密组件 cr-credential-controller 支持从火山引擎镜像仓库 CR 的体验版或标准版仓库中免密拉取私有类型镜像。本文以创建无状态工作负载场景为例,为您介绍免密拉取私有镜像的方法。
注意
免密组件 cr-credential-controller 仅支持使用 系统域名 免密拉取镜像。请在目标实例的 域名管理 页面,查看镜像仓库实例的 系统域名。
使用说明
使用 cr-credential-controller 免密组件涉及的镜像及集群说明如下:
- 支持拉取镜像仓库 CR 标准版实例和体验版实例中的私有镜像。
- 支持集群中的多个命名空间免密拉取私有镜像。
注意事项
- 在 Kubernetes 的工作负载(例如 Deployment、Statefulset 等)模板中配置拉取凭证(imagePullSecret)会导致免密组件失效,如果需使用免密组件,请按照本文说明操作,避免手工配置拉取凭证(imagePullSecret)。
- 如果部署的 Kubernetes 工作负载使用了自定义的 ServiceAccount,需要先调整免密组件配置文件中的
Service-Account
字段,使其作用于自定义的 ServiceAccount,再进行部署工作负载操作。
前提条件
操作步骤
步骤一:安装免密组件
- 登录 容器服务控制台。
- 单击左侧导航栏中的 集群。
- 在 集群 页面,单击目标集群。
- 在集群详情页面左侧导航栏,选择 运维管理 > 组件管理。
- 在 组件管理 页面,单击 镜像 页签,找到 cr-credential-controller 组件,单击
…
> 安装。
- 在 cr-credential-controller 参数配置 对话框,根据如下表说明设置参数,然后单击 确定,完成免密组件的安装。
参数 | 说明 |
---|
镜像仓库实例 | 配置可以免密拉取私有镜像的目标镜像仓库实例和所在地域。 说明 - 可选同一个地域中的一个或多个镜像仓库实例。
- 该镜像仓库实例中,后续新推送的私有镜像也能被免密拉取。
|
免密配置 | 设置容器服务 VKE 侧的免密配置。 - 命名空间:当前集群下可以免密拉取私有镜像的命名空间。
默认值为* ,表示所有命名空间都可以免密拉取私有镜像;您也可以输入具体的命名空间名称,可以指定多个命名空间,多个名称之间以英文逗号( , )分隔。 - ServiceAccount:能够使用免密组件的Kubernetes 中的服务账号。
默认值为* ,表示已配置命名空间下的所有 ServiceAccount,都可以免密拉取私有镜像;您也可以输入具体的 ServiceAccount,可以指定多个 ServiceAccount,多个名称之间以英文逗号( , )分隔。
|
步骤二:创建工作负载
- 在集群详情页面左侧导航栏,选择 工作负载 > 无状态负载。
- 在 无状态负载 页面,单击 创建无状态负载。
- 在 创建无状态负载 页面,配置无状态负载信息。
- 基本信息:根据您的实际情况配置。详细的参数说明,请参见 创建无状态负载。
- 容器配置:部分参数说明如下所示,其余参数请参见 创建无状态负载。
配置 容器镜像 参数时,可以选择已配置免密组件的镜像仓库实例中的私有镜像。
- 高级配置:根据您的实际情况配置。详细的参数说明,请参见 创建无状态负载。
- 单击 确定,创建完成无状态负载。
操作完成后可以在 工作负载 > 无状态负载 页面查看工作负载的状态。