Kubernetes从私有镜像仓库拉取容器镜像时的身份验证方式

更新时间：2026年01月26日 15:43:30 作者：ICT董老师

Kubernetes从私有镜像仓库拉取容器镜像时,需要使用私有仓库的凭证进行身份验证,这些凭证可以存储在`private-registry-auth`这个Secret中,然后在Pod或ServiceAccount中指定使用该Secret,这样可以确保Pod在拉取镜像时能够正确进行身份验证

Kubernetes从私有镜像仓库拉取容器镜像时的身份验证

1.访问私有镜像仓库

当你的Docker镜像存储在私有镜像仓库（如私有Docker Hub、Harbor、ACR、ECR等）时，需要凭据才能拉取镜像。

当Pod被调度到某个节点上时，kubelet会尝试拉取Pod中指定的镜像。如果镜像位于私有仓库，kubelet就会使用private-registry-auth这个Secret中的凭证去拉取。

注意：如果Pod中指定了多个镜像，且来自不同的私有仓库，那么可能需要多个imagePullSecret，每个对应一个仓库。或者，也可以创建一个包含多个仓库凭证的Secret（但一个Secret通常只对应一个仓库）。

另外，除了在Pod级别指定imagePullSecrets，还可以在ServiceAccount级别指定，这样所有使用该ServiceAccount的Pod都会自动使用这些imagePullSecrets，避免了在每个Pod中重复配置。

2.提供认证凭据

private-registry-auth 是一个提前创建的Secret对象，包含：

用户名和密码
或Docker配置JSON文件
或访问令牌

创建对应的Secret

需要提前创建这个Secret：

# 方法1：使用用户名密码创建
kubectl create secret docker-registry private-registry-auth \
  --docker-server=<registry-url> \
  --docker-username=<username> \
  --docker-password=<password> \
  --docker-email=<email>

# 方法2：使用已有的docker config文件
kubectl create secret generic private-registry-auth \
  --from-file=.dockerconfigjson=/path/to/.docker/config.json \
  --type=kubernetes.io/dockerconfigjson

使用场景示例

yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  replicas: 3
  template:
    spec:
      imagePullSecrets:
      - name: private-registry-auth  # 引用之前创建的Secret
      containers:
      - name: app
        image: private-registry.example.com/mycompany/app:v1.0  # 私有镜像

工作原理

Pod创建时：kubelet从私有仓库拉取镜像
身份验证：使用imagePullSecrets中的凭据进行认证
镜像拉取：认证成功后拉取镜像到节点

最佳实践

yaml

# 可以将imagePullSecrets绑定到ServiceAccount
apiVersion: v1
kind: ServiceAccount
metadata:
  name: default
imagePullSecrets:
- name: private-registry-auth  # 所有使用这个SA的Pod都会自动继承

# 然后在Pod中引用这个ServiceAccount
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  serviceAccountName: default  # 自动获得imagePullSecrets
  containers:
  - name: app
    image: private.registry/app:v1

替代方案比较

方式	优点	缺点
Pod级imagePullSecrets	灵活，不同Pod可用不同凭据	每个Pod都要配置
ServiceAccount级	统一管理，减少重复配置	所有使用该SA的Pod共享凭据
节点级配置	在节点docker daemon配置	不推荐，安全性差

这个配置是现代Kubernetes安全实践中保护私有镜像访问的重要部分。

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

K8s中pod间通信的两种情况总结详解
在Kubernetes集群中,同一节点上的Pod通过本地虚拟网桥进行高效通信,这篇文章主要介绍了K8s中pod间通信的两种情况的相关资料,文中介绍的非常详细,需要的朋友可以参考下
2024-11-11
Rook部署全过程
文章详细介绍了如何部署和管理Rook,包括准备工作、安装步骤、配置准入控制器、创建集群、验证集群、部署Ceph仪表板、块存储和共享文件系统,以及清理和删除环境
2026-03-03
k8s之Pod控制器使用及说明
本文介绍了Kubernetes中的Pod控制器,包括Deployment、ReplicaSet、StatefulSet、DaemonSet、Job和CronJob等类型,详细解释了它们的工作原理、特点和应用场景
2025-11-11
在Kubernetes上部署高可用MinIO集群方式
文章介绍了MinIO的分布式架构及其在开发测试和生产环境中的应用,重点讲解了分布式集群模式的核心组件和部署步骤,并通过验证集群状态来确保服务的高可用性和可靠性
2025-11-11
k8s如何给node添加标签(最新推荐)
k8s集群如果由大量节点组成，可将节点打上对应的标签，然后通过标签进行筛选及查看,更好的进行资源对象的相关选择与匹配，这篇文章主要介绍了k8s如何给node添加标签,需要的朋友可以参考下
2023-02-02
Containerd容器运行yum安装与二进制安装
这篇文章主要为大家介绍了Containerd容器运行yum安装与二进制安装，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-06-06
k8s中secret的用法详解
secret用于加密pod访问数据库的用户凭证，这篇文章主要介绍了k8s中secret的用法详解，本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
2023-04-04
某集团任意文件下载到虚拟主机getshell的方法
这篇文章主要介绍了某集团任意文件下载到虚拟主机getshell的方法,非常不错，具有参考借鉴价值，需要的朋友可以参考下
2017-01-01
kubenetes集群版本升级方式
本文详细介绍了使用kubeadm和二进制方式搭建及升级Kubernetes集群的方法,介绍了版本控制、升级步骤、备份ETCD数据、升级各节点组件等关键操作,并提供了操作示例和注意事项,帮助理解和实施Kubernetes集群的搭建和升级过程
2024-09-09
k8s部署ingress-nginx的详细步骤大全
nginx一般是作为服务的入口,其在kubernetes的部署方式也大致相似,这篇文章主要给大家介绍了关于k8s部署ingress-nginx的相关资料,文中通过图文介绍的非常详细,需要的朋友可以参考下
2024-01-01