Как получить доступ к частному реестру Docker с помощью самозаверяющего сертификата, используя Kubernetes?

Question

В настоящее время работает частный реестр Docker (Artifactory) во внутренней сети, которая использует самозаверяющий сертификат для аутентификации.

Когда Kubernetes запускает новый узел, он не может авторизоваться с помощью частного реестра Docker.потому что этот новый узел не имеет самоподписанного сертификата.

Любая помощь будет высоко ценится.Спасибо!

Answer 1

В основном вы должны сказать демону Docker доверять вашему самозаверяющему сертификату, сказав ему доверять Центру сертификации (CA), который вы использовали для подписи сертификата.Вы можете найти дополнительную информацию здесь в разделе «Использование самозаверяющих сертификатов».

В частности, например, для Linux:

Linux: Копироватьфайл domain.crt в /etc/docker/certs.d/myregistrydomain.com:5000/ca.crt на каждом хосте Docker.Вам не нужно перезапускать Docker.

Все это отличается от аутентификации путем указания ImagePullSecrets в ваших модулях или учетных данных для входа в Docker в ваших конфигурационных файлах Docker.

Answer 2

Вы можете получить доступ к ключам для частных реестров докеров в $ HOME / .dockercfg или $ HOME / .docker / config.json.Если вы добавите его в один из этих путей поиска, kubelet должен использовать его в качестве учетных данных при извлечении изображений.

• {- root-dir: - / var / lib / kubelet} /config.json
• {cwd of kubelet} /config.json
• $ {HOME} /. Docker / config.json
• /. Docker / config.json
• {- root-dir: - / var / lib / kubelet} /. dockercfg
• {cwd of kubelet} /. dockercfg
• $ {HOME} /. dockercfg
• /. Dockercfg

https://kubernetes.io/docs/concepts/containers/images/#using-a-private-registry

Раздел «Настройка узлов для аутентификации в частном реестре» дает пошаговое описание того, как это сделать.