概述
安装免密拉取插件 cube-credential-helper
,可以使CCSE集群免密拉取容器镜像服务企业版和个人版的私有镜像,简化工作负载的发布流程。
安装
登陆CCSE控制台
左侧导航栏点击 集群
在 集群管理 页面点击已有集群名称进入 集群信息 页面
左侧导航栏点击 插件 - 插件市场, 在页面中找到 cube-credential-helper
插件并安装:
使用步骤
前提条件
- 已创建容器镜像服务实例。
配置参数
namespaces和serviceAccounts参数指定插件生效的命名空间和serviceAccount。
# 使免密拉取插件作用于集群指定的Namespace
# 默认值为"default"。当取值为"*"时,表示期望所有Namespace均能免密拉取。如需配置多个Namespace时,以英文半角逗号(,)分隔。
namespaces: "default"
# 使免密拉取插件作用于集群指定的ServiceAccount
# 默认值为"default"。当取值为"*"时, 表示支持指定命名空间下的所有ServiceAccount。如需配置多个ServiceAccount时,以英文半角逗号(,)分隔。
serviceAccounts: "default"
credentials参数指定镜像拉取凭证,注意需要填写实际的CRS实例的内网地址、用户名和密码,否则免密拉取插件不生效。
# 镜像拉取凭证,支持配置多个。需要将以下样例中的CRS实例的内网地址、用户名和密码替换为实际值。
credentials:
- registry: "registry-vpc-crs-huadong1.ctyun.cn" # CRS实例的内网地址
username: "username" # CRS实例的用户名
password: "password" # CRS实例的密码
免密拉取验证
在CCSE控制台新建工作负载,使用插件指定的命名空间和serviceAccount(非显示指定时,工作负载默认使用default serviceAccount),
拉取插件指定的镜像服务实例中的私有镜像时,可实现无需镜像拉取凭证即可成功拉取镜像并运行。
注意新建工作负载时不能指定镜像拉取凭证,否则会覆盖插件的配置,可能导致拉取镜像失败。
修改配置
安装完插件后,如果需要修改插件配置,可以在 配置管理 - 配置项 页面找到kube-system命名空间下cube-credential-helper配置项:
并修改其中的appConfig.yaml变量:
修改完成后,配置生效需要大约1分钟时间。注意要保证配置的格式正确,否则会导致配置无法生效。