由于某些不可名状的因素导致我们原来的镜像私服仓库不能用了,所以将镜像都存放在了阿里云的容器镜像服务。然后然在服务发布时发现pull镜像有问题,此文档用于记录问题解决过程。
问题现象
1
2
3
4
|
$ kubectl describe pods bxpp-6426-657b7ff794-gppfv
......
Warning Failed 2s (x2 over 17s) kubelet, 172.16.77.189 Failed to pull image "registry.cn-hangzhou.aliyuncs.com/cotte-internal/bl-trex-bxpp-dev:9311": rpc error: code = Unknown desc = Error response from daemon: pull access denied for registry.cn-hangzhou.aliyuncs.com/cotte-internal/bl-trex-bxpp-dev, repository does not exist or may require 'docker login'
......
|
报错信息为访问被拒绝,需要登录仓库,但是在pod所在的node节点已经登录了,而且使用docker pull是可以拉取的,如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
$ [root@k8s-77-189 ~]# docker pull registry.cn-hangzhou.aliyuncs.com/cotte-internal/bl-trex-bxpp-dev:9311
9311: Pulling from cotte-internal/bl-trex-bxpp-dev
b8e0383d5f94: Already exists
dbfdecf77fbc: Already exists
c422ba8ef74a: Already exists
b1694b232e8c: Already exists
a3cbd3004bf0: Already exists
27fa098e67c0: Already exists
d44aa4b2cfed: Already exists
7ce0daded1f5: Already exists
f7426546b5c4: Already exists
ef745c7a9450: Already exists
54d66b1b14e6: Already exists
2177c4e892bd: Pull complete
1dfaf8ad1ef8: Pull complete
ae4bf6fc0e55: Pull complete
c2d967a1704b: Pull complete
74fb1d311005: Pull complete
d4b854d780f8: Extracting [==============================> ] 64.62MB/107MB
|
问题解决
方案一
查看官方文档,发现kubelet在提取镜像时会读取${home}/.docker/config.json
中的认证密钥,但是上述报错情况,显然没有读取到/root/.docker/config.json的密钥,重启kubelet也没有效果。根据官方文档所写,将${home}/.docker/config.json
文件复制到/var/lib/kubelet
下。如下操作:
1
2
|
$ cp ${home}/.docker/config.json /var/lib/kubelet/
$ systemctl restart kubelet.service
|
执行完以上操作之后,再重新部署服务,就可以正常拉取镜像了。
方案二
参考github上一个issues,以root用户登录docker仓库(一登录),在kubelet的systemd unit文件中加入User=root,重启kubelet。
1
2
3
4
5
6
7
8
9
|
#注意,我这里是用二进制安装的集群,如果你是用kubeadm安装的,需要找到对应的文件
$ vim /etc/systemd/system/kubelet.service
......
[Service]
User=root #加入此行
......
$ systemctl daemon-reload
$ systemctl restart kubelet
|
执行完以上操作之后,再重新部署服务,就可以正常拉取镜像了。
方案三
创建docker registry认证的Secret。
1
2
3
4
5
6
7
8
9
10
|
# 注意secret不会同步到所有的命名空间 如果是多个命名空间 需要单独都创建
$ kubectl create secret docker-registry aliyunregistry --docker-server=XXXXXXX --docker-username=xxxx --docker-password=xxxxx --docker-email=test@gmail.com
$ vim bxpp.yaml
......
spec:
imagePullSecrets: # 加入这个参数
- name: aliyunregistry
containers:
......
$ kubectl apply -f bxpp-test.yaml
|
执行完以上操作之后,再重新部署服务,就可以正常拉取镜像了。
参考链接
官方文档
官方issues
Author
dylan
LastMod
2021-03-16
License
如需转载请注明文章作者和出处。谢谢!