如何在Minikube中安装CA,以便信任图像提取

时间:2016-09-15 22:32:26

标签: kubernetes docker-registry

我想使用Minikube进行本地开发。它需要访问我的公司内部docker注册表,该注册表是使用第三方证书签名的。

在本地,我会复制证书并运行update-ca-trust extractupdate-ca-certificates,具体取决于操作系统。

对于Minikube vm,如何重新安装证书,注册证书以及docker守护程序,以便docker pull信任服务器?

7 个答案:

答案 0 :(得分:2)

我最近不得不做类似的事情。您应该能够使用minikube ssh跳上机器,然后按照此处的说明进行操作

https://docs.docker.com/engine/security/certificates/#understanding-the-configuration

将CA放在适当的目录中(/etc/docker/certs.d/ [registry hostname] /)。你不应该重启守护进程才能工作。

答案 1 :(得分:0)

您检查过ImagePullSecrets

您可以使用证书创建一个秘密,并让您的pod使用它。

答案 2 :(得分:0)

尽我所知,没有办法做到这一点。下一个最佳选择是在启动时使用insecure-registry选项。 

minikube --insecure-registry=foo.com:5000

答案 3 :(得分:0)

通过以下方式启动迷你管:

minikube start --insecure-registry=internal-site.dev:5244

它将使用--insecure-registry选项启动docker守护程序:

/usr/local/bin/docker daemon -D -g /var/lib/docker -H unix:// -H tcp://0.0.0.0:2376 --label provider=virtualbox --insecure-registry internal-site.dev:5244 --tlsverify --tlscacert=/var/lib/boot2docker/ca.pem --tlscert=/var/lib/boot2docker/server.pem --tlskey=/var/lib/boot2docker/server-key.pem -s aufs

但是这需要连接是HTTP。与Docker registry documentation基本身份验证功能不同,但需要将其放在Kubernetes docsimagePullSecret中。

我还建议阅读“将imagePulSecrets添加到服务帐户”(上面的链接),以便在部署时将秘密添加到所有pod中。请注意,这不会影响已部署的pod。

答案 4 :(得分:0)

装入Minikube。

将您的证书复制到:

/etc/docker/certs.d/<docker registry host>:<docker registry port>

确保您对证书的权限正确,它们必须至少可读。

重新启动Docker(systemctl重新启动docker)

如果您的Docker注册表使用基本身份验证,请不要忘记创建一个秘密:

kubectl create secret docker-registry service-registry --docker-server=<docker registry host>:<docker registry port> --docker-username=<name> --docker-password=<pwd> --docker-email=<email>

答案 5 :(得分:0)

好吧,迷你库具有将~/.minikube/files目录的所有内容复制到其VM文件系统的功能。因此,您可以将证书放在

~/.minikube/files/etc/docker/certs.d/<docker registry host>:<docker registry port> path

,这些文件将在minikube启动时自动复制到正确的目的地。

答案 6 :(得分:0)

对我有用的一个选项是运行 k8s 作业以将证书复制到 minikube 主机...

这就是我过去信任我部署到我的 minikube 中的港口注册表

cat > update-docker-registry-trust.yaml << END
apiVersion: batch/v1
kind: Job
metadata:
name: update-docker-registry-trust
namespace: harbor
spec:
template:
    spec:
    containers:
    - name: update
        image: centos:7
        command: ["/bin/sh", "-c"]
        args: ["find /etc/harbor-certs; find /minikube; mkdir -p /minikube/etc/docker/certs.d/core.harbor-${MINIKUBE_IP//./-}.nip.io; cp /etc/harbor-certs/ca.crt /minikube/etc/docker/certs.d/core.harbor-${MINIKUBE_IP//./-}.nip.io/ca.crt; find /minikube"]
        volumeMounts:
        - name: harbor-harbor-ingress
        mountPath: "/etc/harbor-certs"
        readOnly: true
        - name: docker-certsd-volume
        mountPath: "/minikube/etc/docker/"
        readOnly: false
    restartPolicy: Never
    volumes:
    - name: harbor-harbor-ingress
        secret:
        secretName: harbor-harbor-ingress
    - name: docker-certsd-volume
        hostPath:
            # directory location on host
            path: /etc/docker/
            # this field is optional
            type: Directory
backoffLimit: 4
END
kubectl apply -f update-docker-registry-trust.yaml
相关问题
最新问题