我最近创建了一个私有GKE kubernetes集群来运行Web服务,发现它已经被完全锁定并且不应该具有任何出站Internet访问权限,但是可以访问GCP服务。我很乐意将容器映像推送到私有GCP存储库。
但是我发现奇怪的是,在安装了一些公共领域掌舵图之后,有些图像是从docker hub和其他公共注册表中提取的,而有些不是。
我使用的是可抢占式节点,因此我以前部署的某些图表已替换了基础节点,并且替换显示图像拉出错误。
这是由于GKE服务的多租户性质吗?也许某些主机可能已经缓存了图像,所以实际上不提取图像吗?
一个例子
mongo:3.6
在一个吊舱上悬挂了24小时以上,然后最终被三个吊舱拉住,但这是Docker枢纽参考
答案 0 :(得分:4)
因此,看起来Google反映了许多受欢迎的公共存储库。这就解释了为什么即使没有Internet访问也可以提取许多更常见的公共图像,而您基本上只是从Google的回购(通过私有访问API来访问)中提取。
我猜某些图像没有被镜像,而那些是挂起的。