GKE su AWS offre un modo per estrarre immagini private da Artifact Registry o Container Registry senza dover utilizzare un secret Kubernetes. In precedenza, dovevi eseguire i seguenti passaggi:
- Crea un account di servizio Google Identity and Access Management (IAM).
- Concedi al account di servizio le autorizzazioni per accedere al registro privato.
- Scarica la chiave del account di servizio e salvala come secret Kubernetes nel tuo cluster.
- Fai riferimento a questo secret nel manifest YAML per pod o deployment in modo che possano accedere alle immagini dal repository di container privato.
- Esegui regolarmente la rotazione e la gestione delle chiavi associate al account di servizio Google IAM.
GKE su AWS elimina tutti questi passaggi manuali e gestisce automaticamente l'autenticazione e l'autorizzazione necessarie per il pull delle immagini private.
Prima di iniziare
Per eseguire i passaggi descritti in questa pagina, completa prima le seguenti operazioni:
- Crea un cluster.
- Crea un node pool.
Crea un'immagine Docker ed eseguirne il push su Artifact Registry. Gli esempi in questa pagina utilizzano il container
hello-app. Per creare questo container, segui i passaggi per creare un'immagine container ed eseguire il push dell'immagine Docker in Artifact Registry, che fanno parte della documentazione di GKE su Google Cloud .Esegui l'upgrade alla versione 1.28 di GKE su AWS per poter eseguire il pull di immagini private da Artifact Registry o Container Registry senza dover utilizzare un secret Kubernetes.
Controllare le immagini su Artifact Registry
Per completare il resto di questi passaggi, hai bisogno di un'immagine container. Ottieni il nome delle tue immagini container seguendo questi passaggi:
Configura lo strumento a riga di comando Docker per eseguire l'autenticazione su Artifact Registry con Google Cloud SDK:
gcloud auth configure-dockerGoogle Cloud CLI registra un assistente per le credenziali per tutti i registry Docker supportati da Google.
Verifica che Artifact Registry includa un'immagine con il comando
docker images:docker imagesDocker si connette ad Artifact Registry e restituisce le immagini disponibili nel tuo repository. Ad esempio, la seguente risposta mostra un'immagine container denominata
hello-appnel repositoryPROJECT_NAMEsuus-west1-docker.pkg.dev.REPOSITORY TAG IMAGE ID CREATED SIZE us-west1-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app v1 f7cfe0d58569 21 minutes ago 11.5MB
Se non hai un'immagine container pronta, creane una seguendo i passaggi descritti in Deployment di un'applicazione containerizzata.
Crea pod con immagini private senza segreti di pull delle immagini
Per creare un pod che possa accedere a un'immagine container privata da un registro, non devi più fornire il campo spec.imagePullSecrets nella specifica del pod. Per configurare il tuo Pod:
Crea una definizione di pod senza il campo
spec.imagePullSecrets:apiVersion: v1 kind: Pod metadata: name: POD_NAME spec: containers: - name: CONTAINER_NAME image: LOCATION-docker.pkg.dev/PROJECT_NAME/REPOSITORY_NAME/IMAGE_NAME:IMAGE_VERSIONSostituisci quanto segue:
POD_NAME: il nome del pod.CONTAINER_NAME: il nome del container all'interno del pod.LOCATION: la regione Google Cloud che contiene il tuo registro. Ad esempio:us-west1.PROJECT_NAME: il nome del progetto Google che ospita il repository Artifact Registry, che potrebbe essere lo stesso del progetto del cluster. Se il repository si trova in un progetto diverso, consulta Utilizzare Artifact Registry quando non si trova nello stesso progetto del cluster per altri passaggi.REPOSITORY_NAME: il nome del tuo repository.IMAGE_NAME: il nome dell'immagine.IMAGE_VERSION: la versione dell'immagine.
Applica la configurazione al cluster con
kubectl:kubectl apply -f YAML_FILE_NAMESostituisci
YAML_FILE_NAMEcon il nome del file YAML.
Esempio di creazione di pod senza secret di pull delle immagini
Di seguito è riportato un esempio di creazione di un pod Kubernetes senza la necessità di segreti di pull delle immagini. Il pod estrae l'immagine hello-app da
Artifact Registry.
Per estrarre l'immagine
hello-app, copia il seguente codice YAML in un file denominatohello-pod.yaml:apiVersion: v1 kind: Pod metadata: name: hello-pod spec: containers: - name: hello-container image: us-west1-docker.pkg.dev/example-project/hello-repo/hello-app:v1Applica la configurazione al cluster con
kubectl:kubectl apply -f hello-pod.yamlVerifica che il pod sia in esecuzione con
kubectl get:kubectl get pod/hello-podLa risposta include un pod con lo stato
Running.NAME READY STATUS RESTARTS AGE hello-pod 1/1 Running 0 15s
Crea deployment con immagini private senza segreti di pull delle immagini
Per creare un
Deployment
che possa accedere a un'immagine container privata da un registro, non devi più
fornire il campo spec.imagePullSecrets nella specifica del deployment.
Per configurare la deployment:
Crea una definizione di deployment senza il campo
spec.imagePullSecrets:apiVersion: apps/v1 kind: Deployment metadata: name: DEPLOYMENT_NAME spec: replicas: NUMBER_OF_REPLICAS template: spec: containers: - name: CONTAINER_NAME image: LOCATION-docker.pkg.dev/PROJECT_NAME/REPOSITORY_NAME/IMAGE_NAME:IMAGE_VERSIONSostituisci quanto segue:
DEPLOYMENT_NAME: il nome del deployment.NUMBER_OF_REPLICAS: il numero di istanze del pod definito nel deployment che devono essere in esecuzione in un determinato momento.CONTAINER_NAME: il nome del container all'interno del pod.LOCATION: la regione Google Cloud che contiene il tuo registro. Ad esempio:us-west1.PROJECT_NAME: il nome del progetto Google che ospita il repository Artifact Registry, che potrebbe non corrispondere a quello del cluster. Se il repository si trova in un progetto diverso, consulta Utilizzare Artifact Registry quando non si trova nello stesso progetto del cluster per altri passaggi.REPOSITORY_NAME: il nome del tuo repository.IMAGE_NAME: il nome dell'immagine.IMAGE_VERSION: la versione dell'immagine.
Applica la configurazione al cluster con
kubectl.kubectl apply -f name-of-your-yaml-file.yaml
Esempio di creazione di un deployment senza segreti di pull delle immagini
Ecco un esempio di creazione di un deployment senza segreti di pull delle immagini. Il
deployment estrae un'immagine hello-app da Artifact Registry.
Crea un file denominato
hello-deployment.yamlcon i seguenti contenuti:apiVersion: apps/v1 kind: Deployment metadata: name: hello-app-deployment spec: selector: matchLabels: app: products department: sales replicas: 3 template: metadata: labels: app: products department: sales spec: containers: - name: hello image: LOCATION-docker.pkg.dev/PROJECT_NAME/hello-repo/hello-app:v1 env: - name: "PORT" value: "50001"Sostituisci quanto segue:
LOCATION: la regione Google Cloud che contiene il tuo registro. Ad esempio:us-west1.PROJECT_NAME: il nome del progetto Google che ospita il repository Artifact Registry, che potrebbe non corrispondere al progetto del cluster. Se il repository si trova in un progetto diverso, consulta Utilizzare Artifact Registry quando non si trova nello stesso progetto del cluster per altri passaggi.
Applica la configurazione al cluster con
kubectl.kubectl apply -f hello-deployment.yamlVerifica che il deployment sia in esecuzione con
kubectl pods.kubectl get pods --selector=app=productsL'output mostra tre pod
Running.NAME READY STATUS RESTARTS AGE hello-app-deployment-67d9c6d98c-b69f2 1/1 Running 0 14m hello-app-deployment-67d9c6d98c-d6k5c 1/1 Running 0 14m hello-app-deployment-67d9c6d98c-p2md5 1/1 Running 0 14m
Utilizzare Artifact Registry quando non si trova nello stesso progetto del cluster
Per utilizzare un repository Artifact Registry in un progetto Google diverso da quello che contiene il cluster, segui questi passaggi:
Concedi al account di servizio delle istanze di macchine virtuali del pool di nodi del tuo cluster, noto come agente di servizio della macchina del node pool, le autorizzazioni necessarie per accedere a questo registro.
gcloud projects add-iam-policy-binding AR_PROJECT_ID \
--member=NODE_POOL_MACHINE_SERVICE_AGENT \
--role=ROLE
Questo passaggio garantisce che il cluster possa recuperare gli artefatti dal registro in quel progetto separato.
Sostituisci quanto segue:
AR_PROJECT_ID: l'ID del progetto Google che ospita Artifact Registry.NODE_POOL_MACHINE_SERVICE_AGENT: l'account di servizio per il node pool del tuo cluster, nel seguente formato:service-CLUSTER_RESOURCE_PROJECT_NUMBER@gcp-sa-gkemulticloudnpmachine.iam.gserviceaccount.comROLE: il ruoloroles/artifactregistry.readero un ruolo personalizzato che concede autorizzazioni sufficienti per accedere alle immagini nel repository Artifact Registry.
Utilizzare Google Container Registry privato
Per integrare un Google Container Registry privato con il cluster GKE su AWS, indipendentemente dalla posizione del progetto Google, segui questi passaggi:
Consenti al service agent della macchina del node pool, il account di servizio per le istanze di macchine virtuali del pool di nodi del cluster, di accedere a Container Registry:
gcloud projects add-iam-policy-binding GCR_PROJECT_ID \
--member=NODE_POOL_MACHINE_SERVICE_AGENT \
--role=ROLE
Questo passaggio consente l'accesso del account di servizio del cluster alle immagini dei container privati.
Sostituisci quanto segue:
GCR_PROJECT_ID: l'ID del progetto che ospita Container Registry.NODE_POOL_MACHINE_SERVICE_AGENT: il account di servizio del pool di nodi, nel formatoservice-CLUSTER_RESOURCE_PROJECT_NUMBER@gcp-sa-gkemulticloudnpmachine.iam.gserviceaccount.com.ROLE: sceglistorage.objectViewero un ruolo personalizzato per un accesso sufficiente a Container Registry. Fai attenzione all'accesso ampio constorage.objectViewer.
Esegui la pulizia
Per rimuovere le risorse che hai creato in questa pagina, esegui questi comandi:
kubectl apply -f POD_YAML_FILE
kubectl delete -f DEPLOYMENT_YAML_FILE
Sostituisci quanto segue:
POD_YAML_FILE: il nome del file YAML in cui hai definito il pod.DEPLOYMENT_YAML_FILE: il nome del file YAML in cui hai definito il deployment.
Passaggi successivi
- Leggi la panoramica di Artifact Registry.