概述

安裝免密拉取插件cube-credential-helper，可以使云容器引擎集群免密拉取容器鏡像服務企業版和個人版的私有鏡像，簡化工作負載的發布流程。

安裝步驟

1. 登陸云容器引擎控制臺。

2. 左側導航欄點擊"集群"。

3. 在集群管理頁面點擊已有集群名稱進入集群信息頁面。

4. 左側導航欄點擊"插件" - "插件市場"，在頁面中找到cube-credential-helper插件并安裝。

   

使用步驟

前置條件

已創建容器鏡像服務實例。

配置參數

namespaces和serviceAccounts參數指定插件生效的命名空間和serviceAccount。

# 使免密拉取插件作用于集群指定的Namespace
# 默認值為"default"。當取值為"*"時，表示期望所有Namespace均能免密拉取。如需配置多個Namespace時，以英文半角逗號（,）分隔。
namespaces: "default"

# 使免密拉取插件作用于集群指定的ServiceAccount
# 默認值為"default"。當取值為"*"時， 表示支持指定命名空間下的所有ServiceAccount。如需配置多個ServiceAccount時,以英文半角逗號（,）分隔。
serviceAccounts: "default"

credentials參數指定鏡像拉取憑證，注意需要填寫實際的CRS實例的內網地址、用戶名和密碼，否則免密拉取插件不生效。

# 鏡像拉取憑證，支持配置多個。需要將以下樣例中的CRS實例的內網地址、用戶名和密碼替換為實際值。
credentials:
  - registry: "registry-huadong1.crs-internal.daliqc.cn" # CRS實例的內網地址
    username: "username" # CRS實例的用戶名
    password: "password" # CRS實例的密碼

免密拉取驗證

在云容器引擎控制臺新建工作負載，使用插件指定的命名空間和serviceAccount（非顯示指定時，工作負載默認使用default serviceAccount），拉取插件指定的鏡像服務實例中的私有鏡像時，可實現無需鏡像拉取憑證即可成功拉取鏡像并運行。
 

修改配置

安裝完插件后，如果需要修改插件配置，可以在"配置管理" - "配置項"頁面找到kube-system命名空間下cube-credential-helper配置項，并修改其中的appConfig.yaml變量。

修改完成后，配置生效需要大約1分鐘時間。注意要保證配置的格式正確，否則會導致配置無法生效。