【问题标题】:Kubernetes pull private external amazon ECR imagesKubernetes 拉取私有外部亚马逊 ECR 镜像
【发布时间】:2018-06-24 05:14:40
【问题描述】:

我有一个带有 K8S 集群的 Amazon 账户,该集群能够从同一账户的 ECR 存储库中提取图像。

但是,我的公司在另一个 ECR 存储库中有另一个帐户。如何从这个“外部”ECR 存储库中提取图像?

我也是 Rancher 用户,我曾经通过安装一个特殊的容器 (https://github.com/rancher/rancher-ecr-credentials) 来完成这项工作。

Kubernetes 有什么等价物吗?

感谢您的宝贵帮助

【问题讨论】:

  • 您是否考虑过设置节点 IAM 角色以允许访问另一个帐户中的注册表?如果这不是您可以做的事情,那么必须有某种方法可以编写脚本来创建一个秘密,该秘密会在它们到期时获得刷新的凭据。

标签: amazon-web-services kubernetes amazon-ecs


【解决方案1】:

由于您已经设置了从同一账户提取图像的设置,因此您可以使用 IAM 策略级别或 ECR 权限执行此操作,在您的其他 AWS 账户中设置一个指定 AWS 帐号(其中 k8s 所在)的策略可以拉图片

例如在 ECR 权限选项卡中授予拉取权限

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "k8s-aws-permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::aws_account_number:root"
            },
            "Action": [
                "ecr:GetDownloadUrlForLayer",
                "ecr:BatchGetImage",
                "ecr:BatchCheckLayerAvailability"
            ]
        }
    ]
}

【讨论】:

  • 谢谢!没想到^^
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2018-04-09
  • 2022-09-23
  • 1970-01-01
  • 2022-12-03
  • 1970-01-01
  • 2023-03-31
相关资源
最近更新 更多