kubelet下载pod镜像时,docker口令文件的查找顺序

Tags: kubernetes 

目录

说明

kubernetes1.7.6中,kubelet拉取Pod的镜像时,首先使用Pod中指定的ImagePullSecrets。

如果没有指定,先依次到”–root-dir(默认是/var/lib/kubelet)”、”./”,”$HOME/.docker/”、”/.docker/”中查找config.json文件。

如果没有找到config.json,再按照同样的顺序查找.dockercfg文件。

拉取镜像的过程

pkg/kubelet/kubelet.go中,Kubelet的syncPod方法中:

1626   pullSecrets := kl.getPullSecretsForPod(pod)

kl.getPullSecretsForPod()读取pod中的ImagePullSecrets:

func (kl *Kubelet) getPullSecretsForPod(pod *v1.Pod) []v1.Secret {
    pullSecrets := []v1.Secret{}

    for _, secretRef := range pod.Spec.ImagePullSecrets {
        secret, err := kl.secretManager.GetSecret(pod.Namespace, secretRef.Name)
        if err != nil {
            glog.Warningf("Unable to retrieve pull secret %s/%s for %s/%s due to %v.  The 
image pull may not succeed.", pod.Namespace, secretRef.Name, pod.Namespace, pod.Name, err)
            continue
        }

        pullSecrets = append(pullSecrets, *secret)
    }

    return pullSecrets
}

之后将pullSecrets传入SyncPod:

1629    result := kl.containerRuntime.SyncPod(pod, apiPodStatus, podStatus, pullSecrets, kl.backOff)

SyncPod在pkg/kubelet/kuberuntime/kuberuntime_manager.go中实现:

545 func (m *kubeGenericRuntimeManager) SyncPod(pod *v1.Pod, _ v1.PodStatus, 
		podStatus *kubecontainer.PodStatus, pullSecrets []v1.Secret, 
		backOff *flowcontrol.Backoff) (result kubecontainer.PodSyncResult) {
}
	...
	if msg, err := m.startContainer(podSandboxID, podSandboxConfig, container, pod, podStatus, pullSecrets, podIP); err != nil {
	...

在startContainer()中,拉取了Pod的镜像:

// * run the post start lifecycle hooks (if applicable)
81  func (m *kubeGenericRuntimeManager) startContainer(podSandboxID string, podSandboxConfig *runtimeapi.PodSandboxConfig, container *v1.Container, pod *v1.Pod, podStatus *kubecontainer.PodStatus, pullSecrets []v1.Secret, podIP string) (string, error) {
	// Step 1: pull the image.
	imageRef, msg, err := m.imagePuller.EnsureImageExists(pod, container, pullSecrets)
	...

EnsureImageExists()在pkg/kubelet/images/image_manager.go中实现:

86 func (m *imageManager) EnsureImageExists(pod *v1.Pod, container *v1.Container, pullSecrets []v1.Secret) (string, string, error) {
...
130 	m.puller.pullImage(spec, pullSecrets, pullChan)
...

pkg/kubelet/images/puller.go:

func (pip *parallelImagePuller) pullImage(spec kubecontainer.ImageSpec, pullSecrets []v1.Secret, pullChan chan<- pullResult) {
	go func() {
		imageRef, err := pip.imageService.PullImage(spec, pullSecrets)
		pullChan <- pullResult{
			imageRef: imageRef,
			err:      err,
		}
	}()
}

最终调用的是imageService的PullImage,在pkg/kubelet/kuberuntime/kuberuntime_image.go中实现:

func (m *kubeGenericRuntimeManager) PullImage(image kubecontainer.ImageSpec, pullSecrets []v1.Secret) (string, error) {
...
keyring, err := credentialprovider.MakeDockerKeyring(pullSecrets, m.keyring)
...

pkg/credentialprovider/keyring.go实现的MakeDockerKeyring()中完成了imageSecrets的查找,注意这里传入的pullSecrets是从Pod中读取的,如果它是个空的,就返回m.keyring。

pkg/kubelet/kuberuntime/kuberuntime_image.go中找到了kubeGenericRuntimeManager创建的地方:

func NewKubeGenericRuntimeManager(
		....
	kubeRuntimeManager := &kubeGenericRuntimeManager{
		...
		keyring:             credentialprovider.NewDockerKeyring(),
	}

keyring是credentialprovider.NewDockerKeyring()的返回值:

func NewDockerKeyring() DockerKeyring {
	keyring := &lazyDockerKeyring{
		Providers: make([]DockerConfigProvider, 0),
	}

	for name, provider := range providers {
		if provider.Enabled() {
			glog.V(4).Infof("Registering credential provider: %v", name)
			keyring.Providers = append(keyring.Providers, provider)
		}
	}

	return keyring
}

credentialprovider

pkg/credentialprovider目录中的代码用来管理image的访问凭证

其中pkg/credentialprovider/provider.go中注册了一个默认的provider:

func init() {
	RegisterCredentialProvider(".dockercfg",
		&CachingDockerConfigProvider{
			Provider: &defaultDockerConfigProvider{},
			Lifetime: 5 * time.Minute,
		})
}

名称为.dockercfg,Provider为defaultDockerConfigProvider,它的Provide()方法提供了dockerconfig:

// Provide implements dockerConfigProvider
func (d *defaultDockerConfigProvider) Provide() DockerConfig {
	// Read the standard Docker credentials from .dockercfg
	if cfg, err := ReadDockerConfigFile(); err == nil {
		return cfg
	} else if !os.IsNotExist(err) {
		glog.V(4).Infof("Unable to parse Docker config file: %v", err)
	}
	return DockerConfig{}
}

pkg/credentialprovider/config.go:

func ReadDockerConfigFile() (cfg DockerConfig, err error) {
	if cfg, err := ReadDockerConfigJSONFile(nil); err == nil {
		return cfg, nil
	}
	// Can't find latest config file so check for the old one
	return ReadDockercfgFile(nil)
}

ReadDockerConfigJSONFile()读取config.json,ReadDockercfgFile()读取.dockercfg文件,这两个函数读取文件的过程类似。

func ReadDockerConfigJSONFile(searchPaths []string) (cfg DockerConfig, err error) {
	if len(searchPaths) == 0 {
		searchPaths = DefaultDockerConfigJSONPaths()
	}
	...
}

func ReadDockercfgFile(searchPaths []string) (cfg DockerConfig, err error) {
	if len(searchPaths) == 0 {
		searchPaths = DefaultDockercfgPaths()
	}
	...
}

默认的查找路径是:

func DefaultDockerConfigJSONPaths() []string {
	return []string{GetPreferredDockercfgPath(), workingDirPath, homeJsonDirPath, rootJsonDirPath}

这四个路径分别是”/var/lib/kubelet”、”./”,”$HOME/.docker/”、”/.docker/”:

preferredPathLock sync.Mutex
preferredPath     = ""
workingDirPath    = ""
homeDirPath       = os.Getenv("HOME")
rootDirPath       = "/"
homeJsonDirPath   = filepath.Join(homeDirPath, ".docker")
rootJsonDirPath   = filepath.Join(rootDirPath, ".docker")

configFileName     = ".dockercfg"
configJsonFileName = "config.json"

其中GetPreferredDockercfgPath()获取kubelet启动设置路径:

func GetPreferredDockercfgPath() string {
	preferredPathLock.Lock()
	defer preferredPathLock.Unlock()
	return preferredPath
}

func SetPreferredDockercfgPath(path string) {
	preferredPathLock.Lock()
	defer preferredPathLock.Unlock()
	preferredPath = path
}

是在cmd/kubelet/app/server.go中设置的:

credentialprovider.SetPreferredDockercfgPath(kubeCfg.RootDirectory)
编程基础  系统基础  关注跟踪 
Kubernetes  Prometheus  超级账本 


kubernetes

  1. kubernetes 使用:多可用区、Pod 部署拓扑与 Topology Aware Routing
  2. kubernetes 扩展:Cloud Controller Manager
  3. kubernetes 准入:操作合法性检查(Admission Control)
  4. kubernetes 鉴权:用户操作权限鉴定(Authorization)
  5. kubernetes 认证:用户管理与身份认证(Authenticating)
  6. kubernetes 开发:代码生成工具
  7. kubernetes 扩展:operator 开发
  8. kubernetes 扩展:CRD 的使用方法
  9. kubernetes configmap 热加载,inotifywatch 监测文件触发热更新
  10. kubernetes 扩展:扩展点和方法(api/cr/plugin...)
  11. kubernetes 调度组件 kube-scheduler 1.16.3 源代码阅读指引
  12. kubernetes 代码中的 k8s.io 是怎么回事?
  13. 阅读笔记《不一样的 双11 技术,阿里巴巴经济体云原生实践》
  14. kubernetes ingress-nginx 启用 upstream 长连接,需要注意,否则容易 502
  15. ingress-nginx 的限速功能在 nginx.conf 中的对应配置
  16. kubernetes 中的容器设置透明代理,自动在 HTTP 请求头中注入 Pod 信息
  17. kubernetes ingress-nginx 的测试代码(单元测试+e2e测试)
  18. kubernetes ingress-nginx http 请求复制功能与 nginx mirror 的行为差异
  19. kubernetes 基于 openresty 的 ingress-nginx 的状态和配置查询
  20. kubernetes ingress-nginx 0.25 源代码走读笔记
  21. kubernetes ingress-nginx 的金丝雀(canary)/灰度发布功能的使用方法
  22. kubernetes 操作命令 kubectl 在 shell 中的自动补全配置
  23. kubernetes 组件 kube-proxy 的 IPVS 功能的使用
  24. kubernetes initializer 功能的使用方法: 在 Pod 等 Resource 落地前进行修改
  25. kubernetes 版本特性: 新特性支持版本和组件兼容版本
  26. kubernetes API 与 Operator: 不为人知的开发者战争(完整篇)
  27. kubernetes 1.12 从零开始(七): kubernetes开发资源
  28. kubernetes 1.12 从零开始(六): 从代码编译到自动部署
  29. kubernetes 网络方案 Flannel 的学习笔记
  30. kubernetes 1.12 从零开始(五): 自己动手部署 kubernetes
  31. kubernetes 1.12 从零开始(四): 必须先讲一下基本概念
  32. kubernetes 1.12 从零开始(三): 用 kubeadm 部署多节点集群
  33. kubernetes 1.12 从零开始(二): 用 minikube 部署开发测试环境
  34. kubernetes 1.12 从零开始(一): 部署环境准备
  35. kubernetes 1.12 从零开始(零): 遇到的问题与解决方法
  36. kubernetes 1.12 从零开始(初): 课程介绍与官方文档汇总
  37. kubernetes 集群状态监控:通过 grafana 和 prometheus
  38. 一些比较有意思的Kubernetes周边产品
  39. Borg论文阅读笔记
  40. kubelet下载pod镜像时,docker口令文件的查找顺序
  41. kubernetes 的 Client Libraries 的使用
  42. kubernetes的网络隔离networkpolicy
  43. kube-router的源码走读
  44. kubernetes 跨网段通信: 通过 calico 的 ipip 模式
  45. kubernetes的调试方法
  46. kubernetes 与 calico 的衔接过程
  47. 怎样理解 kubernetes 以及微服务?
  48. kubernetes中部署有状态的复杂分布式系统
  49. kubernetes的apiserver的启动过程
  50. kubernetes的api定义与装载
  51. kubernetes的federation部署,跨区Service
  52. kubernetes的编译、打包、发布
  53. kubernetes的第三方包的使用
  54. kubernetes的Storage的实现
  55. kubernetes 的 Apiserver 的 storage 使用
  56. kubernetes的Controller-manager的工作过程
  57. kubernetes的Client端Cache
  58. kubernetes 的 Apiserver 的工作过程
  59. kubernetes的CNI插件初始化与Pod网络设置
  60. kubernetes的Pod变更过程
  61. kubernetes的kubelet的工作过程
  62. kuberntes 的 Cmdline 实现
  63. kubernetes的Pod内挂载的Service Account的使用方法
  64. kubernetes的社区资源与项目参与方式
  65. kubernetes的Kube-proxy的转发规则分析
  66. kubernetes的基本操作
  67. kubernetes在CentOS上的集群部署
  68. kubernetes在CentOS上的All In One部署
  69. 怎样选择集群管理系统?

推荐阅读

Copyright @2011-2019 All rights reserved. 转载请添加原文连接,合作请加微信lijiaocn或者发送邮件: [email protected],备注网站合作

友情链接:  系统软件  程序语言  运营经验  水库文集  网络课程  微信网文  发现知识星球