Kubernetes在自动pull私有镜像时，经常出现问题，导致ImagePullBackOff。查看kubectl describe pod ...，还经常发现这类错误：

这是因为没有正确配置pull权限所致。

~/.docker/config.json无效

首先，不要寄望于~/.docker/config.json。与Docker Swarm不同，Kubernetes不会使用这里的配置来pull。

当然，用docker login测试过账户、密码、Registry、镜像均无误后，再走下一步，是更好的选择。

使用imagePullSecrets

通过创建docker-registry类的secrets，可以实现类似docker login的功能。

其中，server、username和password都是必填项，email可以不填。

在使用时，把imagePullSecrets添加到Pod配置中。

其中，regcred为secrets名称，可随意指定。

注意Namespace

即使创建了secrets、配置了imagePullSecrets，有时仍然无法pull镜像。比如Calico的相关镜像，如果被同步到了本地一个私有Registry中，一般配置时无效的。

这是因为，Calico属于系统Network组件，Namespace是kube-system。而一般创建的secrets，属于default。通过以下命令可以查看特定secrets的详细信息。

在创建secrets时需要指定Namespace：

不同Namespace，secrets可以同名，所以仍然可以叫regcred。

注意：或者，在secrets创建后可以修改一些内容：

但不能修改Namespace。所以，必须在创建时准确指定。

用patch避免设置imagePullSecrets

每个私有镜像在使用前，都需要设置imagePullSecrets，这是一件非常繁琐的事。在迁移服务时，它能有效地提醒secrets的迁移。这是一个优点，但能被良好的迁移文档所解决。

用patch可以避免这么繁琐。

这相当于，在default这个Namespace中的所有镜像pull操作，都自动具备了regcred这个账户密码。

终于，和docker login一样了。

注意：这里的示例只针对default这个Namespace。其它的Namespace需要一一执行patch。某些场景下，比如网络组件Calico，似乎只能老老实实地写imagePullSecrets。

对k8s系统镜像无效

系统镜像中，kube-proxy、pause是在所有Slave节点都需要使用的。如果这些系统镜像被设为私有，则无法下载。以上方法无效，原因不明。

所以，k8s系统镜像，即使同步到了本地Registry，也不要设为私有。

参考

• Pull an Image from a Private Registry - Kubernetes

• Images - Kubernetes

• Secrets - Kubernetes

• Namespaces - Kubernetes

• kubernetes does not pull images from private repositories

• k8s v1.8.13 拉取私有镜像仓库镜像失败问题处理笔记 | ky.yang

作者：匿蟒

原文：https://note.qidong.name/2019/01/pull-private-images-in-k8s/