#Управление образами

С Alauda Container Platform вы можете взаимодействовать с образами в зависимости от того, где расположены реестры этих образов, какие требования аутентификации предъявляются к этим реестрам и как вы хотите, чтобы вели себя ваши сборки и развертывания.

#Политика загрузки образов

В каждом container в pod есть container image. После того как вы создали образ и отправили его в реестр, вы можете затем ссылаться на него в pod.

#Обзор политики загрузки образов

Когда Alauda Container Platform создает container, она использует параметр container imagePullPolicy, чтобы определить, нужно ли загружать образ перед запуском container. Для imagePullPolicy доступны три возможных значения:

Значения imagePullPolicy в таблице:

Если параметр imagePullPolicy для container не указан, Alauda Container Platform задает его на основе тега образа:

1. Если тег — latest, Alauda Container Platform по умолчанию устанавливает для imagePullPolicy значение Always.
2. В противном случае Alauda Container Platform по умолчанию устанавливает для imagePullPolicy значение IfNotPresent.

#Использование секретов для загрузки образов

Если вы используете image registry Alauda Container Platform, то у вашей pod service account уже должны быть правильные разрешения, и никаких дополнительных действий не требуется.

Однако в других сценариях, например при ссылке на образы между проектами Alauda Container Platform или из защищенных реестров, требуются дополнительные шаги настройки.

#Разрешение pod использовать образы из других защищенных реестров

Чтобы загрузить защищенный container из других частных или защищенных реестров, необходимо создать pull secret на основе учетных данных вашего container client, например Podman, и добавить его в ServiceAccount.

Container clients используют файл конфигурации для хранения данных аутентификации при входе в защищенный или незащищенный registry:

Эти файлы хранят ваши данные аутентификации, если вы ранее входили в защищенный или незащищенный registry.

#Создание pull secret

Вы можете получить image pull secret, чтобы загрузить образ из частного container image registry или repository. Вы можете обратиться к Pull an Image from a Private Registry.

#Использование pull secret в рабочей нагрузке

Вы можете использовать pull secret, чтобы позволить рабочим нагрузкам загружать образы из частного registry, одним из следующих способов:

• Связав secret с ServiceAccount, что автоматически применит secret ко всем pod, использующим этот ServiceAccount.
• Определив imagePullSecrets в спецификации pod, что полезно для таких сред, как GitOps или ArgoCD.

Вы можете использовать secret для загрузки образов для pod, добавив secret в свой ServiceAccount. Обратите внимание, что имя ServiceAccount должно совпадать с именем ServiceAccount, который использует pod.

Пример вывода:

apiVersion: v1
imagePullSecrets:
- name: default-cfg-123456
- name: <pull_secret_name>
kind: ServiceAccount
metadata:
  name: default
  namespace: default
secrets:
- name: <pull_secret_name>

Вместо того чтобы связывать secret с ServiceAccount, вы можете напрямую сослаться на него в определении pod или рабочей нагрузки. Это полезно для рабочих процессов GitOps, таких как ArgoCD. Например:

Пример спецификации pod:

apiVersion: v1
kind: Pod
metadata:
  name: <secure_pod_name>
spec:
  containers:
  - name: <container_name>
    image: your.registry.io/my-private-image
  imagePullSecrets:
  - name: <pull_secret_name>

Пример workflow ArgoCD:

apiVersion: argoproj.io/v1alpha1
kind: Workflow
metadata:
  generateName: <example_workflow>
spec:
  entrypoint: <main_task>
  imagePullSecrets:
  - name: <pull_secret_name>