可否像 docker-compose 一样通过指定 Dockerfile 来自行构建镜像? 在真实的生产环境中，是怎样做到 k8s 拿到自己开发的应用程序的镜像的？我猜测有两种方案：第一种：搭建私有镜像仓库，在本地 build 然后 push 到私有仓库，然后 k8s 从私有仓库拉取镜像第二种：docker client 远程连接到 k8s 集群所在的服务器上的 docker server，将应用镜像构建到服务器本地，然后 k8s 从本地获取镜像真实世界里，大家一般是采取的哪种方案，或者两者都不是？这两种方案有什么利弊吗？请分别做回答 2019.12.03 更新：问题已解决，第二种方案不可行的原因在于在 k8s 多节点的情况下无法保证每个节点本地都有镜像，而条件已经限制创建 Pod 要从节点本地拉取镜像。除了第一种方案外，还有更先进的 CI/CD 方案：代码 --push--> 代码仓库 --触发--> CI/CD 软件拉取代码、构建镜像 --push image--> 私有镜像仓库之后 k8s 从私有镜像仓库拉取镜像。

第一种。 k8s 本身不应该关心镜像是什么构建的，它只负责部署，而第二种方式恰恰是耦合在一起了。 k8s 支持指定 registry，且是和 k8s 所在的宿主机 /etc/docker/daemon.json 的配置分离的，不需要也不应该去改 k8s 宿主机 docker-client 的配置，一切都应该通过 k8s 本身去完成。常见的私有仓库的搭建方式有： registry ：由 docker 官方提供的私有仓库镜像，只提供了基本的基于账号密码的安全策略。 harbor ：在 registry 基础上做的企业级服务，提供了基于角色的安全策略；使用比较复杂，但对有审计、LDAP、二次开发等方面的需要，用它是最顺手的。 nexus ：一种支持多种格式的私有仓库，除 docker 外还支持 apt / yum / nuget / maven / npm 等；可通过插件支持多种安全策略。除此之外，还有很多云厂商也提供了私有仓库的云服务，如阿里云的容器镜像服务、AWS 的 Amazon Elastic Container Registry 等等。

k8s 镜像必须从仓库拉取吗，可否自行构建？

Xavier

44811125

发布于
2019-11-21

更新于
2019-12-03

可否像 docker-compose 一样通过指定 Dockerfile 来自行构建镜像?
在真实的生产环境中，是怎样做到 k8s 拿到自己开发的应用程序的镜像的？我猜测有两种方案：
- 第一种：搭建私有镜像仓库，在本地 build 然后 push 到私有仓库，然后 k8s 从私有仓库拉取镜像
- 第二种：docker client 远程连接到 k8s 集群所在的服务器上的 docker server，将应用镜像构建到服务器本地，然后 k8s 从本地获取镜像
真实世界里，大家一般是采取的哪种方案，或者两者都不是？这两种方案有什么利弊吗？
请分别做回答

2019.12.03 更新：

问题已解决，第二种方案不可行的原因在于在 k8s 多节点的情况下无法保证每个节点本地都有镜像，而条件已经限制创建 Pod 要从节点本地拉取镜像。

除了第一种方案外，还有更先进的 CI/CD 方案：

代码  --push-->  代码仓库  --触发-->  CI/CD 软件拉取代码、构建镜像  --push image-->  私有镜像仓库

之后 k8s 从私有镜像仓库拉取镜像。

kubernetes docker docker-registry docker-compose

阅读 11.6k

3 个回答

得票最新

然后去远足

42.9k103763

发布于
2019-11-22

✓ 已被采纳

第一种。

k8s 本身不应该关心镜像是什么构建的，它只负责部署，而第二种方式恰恰是耦合在一起了。

k8s 支持指定 registry，且是和 k8s 所在的宿主机 /etc/docker/daemon.json 的配置分离的，不需要也不应该去改 k8s 宿主机 docker-client 的配置，一切都应该通过 k8s 本身去完成。

常见的私有仓库的搭建方式有：

registry：由 docker 官方提供的私有仓库镜像，只提供了基本的基于账号密码的安全策略。
harbor：在 registry 基础上做的企业级服务，提供了基于角色的安全策略；使用比较复杂，但对有审计、LDAP、二次开发等方面的需要，用它是最顺手的。
nexus：一种支持多种格式的私有仓库，除 docker 外还支持 apt / yum / nuget / maven / npm 等；可通过插件支持多种安全策略。
除此之外，还有很多云厂商也提供了私有仓库的云服务，如阿里云的容器镜像服务、AWS 的 Amazon Elastic Container Registry 等等。

Yujiaao

12.7k62146

发布于
2019-11-22

更新于
2019-11-22

一定要搭建私有镜像的：第一是速度问题，第二是安全问题，私有镜像出于保密的原因不应该上传到公开的docker hub上。
常用的镜像软件有： harbor

konakona

1062720

发布于
2019-12-03

推荐使用Harbor 基于docker-compose搭建一下，不用在k8s里部署，当然也可以在k8s里部署，会麻烦一些。

安装好harbor后，确保能够通过https://hub.domain.com 访问。然后在kubectl里执行 :

kubectl create secret docker-registry regcred --docker-server=hub.domain.com --docker-username=xxxx --docker-password=xxxx --namespace=xxxx

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

k8s 镜像必须从仓库拉取吗，可否自行构建？

你尚未登录，登录后可以

Docker 构建 Nginx 镜像时如何增加 stub_status 模块？

如何部署WGCLOUD的agent?

如何在 Docker 启动的 Jenkins 容器中支持 Docker Compose 功能？

如何解决AMHPOD容器在IP地址变更后的访问问题？

运行docker命令时，ampod卡住了，如何解决？

有没有什么集群路由器管理系统?

docker 运行redis容器遇到不断重启的问题如何解决?