镜像拉取凭证(Image Pull Credentials)是一种用于验证身份并获取访问 Docker Registry 的凭据,以便能够从私有 Docker Registry 中拉取镜像。在 Kubernetes 中,这些凭证通常以 Secret 对象的形式存在。
默认情况下,在 Kubernetes 集群中使用 kubectl 或 kubelet 拉取镜像时,不需要提供任何凭证。但是如果您的应用程序需要从私有 Registry 中拉取镜像,则必须为该 Registry 提供相应的认证信息。
Kubernetes 支持以下两种类型的 Image Pull Credentials:
- Service Account:在 Kubernetes 集群中每个命名空间都自动创建了一个默认的 Service Account,并与一个默认的 Secret 对象关联,其中包含了访问各种 Kubernetes API 的 token 以及与该 Service Account 关联的 Docker Registry 认证信息。可以通过修改该 Secret 对象来添加或更新 Docker Registry 认证信息。
- 用户提供:在 Pod 的 YAML 文件中明确指定认证信息,例如使用
imagePullSecrets
字段指定所需的 Secret 对象名称和对应的命名空间。
总之,无论您选择哪种方式,都需要提供有效的认证信息才能从私有 Registry 中拉取镜像。