使用 Azure 容器注册表从 Kubernetes 进行身份验证的方案

可以使用 Azure 容器注册表作为 Kubernetes 的容器映像源,包括你管理的群集、托管在 Azure Kubernetes 服务 (AKS) 或其他云中的托管群集,以及“本地”Kubernetes 配置(如 minikubekind)。

若要从 Azure 容器注册表将映像拉取到 Kuberentes 群集,需要建立身份验证和授权机制。 根据群集环境,选择以下方法之一:

方案

Kubernetes 群集 身份验证方法 说明 示例
AKS 群集 AKS 托管标识 启用 AKS kubelet 托管标识,从附加的 Azure 容器注册表拉取映像。

注册表和群集必须在相同的 Active Directory 租户中,但可以在相同或不同的 Azure 订阅中。
使用 Azure 容器注册表从 Azure Kubernetes 服务进行身份验证
AKS 群集 AKS 服务主体 启用对目标 Azure 容器注册表具有权限的 AKS 服务主体

注册表和群集可以位于相同的或不同的 Azure 订阅或 Microsoft Entra 租户中。
将映像从 Azure 容器注册表拉取到不同 AD 租户中的 AKS 群集
AKS 以外的 Kubernetes 群集 Pod imagePullSecrets 使用常规 Kubernetes 机制管理 Pod 部署的注册表凭据。

配置 AD 服务主体、存储库范围的令牌或其他支持的注册表凭据
使用拉取机密将映像从 Azure 容器注册表拉取到 Kubernetes 群集

后续步骤