使用 Azure 容器注册表从 Kubernetes 进行身份验证的方案
可以使用 Azure 容器注册表作为 Kubernetes 的容器映像源,包括你管理的群集、托管在 Azure Kubernetes 服务 (AKS) 或其他云中的托管群集,以及“本地”Kubernetes 配置(如 minikube 和 kind)。
若要从 Azure 容器注册表将映像拉取到 Kuberentes 群集,需要建立身份验证和授权机制。 根据群集环境,选择以下方法之一:
方案
| Kubernetes 群集 | 身份验证方法 | 说明 | 示例 |
|---|---|---|---|
| AKS 群集 | AKS 托管标识 | 启用 AKS kubelet 托管标识,从附加的 Azure 容器注册表拉取映像。 注册表和群集必须在相同的 Active Directory 租户中,但可以在相同或不同的 Azure 订阅中。 |
使用 Azure 容器注册表从 Azure Kubernetes 服务进行身份验证 |
| AKS 群集 | AKS 服务主体 | 启用对目标 Azure 容器注册表具有权限的 AKS 服务主体。 注册表和群集可以位于相同的或不同的 Azure 订阅或 Microsoft Entra 租户中。 |
将映像从 Azure 容器注册表拉取到不同 AD 租户中的 AKS 群集 |
| AKS 以外的 Kubernetes 群集 | Pod imagePullSecrets | 使用常规 Kubernetes 机制管理 Pod 部署的注册表凭据。 配置 AD 服务主体、存储库范围的令牌或其他支持的注册表凭据。 |
使用拉取机密将映像从 Azure 容器注册表拉取到 Kubernetes 群集 |
后续步骤
- 详细了解如何使用 Azure 容器注册表进行身份验证