开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

在EKS中使用来自其他帐户的ECR镜像

在Amazon EKS（弹性Kubernetes服务）中使用来自其他AWS帐户的ECR（弹性容器注册表）镜像需要一些额外的步骤来确保安全性和权限

步骤1：跨帐户权限配置

创建IAM角色：在拥有ECR镜像的帐户中，创建一个IAM角色，该角色允许EKS集群所在的帐户访问ECR中的镜像。
配置信任关系：在创建的IAM角色中，添加一个信任关系，允许EKS集群所在的帐户承担此角色。
获取临时凭证：使用AWS CLI或SDK从拥有ECR镜像的帐户中的IAM角色获取临时安全凭证。

步骤2：在EKS集群中使用镜像

更新Kubernetes部署文件：在部署文件中，使用从其他帐户获取的临时凭证来拉取ECR镜像。这通常涉及到在部署文件的imagePullSecrets部分添加一个docker-registry秘密。
创建或更新秘密：在EKS集群所在的帐户中，使用获取的临时凭证创建或更新一个docker-registry秘密。

示例

假设你有两个帐户：Account-A（拥有ECR镜像）和Account-B（运行EKS集群）。

在Account-A中创建IAM角色

登录到Account-A。
创建一个IAM角色，例如EKS-ECR-Access，并附加一个策略，允许Account-B拉取ECR中的镜像。
配置信任关系，允许Account-B承担此角色。

在Account-B中获取临时凭证

使用AWS CLI从Account-A中的IAM角色获取临时凭证：

aws sts assume-role --role-arn arn:aws:iam::ACCOUNT-A-ID:role/EKS-ECR-Access --role-session-name "EKS-Session"

这将返回一组临时凭证（AccessKeyId，SecretAccessKey和SessionToken）。

在EKS集群中使用镜像

使用临时凭证创建或更新docker-registry秘密：

kubectl create secret docker-registry ecr-secret \
  --docker-server=https://ACCOUNT-A-ID.dkr.ecr.region.amazonaws.com \
  --docker-username=AWS \
  --docker-password=<AccessKeyId>:<SecretAccessKey> \
  --docker-email=unused \
  --dry-run=client -o yaml | kubectl apply -f -

更新Kubernetes部署文件，添加imagePullSecrets：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-deployment
spec:
  replicas: 1
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - name: my-container
        image: ACCOUNT-A-ID.dkr.ecr.region.amazonaws.com/my-repo/my-image:latest
      imagePullSecrets:
      - name: ecr-secret

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Harbor应用案例：品高云企业级DevOps实战

经过数年的发展，品高云使用 Harbor 构建了 ECR（私有容器仓库）服务，实现企业账号管理镜像库，支持镜像推送和拉取、安全扫描、跨区复制，对接 EKS（弹性 Kubernetes 服务）和持续交付流程...开发者虽然可以利用品高云的 DevOps 服务创建交付流水线，自动编译源代码和打包、构建 Docker 镜像，并最终将其推送至各种运行环境的 ECR 仓库中，但也面临多套环境下不同镜像版本管理、重复打包和资源浪费等挑战...在多云协作架构下，品高云的 DevOps 服务被部署在主云上，各个云通过对接企业统一认证实现对用户的统一管理，并对其他从云的 EKS 和 ECR 进行纳管。...主云会按照复制策略自动增量地将镜像推送到纳管的其他云的 Harbor 镜像仓库，接着 DevOps 服务根据用户定义的 Helm Charts 编排，将应用部署到EKS集群中。...出于应用灾备或应用多活的目的，将应用部署到其他云环境时，DevOps 服务能够管理多个环境的配置，根据用户指定的云环境，向对应的 EKS 集群下发应用部署的任务。

1.1K1 0

Harbor应用案例：品高云企业级DevOps实战

经过数年的发展，品高云使用 Harbor 构建了 ECR（私有容器仓库）服务，实现企业账号管理镜像库，支持镜像推送和拉取、安全扫描、跨区复制，对接 EKS（弹性 Kubernetes 服务）和持续交付流程...开发者虽然可以利用品高云的 DevOps 服务创建交付流水线，自动编译源代码和打包、构建 Docker 镜像，并最终将其推送至各种运行环境的 ECR 仓库中，但也面临多套环境下不同镜像版本管理、重复打包和资源浪费等挑战...在多云协作架构下，品高云的 DevOps 服务被部署在主云上，各个云通过对接企业统一认证实现对用户的统一管理，并对其他从云的 EKS 和 ECR 进行纳管。...主云会按照复制策略自动增量地将镜像推送到纳管的其他云的 Harbor 镜像仓库，接着 DevOps 服务根据用户定义的 Helm Charts 编排，将应用部署到EKS集群中。...出于应用灾备或应用多活的目的，将应用部署到其他云环境时，DevOps 服务能够管理多个环境的配置，根据用户指定的云环境，向对应的 EKS 集群下发应用部署的任务。

6723 0

基于AWS EKS的K8S实践 - Jenkins自动化部署

基于AWS EKS的K8S实践系列文章是基于企业级的实战文章，一些设置信息需要根据公司自身要求进行设置，如果大家有问题讨论或咨询可以加我微信（公众号后台回复程序员修炼笔记可获取联系方式）。...，目前我这里只需要在部署的时候替换镜像的版本(DEPLOY_IMAGE)，其他的配置如果大家有人力开发自己的持续交付系统，像健康检测的地址Pod的数量也可以做成可配置的，在实际部署时进行替换。...，这里请替换成公司的真实地址 ECR=xxxxxx.dkr.ecr.ap-southeast-3.amazonaws.com ### 定义镜像仓库，需要提前在ECR上建好 REPOSITORY_URI...={ECR}/{PROJECT_NAME} ### 登录AWS ECR，这样后续可以进行镜像的推送 aws ecr get-login-password --region ap-southeast.... ### 构建并推送镜像到ECR docker build -t {IMAGE_NAME} -f .

7841 0

基于弹性容器的AI评测实践

弹性的容器任务在EKS1推出后，作为公司内首批吃螃蟹的业务，我们真正面向客户的一个业务，开始进行了另一种方案的探索，就是用弹性容器任务的方式进行一个评测任务。...[tcrgvjjn84.png] 对每一个评测任务的开发者也是一个很好的福利，开发者甚至可以为所欲为地去做一些事情，不用担心平台的框架不支持，另外也不用担心他所做的事情会影响到其他业务。...评测任务的“弹性” 以下是基于EKS后的整体任务调度流程，我们会把任务封装到一个镜像库，然后调度镜像部署到一个EKS仓库中进行执行，这个就是解决评测任务所面临的不确定性的问题。...[fo3vxfhqdh.png] EKS评测任务的发布过程这是一个更具像化的过程，任务的开发者只需要把开发代码提交到代码库，我们会有一套标准流程将代码封装到镜像里面，在具体流水线调度的时候，会将这个镜像启动到...自从有了EKS之后，我们可以只关注平台架构的一个设计，任务里面需要依赖什么环境，需要什么包，完全都交给任务的一个开发者去设计，然后我们将他所需要的包、环境都打到一个镜像里边，各个任务的镜像又相互独立，然后我就可以很好地通过

8076 5

弹性 Kubernetes 服务：Amazon EKS

Service (EKS)、Amazon LightSail 和 Amazon Elastic Container Registry (ECR)，在本文中，我们将了解 Amazon EKS，它是 AWS...Amazon EKS 可以与其他 AWS 服务集成以预置各种设施，例如，工作节点可由 AWS EC2 实例、用于容器映像的 ECR（弹性容器注册表）、用于隔离资源的 VPC（虚拟私有云）预置。 2....VPC 中的节点负责运行容器镜像或工作负载。AWS 还提供连接这些组件并形成 Kubernetes 集群所需的网络基础设施。...可以在 Amazon EKS 集群中的任何自管理节点、Amazon EKS 控制的节点组和 AWS Fargate 组合上调度 Pod。...AWS Outposts 上的 Amazon EKS 的成本很简单，与部署在 AWS 中的 Amazon EKS 集群的成本相同，您每小时支付 0.10 美元。

3.6K2 0

AWS 容器三大新品：K8s 发行版，免费镜像库和 “Game Changer”AWS Proton

在 2020 年 12 月召开的 AWS re：invent 上，AWS 并没有发白皮书，也没有造新概念，而是老老实实发布了三款产品服务：分别是面向公众的免费容器镜像库服务 ECR Public，自动化的容器和...ECR（Amazon Elastic Container Registry）是 AWS 原本就有的私有的容器镜像库，新的 ECR Public 是公开对外的镜像库服务，私有的容器镜像库严格按存储容量付费...从策略上来看，是在鼓励将更多镜像公开供更多人用。...ECR Public 的网站[1]上目前已经托管了一些容器，包括一部分 AWS 自己的镜像，还有 MySQL、Wordpress 等百上千个 AWS 合作伙伴的镜像，比如来自 Bitnami, Canonical...环境，也便于 EKS Distro 与 Amazon EKS 保持一致，用统一的 API 来对接管理。

1.3K2 0

从Wiz Cluster Games 挑战赛漫谈K8s集群安全

在真实的EKS环境中，会存在这样一种场景：业务集群有大量节点，节点为了保证pod的正常运行，会从远端容器注册表拉取私有镜像。为了保护私有镜像的安全，防止供应链攻击，容器注册表往往会有认证和授权机制。...可以发现Pod 正在运行从ecr镜像仓库中拉取的镜像，但并没有拉取的权限： root@wiz-eks-challenge:~# crane pull 688655246681.dkr.ecr.us-west...pod 中引用的 ECR 镜像。...你正在 EKS 集群上一个易受攻击的 pod 中。Pod 的服务帐户没有权限。你能通过利用 EKS 节点的权限访问服务帐户吗？...重新回到题目“你能通过利用 EKS 节点的权限访问服务帐户吗？”

5051 0

基于k8s一键部署jenkins

最近由于项目需要，把以前在k8s上部署jenkins的内容整理了一下，做了个一键部署。详细的脚本和配置见github 以下是readme的内容....的 CI/CD(二) 在EKS中使用EFS作为存储的几个配置 EFS CSI 安装参考：https://docs.aws.amazon.com/eks/latest/userguide/efs-csi.html...在EKS中使用EFS作为存储时，需要在EKS中安装csi driver 创建storageclass之前需要先执行以下命令，安装驱动 kubectl apply -k "github.com/kubernetes-sigs.../aws-efs-csi-driver/deploy/kubernetes/overlays/stable/ecr/?.../ K8S Pods HPA 这依赖于metrics server采集集群的性能数据配置–max参数的时候需要考虑对应数量的pod所需的计算资源之和小于EKS node总资源的90%（剩余的10%是给

1121 0

当开源遇上云，Amazon EKS Distro 与 KubeSphere 能擦出怎样的火花？

亚马逊云科技在 2020 年 12 月举办的亚马逊 re:Invent 2020 大会上隆重宣布了三款重要的产品：面向公众的免费容器镜像库服务 Amazon ECR Public、自动化的容器和 Serverless...用户可以在自己的自我预置硬件基础设施上部署 Amazon EKS Distro，包括裸机服务器或 VMware vSphere 虚拟机，也可以在 Amazon EC2 实例上部署。...在安全性方面，Amazon EKS Distro 通过利用最新的关键安全补丁更新先前的版本构建，提供对 Kubernetes 版本的扩展支持，并且与 Amazon EKS 版本生命周期策略一致。 ?...Amazon EKS Distro 与 KubeSphere 共同的社区基因同属于开源的 Kubernetes(k8s) 发行版的 Amazon EKS Distro 与 KubeSphere 在技术社区中为用户提供了更丰富的选择...现在，大家已经了解了 Amazon EKS Distro 的优势及其与 KubeSphere 在技术社区中的关系。

1K1 0

Kubernetes的Top 4攻击链及其破解方法

为了在这种情况下减少攻击面，禁用pod配置中的服务帐户自动挂载设置是一种方法。这将阻止服务帐户令牌被挂载到集群中的每个pod，使黑客更难以探测集群并访问其他集群资源。...攻击路径C：供应链攻击针对软件供应链的恶意行为可能涉及利用容器镜像、应用程序依赖关系或在构建和部署Kubernetes应用程序中使用的持续集成和持续交付（CI/CD）流水线中的其他组件的漏洞。...您可以在Git仓库和容器镜像中使用自动化漏洞扫描，以在部署之前发现和修复漏洞。为了确保镜像的来源并防止在应用程序中意外使用受损镜像，请确保验证镜像签名，以确保使用的是预期的镜像。...步骤 2：利用他们窃取来自开发人员或DevOps工程师的版本控制系统（例如Git）的访问令牌。...对策为了降低开发者凭证盗窃的风险，请避免在配置文件中使用明文凭证。

1901 0

深入浅出：一篇文章入门 Drone

例如，在 cypress 测试的具体情况下，这是我们在管道中使用的代码片段 - name: cypress-run-test image: cypress/base:12.19.0 commands...目前，我们的平台[3]有三种神器： Docker 镜像存储在 ECR 上，而我们使用 Nexus 存储库管理器 OSS 来存储 npm 包和 java 库。...例如，在处理 docker 镜像时，使用以下步骤就绰绰有余了： - name: docker-build-publish image: plugins/ecr settings: access_key...-1.amazons.com region: us-west-1 dockerfile: Dockerfile 因此，将使用 pom.xml 中的版本将新版本的镜像推送到您的 ECR 上...在本文中，我们描述了为什么选择 Drone 作为我们的 CD，以及我们如何将它与其他工具一起使用，为我们的工程团队提供一流的体验。

2.8K2 0

腾讯云 Serverless 弹性容器服务 EKS x 可信云：首批+先进级认证

腾讯云弹性容器服务（EKS），云函数（SCF），弹性微服务（TEM）联合其他相关产品，在2021年 Serverless 平台技术能力评估中，共同获得国内首批 Serverless 平台技术能力先进级认证...EKS：原生 K8S Serverless 化产品介绍弹性容器服务 EKS（Elastic Kubernetes Service）是腾讯云容器团队的推出的 Serverless 化 Kubernetes...节省成本按需使用，减少集群预留 buffer，将集群的节点维护在资源利用率更高、使用和预留更合理的水平。更快、更高效的弹性能力，降低提前预留资源的计费周期。免去维护服务器的运维成本。...离线计算场景：使用弹性容器服务 EKS 运行离线计算任务，只需准备容器镜像，即可快速部署任务负载。...技术赋能教育：51Talk 在线教育的 Serverless 及音视频实践在 TKE 中使用 Velero 迁移复制集群资源 ?

4.8K7 1

通过Kyverno使用KMS、Cosign和工作负载身份验证容器镜像

此外，我们今天使用的大多数容器，即使我们在生产环境中使用它们，也容易受到供应链攻击。在传统的 CI/CD 工作流中，我们构建镜像并将其推入注册中心。...in-toto 证明格式[7]为元数据提供了一种灵活的方案，例如仓库和构建环境详细信息、漏洞扫描报告、测试结果、代码审查报告以及验证镜像完整性的其他信息。...GCP KMS 是一种云服务，用于管理其他谷歌云服务的加密密钥，以便企业可以实现加密功能。云密钥管理服务允许你在单个集中式云服务中创建、导入和管理加密密钥并执行加密操作。...工作负载身份池允许 IAM 理解和信任 Kubernetes 服务帐户凭证。GKE 将该池用于项目中使用工作负载身份的所有集群。...然后，来自使用这个 Kubernetes ServiceAccount 的工作负载的任何 Google Cloud API 调用都被认证为绑定的 IAM 服务帐户。

4.9K2 0

在 Kubernetes 上使用 Spinnaker 构建部署流水线

如果您还没有运行这样的集群，请使用 eksctl 以通过一个命令启动并运行 EKS 集群。...使用 Helm 在 EKS 上安装 Spinnaker。设置 LDAP/AD 身份验证。通过设置入站控制器来暴露 Spinnaker。将一个 GitHub 账户添加到 Spinnaker。...在您的 AWS 账户中配置 Amazon ECR，以便存储 Jenkins 推送的 Docker 映像。为 Docker 映像编译和 ECR 推送配置 Jenkins。...在 Spinnaker 中构建 CI/CD 管道 — 使用来自 GitHub 的 Web-hook 自动化编译，手动批准生产环境部署。运行管道并部署应用程序。测试。清除。...我在 Route53 中配置了一个公有的万用域，它指向我的 NGINX 入站 ELB。您需要使用自己的域，为此请将 yourcustomdomain.com 替换为您自己的域。

3.1K2 0

EKS集群如何部署docker客户端工具

弹性容器服务 EKS 还扩展支持腾讯云的存储及网络等产品，同时确保用户容器的安全隔离，开箱即用。...现在很多业务都部署到了eks上，部署的过程中，会遇到一些部署的问题，比如pod因为镜像拉取失败起不来，但是eks是没有节点的，无法执行docker命令测试，那么我要怎么测试eks内拉取镜像呢？...很多人会想到，可以采用docker in docker的方式，但是这个方式是需要挂载节点的docker.sock的，eks没有节点，每个pod相当于一台精简的cvm，并且pod底层用的也不是docker...，而是containerd，那是不是就没有办法用docker命令来测试拉取镜像？...其实这里我们可以在集群部署一个deploy，配置2个容器，一个容器作为docker服务端，然后另外一个容器作为docker客户端，这2个容器共享docker.sock文件，然后就可以在客户端容器执行docker

1.5K5 0

AWS 容器服务的安全实践

角色可以用Role定义到某个命名空间上，或者用ClusterRole定义到整个集群。在RBAC中，可以定义描述资源，比如pod和node；允许对资源使用动词，比如get，update和delete。...Amazon VPC CNI是一个开源项目，在GitHub上进行维护。 ? 对于Kubernetes来讲，网络策略是一种关于 Pod 间及Pod与其他网络间所允许的通信规则的规范。...Fargate需要运行在VPC网络中，在Fargate中也没有容器的特权模式，各个 ECS 任务或 EKS Pod 各自在其自己的专用内核运行时环境中运行，并且不与其他任务和 Pod 共享 CPU、内存...，并在EKS集群中使用。...容器镜像的扫描包括注册表中的镜像扫描，构建管道中的镜像，和运行时的容器镜像扫描。注册表中的镜像扫描由Docker Hub和Amazon ECR提供。

2.8K2 0

Docker学习路线8：容器注册表

容器注册表在容器化应用程序的部署中发挥着关键作用，因为它们提供了一种快速、可靠和安全的方式，在各种生产环境中分发容器镜像。...每当您将代码推送到存储库时，DockerHub将自动创建一个具有最新更改的新映像。 Webhooks： DockerHub允许您配置Webhooks，以在映像构建或更新时通知其他应用程序或服务。...这些映像由Docker Inc.和上游软件供应商维护，确保它们是最新的和安全的。要开始使用DockerHub，您需要在他们的网站上创建一个免费帐户。...ECR 还与 Lambda、Amazon ECS 和 ECR 映像扫描等其他 AWS 服务集成。...包含构建和 Git 信息（可选）在某些情况下，将构建和 Git 提交的信息包含在镜像标记中可能会很有帮助。这可以帮助确定用于构建镜像的源代码和环境。

5213 0

Kubernetes 1.17 CNI VXLAN 模式延迟调优

包括其他任何 SVC 都是这样。...flannel ，用的 VXLAN 模式。...一般 LVS 的 dr 模式下 TCP 的时间戳混乱或者其他几个 ARP 的内核参数不对下 SYN 是一直收不到的而不是63秒后有结果，所以和内核相关参数无关。...VXLAN 模式，但是他们在创建网卡的时候把这个已经 off 掉了，所以 WEAVE 的 VXLAN 模式在v1.17+集群没出现这个问题。...此时，在需要发送的消息到达网卡前，系统会在报头的校验和字段填充一个随机值。

1.7K5 0

Docker正在淘汰开源组织，CTO硬刚开发者，网友：想赚钱可以，但沟通方式烂透了

在此期间会保留你对公共存储库的访问权限，但将进行速率限制。如果您升级到付费订阅，则可以在 30 天内的任何时候恢复对组织帐户的访问权限。这一决定引发了遗留 Free Team 组织的用户不满。...网友“josegonzalez”表示，目前为止，这件事情的惊人之处在于电子邮件没有表明：如果没有付费，团队会得到什么后果在什么时间、具体什么内容会被删掉组织账户被删除后，其他人是否可以复制这些镜像...对于 Free Team 订阅被弃用的原因，Docker 解释称：“部分原因是它的针对性很差。...Benjamin Elder 表示：虽然他们可以离开 Docker hub，但这还将带来其他影响：用户已经在各个地方的管道中依赖这些镜像，如果只是镜像 / 迁移他们将没有太多时间来切换； Dockerd...但是，我们不清楚我们将如何处理这些镜像。保留公共镜像很重要，因为许多其他镜像都建立在它们之上。

6092 0

云上618，腾讯云容器助力1.3折起

，TCR) 携手助力企业轻松上云，折扣满满～ · 活动时间：2021年6月1日- 2021年7月8日 · 企业专区（针对新用户）弹性容器服务 EKS：首年只需197元（1.3折）其他规格全场低至...1.3-2.3折容器镜像服务 TCR：所有规格首月1折，仅需69.9元即可拥有企业级独享镜像仓库扫码进入企业专区，享更多福利容器专区（针对新老用户）弹性容器服务 EKS：区域：广州、...容器实例（EKS Container Instance，EKSCI）是由弹性容器服务 EKS 推出的无需用户购买服务器、无需部署k8s集群，即可部署容器应用的服务模式。...联系我们如果您在使用弹性容器服务 EKS 时有任何需求或疑问，请扫描以下二维码添加小助手（微信号：EKSplatform），加入用户交流群与我们的工程师即时沟通。... Kubernetes 的核心技术在 TKE 中使用 Velero 迁移复制集群资源 ?

1.5K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭