在 Kubernetes 集群的运维中,镜像的拉取和分发一直是一个关键环节。特别是在离线环境或对外部网络依赖较低的情况下,如何确保节点能够快速获取所需的镜像成为了挑战。为了解决这个问题,K3s 在 2024 年初的版本更新中引入了嵌入式容器镜像功能,极大地提升了镜像管理的效率和灵活性。
什么是嵌入式容器镜像?
K3s 通过集成 Spegel 提供了嵌入式 OCI 镜像仓库镜像功能。这个功能的核心是允许集群中的各个节点通过点对点网络共享容器镜像。简单来说,当某个节点上已经存在某个镜像时,集群中的其他节点可以直接从该节点拉取镜像,而无需访问外部的镜像仓库。
这个功能尤其适合以下场景:
- 离线或内网环境:没有公网访问权限的情况下,依赖内部节点的镜像分发。
- 高效镜像分发:减少外部网络带宽消耗,提升镜像拉取速度。
- 分布式环境:多个地理位置分散的节点可以互相共享镜像,减少时延。
示例:嵌入式镜像共享在实际中的应用
为了更好地理解这个功能,我们来看一个具体的示例。
假设你的 Kubernetes 集群由 3 个节点组成,分别为节点 A、节点 B 和节点 C。在这个集群中,节点 A 上已经存在了一个名为 ksd.test.com/ksd/nginx:1.27
的镜像。而节点 B 和节点 C 既没有这个镜像,也无法通过外部网络从公网拉取。
在传统的集群配置中,如果节点 B 和节点 C 需要这个镜像,它们可能会因为无法访问公网而陷入困境。但通过 K3s 的嵌入式容器镜像功能,情况完全不同:
-
启用嵌入式镜像功能:首先,你需要在集群中启用嵌入式镜像功能。这可以通过在每个节点的配置文件中添加
embedded-registry: true
或者在启动时加上--embedded-registry
参数来实现。启用后,集群中的所有节点将自动启动本地 OCI 镜像仓库,并通过 P2P 网络共享镜像。 -
配置镜像仓库:接下来,你需要在每个节点的
registries.yaml
文件中配置相关的镜像仓库。在这个示例中,我们配置如下:mirrors: ksd.test.com:
这一配置意味着集群中的所有节点都可以尝试从本地或其他节点的
ksd.test.com
镜像仓库中拉取镜像。 -
镜像拉取:当节点 B 和节点 C 需要
ksd.test.com/ksd/nginx:1.27
镜像时,它们会首先尝试从 P2P 网络中其他节点的本地镜像仓库(在此例中即节点 A)拉取该镜像。如果节点 A 的本地容器镜像存储中存在这个镜像,那么节点 B 和节点 C 就能够顺利拉取,而不需要访问外部网络。 -
镜像共享:这种方式不仅提升了镜像分发的效率,还能确保节点之间的镜像同步,无论它们是否有公网访问权限。
启用嵌入式容器镜像功能的具体步骤
要启用嵌入式容器镜像功能,你可以按照以下步骤进行配置:
-
配置 K3s 启动参数或配置文件:
- 在启动 K3s 服务时,添加
--embedded-registry
参数。 - 或者,在 K3s 配置文件(通常位于
/etc/rancher/k3s/config.yaml
)中,添加embedded-registry: true
条目。
- 在启动 K3s 服务时,添加
-
配置
registries.yaml
文件: 在集群中的所有节点上,确保registries.yaml
文件中包含需要分发的镜像仓库。以ksd.test.com
为例,配置如下:mirrors: ksd.test.com:
-
网络要求: 集群中的所有节点必须能够通过内网 IP 访问彼此的 TCP 端口(默认使用 5001 和 6443),以便镜像共享功能能够顺利工作。
镜像共享与私有镜像仓库的支持
K3s 的嵌入式镜像功能不仅支持公共镜像仓库的镜像共享,还支持私有镜像仓库的镜像共享。你可以通过在 registries.yaml
文件中配置私有镜像仓库,实现集群节点之间的镜像共享。特别是在一些特殊场景中,例如只允许内网访问的私有镜像仓库,这一功能显得尤为重要。
此外,如果需要对所有镜像仓库的镜像进行嵌入式镜像共享,你可以使用通配符 *
配置。例如:
mirrors:
"*":
这一配置允许所有镜像仓库的镜像在集群中进行共享,进一步提升了镜像管理的灵活性。
安全性与注意事项
尽管嵌入式镜像共享功能带来了极大的便利,但在启用前需要慎重考虑集群的安全性要求。默认情况下,K3s 假定集群中的所有节点都具有相同的权限和信任等级。如果你的集群环境对安全性有较高要求,或节点之间的信任等级不同,建议谨慎启用此功能。
特别是对于一些敏感的镜像,建议使用镜像摘要(digest)而非标签,以确保镜像的完整性,防止镜像在共享过程中被篡改。
结语
K3s 引入的嵌入式容器镜像功能为集群管理带来了新的可能性。通过减少外部镜像仓库的依赖,并加速镜像的分发,它极大地提高了集群的运行效率和可靠性。在未来,随着更多版本的更新,这一功能将更加完善,并有望在实际生产环境中得到广泛应用。
如果你有任何问题或经验分享,欢迎在评论区留言,与大家一起讨论!