快速开始

本文档将帮助您快速了解如何创建一个OCI Connector，并安全地访问容器注册中心，而无需直接处理凭据。

介绍

适用场景

OCI（开放容器倡议）Connector提供了一种安全的方式来：

访问容器注册中心（Docker Hub、Harbor等），而无需将凭据嵌入工作负载中
中心化管理注册表身份验证信息
使用代理机制安全地推动和拉取容器镜像
配置容器工具与注册表代理一起使用

这种方法特别适用于：

需要将镜像推送到私有注册中心的CI/CD管道
需要安全共享注册表凭据的多团队环境
Kubernetes内的容器构建过程

预计阅读时间

15分钟

注意事项

OCI Connector使用CSI驱动程序集成以安全地注入注册表凭据。
不同的容器工具（如Docker、Buildah等）可能需要特定配置以访问不安全的注册中心。
Connector生成的配置文件在30分钟后过期。

前提条件

已安装Connectors系统的Kubernetes集群（Operator、Core和OCI组件）。有关安装这些组件的详细信息，请参见安装指南。
已配置kubectl与您的集群通信
容器注册中心的访问凭据（Docker Hub、Harbor等）
基本的Kubernetes资源知识

流程概述

No.	操作步骤	描述
1	创建命名空间	为演示创建一个专用的命名空间
2	创建注册表凭据和OCI Connector	将Connector配置为指向一个容器注册中心
3	配置RBAC权限	授予使用Connector所需的适当权限
4	创建容器构建/推送作业	部署一个使用Connector与注册中心交互的作业
5	验证操作	检查注册操作是否成功完成

操作步骤

步骤1：创建命名空间

为本演示创建一个专用的命名空间：

kubectl create ns oci-connector-demo

步骤2：创建注册表凭据和OCI Connector

创建一个包含注册表凭据的秘密和OCI Connector资源。有关创建和配置Connector的更多详细信息，请参考Connectors快速开始指南。

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Secret
metadata:
  name: registry-auth
  namespace: oci-connector-demo
type: cpaas.io/distribution-registry-token
stringData:
  username: your-username  # 请替换为您的注册表用户名
  password: your-token     # 请替换为您的注册表密码/令牌
---
apiVersion: connectors.alauda.io/v1alpha1
kind: Connector
metadata:
  name: oci-connector
  namespace: oci-connector-demo
spec:
  connectorClassName: oci
  address: "https://index.docker.io"  # 请替换为您的注册表地址
  auth:
    name: tokenAuth
    secretRef:
      name: registry-auth
EOF

验证Connector是否处于“准备就绪”状态：

kubectl get connector oci-connector -n oci-connector-demo

输出应显示：

NAME           CLASS   ADDRESS               READY   AGE
oci-connector  oci     https://index.docker.io True    1m

步骤3：创建容器构建/推送作业

创建一个ConfigMap并包含一个示例Dockerfile：

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: ConfigMap
metadata:
  name: dockerfile
  namespace: oci-connector-demo
data:
  Dockerfile: |
    FROM scratch
    LABEL maintainer="example@example.com"
    WORKDIR /app
    ENV APP_VERSION="1.0.0"
EOF

创建一个使用Connector构建和推送容器镜像的作业：

cat <<EOF | kubectl apply -f -
apiVersion: batch/v1
kind: Job
metadata:
  name: image-build
  namespace: oci-connector-demo
spec:
  template:
    spec:
      restartPolicy: Never
      containers:
      - name: buildkit
        image: moby/buildkit:v0.11.0
        securityContext:
          privileged: true
        env:
        - name: BUILDKITD_FLAGS
          value: "--config /etc/buildkit/buildkitd.toml"
        command:
        - /bin/sh
        - -c
        args:
        - |
          set -ex
          buildctl-daemonless.sh \
          build \
          --progress=plain \
          --frontend=dockerfile.v0 \
          --local context=/workspace \
          --local dockerfile=/workspace \
          --output type=image,name=c-oci-connector.oci-connector-demo.svc.cluster.local/your-username/test-image:v1,push=true
        volumeMounts:
        - name: dockerfile
          mountPath: /workspace
        - name: docker-config
          mountPath: /root/.docker
        - name: buildkitd-config
          mountPath: /etc/buildkit
      volumes:
      - name: dockerfile
        configMap:
          name: dockerfile
      - name: docker-config
        csi:
          readOnly: true
          driver: connectors-csi
          volumeAttributes:
            connector.name: "oci-connector"
            configuration.names: "docker-config"
      - name: buildkitd-config
        csi:
          readOnly: true
          driver: connectors-csi
          volumeAttributes:
            connector.name: "oci-connector"
            configuration.names: "buildkitd"
EOF

卷定义中的关键参数：

connector.name：您的OCI连接器的名称
configuration.names：指定从OCI ConnectorClass生成哪个配置：
- "docker-config"：生成进行任何注册操作所需的身份验证配置（config.json）
- "buildkitd"：生成用于不安全注册访问的BuildKit守护进程配置
mountPath：指定配置文件在容器中挂载的位置：
- "/root/.docker" 用于Docker身份验证配置
- "/etc/buildkit" 用于BuildKit配置

步骤4：验证操作

检查作业的日志以确认镜像已成功构建并推送：

kubectl logs -f job/image-build -n oci-connector-demo

您应会看到构建过程完成及镜像被推送到注册中心。

预期结果

在成功完成所有步骤后，您将会看到：

OCI Connector处于“准备就绪”状态：

NAME           CLASS   ADDRESS               READY   AGE
oci-connector  oci     https://index.docker.io True    5m

在作业日志中看到成功的镜像构建和推送操作，显示镜像通过连接器代理推送到注册中心。

状态字段中的连接器代理地址：

status:
  proxy:
    httpAddress:
      url: http://c-oci-connector.oci-connector-demo.svc.cluster.local

工作原理

OCI Connector的工作原理如下：

创建一个代理服务，位于您的工作负载和容器注册中心之间
在请求通过代理时注入身份验证信息
为容器工具提供配置文件以与代理一起工作

连接器生成三种类型的配置文件，服务于不同目的：

docker-config：创建一个config.json文件，包含必要的身份验证信息以访问代理服务
```
{
  "auths": {
    "<proxy-address>": {
      "auth": "<auth-token>"
    }
  }
}
```
该配置对于身份验证至关重要，是所有容器操作所需。
buildkitd：创建一个buildkitd.toml文件，配置BuildKit信任不安全注册代理
```
insecure-entitlements = [ "network.host", "security.insecure" ]
[registry."<proxy-address>"]
  http = true
```
这仅在使用BuildKit构建和推送镜像时需要。

要检查生成的配置：

cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  name: inspect-config
  namespace: oci-connector-demo
spec:
  containers:
  - name: inspector
    image: busybox
    command: ["sleep", "3600"]
    volumeMounts:
    - name: docker-config
      mountPath: /mnt/docker
  volumes:
  - name: docker-config
    csi:
      readOnly: true
      driver: connectors-csi
      volumeAttributes:
        connector.name: "oci-connector"
        configuration.names: "docker-config"
EOF

查看生成的配置：

kubectl exec -it inspect-config -n oci-connector-demo -- cat /mnt/docker/config.json

故障排除

如果您的容器操作失败，请检查以下内容：

连接器状态：确保连接器处于“准备就绪”状态：

kubectl describe connector oci-connector -n oci-connector-demo

RBAC权限：验证RoleBinding是否配置正确。
注册访问：确认凭据具有对指定存储库的访问权限。
配置挂载：确保配置卷在作业中正确挂载。
代理地址：确保您在图像引用中使用了来自status.proxy.httpAddress.url的正确代理地址。

下一步

成功使用OCI Connector推送第一个镜像后，您可以：

在Kubernetes工作负载中使用连接器拉取私有镜像
将连接器集成到CI/CD管道以构建和推送镜像
配置不同的容器工具以与连接器一起使用
使用连接器与不同的注册服务

#快速开始

#目录

#介绍

#适用场景

#预计阅读时间

#注意事项

#前提条件

#流程概述

#操作步骤

#步骤1：创建命名空间

#步骤2：创建注册表凭据和OCI Connector

#步骤3：创建容器构建/推送作业

#步骤4：验证操作

#预期结果

#工作原理

#故障排除

#下一步