apiVersion: image.openshift.io/v1
kind: ImageStream
metadata:
annotations:
openshift.io/generated-by: OpenShiftNewApp
labels:
app: ruby-sample-build
template: application-template-stibuild
name: origin-ruby-sample (1)
namespace: test
spec: {}
status:
dockerImageRepository: 172.30.56.218:5000/test/origin-ruby-sample (2)
tags:
- items:
- created: 2017-09-02T10:15:09Z
dockerImageReference: 172.30.56.218:5000/test/origin-ruby-sample@sha256:47463d94eb5c049b2d23b03a9530bf944f8f967a0fe79147dd6b9135bf7dd13d (3)
generation: 2
image: sha256:909de62d1f609a717ec433cc25ca5cf00941545c83a01fb31527771e1fab3fc5 (4)
- created: 2017-09-01T13:40:11Z
dockerImageReference: 172.30.56.218:5000/test/origin-ruby-sample@sha256:909de62d1f609a717ec433cc25ca5cf00941545c83a01fb31527771e1fab3fc5
generation: 1
image: sha256:47463d94eb5c049b2d23b03a9530bf944f8f967a0fe79147dd6b9135bf7dd13d
tag: latest (5)
×
管理镜像流
ImageStream 提供了一种持续创建和更新容器镜像的方法。随着对镜像的改进,可以使用标签来分配新的版本号并跟踪更改。本文档描述了如何管理 ImageStream。
为什么要使用 ImageStream
ImageStream 及其关联的标签提供了一种抽象,用于从 OpenShift Dedicated 内部引用容器镜像。ImageStream 及其标签允许您查看可用的镜像,并确保您使用了所需的特定镜像,即使存储库中的镜像发生更改。
ImageStream 不包含实际的镜像数据,而是呈现相关镜像的单个虚拟视图,类似于镜像存储库。
您可以配置构建和部署以监视 ImageStream,并在添加新镜像时收到通知,并通过执行构建或部署来做出响应。
例如,如果部署使用特定镜像,并且创建了该镜像的新版本,则可以自动执行部署以获取该镜像的新版本。
但是,如果部署或构建使用的 ImageStream 标签未更新,则即使容器镜像注册表中的容器镜像已更新,构建或部署仍将继续使用之前的(大概已知的)良好镜像。
源镜像可以存储在以下任何位置:
-
OpenShift Dedicated 集成的注册表。
-
外部注册表,例如 registry.redhat.io 或 quay.io。
-
OpenShift Dedicated 集群中的其他 ImageStream。
当您定义引用 ImageStream 标签的对象(例如构建或部署配置)时,您指向 ImageStream 标签而不是存储库。当您构建或部署应用程序时,OpenShift Dedicated 使用 ImageStream 标签查询存储库以找到镜像的关联 ID,并使用该确切的镜像。
ImageStream 元数据与其他集群信息一起存储在 etcd 实例中。
使用 ImageStream 有几个显著优势:
-
您可以标记、回滚标签并快速处理镜像,而无需使用命令行重新推送。
-
当新镜像推送到注册表时,您可以触发构建和部署。此外,OpenShift Dedicated 还为其他资源(例如 Kubernetes 对象)提供通用触发器。
-
您可以标记定期重新导入的标签。如果源镜像已更改,则该更改会被拾取并反映在 ImageStream 中,这将根据构建或部署配置触发构建或部署流程。
-
您可以使用细粒度的访问控制共享镜像,并快速在团队之间分发镜像。
-
如果源镜像发生更改,镜像流标签仍然指向已知的良好版本镜像,确保您的应用程序不会意外中断。
-
您可以通过镜像流对象的权限来配置围绕谁可以查看和使用镜像的安全策略。
-
缺少在集群级别读取或列出镜像权限的用户仍然可以使用镜像流检索项目中标记的镜像。
配置镜像流
一个ImageStream对象文件包含以下元素。
镜像流对象定义
| 1 | 镜像流的名称。 |
| 2 | 可以推送新镜像以在此镜像流中添加或更新它们的 Docker 仓库路径。 |
| 3 | 此镜像流标签当前引用的 SHA 标识符。引用此镜像流标签的资源使用此标识符。 |
| 4 | 此镜像流标签先前引用的 SHA 标识符。可用于回滚到较旧的镜像。 |
| 5 | 镜像流标签名称。 |
镜像流镜像
镜像流镜像指向镜像流内特定镜像 ID。
镜像流镜像允许您从标记镜像的特定镜像流检索有关镜像的元数据。
每当您将镜像导入或标记到镜像流时,都会在 OpenShift Dedicated 中自动创建镜像流镜像对象。您永远不必在用于创建镜像流的任何镜像流定义中显式定义镜像流镜像对象。
镜像流镜像由镜像流名称和来自仓库的镜像 ID 组成,以@符号分隔。
<image-stream-name>@<image-id>
要引用ImageStream对象示例中的镜像,镜像流镜像如下所示
origin-ruby-sample@sha256:47463d94eb5c049b2d23b03a9530bf944f8f967a0fe79147dd6b9135bf7dd13d
镜像流标签
镜像流标签是指向镜像流中镜像的命名指针。它缩写为istag。镜像流标签用于引用或检索给定镜像流和标签的镜像。
镜像流标签可以引用任何本地或外部管理的镜像。它包含镜像历史记录,表示为该标签曾经指向的所有镜像的堆栈。每当在特定镜像流标签下标记新的或现有的镜像时,它都会放置在历史堆栈的第一个位置。先前占据顶部位置的镜像位于第二个位置。这允许轻松回滚以使标签再次指向历史镜像。
以下镜像流标签来自ImageStream对象
镜像流标签及其历史记录中的两个镜像
kind: ImageStream
apiVersion: image.openshift.io/v1
metadata:
name: my-image-stream
# ...
tags:
- items:
- created: 2017-09-02T10:15:09Z
dockerImageReference: 172.30.56.218:5000/test/origin-ruby-sample@sha256:47463d94eb5c049b2d23b03a9530bf944f8f967a0fe79147dd6b9135bf7dd13d
generation: 2
image: sha256:909de62d1f609a717ec433cc25ca5cf00941545c83a01fb31527771e1fab3fc5
- created: 2017-09-01T13:40:11Z
dockerImageReference: 172.30.56.218:5000/test/origin-ruby-sample@sha256:909de62d1f609a717ec433cc25ca5cf00941545c83a01fb31527771e1fab3fc5
generation: 1
image: sha256:47463d94eb5c049b2d23b03a9530bf944f8f967a0fe79147dd6b9135bf7dd13d
tag: latest
# ...镜像流标签可以是永久标签或跟踪标签。
-
永久标签是特定版本的标签,指向特定版本的镜像,例如 Python 3.5。
-
跟踪标签是引用标签,它们跟随另一个镜像流标签,并且可以更新以更改它们跟随的镜像,就像符号链接一样。这些新级别不能保证向后兼容。
例如,OpenShift Dedicated 附带的
latest镜像流标签是跟踪标签。这意味着当新级别可用时,latest镜像流标签的使用者会更新到镜像提供的框架的最新级别。指向v3.10的latest镜像流标签可以随时更改为v3.11。务必注意,这些latest镜像流标签的行为与 Dockerlatest标签不同。在这种情况下,latest镜像流标签不指向 Docker 仓库中的最新镜像。它指向另一个镜像流标签,该标签可能不是镜像的最新版本。例如,如果latest镜像流标签指向镜像的v3.10,当发布3.11版本时,latest标签不会自动更新为v3.11,并且保持在v3.10,直到手动更新它以指向v3.11镜像流标签。跟踪标签仅限于单个镜像流,不能引用其他镜像流。
您可以根据自己的需要创建自己的镜像流标签。
镜像流标签由镜像流名称和标签组成,用冒号分隔。
<imagestream name>:<tag>
例如,要引用前面ImageStream对象示例中的sha256:47463d94eb5c049b2d23b03a9530bf944f8f967a0fe79147dd6b9135bf7dd13d镜像,镜像流标签将是
origin-ruby-sample:latest
镜像流更改触发器
镜像流触发器允许在新的上游镜像版本可用时自动调用您的构建和部署。
例如,当修改镜像流标签时,可以自动启动构建和部署。这是通过监控特定镜像流标签并在检测到更改时通知构建或部署来实现的。
使用镜像流
以下部分描述了如何使用镜像流和镜像流标签。
|
不要在默认项目中运行工作负载或共享对默认项目的访问权限。默认项目保留用于运行核心集群组件。 以下默认项目被认为是高度特权的: |
获取有关镜像流的信息
您可以获取有关镜像流的一般信息以及有关其指向的所有标签的详细信息。
步骤
-
要获取有关镜像流的一般信息以及有关其指向的所有标签的详细信息,请输入以下命令
$ oc describe is/<image-name>例如
$ oc describe is/python示例输出Name: python Namespace: default Created: About a minute ago Labels: <none> Annotations: openshift.io/image.dockerRepositoryCheck=2017-10-02T17:05:11Z Docker Pull Spec: docker-registry.default.svc:5000/default/python Image Lookup: local=false Unique Images: 1 Tags: 1 3.5 tagged from centos/python-35-centos7 * centos/python-35-centos7@sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 About a minute ago -
要获取有关特定镜像流标签的所有可用信息,请输入以下命令
$ oc describe istag/<image-stream>:<tag-name>例如
$ oc describe istag/python:latest示例输出Image Name: sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 Docker Image: centos/python-35-centos7@sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 Name: sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 Created: 2 minutes ago Image Size: 251.2 MB (first layer 2.898 MB, last binary layer 72.26 MB) Image Created: 2 weeks ago Author: <none> Arch: amd64 Entrypoint: container-entrypoint Command: /bin/sh -c $STI_SCRIPTS_PATH/usage Working Dir: /opt/app-root/src User: 1001 Exposes Ports: 8080/tcp Docker Labels: build-date=20170801输出的信息比显示的更多。
-
输入以下命令以发现镜像流标签支持的架构或操作系统
$ oc get istag <image-stream-tag> -ojsonpath="{range .image.dockerImageManifests[*]}{.os}/{.architecture}{'\n'}{end}"例如
$ oc get istag busybox:latest -ojsonpath="{range .image.dockerImageManifests[*]}{.os}/{.architecture}{'\n'}{end}"示例输出linux/amd64 linux/arm linux/arm64 linux/386 linux/mips64le linux/ppc64le linux/riscv64 linux/s390x
向镜像流添加标签
您可以向镜像流添加其他标签。
步骤
-
使用`oc tag`命令添加指向现有标签之一的标签
$ oc tag <image-name:tag1> <image-name:tag2>例如
$ oc tag python:3.5 python:latest示例输出Tag python:latest set to python@sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25. -
确认镜像流有两个标签,一个
3.5指向外部容器镜像,另一个标签latest指向相同的镜像,因为它基于第一个标签创建。$ oc describe is/python示例输出Name: python Namespace: default Created: 5 minutes ago Labels: <none> Annotations: openshift.io/image.dockerRepositoryCheck=2017-10-02T17:05:11Z Docker Pull Spec: docker-registry.default.svc:5000/default/python Image Lookup: local=false Unique Images: 1 Tags: 2 latest tagged from python@sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 * centos/python-35-centos7@sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 About a minute ago 3.5 tagged from centos/python-35-centos7 * centos/python-35-centos7@sha256:49c18358df82f4577386404991c51a9559f243e0b1bdc366df25 5 minutes ago
为外部镜像添加标签
您可以为外部镜像添加标签。
步骤
-
使用
oc tag命令执行所有与标签相关的操作,以添加指向内部或外部镜像的标签$ oc tag <repository/image> <image-name:tag>例如,此命令将
docker.io/python:3.6.0镜像映射到python镜像流中的3.6标签。$ oc tag docker.io/python:3.6.0 python:3.6示例输出Tag python:3.6 set to docker.io/python:3.6.0.如果外部镜像已安全保护,则必须创建一个包含访问该注册表凭据的密钥。
更新镜像流标签
您可以更新标签以反映镜像流中的另一个标签。
步骤
-
更新标签
$ oc tag <image-name:tag> <image-name:latest>例如,以下命令将
latest标签更新为反映镜像流中的3.6标签$ oc tag python:3.6 python:latest示例输出Tag python:latest set to python@sha256:438208801c4806548460b27bd1fbcb7bb188273d13871ab43f.
删除镜像流标签
您可以从镜像流中删除旧标签。
步骤
-
从镜像流中删除旧标签
$ oc tag -d <image-name:tag>例如
$ oc tag -d python:3.6示例输出Deleted tag default/python:3.6
有关集群样本操作员如何处理已弃用的镜像流标签的更多信息,请参阅从集群样本操作员中删除已弃用的镜像流标签。
配置镜像流标签的定期导入
使用外部容器镜像注册表时,为了定期重新导入镜像(例如获取最新的安全更新),可以使用--scheduled标志。
步骤
-
安排导入镜像
$ oc tag <repository/image> <image-name:tag> --scheduled例如
$ oc tag docker.io/python:3.6.0 python:3.6 --scheduled示例输出Tag python:3.6 set to import docker.io/python:3.6.0 periodically.此命令使OpenShift Dedicated定期更新此特定镜像流标签。此周期是集群范围的设置,默认为15分钟。
-
删除定期检查,重新运行上述命令但省略
--scheduled标志。这会将其行为重置为默认值。$ oc tag <repositiory/image> <image-name:tag>
导入和使用镜像和镜像流
以下部分描述了如何导入和使用镜像流。
从私有注册表导入镜像和镜像流
可以将镜像流配置为从需要身份验证的私有镜像注册表导入标签和镜像元数据。如果您将集群样本操作员用于拉取内容的注册表更改为非registry.redhat.io,则此过程适用。
|
从不安全或安全注册表导入时,密钥中定义的注册表URL必须包含 |
步骤
-
您必须通过输入以下命令创建一个用于存储凭据的
secret对象。$ oc create secret generic <secret_name> --from-file=.dockerconfigjson=<file_absolute_path> --type=kubernetes.io/dockerconfigjson -
配置密钥后,创建新的镜像流或输入
oc import-image命令。$ oc import-image <imagestreamtag> --from=<image> --confirm在导入过程中,OpenShift Dedicated会获取密钥并将其提供给远程方。
允许 Pod 引用来自其他安全注册表的镜像
要从其他私有或安全注册表拉取安全容器,必须从容器客户端凭据(例如 Docker 或 Podman)创建拉取密钥,并将其添加到您的服务帐户。
Docker 和 Podman 都使用配置文件来存储登录安全或不安全注册表的身份验证详细信息。
-
Docker:默认情况下,Docker 使用
$HOME/.docker/config.json。 -
Podman:默认情况下,Podman 使用
$HOME/.config/containers/auth.json。
如果您之前已登录到安全或不安全注册表,则这些文件会存储您的身份验证信息。
|
如果 Docker 和 Podman 凭据文件以及相关的拉取密钥具有唯一的路径(例如, |
示例
config.json文件{
"auths":{
"cloud.openshift.com":{
"auth":"b3Blb=",
"email":"[email protected]"
},
"quay.io":{
"auth":"b3Blb=",
"email":"[email protected]"
},
"quay.io/repository-main":{
"auth":"b3Blb=",
"email":"[email protected]"
}
}
}示例拉取密钥
apiVersion: v1
data:
.dockerconfigjson: ewogICAiYXV0aHMiOnsKICAgICAgIm0iOnsKICAgICAgIsKICAgICAgICAgImF1dGgiOiJiM0JsYj0iLAogICAgICAgICAiZW1haWwiOiJ5b3VAZXhhbXBsZS5jb20iCiAgICAgIH0KICAgfQp9Cg==
kind: Secret
metadata:
creationTimestamp: "2021-09-09T19:10:11Z"
name: pull-secret
namespace: default
resourceVersion: "37676"
uid: e2851531-01bc-48ba-878c-de96cfe31020
type: Opaque步骤
-
从现有身份验证文件创建密钥
-
对于使用
.docker/config.json的 Docker 客户端,请输入以下命令:$ oc create secret generic <pull_secret_name> \ --from-file=.dockerconfigjson=<path/to/.docker/config.json> \ --type=kubernetes.io/dockerconfigjson -
对于使用
.config/containers/auth.json的 Podman 客户端,请输入以下命令:$ oc create secret generic <pull_secret_name> \ --from-file=<path/to/.config/containers/auth.json> \ --type=kubernetes.io/podmanconfigjson
-
-
如果您还没有安全注册表的 Docker 凭据文件,则可以通过运行以下命令创建密钥:
$ oc create secret docker-registry <pull_secret_name> \ --docker-server=<registry_server> \ --docker-username=<user_name> \ --docker-password=<password> \ --docker-email=<email> -
要使用密钥拉取 Pod 的镜像,必须将密钥添加到您的服务帐户。此示例中的服务帐户名称应与 Pod 使用的服务帐户名称匹配。默认服务帐户是
default。$ oc secrets link default <pull_secret_name> --for=pull
使用清单列表
使用oc import-image或oc tag CLI 命令时,您可以通过添加--import-mode标志来导入清单列表的单个子清单或所有清单。
请参考以下命令来创建包含单个子清单或多架构镜像的镜像流。
步骤
-
通过输入以下命令来创建一个包含多架构镜像并将导入模式设置为
PreserveOriginal的镜像流:$ oc import-image <multiarch-image-stream-tag> --from=<registry>/<project_name>/<image-name> \ --import-mode='PreserveOriginal' --reference-policy=local --confirm示例输出--- Arch: <none> Manifests: linux/amd64 sha256:6e325b86566fafd3c4683a05a219c30c421fbccbf8d87ab9d20d4ec1131c3451 linux/arm64 sha256:d8fad562ffa75b96212c4a6dc81faf327d67714ed85475bf642729703a2b5bf6 linux/ppc64le sha256:7b7e25338e40d8bdeb1b28e37fef5e64f0afd412530b257f5b02b30851f416e1 --- -
或者,输入以下命令以使用
Legacy导入模式导入镜像,此模式会丢弃清单列表并导入单个子清单:$ oc import-image <multiarch-image-stream-tag> --from=<registry>/<project_name>/<image-name> \ --import-mode='Legacy' --confirm--import-mode=的默认值为Legacy。排除此值,或未能指定Legacy或PreserveOriginal,将导入单个子清单。无效的导入模式将返回以下错误:error: valid ImportMode values are Legacy or PreserveOriginal。
限制
使用清单列表具有以下限制:
-
在某些情况下,用户可能希望直接使用子清单。运行
oc adm prune images或CronJob修剪程序时,它们无法检测到何时使用了子清单列表。结果,使用oc adm prune images或CronJob修剪程序的管理员可能会删除整个清单列表,包括子清单。为了避免此限制,您可以改为按标签或摘要使用清单列表。
为 --import-mode 指定架构
您可以通过排除或包含--import-mode=标志来在多架构和单架构之间切换导入的镜像流。
步骤
-
运行以下命令,通过排除
--import-mode=标志将镜像流从多架构更新为单架构:$ oc import-image <multiarch-image-stream-tag> --from=<registry>/<project_name>/<image-name> -
运行以下命令将镜像流从单架构更新为多架构:
$ oc import-image <multiarch-image-stream-tag> --from=<registry>/<project_name>/<image-name> \ --import-mode='PreserveOriginal'