与Kubernetes集群的其他功能相比,私有镜像的自动拉取看起来可能是比较简单的。而镜像拉取失败,大多数情况下都和权限有关。所以,在处理相关问题的时候,我们往往会轻松地说:这个问题很简单,肯定是权限问题。
但实际情况是,我们经常为一个问题花了很多时间却找不到原因。这主要还是因为我们对镜像拉取,特别是私有镜像自动拉取的原理理解不深。本章内容讨论镜像自动下载的相关原理。
从顺序上来说,私有镜像自动拉取会首先通过阿里云ACR credential helper组件,再经过Kubernetes集群的API Server和Kubelet组件,最后到Docker容器运行时。但是本章的叙述会从后往前,从最基本的Docker镜像拉取说起。