philpep/imago Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
philpep/imagophilpep
Imago是一款用于Kubernetes集群的工具,可自动查找Deployments、DaemonSets、StatefulSet和CronJobs配置,获取Docker仓库中最新镜像的SHA256摘要并更新资源,或重启资源以确保Pod运行最新版本镜像,适用于安全修复、镜像一致性保障和持续交付场景。
1 次收藏下载次数: 0状态:社区镜像维护者:philpep仓库类型:镜像最近更新:4 个月前
Imago
镜像概述和主要用途
Imago旨在简化Kubernetes集群中Docker镜像的持续交付流程。它能够识别Kubernetes中的Deployments、DaemonSets、StatefulSet和CronJobs配置,从Docker仓库获取最新镜像的SHA256摘要,并更新这些资源以使用最新镜像,或通过重启资源使Pod拉取最新镜像,确保集群中的Pod始终运行最新版本的镜像。
核心功能和特性
- 资源识别与更新:自动查找Kubernetes集群中的Deployments、DaemonSets、StatefulSet和CronJobs资源。
- 最新镜像获取:从Docker仓库获取指定镜像的最新SHA256摘要。
- 两种更新模式:
- 更新模式(-update):直接更新资源配置中的容器镜像为
registry/image@sha256:...格式,确保配置文件中记录最新镜像。 - 重启模式(-restart):通过重启资源(如滚动更新Deployments)使Pod拉取最新镜像(需确保
imagePullPolicy为Always),不修改资源配置中的镜像字段。
- 更新模式(-update):直接更新资源配置中的容器镜像为
- 镜像一致性保障:确保所有Pod使用完全相同的镜像版本,避免版本差异导致的问题。
- 多命名空间支持:可指定单个、多个或所有命名空间进行检查和更新。
- 标签和字段选择:支持通过Kubernetes标签选择器(labels)和字段选择器(field-selector)筛选目标资源。
使用场景和适用范围
- 安全修复:当镜像因安全问题重建后,自动更新集群资源使用修复后的最新镜像。
- 镜像一致性:确保集群中所有Pod使用完全相同的镜像版本,避免不同Pod运行不同版本镜像导致的不一致。
- 持续交付:CI流程重建镜像后,自动将集群资源更新为最新构建版本,实现持续部署。
工作原理
Imago通过两种方式确保Pod使用最新镜像:
更新模式(-update)
- 查找指定的Deployments、DaemonSets、StatefulSet和CronJobs资源。
- 从Docker仓库获取这些资源中容器镜像的最新SHA256摘要。
- 更新容器规范,将镜像设置为
registry/image@sha256:...格式的完整路径。 - 在资源的
imago-config-spec注解中记录原始镜像规范,便于追溯。
重启模式(-restart)
- 检查运行中Pod的镜像SHA256摘要(需启用
-check-pods)。 - 对比Pod当前镜像与仓库中最新镜像的摘要,识别需要更新的资源。
- 对需要更新的资源执行滚动重启(如
rollout restart),促使Pod重新拉取最新镜像(假设imagePullPolicy配置为Always)。 - 此模式不会修改资源配置中的镜像字段,仅通过重启触发更新,速度较更新模式慢。
命令行参数
执行imago --help可查看所有参数,主要参数说明如下:
Usage of imago: -A 检查所有命名空间中的部署和守护进程集(简写)(默认false) -all-namespaces 检查所有命名空间中的部署和守护进程集(默认false) -check-pods 检查运行中Pod的镜像摘要(默认false) -docker-config string 用于拉取最新摘要的Docker配置文件(默认~/.docker/config.json) -field-selector string Kubernetes字段选择器 示例:metadata.name=myapp -kubeconfig string kube配置文件(默认"~/.kube/config") -l string Kubernetes标签选择器 警告:仅适用于Deployment、DaemonSet、StatefulSet和CronJob,不适用于Pod! -n value 检查指定命名空间中的部署和守护进程集(默认当前命名空间) -restart 滚动重启部署和守护进程集以使用更新的镜像,隐含-check-pods并假设imagePullPolicy为Always(默认false) -update 更新部署和守护进程集以使用更新的镜像(默认false) -x value 检查除指定命名空间外的所有命名空间中的部署和守护进程集(隐含--all-namespaces)
注意:默认情况下,Imago不会更新资源,需显式指定--update或--restart选项。
使用示例
检查并更新当前命名空间中的资源
bashimago --update
输出示例:
2019/02/11 17:55:21 检查 default/Deployment/aptly: 2019/02/11 17:55:21 aptly ok 2019/02/11 17:55:21 nginx ok 2019/02/11 17:55:22 检查 default/Deployment/kibana: 2019/02/11 17:55:22 kibana ok 2019/02/11 17:55:22 nginx ok 2019/02/11 17:55:22 更新 default/Deployment/philpep.org 2019/02/11 17:55:22 检查 DaemonSet/fluentd: 2019/02/11 17:55:22 fluentd 需要从 r.in.philpep.org/fluentd 更新为 r.in.philpep.org/fluentd@sha256:6a92af8a9db2ca243e0eba8d401cec11b124822e15b558b35ab45825ed4d1f54 2019/02/11 17:55:22 更新 default/DaemonSet/fluentd
重启所有命名空间中标签为app=myapp的资源
bashimago --all-namespaces -l "app=myapp" --restart
安装和运行方法
从命令行源码构建
需安装Go环境:
bashgo get github.com/philpep/imago/... $(go env GOPATH)/bin/imago --help
使用Docker镜像
需挂载本地kubeconfig文件:
bashdocker pull philpep/imago docker run --rm -it -u $(id -u) -v ~/.kube/config:/var/lib/imago/.kube/config philpep/imago --help
预编译二进制
从https://github.com/philpep/imago/releases%E4%B8%8B%E8%BD%BD%E5%AF%B9%E5%BA%94%E5%B9%B3%E5%8F%B0%E7%9A%84%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%96%87%E4%BB%B6%EF%BC%8C%E7%9B%B4%E6%8E%A5%E8%BF%90%E8%A1%8C%E3%80%82
在Kubernetes集群内运行
可通过CronJob定期执行Imago,需创建ServiceAccount和CronJob资源:
bash# 应用ServiceAccount(包含必要权限) kubectl apply -f https://raw.githubusercontent.com/philpep/imago/master/deploy/serviceaccount.yaml # 应用CronJob(默认每天运行一次) kubectl apply -f https://raw.githubusercontent.com/philpep/imago/master/deploy/cronjob.yaml
Docker凭证配置
Imago会从~/.docker/config.json(Docker镜像中路径为/var/lib/imago/.docker/config.json)读取Docker仓库凭证。若集群中资源使用imagePullSecrets拉取私有镜像,需将对应的secret挂载到Imago的运行环境中(如在Pod中挂载secret到/var/lib/imago/.docker/config.json路径)。
shumc/imagor
shumc
基于libvips的快速、安全图像处理服务器及Go语言库
2 次收藏10万+ 次下载
12 天前更新
atlassian/default-image
atlassian
Bitbucket流水线的默认构建环境,用于支持其构建流程。
86 次收藏5000万+ 次下载
10 个月前更新
grafana/loki-build-image
grafana
暂无描述
100万+ 次下载
20 天前更新
grafana/grafana-image-renderer
grafana
Grafana 远程图像渲染器镜像,通过无头 Chrome 将 Grafana 面板和仪表板渲染为 PNG 格式,支持集成到报表生成、自动化流程等场景。
32 次收藏5亿+ 次下载
13 天前更新
grafana/mimir-build-image
grafana
用于构建Grafana Mimir的镜像。
50万+ 次下载
10 天前更新
grafana/grafana-image-tags
grafana
用于保存按架构分类的Docker镜像标签的仓库
100万+ 次下载
8 天前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"