vimond/ecr-credentials-refresher Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
vimond/ecr-credentials-refreshervimond
用于刷新Kubernetes中的AWS凭证,实现从任意区域/账户的ECR仓库拉取镜像的Docker镜像
下载次数: 0状态:社区镜像维护者:vimond仓库类型:镜像最近更新:1 年前
AWS ECR凭证刷新工具镜像
镜像概述和主要用途
该Docker镜像用于在Kubernetes环境中自动刷新AWS凭证,解决跨区域/跨账户访问ECR(Amazon Elastic Container Registry)仓库时的凭证有效性问题。通过定期更新Kubernetes中的凭证信息,确保集群能够持续从任意AWS区域或账户的ECR仓库拉取容器镜像,无需手动干预凭证轮换。
核心功能和特性
- 自动凭证刷新:定期更新Kubernetes Secret或ConfigMap中的AWS访问凭证,避免因凭证过期导致的镜像拉取失败
- 跨区域/账户支持:支持配置多个AWS区域和账户,实现对不同区域/账户ECR仓库的统一访问
- Kubernetes原生集成:可作为Init容器或定时任务运行,与Kubernetes Secret管理机制无缝对接
- 轻量级设计:基于精简基础镜像构建,资源占用低,适合在资源受限的Kubernetes环境中部署
使用场景和适用范围
- 多区域K8s部署:需要从不同AWS区域的ECR仓库拉取镜像的分布式部署场景
- 跨账户ECR访问:企业内部多AWS账户间共享ECR镜像时的凭证管理
- 安全合规要求:需定期轮换AWS凭证以满足安全策略的生产环境
- CI/CD流水线集成:在Kubernetes环境中自动化部署流程中确保镜像拉取权限持续有效
使用方法和配置说明
环境变量配置
| 环境变量 | 描述 | 示例 | 是否必填 |
|---|---|---|---|
AWS_ACCESS_KEY_ID | AWS访问密钥ID | AKIAEXAMPLE123 | 是 |
AWS_SECRET_ACCESS_KEY | AWS密钥 | secret123example | 是 |
ECR_REGIONS | 需要访问的ECR区域列表(逗号分隔) | us-east-1,us-west-2 | 否(默认当前区域) |
ECR_ACCOUNTS | 需要访问的AWS账户ID列表(逗号分隔) | 123456789012,987654321098 | 否(默认当前账户) |
K8S_SECRET_NAME | 存储凭证的Kubernetes Secret名称 | ecr-credentials | 是 |
K8S_NAMESPACE | Secret所在的Kubernetes命名空间 | default | 否(默认当前命名空间) |
REFRESH_INTERVAL | 凭证刷新间隔(秒) | 3600 | 否(默认3600秒) |
Docker运行示例
bashdocker run -d \ -e AWS_ACCESS_KEY_ID="AKIAEXAMPLE123" \ -e AWS_SECRET_ACCESS_KEY="secret123example" \ -e ECR_REGIONS="us-east-1,us-west-2" \ -e K8S_SECRET_NAME="ecr-credentials" \ -e REFRESH_INTERVAL="3600" \ --mount type=bind,source=/var/run/kubernetes.sock,target=/var/run/kubernetes.sock \ ecr-credential-refresher:latest
Kubernetes部署示例
1. 作为Init容器使用
yamlapiVersion: apps/v1 kind: Deployment metadata: name: example-app spec: replicas: 1 template: spec: initContainers: - name: ecr-credential-refresh image: ecr-credential-refresher:latest env: - name: AWS_ACCESS_KEY_ID valueFrom: secretKeyRef: name: aws-creds key: access-key - name: AWS_SECRET_ACCESS_KEY valueFrom: secretKeyRef: name: aws-creds key: secret-key - name: ECR_REGIONS value: "us-east-1,eu-west-1" - name: K8S_SECRET_NAME value: "ecr-pull-secret" containers: - name: main-app image: 123456789012.dkr.ecr.us-east-1.amazonaws.com/example-app:latest imagePullSecrets: - name: ecr-pull-secret
2. 作为定时任务(CronJob)使用
yamlapiVersion: batch/v1 kind: CronJob metadata: name: ecr-credential-refresher spec: schedule: "0 */6 * * *" # 每6小时执行一次 jobTemplate: spec: template: spec: containers: - name: refresher image: ecr-credential-refresher:latest env: - name: AWS_ACCESS_KEY_ID valueFrom: secretKeyRef: name: aws-creds key: access-key - name: AWS_SECRET_ACCESS_KEY valueFrom: secretKeyRef: name: aws-creds key: secret-key - name: ECR_REGIONS value: "us-east-1,us-west-2,eu-central-1" - name: ECR_ACCOUNTS value: "123456789012,987654321098" - name: K8S_SECRET_NAME value: "ecr-pull-secret" restartPolicy: OnFailure
注意事项
- 确保运行该镜像的Kubernetes服务账户具有创建/更新Secret的权限
- AWS访问密钥需要具备访问目标ECR仓库的权限(至少包含
ecr:GetAuthorizationToken权限) - 对于生产环境,建议通过Kubernetes Secret管理AWS访问密钥,避免明文环境变量
- 根据实际需求调整刷新间隔,平衡安全性和资源消耗
rancher/rancher-ecr-credentials
rancher
暂无描述
2 次收藏100万+ 次下载
8 年前更新
rancher/rancher-ecr-credentials-windows
rancher
暂无描述
2.2千+ 次下载
8 年前更新
nduvho123/wkc-api-refresher-prod
nduvho123
暂无描述
1万+ 次下载
1 年前更新
edxops/credentials
edxops
用于安全存储、管理和使用凭证的IDA工具Docker镜像,提供便捷的凭证管理解决方案,适用于各类需要安全凭证处理的场景。
1 次收藏5万+ 次下载
5 个月前更新
otterize/credentials-operator
otterize
暂无描述
10万+ 次下载
9 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"