Verifique a conexão com o registro de contêiner

Este artigo faz parte de uma série. Comece com essa visão geral.

Para implantar com êxito aplicativos em contêineres em seu cluster do AKS (Serviço de Kubernetes do Azure), é essencial verificar a conectividade entre o cluster e o registro de contêiner. Esta etapa garante que os nós de trabalho tenham as permissões necessárias para extrair as imagens de contêiner necessárias do Registro.

Identificar sintomas

Quando o kubelet executado em um nó de agente cria os contêineres para um pod, um ou mais contêineres podem acabar no estado de espera devido ao erro ImagePullBackOff. ImagePullBackoff é uma mensagem de erro comum no Kubernetes que indica uma falha ao extrair a imagem de contêiner necessária de um registro público ou privado. Vários fatores podem causar esse erro, incluindo problemas de conectividade de rede, um nome ou marca de imagem incorretos, permissões insuficientes ou credenciais ausentes.

A BackOff parte do status significa que o Kubernetes tenta continuamente puxar a imagem com um atraso crescente entre cada tentativa subsequente. O atraso aumenta gradualmente até atingir um limite predeterminado, que normalmente é definido como 300 segundos (5 minutos) no Kubernetes.

É importante verificar novamente o registro e o nome da imagem para obter precisão. Além disso, verifique se o cluster AKS tem as permissões necessárias para extrair imagens do registro de contêiner apropriado.

Atribuições de função

Quando você anexa um registro de contêiner a um cluster AKS existente, a função AcrPull é atribuída automaticamente sobre o registro à identidade gerenciada do Microsoft Entra associada aos pools de agentes no cluster AKS. Para obter mais informações, consulte Autenticar-se em um registro de contêiner do AKS.

Execute o seguinte comando para recuperar a identidade gerenciada kubelet de um cluster Kubernetes e suas atribuições de função atuais:

# Get the kubelet managed identity.
ASSIGNEE=$(az aks show -g $RESOURCE_GROUP -n $NAME --query identityProfile.kubeletidentity.clientId -o tsv)
az role assignment list --assignee $ASSIGNEE --all -o table

Execute o comando a seguir para atribuir a função AcrPull à identidade gerenciada kubelet:

AZURE_CONTAINER_REGISTRY_ID=$(az acr show --name <container-registry-name> --query id --output tsv)
az role assignment create --assignee $ASSIGNEE --scope $AZURE_CONTAINER_REGISTRY_ID --role acrpull

Solucionar problemas do Registro de Contêiner

As seções a seguir fornecem guias que você pode consultar se encontrar problemas de rede, entrada ou desempenho com um registro de contêiner do Azure.

Solucionar problemas de rede

Se você encontrar problemas relacionados ao acesso a um registro de contêiner do Azure em uma rede virtual ou atrás de um firewall ou servidor proxy, considere as seguintes soluções:

Solucionar problemas de entrada

Se você encontrar problemas de autenticação e autorização ao entrar em um registro de contêiner do Azure, considere as seguintes soluções:

Solucionar problemas de desempenho

Se você encontrar problemas de desempenho com um registro de contêiner do Azure, considere as seguintes soluções:

Esses guias podem ajudar você a garantir a recuperação perfeita de imagens para seu cluster AKS e garantir o bom funcionamento de suas cargas de trabalho.

Integrar um registro de contêiner de terceiros

Ao usar um registro de contêiner de terceiros, você precisa criar as credenciais ImagePullSecret apropriadas para o registro para que seu cluster AKS possa acessar com segurança as imagens de contêiner. Para obter mais informações, consulte Criar um segredo de pull de imagem. Configure as permissões e credenciais corretas para que poder verificar a conexão com o registro de contêiner e permitir que seu cluster AKS extraia com êxito as imagens de contêiner necessárias durante as implantações. Essa prática recomendada ajuda a garantir uma execução suave e confiável de suas cargas de trabalho em contêineres no Kubernetes.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas