kubernetes配置imagePullSecrets秘钥来拉取镜像

①创建docker-registry类型的Secret对象，并在定义pod资源时明确通过"imagePullSecrets"字段来申明使用哪个私钥去认证；

②创建docker-registry类型的Secret对象，然后把它添加到某个ServiceAccount对象中，使用了这个ServiceAccount对象创建出来的pod就自然而然通过认证获取到镜像；

第一种方式较为常见，简单记录一下。
## 方式一：通过命令行直接创建Secret
```
kubectl create secret docker-registry <name> \
  --docker-server=DOCKER_REGISTRY_SERVER \
  --docker-username=DOCKER_USER \
  --docker-password=DOCKER_PASSWORD \
  --docker-email=DOCKER_EMAIL
```
例子：
```
kubectl create secret docker-registry xxx-key \
    --docker-server=registry.xxxxxx.com \
    --docker-username=xxxxxx \
    --docker-password=xxxxxx 
# 不要加 ' '
```
最后在yaml文件中使用这个创建出来的Secret：

```
apiVersion: v1
kind: Pod
metadata:
  name: foo
  namespace: awesomeapps
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: xxx-key
```

## 方式二：通过现存的docker认证文件来创建Secret
```
kubectl create secret generic xxx-key \
    --from-file=.dockerconfigjson=/root/.docker/config.json> \
    --type=kubernetes.io/dockerconfigjson
```
注意：config.json文件需要在主机上通过docker login 的方式登录后，才会生成。这种方式有一个好处，就是如果有多个镜像仓库，都先存在于一个config.json文件中，然后通过命令打入Secret。