在Kubernetes集群里，拉取容器鏡像是一個非常關(guān)鍵的步驟。這些鏡像包含了應(yīng)用程序及其所有需要的依賴項，Kubernetes通過拉取這些鏡像來啟動Pod中的容器。為了提升集群的穩(wěn)定性、速度和安全性，Kubernetes提供了幾種不同的鏡像拉取策略。這篇文章會詳細(xì)解釋這些策略以及如何配置它們，幫助你在不同情況下做出最佳選擇。

一、什么是容器拉取策略？

容器拉取策略Image Pull Policy是 Kubernetes中的一種配置選項，決定了容器鏡像在啟動時是否需要從鏡像倉庫拉取，以及如何管理和更新鏡像版本。拉取策略控制 Kubernetes 在調(diào)度 Pod 時是否重新拉取鏡像。

二、Kubernetes中的拉取策略

我們可以通過以下命令查看 kubernetes支持那幾種拉取策略。

kubectl explain pod.spec.containers.imagePullPolicy

從上面的結(jié)果可以看出，Kubernetes 支持三種策略，每種策略適用于不同的使用場景。

1. Alawys

如果你把容器的imagePullPolicy設(shè)成Always，那么每次創(chuàng)建Pod 或者重啟容器的時候kubelet都會去鏡像倉庫拉取最新的鏡像。它會對比本地和遠(yuǎn)程倉庫的鏡像摘要，確保你用的是最新的版本。

(1) 使用場景：

• 開發(fā)環(huán)境：在開發(fā)過程中，我們經(jīng)常需要快速迭代和更新鏡像，使用 Always 可以確保每次啟動容器時都能拉取到最新的鏡像。
• 測試環(huán)境：在自動化測試中，拉取最新鏡像可以確保每次測試時都使用的是最新的鏡像版本。

(2) 案例演示：

現(xiàn)在部署一個簡單的Pod，yaml文件內(nèi)容如下：

apiVersion: v1
kind: Pod
metadata:
  name: simple-pod
spec:
  containers:
    - name: nginx-container
      image: nginx:latest
      imagePullPolicy: Always
      ports:
        - containerPort: 80

在執(zhí)行這個yaml文件之前，我們先查看一下本地是否存在這個鏡像，結(jié)果如下：

controlplane $ docker images
REPOSITORY   TAG       IMAGE ID   CREATED   SIZE

這時執(zhí)行會從遠(yuǎn)端倉庫拉取鏡像到本地進(jìn)行啟動Pod。

2. IfNotPresent：

當(dāng)拉取策略設(shè)置為 IfNotPresent 時，Kubernetes 只有在本地節(jié)點上沒有該鏡像時，才會去遠(yuǎn)程鏡像倉庫拉取鏡像。如果節(jié)點上已經(jīng)存在該鏡像，則不會再次拉取，直接使用本地鏡像。

(1) 使用場景

• 生產(chǎn)環(huán)境：為了提高啟動速度并減少帶寬消耗，IfNotPresent 是一種較為常見的選擇。如果你已經(jīng)確保容器鏡像是經(jīng)過驗證和測試的，并且不會頻繁更改，那么這個策略就很合適。
• 節(jié)點具有高效的鏡像緩存時，IfNotPresent 可以避免重復(fù)拉取鏡像，減少網(wǎng)絡(luò)壓力。

(2) 案例演示

修改上述的yaml文件，內(nèi)容如下：

apiVersion: v1
kind: Pod
metadata:
  name: simple-pod
spec:
  containers:
    - name: nginx-container
      image: nginx
      imagePullPolicy: IfNotPresent 
      ports:
        - containerPort: 80

刪除之前創(chuàng)建的Pod，然后在重新執(zhí)行創(chuàng)建命令，結(jié)果如下：

通過上述的日志可以看到該鏡像已經(jīng)存在這臺機(jī)器上，所以，沒有向遠(yuǎn)端倉庫進(jìn)行拉取。

3. Never

當(dāng)拉取策略設(shè)置為 Never 時，Kubernetes無論如何都不會從鏡像倉庫拉取鏡像。如果節(jié)點本地沒有該鏡像，容器啟動將失敗。此策略通常用于確保容器使用的是本地已有的鏡像。

(1) 使用場景

• 本地鏡像部署：如果你已經(jīng)手動將鏡像拉取到本地，并希望避免 Kubernetes再次去遠(yuǎn)程拉取，Never 策略可以避免不必要的拉取操作。
• 離線環(huán)境：在一些沒有外網(wǎng)的離線環(huán)境中，所有的鏡像都已經(jīng)提前下載，使用 Never 可以確保容器啟動時不進(jìn)行拉取操作。

(2) 案例演示

我們通過docker search查詢遠(yuǎn)端倉庫存在的鏡像。如下圖：

把上述yaml進(jìn)行修改，把nginx鏡像修改成bitnami/nginx,內(nèi)容如下：

apiVersion: v1
kind: Pod
metadata:
  name: simple-pod
spec:
  containers:
    - name: bitnami-nginx
      image: bitnami/nginx
      imagePullPolicy: Never 
      ports:
        - containerPort: 80

執(zhí)行創(chuàng)建命令，結(jié)果如下：

通過上述日志可以看到這個pod部署失敗，原因是本地不存在這個鏡像，由于配置了Never拉取策略，所以，不會在遠(yuǎn)端倉庫拉取的。

小結(jié)

Kubernetes 提供了三種鏡像拉取策略：Always、IfNotPresent 和 Never。根據(jù)應(yīng)用場景的不同，用戶可以選擇適合的策略，以平衡鏡像拉取的頻率、網(wǎng)絡(luò)帶寬和鏡像更新的需求。在生產(chǎn)環(huán)境中，通常推薦使用 IfNotPresent 策略，而在開發(fā)環(huán)境中，Always 策略則更為常見。