Kubeflow KFServing 使用私有 Harbor 仓库镜像的配置方法

2025-06-16 04:39:55作者：胡易黎Nicole

KServe是基于Kubernetes的先进机器学习模型服务框架，它简化了预测与生成模型的部署和管理，兼容TensorFlow、XGBoost等主流框架。此平台通过自动缩放、健康检查等特性，无缝集成GPU支持，实现零规模扩展及金丝雀发布等高级功能。无论是预处理、后处理还是模型解释，KServe提供了一站式解决方案，支持高度可插拔性和云无关性，极大促进了模型上线的便利性和生产环境的适应性。适用于追求高可伸缩性和智能化路由的企业级应用。加入KServe社区，探索如何利用这一强大工具推动您的AI模型高效服务于实际业务。

项目地址：https://gitcode.com/gh_mirrors/kf/kfserving

在使用 Kubeflow KFServing 部署模型服务时，经常会遇到需要从私有 Harbor 镜像仓库拉取容器镜像的场景。本文将详细介绍如何正确配置 KFServing 以支持从私有 Harbor 仓库拉取镜像。

问题背景

当在 KFServing 的 InferenceService 配置中指定了私有 Harbor 仓库的镜像地址时，服务部署可能会失败，并出现类似以下的错误信息：

failed to pull and unpack image "harbor.example.com/repo/image:tag": 
pull access denied, repository does not exist or may require authorization: 
authorization failed: no basic auth credentials

这个错误表明 Kubernetes 集群没有正确的凭证来访问私有 Harbor 仓库。

解决方案

要解决这个问题，我们需要为 Kubernetes 集群配置访问私有 Harbor 仓库的凭证。以下是具体的配置步骤：

1. 创建 Docker 注册表 Secret

首先，我们需要创建一个包含 Harbor 仓库认证信息的 Kubernetes Secret：

apiVersion: v1
kind: Secret
metadata:
  name: harbor-credentials
  namespace: <your-namespace>
type: kubernetes.io/dockerconfigjson
data:
  .dockerconfigjson: <base64-encoded-docker-config>

其中，.dockerconfigjson 的值可以通过以下方式生成：

创建 config.json 文件：

{
  "auths": {
    "harbor.example.com": {
      "username": "your-username",
      "password": "your-password",
      "auth": "base64-encoded-username:password"
    }
  }
}

使用 base64 编码该文件：

cat config.json | base64

2. 在 InferenceService 中引用 Secret

在 InferenceService 的配置中，我们需要引用这个 Secret。对于 transformer 组件，配置如下：

apiVersion: serving.kserve.io/v1beta1
kind: InferenceService
metadata:
  name: my-model
spec:
  transformer:
    containers:
    - image: harbor.example.com/repo/image:tag
      name: kserve-container
    imagePullSecrets:
    - name: harbor-credentials

3. 验证配置

部署完成后，可以通过以下命令检查服务状态：

kubectl get pods -n <namespace>
kubectl describe pod <pod-name> -n <namespace>

如果配置正确，应该能看到容器成功拉取了镜像并正常运行。

最佳实践

命名空间管理：建议在每个命名空间中都创建相应的 Secret，而不是使用默认命名空间的 Secret。
权限控制：为不同的服务使用不同的 Harbor 账户，遵循最小权限原则。
Secret 更新：当 Harbor 密码变更时，记得更新对应的 Secret。
安全考虑：确保 Secret 的访问权限受到严格控制，避免敏感信息泄露。

常见问题排查

如果仍然遇到镜像拉取失败的问题，可以检查以下几点：

Secret 是否创建在正确的命名空间
Secret 的名称是否与 InferenceService 中引用的名称一致
Harbor 仓库地址是否正确（包括协议头如 https://）
网络连接是否正常，特别是跨网络的 Harbor 仓库访问
Harbor 仓库的证书是否被集群信任

通过以上配置，KFServing 就能够顺利地从私有 Harbor 仓库拉取所需的容器镜像，为模型服务提供完整的部署能力。这种配置方式不仅适用于 transformer 组件，也同样适用于 predictor 等其他组件。

kserve

项目地址：https://gitcode.com/gh_mirrors/kf/kfserving

登录后查看全文

项目优选

收起

kernel

deepin linux kernel

docs

OpenHarmony documentation | OpenHarmony开发者文档

本项目是CANN提供的数学类基础计算算子库，实现网络在NPU上加速计算。

Ascend Extension for PyTorch

Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台，包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分，采用java语言实现，可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用

Java

RuoYi-Vue3

🎉 (RuoYi)官方仓库基于SpringBoot，Spring Security，JWT，Vue3 & Vite、Element Plus 的前后端分离权限管理系统

openEuler内核是openEuler操作系统的核心，既是系统性能与稳定性的基石，也是连接处理器、设备与服务的桥梁。

148

leetcode

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer（第 2 版）》、《程序员面试金典（第 6 版）》题解