在K8S中，镜像的拉取策略有哪些？

在 Kubernetes 中，镜像拉取策略（imagePullPolicy）用于定义 kubelet 如何拉取容器镜像，决定了在创建 Pod 时是否以及何时从镜像仓库拉取镜像。主要有以下三种策略：

1. Always

• 行为：每次创建或重启容器时，强制从镜像仓库拉取镜像，无论本地节点是否已存在该镜像。
• 适用场景：
  • 镜像标签为 latest（或动态更新的标签），需要确保使用最新版本的镜像。
  • 镜像频繁更新，需立即应用最新变更（如开发环境）。
• 注意：若镜像仓库中不存在指定镜像（或标签错误），会导致容器启动失败（状态为 ImagePullBackOff）。

2. IfNotPresent（默认策略）

• 行为：仅当本地节点不存在该镜像时，才从镜像仓库拉取；若本地已存在，则直接使用本地镜像。
• 适用场景：
  • 镜像标签为固定版本（如 v1.2.3），版本稳定且不频繁更新。
  • 希望减少镜像拉取次数，节省网络带宽和时间（如生产环境的稳定应用）。
• 默认触发条件：当 Pod 定义中未显式指定 imagePullPolicy 时，Kubernetes 会根据镜像标签自动推断：
  • 若镜像标签为 latest，默认策略为 Always；
  • 若镜像标签为具体版本（如 v1.0），默认策略为 IfNotPresent。

3. Never

• 行为：从不从镜像仓库拉取镜像，仅使用本地节点已存在的镜像。
• 适用场景：
  • 离线环境（集群无法访问外部镜像仓库），镜像需提前手动加载到节点。
  • 测试场景（使用本地构建的临时镜像，无需推送到仓库）。
• 注意：若本地节点不存在指定镜像，容器会启动失败（状态为 ErrImageNeverPull）。

特殊说明与最佳实践

1. 私有仓库镜像拉取：
   若镜像位于私有仓库（如 Docker Hub 私有仓库、Harbor 等），需在 Pod 中配置 imagePullSecrets 引用包含仓库认证信息的 Secret，否则即使策略正确，也会因权限不足拉取失败。

   示例配置：

   apiVersion: v1
   kind: Pod
   metadata:
     name: private-image-pod
   spec:
     containers:
     - name: my-container
       image: private-repo/my-image:v1.0
     imagePullSecrets:
     - name: my-registry-secret  # 包含私有仓库认证信息的 Secret 名称
   

2. 避免滥用 latest 标签：
   latest 标签默认对应 Always 策略，可能导致不同节点拉取到不同版本的镜像（若仓库中镜像已更新），引发集群不一致。生产环境建议使用固定版本标签（如 v1.2.3），并显式指定 imagePullPolicy: IfNotPresent。

3. 镜像拉取失败的排查：
   若镜像拉取失败（状态 ImagePullBackOff 或 ErrImagePull），可通过 kubectl describe pod <pod-name> 查看事件，检查是否因以下原因：

   • 镜像地址或标签错误；
   • 私有仓库认证失败（未配置 imagePullSecrets）；
   • 节点网络无法访问镜像仓库。

总结

策略	行为描述	典型场景
Always	每次都拉取镜像	开发环境、latest 标签镜像
IfNotPresent	本地不存在时拉取（默认）	生产环境、固定版本标签镜像
Never	仅使用本地镜像，从不拉取	离线环境、本地测试镜像

根据镜像更新频率、环境特性（在线/离线）和稳定性要求，选择合适的拉取策略，可提高容器启动效率并减少潜在问题。