11.4. 使用 Admission Controller 来始终拉取镜像

镜像拉取到某个节点后，来自任何用户在该节点上的任何 Pod 都可以使用该镜像，而无需对镜像进行授权检查。为确保 Pod 不使用它们没有凭证的镜像，请使用 AlwaysPullImages 准入控制器。

此准入控制器会修改每个新 Pod 来强制镜像拉取(pull)策略为 Always，确保私有镜像只能由拥有凭证的用户使用，即使 Pod 规格使用 Never 镜像拉取策略。

启用 AlwaysPullImages 准入控制器：

将以下内容添加到 master-config.yaml 中：

admissionConfig:
  pluginConfig:
    AlwaysPullImages: 1
      configuration:
        kind: DefaultAdmissionConfig
        apiVersion: v1
        disable: false 2

1: 准入插件名称。
2: 指定 false 来表示该插件应启用。

使用 master-restart 命令重启 control plane 静态 Pod 中运行的 master 服务：
```
$ master-restart api
$ master-restart controllers
```

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

© 2024 Red Hat, Inc.