事件一：重新拉取镜像失败_云容器实例 CCI_常见问题_工作负载异

排查项一：kubectl创建工作负载时未指定imagePullSecret

以创建一个名为nginx的deployment为例，请排查yaml文件中是否存在imagePullSecrets字段（如下yaml示例中的加粗字段），表示pull镜像时的secret名称。

需要使用容器镜像服务的镜像时，参数值固定为imagepull-secret。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  strategy:
    type: RollingUpdate
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - image: nginx:alpine
        imagePullPolicy: Always
        name: nginx
      imagePullSecrets:
      - name: imagepull-secret

排查项二：填写的镜像地址错误

CCI支持拉取容器镜像服务中的镜像来创建工作负载。

容器镜像服务中的镜像需要使用镜像的“下载指令”，上传镜像后，您可以在容器镜像服务的镜像中获取，如下图所示。

图1 镜像地址

排查项三：IAM用户没有镜像下载权限

如果您开通了企业管理，您需要在账号下的容器镜像服务中给IAM用户添加权限，IAM用户才能使用账号下的私有镜像。

给IAM用户添加权限有如下两种方法：

• 在镜像详情中为IAM用户添加授权，授权完成后，IAM用户享有读取/编辑/管理该镜像的权限，具体请参见在镜像详情中添加授权。
• 在组织中为IAM用户添加授权，使IAM用户对组织内所有镜像享有读取/编辑/管理的权限，具体请参见在组织中添加授权。