Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Работа с приватными реестрами Docker-образов

Статья создана
Улучшена
Обновлена 16 февраля 2026 г.

Managed Service for Kubernetes поддерживает интеграцию с приватными реестрами Docker-образов Yandex Container Registry и Yandex Cloud Registry. Сервис авторизуется в этих реестрах от имени облачного сервисного аккаунта, назначенного группе узлов. Это предпочтительный и наиболее безопасный способ, поскольку авторизация происходит автоматически с помощью короткоживущих IAM-токенов.

Назначить сервисный аккаунт группе узлов можно при создании или изменении кластера Managed Service for Kubernetes.

Чтобы сервисный аккаунт имел доступ к реестрам, ему должны быть назначены следующие роли на каталог с реестром:

При такой интеграции в манифесте подов не нужно указывать какие-либо аутентификационные данные, например:

apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: cr.yandex/<идентификатор_реестра>/<имя_Docker-образа>:<тег>

Если по какой-то причине для авторизации в Container Registry или Cloud Registry невозможно использовать сервисный аккаунт с указанными ролями, используйте авторизованный ключ с неограниченным сроком жизни.

Важно

Использование долгоживущего ключа менее безопасно, чем использование IAM-токенов.

Чтобы авторизоваться в реестре с помощью ключа:

  1. Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

    По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  2. Установите kubectl и настройте его на работу с созданным кластером.

  3. Создайте авторизованный ключ и сохраните его в файл key.json:

    yc iam key create \
  --service-account-name <имя_сервисного_аккаунта> \
  --output key.json

  4. Создайте секрет с данными ключа:

    kubectl create secret docker-registry yc-registry-secret \
  --docker-server=cr.yandex \
  --docker-username=json_key \
  --docker-password="$(cat key.json)" \
  --namespace=<пространство_имен>

  5. Создайте YAML-файл манифеста со ссылкой на созданный секрет:

    apiVersion: v1
kind: Pod
metadata:
  name: private-reg
spec:
  containers:
  - name: private-reg-container
    image: cr.yandex/<идентификатор_реестра>/<имя_Docker-образа>:<тег>
  imagePullSecrets:
  - name: yc-registry-secret

  6. Примените новую конфигурацию:

    kubectl apply -f <путь_до_YAML-файла>

  7. Убедитесь, что образ успешно скачан из реестра:

    kubectl get pods

    Результат:

    NAME           READY   STATUS             RESTARTS   AGE
private-reg    1/1     Running            0          7s
Предыдущая
Установка приложений из Yandex Cloud Marketplace с помощью Terraform
Следующая
Обзор способов подключения