Como você pode atualizar a senha de um repositório do AWS ECR no Kubernetes?

A maneira mais fácil de criar e atualizar um segredo do registro do docker no Rancher 2.x para um repositório do AWS ECR é configurar um trabalho CRON que use a AWS CLI e o Kubectl.

• Faça login na máquina host em que o cluster está sendo executado
• Instale a AWS CLI e configure-a para usar uma função do IAM que possa ler as credenciais do ECR.
• Teste a configuração da CLI usando este comando:

aws ecr --region <your_ecr's_region> get-login-password

• Instale o kubectl e configure-o com o yaml para o cluster no qual você deseja definir o segredo e, em seguida, execute a kubectl get podspara verificar se está tudo bem.
• Crie um script de shell como este (excluir é necessário porque, por algum motivo, não há como atualizar/substituir um segredo):

kubectl delete secret <name_of_the_docker_registry_secret>
kubectl create secret docker-registry <name_of_the_docker_registry_secret> \
  --docker-server=<your_ecr_registry_uri> \
  --docker-username=AWS \
  --docker-password=$(aws ecr --region <your_ecr's_region> get-login-password) \
  --docker-email=<your_notification_email>

• Configure um cron job para executar este script de shell a cada 6 horas (a AWS redefine a senha a cada 12, apenas por segurança).

O segredo aparecerá no projeto padrão do cluster e será usado sempre que o Kubernetes quiser fazer algo relacionado ao seu registro ECR.