Всем привет! Проблема с частным приватным registry gitlab. При deploy получаю

ошибку:

Failed to pull image "registry.mmarket.biz/werftstapp/werf-guide-app:e5c6ebcd2718ccfe74d01069a0d758e03d5a2554155ccdc01be0daff-1709134584204": rpc error: code = Unknown desc = failed to pull and unpack image "registry.mmarket.biz/werftstapp/werf-guide-app:e5c6ebcd2718ccfe74d01069a0d758e03d5a2554155ccdc01be0daff-1709134584204": failed to resolve reference "registry.mmarket.biz/werftstapp/werf-guide-app:e5c6ebcd2718ccfe74d01069a0d758e03d5a2554155ccdc01be0daff-1709134584204": failed to authorize: failed to fetch oauth token: unexpected status: 403 Forbidden

Схема такая:
k8s работает в ya cloud как сервис
GitLab свой OnPremise, на нём registry поднят

Со своей машины после docker login пушу и пулю образы в этот registry
т.е. docker push/pull registry.mmarket.biz/werftstapp/werf-guide-app
отрабатывает без проблем

Именно k8s не может получить доступ
В HELM Templates сделал secret, не помогло.
Делал kubectl create secret docker-registry mmregistry --docker-server=registry.mmarket.biz --docker-username=reguser --docker-password=glpat-vcFFRHGGRT5655TQj_bUfSxX -n werf-guide-app
Сделал отдельный pod не помогает.

Подключил https://hub.docker.com/repository/docker
Deploy отрабатывает, проблемы нет.

Проблема в связке с k8s и GitLab registry registry.mmarket.biz

Есть идеи?

Стикер

Проверьте, что service account, токен которого вшит в кубеконфиг гитлаб раннера, может читать секреты.