containerd拉取私有仓库镜像报错x509: certificate signed by unknown authority

最新推荐文章于 2025-04-04 16:42:56 发布
最新推荐文章于 2025-04-04 16:42:56 发布
阅读量1.2w 收藏 15
点赞数 1
分类专栏: K8s与容器系列 文章标签: 云原生 kubernetes containerd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37837432/article/details/124159248
版权
当使用crictl尝试从使用HTTPS的私有Harbor仓库拉取镜像时,由于默认缺少证书,操作会失败。解决方法包括下载证书到指定目录,修改containerd配置文件添加endpoint、ca_file、用户名和密码,然后重启containerd服务。完成这些步骤后,可以成功拉取镜像。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

报错

在这里插入图片描述

原因分析

私有仓库使用的是harbor,由于harbor连接默认需要https认证,crictl拉取镜像默认不带证书访问,所以会报错

解决

#下载证书并放到指定目录,证书如何下载看下图
mkdir /etc/containerd/core.harbor.domain
cp ca.crt  /etc/containerd/core.harbor.domain/

在这里插入图片描述
修改containerd配置文件

vim /etc/containerd/config.toml
#配置endpoint连接地址
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."core.harbor.domain"]
    endpoint = ["https://core.harbor.domain"]

#配置ca文件路径和用户名密码
[plugins."io.containerd.grpc.v1.cri".registry.configs]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."core.harbor.domain".tls]
    ca_file = "/etc/containerd/core.harbor.domain/ca.crt"
  [plugins."io.containerd.grpc.v1.cri".registry.configs."core.harbor.domain".auth]
    username = "admin"
    password = "Harbor12345"

在这里插入图片描述
重启containerd

#重新加载配置
systemctl daemon-reload
#重启containerd
systemctl restart containerd

拉取镜像

crictl pull core.harbor.domain/library/nginx:v1.0

在这里插入图片描述
在这里插入图片描述

拉取镜像成功。

Rancher环境下访问Harbor时出现x509: 证书签名由未知机构引起的问题
LogicGuruX的博客
08-16 1821
以上就是解决Rancher环境下访问Harbor时出现x509: 证书签名由未知机构引起的问题的方法。通过将Harbor的证书导入Centos7系统并重新启动Docker服务,我们可以顺利地访问和操作Harbor中的镜像仓库。然而,有时在访问Harbor时可能会出现x509: 证书签名由未知机构引起的问题。您可以通过Rancher访问Harbor,而不再遇到x509: 证书签名由未知机构引起的问题。要解决这个问题,我们需要将Harbor的证书导入到Centos7系统的受信任证书存储中。
k8s-for-docker-desktop部署成功后又长时间starting后续产生的tls: failed to verify certificate: x509: certificate问题
weixin_68339359的博客
07-18 392
未解决理由:不存在/etc/kubernetes/这个文件夹,我wsl环境下的apt无法正常使用,故使用docker-desktop的方式安装docker,并尝试部署K8s。Q2:在部署好v1.29.2的k8s-for-docker-desktop后第二天,出现了长时间k8s is starting,由于没有注意到。未解决理由:仍然是不存在/etc/kubernetes/这个文件夹,并且在加上sudo的情况下仍然会显示没有编辑root下文件的权限。提供的解决方案,尝试重新执行sh文件后产生如下问题。
K8s私有仓库镜像报错解决:x509 certificate signed by unknown authority
最新发布
lzz的博客
04-04 1148
Kubernetes环境中使用自签名证书的私有Harbor镜像仓库时,常会遇到证书验证失败的问题。本文将详细讲解如何解决这个常见的证书问题。Kubernetes版本:1.28.2容器运行时:containerd 1.6.20私有仓库:Harbor(使用自签名证书)(超简单搭建私有仓库Harbor-亲测无坑解决K8s私有仓库证书问题的关键在于正确配置容器运行时(本例中是containerd)信任私有仓库的证书。
ctr从harbor镜像报错x509: certificate signed by unknown authority
运维@小兵的博客
11-01 1164
添加-k参数跳过认证即可。
docker容器报x509:certificate signed by unknown authority错误
热门推荐
Canger_的博客
03-30 2万+
解决证书验证的问题,x509:certificate signed by unknown authority 我们在构建 docker 镜像时一般使用的是 linux(centos或者ubuntu等待) 系统,默认是不带 ca-certificates 根证书的,导致无法识别外部 https 携带的数字证书。 如图:所以可能会有以下这个错误。 那么,在访问的时候就会抛出 x509: certificate signed by unknown authority 的错误,导致 docker 容器的接口服务返回
Harbor/Docker: x509: certificate signed by unknown authority
tom_fans的博客
07-27 2万+
完成Harbor安装之后,我们使用docker login/push/pull去与Harbor打交道,上传下载镜像等。 但是发现出现x509: certificate signed by unknown authority之类的错误。 [root@test01 harbor.dev]# docker login harbor.dev Authenticating with existing credentials... Login did not succeed, error: Error respon
成功解决docker从本地私库push或pull镜像时报x509: certificate signed by unknown authority
weixin_44410358的博客
12-01 6852
成功解决docker从本地私库push或pull镜像时报x509: certificate signed by unknown authorityDockerQ:docker登录私库时提示 x509: certificate signed by unknown authorityA:解决办法Docker的配置文件 daemon.json 详解(当需要配置多个镜像地址怎么写的问题) Docker Q:docker登录私库时提示 x509: certificate signed by unknown autho
containerd镜像报错x509
小诸葛的博客
07-02 541
2. 使用镜像仓库地址创建一个文件夹,例如:10.10.101.117:8443。1. 进入/etc/containerd/certs.d。3. 在文件夹内创建文件hosts.toml。4. 使用命令登录harbor。
x509: certificate signed by unknown authority;容器部署的服务建立https通信报错
qq_37106501的博客
11-30 3963
x509: certificate signed by unknown authority docker-compose部署的服务访问https报错
docker 私库报:Get https://IP/v2/: x509: certificate signed by unknown authority
♥ZQ♥
09-13 1535
问题: docker pull harbor.core.powercloud.com/public/prom/prometheus@sha256:8b93af55f1e8b1bc3e95d11292a72a90ea6aa85efe680c5adb09d9545f637f8f Trying to pull repository harbor.core.powercloud.com/public/prom/prometheus ... Get https://harbor.core.powercloud.c
docker 公司镜像x509问题
DDdadi的博客
03-10 216
导出文件选择BASE64 ASCILL编码后,将其重名为.crt。复制linux目录 /etc/ca-certificates后,直接从浏览器此处获证书。
k8s学习——升级后的k8s使用私有harbor仓库
潮落拾贝
07-18 686
后来看了一篇文章才知道,nerdctl工具没有安装完全,除了nerdctl工具外还要安装buildctl工具,否则nerdctl build 不能使用,同时,还需要启动一个buildkitd服务。升级后的k8s使用了第三方的容器管理器,安装了nerdctl工具来替代docker进行镜像管理。等把所有节点全部安装了buildctl 并启动了buildkit服务后,再重启kubelet、containterd,部署过程中私有仓库镜像就正常了。
docker login : x509: certificate signed by unknown authority
张伯毅的专栏
08-29 2510
docker login 登录harbor镜像仓库报错.
x509: certificate signed by unknow n authority
ic_xcc的博客
09-08 4978
最近的go项目遇见这个问题,记录一下,问题起因是调用别的项目组接口时,接口由http更改为https,之前调试通过的调用接口推送信息方式返回的request请求报错如下:x509: certificate signed by unknow n authority 几番查找之后修改完毕,更改如下 1.引入 "crypto/tls" 包 2.定义TLSClientConfig,忽略证书校验 原写法 //发起请求 func Request(url string, header http.Header,
docker 报错x509: certificate signed by unknown authority
Python开发分享的博客
12-14 1万+
1.未开启证书验证的仓库 # vim /etc/docker/daemon.json { "insecure-registries": ["registry.svc.xxx.cn"] } #systemctl restart docker 2.开启证书验证的仓库 从私有仓库镜像报错: docker pull x509:certificate signed by unknown authority 解决方案: 1、登陆私有仓库服务器,进入/etc/docker/certs.d/目录
x509: certificate signed by unknown authority (possibly because of “crypto/rsa: verification error“
johnhuster的专栏
10-29 7518
执行下面命令初始化k8s集群时 kubeadm init --pod-network-cidr 10.21.0.0/16 \ --image-repository registry.cn-hangzhou.aliyuncs.com/google_containers 通过 kubectl get pods -n kube-system 查看pods状态 发现coredns对应的pod状态为ContainerCreating, 通过kubectl describe pods -n kube-
Get “https://xx.xx.x.xx/v2/“: x509: certificate signed by unknown authority
qq_1801743621的博客
06-26 1424
Get "https://xx.xx.x.xx/v2/": x509: certificate signed by unknown authority
docker buildx 构建多平台镜像错误x509: certificate signed by unknown authority
三劫散仙
05-30 2279
buildx 构建时,如果去公司内部的仓库镜像时,会遇到下面的这种授权不通过问题。添加到BuildKitd容器中。
[allegro@pdc1 kubernetes]$ sudo kubeadm config images pull --image-repository 132.122.1.168:5000 --kubernetes-version v1.28.2 failed to pull image "132.122.1.168:5000/kube-apiserver:v1.28.2": output: E0321 11:40:25.527363 10512 remote_image.go:242] "PullImage from image service failed" err="rpc error: code = Unknown desc = failed to pull and unpack image \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to resolve reference \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to do request: Head \"https://132.122.1.168:5000/v2/kube-apiserver/manifests/v1.28.2\": tls: failed to verify certificate: x509: certificate signed by unknown authority" image="132.122.1.168:5000/kube-apiserver:v1.28.2" time="2025-03-21T11:40:25+08:00" level=fatal msg="pulling image: rpc error: code = Unknown desc = failed to pull and unpack image \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to resolve reference \"132.122.1.168:5000/kube-apiserver:v1.28.2\": failed to do request: Head \"https://132.122.1.168:5000/v2/kube-apiserver/manifests/v1.28.2\": tls: failed to verify certificate: x509: certificate signed by unknown authority" , error: exit status 1 To see the stack trace of this error execute with --v=5 or higher
03-22
<think>好的,我现在需要解决用户在Kubernetes中使用自定义镜像仓库镜像时遇到的TLS证书验证失败问题,具体错误是“tls: failed to verify certificate: x509: certificate signed by unknown authority”,使用的Kubernetes版本是v1.28.2。让我先理清这个问题的可能原因和解决方法。 首先,用户提到的是自定义镜像仓库,所以问题很可能与镜像仓库的TLS证书有关。根据引用[1]和[2],证书不被信任或配置错误会导致这类问题。Kubernetes组件(如kubelet)在镜像时,需要信任镜像仓库的CA证书,否则会验证失败。 接下来,我需要考虑如何让Kubernetes节点信任这个自定义仓库的证书。可能的步骤包括将CA证书添加到节点的信任存储中,或者配置Docker/containerd使用该CA。另外,如果是私有仓库,可能需要配置镜像密钥,但这里的问题更可能是证书信任的问题,而不是认证问题。 对于kubeadm config images pull命令,这个命令用于预先控制平面镜像,所以需要确保执行该命令的节点能够正确访问自定义仓库并信任其证书。如果节点没有正确配置信任,就会报错。 可能的解决方案步骤: 1. 将自定义镜像仓库的CA证书添加到每个Kubernetes节点的系统信任证书中,比如在Ubuntu上复制到/usr/local/share/ca-certificates/并运行update-ca-certificates。 2. 配置Docker或containerd信任该CA证书。例如,在Docker中,将CA证书放入/etc/docker/certs.d/<仓库域名>/目录下,并重启Docker服务。 3. 检查kubelet的配置,确保它使用正确的证书。有时候,kubelet可能需要单独配置证书信任链。 4. 如果使用私有仓库,可能需要创建Secret并在Pod定义中引用,但证书信任问题可能需要先解决。 5. 确保自定义仓库的证书是有效的,包括域名匹配和未过期。 另外,根据Kubernetes版本v1.28.2,可能需要检查是否有已知的证书处理变更,但暂时没有相关信息。需要用户确认证书是否正确部署到所有节点,并确保服务重启以应用更改。 用户提到的错误信息与引用[1]中的情况类似,都是证书不被信任,所以解决方案应该围绕添加CA证书到信任链展开。可能需要分步骤指导用户如何添加证书到系统、Docker/containerd,并验证配置是否正确。 最后,生成相关问题,可能涉及其他证书问题、私有仓库配置或kubeadm的其他问题。</think>### 解决方案:Kubernetes自定义镜像仓库TLS证书验证失败问题 #### 问题原因分析 此错误表明Kubernetes节点不信任自定义镜像仓库的TLS证书。主要原因包括: 1. 自定义镜像仓库的证书是自签名的,或未被系统信任的CA签发[^2]; 2. 节点未正确配置信任该证书的CA; 3. Docker/containerd未加载更新后的证书链。 --- ### 解决步骤 #### 1. 将CA证书添加到系统信任链 **操作流程:** - **步骤1**:获镜像仓库的CA证书文件(通常为`.crt`或`.pem`格式) - **步骤2**:将证书复制到系统证书目录: ```bash # Ubuntu/Debian sudo cp custom-repo-ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates # CentOS/RHEL sudo cp custom-repo-ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` - **步骤3**:重启容器运行时服务: ```bash # Docker sudo systemctl restart docker # containerd sudo systemctl restart containerd ``` #### 2. 配置Docker/containerd信任证书 **Docker专用配置:** - 创建证书目录并复制证书: ```bash # 格式:/etc/docker/certs.d/<仓库域名>:<端口>/ca.crt sudo mkdir -p /etc/docker/certs.d/custom.repo.com:5000 sudo cp custom-repo-ca.crt /etc/docker/certs.d/custom.repo.com:5000/ca.crt ``` - 重启Docker服务: ```bash sudo systemctl restart docker ``` **containerd配置:** - 修改`/etc/containerd/config.toml`,添加证书路径: ```toml [plugins."io.containerd.grpc.v1.cri".registry.configs] [plugins."io.containerd.grpc.v1.cri".registry.configs."custom.repo.com:5000".tls] ca_file = "/path/to/custom-repo-ca.crt" ``` - 重启containerd: ```bash sudo systemctl restart containerd ``` #### 3. 验证证书加载 - 使用`curl`测试证书是否被信任: ```bash curl https://custom.repo.com:5000/v2/_catalog ``` 若返回镜像列表,则证书信任成功。 #### 4. 针对kubeadm的特殊配置 如果使用`kubeadm config images pull`命令: - 确保执行该命令的节点已完成上述证书配置; - 若仍失败,尝试手动指定镜像仓库地址: ```bash kubeadm config images pull --image-repository=custom.repo.com:5000/k8s ``` --- ### 补充说明 - **证书有效性检查**:使用`openssl x509 -in custom-repo-ca.crt -text -noout`确认证书有效期和域名匹配; - **集群节点同步**:所有节点(包括控制平面和工作节点)均需完成证书配置; - **Kubelet配置**:若kubelet独立配置证书,需检查`/var/lib/kubelet/config.yaml`中的`serverTLSBootstrap`参数[^1]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡似水的人生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值