k8s - docker/containerd拉取私有仓库镜像

已于 2023-03-29 09:08:15 修改
阅读量5.1k 收藏 10
点赞数 2
文章标签: kubernetes docker 容器
于 2022-09-28 11:44:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44388689/article/details/127086026
版权
本文介绍了在Kubernetes(k8s)集群使用Containerd运行时如何从内部Harbor私有仓库拉取镜像。针对两种方案进行了讨论,重点在于详细解释了如何为每个用户设置namespace级别的secret,以实现用户隔离并解决http TLS验证问题。通过创建用户、Base64编码密码、创建secret和pod YAML配置,成功实现了在Containerd中拉取私有仓库镜像。
摘要由CSDN通过智能技术生成

背景:
公司内部搭建Harbor作为镜像仓库,k8s底层为containerd运行时,此时需要拉取私有仓库镜像有两种方案:

  • 第一种,在containerd的配置文件内配上harbor的admin管理员账号的认证信息,那么不管仓库是否是私有,管理员都可以拉取该仓库下的镜像。但是有个弊端,就是如果不同用户的话,只要知道别人的仓库名称和镜像名称等信息,那么底层实际上是可以用别人仓库下的镜像的,这就无法做到用户隔离了。
  • 第二种,每个用户都对应一个namespace,在namespace下创建secret用于记录该用户的harbor账号及密码,用于拉取镜像时通过验证。这里大家可以参考一下官网的文档
    • https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/pull-image-private-registry/
    • https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#secret-types

我这边的需求是第二种才满足,但是看官方文档上的,是对docker运行时的应用,这就导致在containerd运行时的时候,需要踩一些坑。

问题点1:harbor走的是http,而不是https,所以需要解决tls验证的问题
解决方法:
在这里插入图片描述

特别注意!!!:这里的配置文件,你的k8s集群上每个节点都要改,不要漏了

vi /etc/containerd/config.toml
修改配置文件


这里我把配置文件直接贴进来

disabled_plugins = []
imports = []
oom_score = 0
plugin_dir = ""
required_plugins = []
root = "/var/lib/containerd"
state = "/run/containerd"
temp = ""
version = 2

[cgroup]
  path = ""

[debug]
  address = ""
  format = ""
  gid = 0
  level = ""
  uid = 0

[grpc]
  address = "/run/containerd/containerd.sock"
  gid = 0
  max_recv_message_size = 16777216
  max_send_message_size = 16777216
  tcp_address = ""
  tcp_tls_ca = ""
  tcp_tls_cert = ""
  tcp_tls_key = ""
  uid = 0

[metrics]
  address = ""
  grpc_histogram = false

[plugins]

  [plugins."io.containerd.gc.v1.scheduler"]
    deletion_threshold = 0
    mutation_threshold = 100
    pause_threshold = 0.02
    schedule_delay = "0s"
    startup_delay = "100ms"

  [plugins."io.containerd.grpc.v1.cri"]
    device_ownership_from_security_context = false
    disable_apparmor = false
    disable_cgroup = false
    disable_hugetlb_controller = true
    disable_proc_mount = false
    disable_tcp_service = true
    enable_selinux = false
    enable_tls_streaming = false
    enable_unprivileged_icmp = false
    enable_unprivileged_ports = false
    ignore_image_defined_volumes = false
    max_concurrent_downloads = 3
    max_container_log_line_size = 16384
    netns_mounts_under_state_dir = false
    restrict_oom_score_adj = false
    sandbox_image =
最低0.47元/天 解锁文章
RayCheungQT
关注
k8s_如何查看container拉取镜像
纵歌的博客
06-25 1752
k8s_如何查看container拉取镜像
Kubernetes 容器运行时 Containerd 配置镜像加速(镜像代理)
运维阿峰
10-14 743
kubernetes 容器运行时 containerd 镜像代理(镜像加速)
如何让containerd从搭建的私有http harbor仓库拉取镜像
DwanCloud
02-22 3464
配置containerd从http harbor仓库拉取镜像
k8s_如何配置 containerd 使用镜像加速拉取docker.io上的镜像
纵歌的博客
06-27 3069
k8s_如何配置 containerd 使用镜像加速拉取docker.io上的镜像
containerd代理拉取镜像
Y_zpqq的博客
07-01 541
因为某些原因,很多国内镜像站失效,o(╥﹏╥)o。
K8S基于containerd容器从harbor拉取
weixin_40364776的博客
04-06 2095
K8S使用containerd容器运行时,实现创建pod资源时 从harbor上拉取镜像
使用containerd作为容器运行时拉取镜像的方法
LMFranK的博客
12-06 3080
k8s v1.24版本后默认使用containerd作为容器运行时,很多镜像库使用的是gcr.io,国内可能无法成功拉取。接下来将通过搭建Metrics Server来演示该情况的解决方法。
Docker&Containerd】使用docker pull 和crictl pull命令拉取镜像导入至本地仓库
宝耶需努力的技术分享博客
07-11 1846
Docker&Containerd】使用docker pull 和crictl pull命令拉取镜像导入至本地仓库
containerd容器ctr命令打包、拉取、上传镜像
热门推荐
justlpf的专栏
08-11 1万+
ctr是一个用于管理containerd的命令行工具,可以用它来打包、拉取、上传镜像
k8s私有仓库拉取镜像
LoveyourselfJiuhao的博客
06-28 841
1、实战目的 从私有docker仓库拉取镜像,部署pod。上一篇中,我们搭建了私有镜像仓库,这一篇我们将与k8s结合实战使用私有仓库。 2、登录docker 为了完成本次实战,需要登录docker,如下: 3、为k8s集群创建Secret 当pod从私用仓库拉取镜像时,k8s集群使用类型为docker-registry的Secret来提供身份认证,创建一个名为registry-key的S...
K8SDocker私有仓库拉取/推送镜像报错(http: server gave HTTP response to HTTPS client)
sinat_28371057的博客
02-21 3505
这里,我们搭建的Harbor仓库的地址为http://192.168.175.101:1180。 报错信息如下所示。 [root@binghe101 ~]# docker login 192.168.175.101:1180 Username: binghe Password: Error response from daemon: Get https://192.168.175.101:1180/v2/: http: server gave HTTP response to HTTPS clie.
k8s最新版本1.24.3基于containerd搭建集群,集成buildkit、nerdctl构建镜像,jenkins自动化。
08-03
本文档包含: 1、k8s最新版本1.24.3基于containerd搭建集群 2、集成buildkit、nerdctl工具构建镜像 3、基于Oracle JDK11,使用jlink工具精简JRE包,自定义容器镜像 4、部署基于NFS的StorageClass,作为共享存储,Docker Registry、Nacos都使用此StorageClass挂载存储 4、在k8s中部署Docker Registry作为私有镜像仓库,在非HTTPS的情况下完成镜像build、push、pull 5、在k8s中部署Docker Registry UI,直观查看仓库内容 6、在k8s中部署Nacos作为微服务注册发现中心 4、jenkins pipeline实现自动化发布流程 5、几乎所有的坑都在配置文件中得到避免,没有保留,直接提供k8s的配置文件使用
kubernetes拉取私有仓库镜像
风起于青萍之末
03-16 8871
这里介绍通过secret配置来拉取私有仓库镜像。 如果不进行设置的话,创建RC拉取镜像时就会提示找不到镜像,报以下错误: Events: FirstSeen LastSeen Count From SubObjectPath Type Reason Message...
如何利用k8s拉取私有仓库镜像
wangsofa的博客
08-19 4823
现象最近实战时,发现一个很奇怪的问题,在通过 k8s 创建 pod,拉取镜像时,总是显示如下信息:Error syncing pod, skipping: failed to "...
Containerd容器运行时的私有仓库镜像推送push和镜像拉取问题解决
Bulut0907
09-23 8446
向/etc/containerd/config.toml配置添加如下配置,然后重启containerd。向/etc/containerd/config.toml配置添加如下配置,然后重启containerd。通过crictl为k8s拉取镜像如下所示。可以通过ctr命令进行镜像推送。往私有仓库推送镜像如下。
containerd 使用http方式拉取镜像
qq_42536422的博客
07-26 644
containerd使用http方式拉取镜像
k8s 使用 containerd 作为容器运行时拉取 http 的 harbor 私有仓库镜像
最新发布
以梦为马|越骑越傻
10-24 501
文章目录@[toc]版本介绍报错内容解决方法主配置文件修改创建镜像仓库配置备注 版本介绍 k8s:v1.28.2 containerd:1.6.33 报错内容 我的 harbor 用的是 http 的,因为是内网自己用,就没有配置 https 了,于是配置好镜像拉取的凭据,pod 拉取镜像会有以下的报错 Failed to pull image "harbor.devops.icu/baseimage/prometheus:v2.54.1": failed to pull and unpack
新版K8s:v1.28拉取Harbor仓库镜像以及本地镜像docker弃用改用containerd,纯纯踩坑)
Henry的博客
01-17 3870
使用Kuboard作为k8s集群的管理平台,Harbor作为镜像仓库拉取Harbor镜像仓库镜像运行。从K8s1.24版本之后,k8s就逐渐弃用了docker,采用containerd来管理
企业私有Docker镜像仓库搭建教程-Kubernetes
"本文主要介绍了如何在实际操作中搭建私有的...搭建Docker私有镜像仓库涉及证书管理、容器化部署和客户端配置等多个环节,这些步骤的实施能帮助企业构建安全、可控的容器化应用环境,同时降低对第三方服务的依赖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RayCheungQT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值