containerd 设置非授信仓库

已于 2023-08-21 20:41:55 修改
阅读量6.8w 收藏 1
点赞数
文章标签: kubernetes 容器 云原生
于 2023-08-21 20:40:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46660849/article/details/132415839
版权

containerd 介绍

containerd 是一个独立的容器运行时,用于执行和管理容器。它是为稳定性、性能和可移植性而设计的,而不是一个完整的容器解决方案,而是提供了必要的核心功能来运行容器。containerd 与 Open Container Initiative (OCI) 标准兼容,这意味着它可以与任何 OCI 兼容的容器映像和运行时一起工作。
Kubernetes 在 1.24 版本里弃用并移除 dockershim。使用 Docker 引擎作为其 Kubernetes 集群的容器运行时的工作流或系统需要在升级到 1.24 版本之前进行迁移。如此以来 containerd 在 Kubernetes 集群中使用的更为广泛。

containerd 未设置非授信仓库拉取私有仓库报错

可以看到在私有的 Harbor 仓库中有名为 myredis:latest 的镜像。如果对 Kubernetes 中如何安装 Harbor 仓库感兴趣的可以查看 Kubernetes通过Helm Chart安装Harbor仓库并访问验证
在这里插入图片描述
如果我们通过 crictl 命令拉取镜像时会遇到如下错误提示:

crictl pull harbor.example.com/library/myredis:latest
E0821 05:02:17.961874   16380 remote_image.go:171] "PullImage from image service failed" err="rpc error: code = Unknown desc = failed to pull and unpack image \"harbor.example.com/library/myredis:latest\": failed to resolve reference \"harbor.example.com/library/myredis:latest\": failed to do request: Head \"https://harbor.example.com/v2/library/myredis/manifests/latest\": x509: certificate signed by unknown authority" image="harbor.example.com/library/myredis:latest"
FATA[0000] pulling image: rpc error: code = Unknown desc = failed to pull and unpack image "harbor.example.com/library/myredis:latest": failed to resolve reference "harbor.example.com/library/myredis:latest": failed to do request: Head "https://harbor.example.com/v2/library/myredis/manifests/latest": x509: certificate signed by unknown authority

看到 x509: certificate signed by unknown authority 就可以想到是由于拉取的镜像来源于非授信仓库。

containerd 设置非授信仓库

vi /etc/containerd/config.toml

# 搜索有关registry设置的关键字 "plugins."io.containerd.grpc.v1.cri".registry]"

#将 "plugins."io.containerd.grpc.v1.cri".registry.configs" 下的内容设置为:
[plugins."io.containerd.grpc.v1.cri".registry.configs]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."harbor.example.com".tls]
    insecure_skip_verify = true

#将 "plugins."io.containerd.grpc.v1.cri".registry.mirrors" 下的内容设置为:
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."harbor.example.com"]
    endpoint = ["https://harbor.example.com"]

保存退出后重启 containerd

sudo systemctl restart containerd

之后再次拉取镜像就不会出现 x509 相关的错误提示

crictl pull harbor.example.com/library/myredis:latest
Image is up to date for sha256:506734eb5e71d5555e75ecfe2253806f75a6845cec83d7e03ca974137e9dc622
大風起雲飛揚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
framework4.6.2 & 授信证书.7z
07-24
3. 检查日期和时间设置:确保系统日期和时间设置正确,因为错误的时间可能导致证书验证失败。 4. 更新操作系统:有时,缺少的证书可能是由于操作系统未更新,确保操作系统已打上所有必要的安全补丁。 通过以上步骤...
k8s containerd私有仓库配置及常用命令
qq_39360187的博客
03-11 1万+
修改containerd配置文件,添加私有仓库配置。
containerd对接不带ssl认证仓库
weixin_44742630的博客
08-01 992
containerd对接私有仓库
解决k8s 1.26版本拉取harbor失败
qq_21277357的博客
12-09 574
plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.10.108:80".auth] #新增加的。[plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.10.108:80".tls] #新增加的。在次使用crictl pull拉取,如果成功,那么我们的pod 就可以重新拉取到harbor的仓库的内容了。修改下面的 新增加的内容。
containerd拉取私库镜像失败(kubelet)
企鹅菜鸟的成长过程
07-26 7483
最近在跟着高塔老师的教程用二进制的方式搭建k8skubernetesv1.20.0我没有使用最新的版本,是因为内部网络问题。containerdv1.5.2之前并没有使用过,但对docker比较熟悉我所处的环境是一个内网环境,无法连接互联网,更无法连接国际互联网,内网环境下部署了Harbor(privateregistry),用作镜像仓库来使用,是以http形式来进行服务的,即insecureregistry,ip地址为192.168.1.8第一个问题。...
安装containerd并配置新版harbor免证书拉取
wbxingkong的博客
05-14 2706
阅读需要一定功力 # 安装containerd.io 1 安装 ## 削除旧的版本 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update ## 安装相关支持 sudo apt-get install \ apt-transport-https \ ca-certificates \ curl \ gnupg \ lsb-release ...
Containerd对接自签名harbor —— 筑梦之路
筑梦之路
08-20 1351
创建hosts.toml文件或者证书文件存储的目录,注意这个创建的目录名称必须是Harbor的域名(如果不是则报x509);直接在config.toml中配置相关的证书参数对于Containerd默认使用的ctr是不生效的因为ctr不使用CRI;我们可以使用Containerd支持的hosts方式去进行配置,可以实现ctr和nerdctl去对接Harbor。因此它不读取配置中【plugins."io.containerd.grpc.v1.cri】配置的认证内容。
钢铁行业授信分析报告文件
06-10
【钢铁行业授信分析报告】 钢铁行业是全球经济的重要组成部分,尤其在中国,它不仅是国民经济的支柱产业,也是基础性行业。这份报告详细分析了2012年钢铁行业在国内外经济环境中的地位、政策环境、社会环境和技术...
授信审批部门岗位设置与职责.doc
09-28
授信审批部门岗位设置与职责】的文档详细阐述了银行授信审批部门的职能以及各岗位的具体职责。授信审批部门在银行中扮演着至关重要的角色,它确保了银行信贷业务的安全性和稳健性,促进了银行资产结构和质量的优化...
授信审批部门岗位设置及职责.doc
10-03
授信审批部门岗位设置及职责.doc
Containerd客户端工具(CLI)介绍ctr,nerdctl,crictl,podman以及docker
码农崛起
01-29 1万+
ctr,nerdctl:都是containerd客户端,但containerd的客户端工具ctr及crictl使用不方便,containerd 全新的一个客户端工具nerdctlReleases · containerd/nerdctl · GitHub#文章 Title | #网站标题 crictl:可以使用它来检查和调试 k8s 节点上的容器运行时和应用程序。 接下来就是crictl的的常见命令,其中能完全替代docker命令的参照下列表格 操作 crictl docke...
Containerd 安装过程以及踩的坑
热门推荐
Aisaka81的博客
07-05 1万+
安装过程 由于K8S在后续版本中将停止对docker的支持,因此最近摸鱼的时候想到了研究下怎么用containerd事情,在尝试过程中碰到了一些问题,特此将相关过程记录,以作备忘。 containerd安装很简单,访问项目GitHub,在release中找到要安装的版本和操作系统对应的二进制包,下载解压即可得到所有需要的二进制文件。 以centos下安装1.4.6版本containerd为例 wget https://github.com/containerd/containerd/relea
k8s-1.20之containerd配置--使用个人harbor仓库
rpfgg的博客
05-13 5977
背景 k8s-1.20发布之后,不再使用doker作为底层容器运行时,而是默认使用Container Runtime Interface(CRI)。 因此原来在docker中配置的个人仓库环境不再 起作用,导致k8s配置pods时拉取镜像失败。 配置方式 环境支持 通过 kubectl get pods -o wide 查看是否已经采用containerd作为容器运行时。 通过查看版本 ctr -v ctr github.com/containerd/containerd v1.4.0-106-g
k8s搭配containerd:如何从harbor私有仓库pull镜像
那个那个
07-30 1万+
k8s搭配containerd:如何从harbor私有仓库pull镜像 containerd 实现了 kubernetesContainer Runtime Interface (CRI) 接口,提供容器运行时核心功能,如镜像管理、容器管理等,相比 dockerd 更加简单、健壮和可移植。 从docker过度还是需要一点时间慢慢习惯的,今天来探讨containerd 如何从私有仓库harbor下载镜像! containerd 不能像docker一样 docker login harbor.exampl
cri-containerd运行时使用私有镜像仓库
y_chen_007的博客
07-27 1万+
cri-containerd运行时使用私有镜像仓库从docker切换到containerd切换方法cri-containerd使用私有镜像仓库不支持使用plain-http的镜像仓库 从docker切换到containerd k8s缺省使用docker运行时,但是1.12.x开始支持使用containerd运行时,这样调用路径从原来的kubelet->dockershim->docke...
k8s云原生技术栈(脑图)
晴空的博客
07-23 837
Kubernetes (K8s) 是一种开源的容器编排引擎,用于自动化应用程序容器的部署、扩展和操作。它由Google设计并捐赠给Cloud Native Computing Foundation(CNCF)进行维护。Kubernetes 提供了一个强大的平台,用于构建和管理容器化应用程序的解决方案。
K8s-控制器
l6xy6的博客
07-23 976
2.编辑RS控制器:kubectl -n lxy edit rs nginx-rs (有些是无法修改)获取当前rs资源的Yaml: kubectl -n lxy get rs nginx-rs -oyaml。1.对yaml修改副本数,修改资源配置:kubectl apply -f rs-nginx.yml。2.控制器可以帮助用户监控,并保证节点上运行定义好的pod副本数。3.pod超过或低于用户期望,控制器会创建、删除pod副本数量。作用:1.pod类型资源删除,不会重建。
k8s核心知识总结
最新发布
weixin_37172178的博客
07-25 1563
容器和镜像的关系可以理解为对象和类,或者java代码和java进程build:通过dockerfile 创建一个镜像tag:镜像本身可以进行版本迭代push/pull:类似git的中央仓库,可以用来提交镜像文件(包括公有和私有)load/save:拥有本地传输镜像文件run/commit:镜像运行一个容器实例,或者提交一个镜像文件start/stop:运行或停止一个容器
ConfigMap-secrets-静态pod
weixin_46466657的博客
07-14 5239
ConfigMap资源,简称CM资源,它生成的键值对数据,存储在ETCD数据库中应用场景:主要是对应用程序的配置pod通过env变量引入ConfigMap,或者通过数据卷挂载volume的方式引入ConfigMap资源官方解释:configMap 卷提供了向 Pod 注入配置数据的方法。ConfigMap 对象中存储的数据可以被 configMap 类型的卷引用,然后被 Pod 中运行的容器化应用使用。引用 configMap 对象时,你可以在卷中通过它的名称来引用。
授信和续授信授信流程有哪些区别
05-12
授信和续授信授信流程有以下几个区别: 1. 审批侧重点不同:新授信的审批侧重于企业的基本情况、财务状况和信用状况等,而续授信的审批侧重于企业的经营状况、财务状况和授信使用情况等。 2. 提供的资料不同:新授信需要提供企业的基本情况、财务状况、经营计划等资料,而续授信需要提供企业的经营报表、财务报表、授信使用情况等资料。 3. 审批时间不同:新授信的审批时间相对较长,需要对企业的各项情况进行全面评估和审核;而续授信的审批时间相对较短,因为银行已经对企业有了一定的了解和信任。 4. 条件限制不同:新授信的条件限制相对较多,需要满足一定的财务和信用状况,而续授信的条件限制相对较少,银行更加关注企业的实际经营状况和授信使用情况。 总之,新授信和续授信授信流程有一定的区别,银行会根据企业的实际情况和需求来确定具体的审批流程和条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值