containerd 2.x 配置 Harbor 私有仓库

原创 已于 2026-05-09 09:55:32 修改 · 85 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#运维 #k8s
于 2026-05-09 09:17:29 首次发布

containerd 2.x 配置 Harbor 私有仓库,推荐两种方式:

方式一(推荐):certs.d 方式(containerd 1.5+ / 2.x 推荐)

这种方式不用改 config.toml,更干净。

假设 Harbor 地址:

192.168.30.221

1. 创建目录

sudo mkdir -p /etc/containerd/certs.d/192.168.30.221

2. 创建 hosts.toml

sudo vi /etc/containerd/certs.d/192.168.30.221/hosts.toml

内容:

如果是 HTTP(内网常用)

server = "http://192.168.30.221"

[host."http://192.168.30.221"]
  capabilities = ["pull", "resolve", "push"]
  skip_verify = true

排错

出现错误
HTTP/1.1 308 Permanent Redirect
Location: https://10.2.2.240:443/v2/
说明 Harbor 强制 HTTP 跳转 HTTPS,不是纯 HTTP,需要将 hosts.toml 改为

server = "https://192.168.30.221"

[host."https://192.168.30.221"]
  capabilities = ["pull", "resolve", "push"]
  skip_verify = true

最后现象

root@master:/etc/containerd# sudo ctr images pull \
  --hosts-dir /etc/containerd/certs.d \
  --user admin:Aa12345 \
  192.168.30.221/library/mysql:latest
192.168.30.221/library/mysql:latest         	saved	
└──manifest (88b1423f0c31)              	complete   	|++++++++++++++++++++++++++++++++++++++|	
   ├──config (2c5440daffa8)             	complete   	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (4ea0fa0ace0c)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (9effc86d91a3)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (500d7b2546c4)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (fc5138e88017)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (b534c7c08c95)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (5525b1bd2d5d)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (fc3e1c37f699)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (a1bcea418c7c)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   ├──layer (30e3c68e682c)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
   └──layer (50786f9db9d5)              	extracted  	|++++++++++++++++++++++++++++++++++++++|	
application/vnd.docker.distribution.manifest.v2+json sha256:88b1423f0c3138fc488828126472b669fb6e442c2f9080701e18478a3b3a8171
Completed pull from OCI Registry (192.168.30.221/library/mysql:latest)	elapsed: 56.4s	total:  262.8 	(4.7 MiB/s)	
root@master:/etc/containerd# sudo ctr images ls
REF                             TYPE                                                 DIGEST                                                                  SIZE      PLATFORMS   LABELS 
192.168.30.221/library/mysql:latest application/vnd.docker.distribution.manifest.v2+json sha256:88b1423f0c3138fc488828126472b669fb6e442c2f9080701e18478a3b3a8171 262.8 MiB linux/amd64 -

如果是 HTTPS + 自签名证书

server = "https://192.168.30.221"

[host."https://192.168.30.221"]
  capabilities = ["pull", "resolve", "push"]
  ca = "/etc/containerd/certs.d/192.168.30.221/ca.crt"
  skip_verify = true

然后把 Harbor CA 放进去:

sudo cp ca.crt /etc/containerd/certs.d/192.168.30.221/

3. 重启 containerd

sudo systemctl restart containerd

4. 拉取测试

sudo ctr images pull \
  --user admin:Aa12345 \
  192.168.30.221/library/mysql:latest

方式二:修改 config.toml

先生成默认配置(如果没有):

sudo containerd config default > /etc/containerd/config.toml

编辑:

sudo vi /etc/containerd/config.toml

找到:

[plugins."io.containerd.grpc.v1.cri".registry]

改成:

[plugins."io.containerd.grpc.v1.cri".registry]

  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]

    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.30.221"]
      endpoint = ["http://192.168.30.221"]

保存后:

sudo systemctl restart containerd

验证配置是否生效

查看:

sudo ctr version

测试:

sudo ctr images pull --user admin:Aa12345 192.168.30.221/library/mysql:latest

成功会看到:

unpacking linux/amd64 sha256:...
done

推荐你用哪个?

你的环境是:

  • Harbor 用 IP:192.168.30.221
  • 证书报 IP SAN 错误
  • 内网

建议直接用 方式一(certs.d + http)

server = "http://192.168.30.221"

最快,最稳,不折腾证书。

kubelet

ctr:靠 --hosts-dir 成功
kubelet:直接走 HTTPS → x509 报错

config.toml 里加
  • 方案 1(推荐:最简单
[plugins."io.containerd.grpc.v1.cri".registry]

  [plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.30.221".tls]
    insecure_skip_verify = true
  • 方案 2(mirror 方式)
[plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.30.221"]
  endpoint = ["https://192.168.30.221"]

你这个环境必须注意: 你 Harbor 是 HTTP -> 308 -> HTTPS 所以 必须走 HTTPS,但跳过证书验证

  • 修改后必须执行
sudo systemctl restart containerd
sudo systemctl restart kubelet
  • 验证 kubelet 是否生效
crictl pull 192.168.30.221/library/mysql:latest
# 或者
kubectl run test --image=192.168.30.221/library/mysql:latest
告别镜像拉取慢!Containerd 2.x 配置 hosts.toml 保姆级教程(含Docker Hub、Harbor实战)
weixin_29294395的博客
03-28 236
本文详细介绍了Containerd 2.x中配置hosts.toml文件以实现镜像加速的完整指南,包括Docker Hub和Harbor私有仓库的实战配置。通过优化镜像拉取速度,提升Kubernetes集群部署效率,涵盖基础配置、企业级实践和高级调试技巧。
Containerd镜像仓库管理进阶:hosts.toml配置详解与多场景实战
最新发布
weixin_28672681的博客
04-12 152
本文深入解析Containerd镜像仓库管理中的hosts.toml配置文件,详细介绍了其结构、存放位置及核心配置字段。通过多场景实战示例,包括Docker Hub加速配置、企业Harbor仓库认证等,帮助管理员高效管理镜像仓库,提升容器部署效率与安全性。特别强调了认证与TLS安全配置的最佳实践。
Containerd镜像仓库配置实战:用hosts.toml解决加速、认证难题
mini_ling的博客
12-02 1547
摘要: 本文详细介绍了Containerd 2.x版本中镜像仓库配置的新方法,重点解析了hosts.toml文件的作用与配置技巧。该文件作为镜像仓库的"通讯录",可用于配置国内加速源、私有仓库认证、权限控制和TLS证书管理。文章提供了完整的配置示例,并分模块解释了全局配置、单个主机配置等核心字段含义。针对三个典型场景(Docker Hub加速、私有Harbor仓库对接、测试环境权限限制)给出了可直接使用的配置方案,同时强调了配置生效方法、问题排查技巧以及常见安全注意事项(如TLS验证、密
Containerd安装配置及基本操作
高性价比服务器就选:蓝易云
07-31 1432
通过以上步骤,你可以安装配置Containerd,并使用其管理和运行容器。Containerd提供了丰富的命令和功能,可用于容器的创建、管理和监控。根据具体需求和环境,进行相应的配置和操作。Containerd是一个开源的容器运行时工具,用于管理和运行容器。
containerd的安装和使用
YIYIYI
09-08 7067
containerd的安装和使用
如何快速给容器运行时 Containerd 配置一个代理服务器
easylife206的专栏
06-17 3922
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言在某些 air gap 场景中,往往需要离线或使用代理 (Proxy), 例如:1.需要通过 Proxy pull 容器镜像:1.Docker Hub:docker.io2.Quay:quay.io3.GCR:gcr.io4.GitHub 镜像库:ghcr.io2.在某些企业环境中,需要通过代理访问外部服务...
containerd 基本使用
Lyndon的专栏
02-26 1581
containerd
Containerd 介绍、安装和使用
Raymond的博客
03-29 5700
cri-containerd-xxx:包含containerd、runC,ctr、crictl、systemd 配置文件等相关文件,不包含cni插件,k8s不需要containerd的cni插件,所以选择这个二进制包安装。的目标并不是单纯地复制 docker 的功能,它还实现了很多 docker 不具备的功能,例如延迟拉取镜像(lazy-pulling)、镜像加密(imgcrypt)等。具体看 nerdctl。更换 Containerd 后,以往我们常用的 docker 命令也不再使用,取而代之的分别是。
containerd2.x接入Harbor仓库方法
iFisher666的博客
01-27 645
详细介绍了containerd 2.x版本中镜像仓库的配置方法。主要内容包括:1)配置结构说明,采用"一仓库一目录"原则;2)分步配置实战,从版本确认、创建目录到编写hosts.toml文件;3)配置验证方法,推荐使用nerdctl工具;4)常见问题解决方案表,如配置不生效、HTTP仓库连接失败等问题。重点强调了目录名与仓库地址必须严格匹配,以及K8s环境下镜像地址需包含完整仓库路径等关键注意事项。
一文掌握Containerd配置Harbor私有仓库
StevenZeng学堂
09-09 4344
本文详细介绍了如何配置Containerd以使用Harbor作为私有仓库。首先解释了ContainerdHarbor及工具`ctr`和`crictl`的基本概念。接着,文章逐步指导如何上传Harbor证书至Kubernetes节点、更新Containerd配置。最后,验证配置是否成功,并展示了如何创建Harbor的Secret、将其添加到服务账号,并通过部署测试验证配置的有效性。此教程适合希望在Kubernetes环境中高效利用Harbor私有仓库的系统管理员。
Containerd初体验
weixin_73188318的博客
08-15 1867
Containerd是一个开源的容器运行时工具,它最初是从Docker项目中剥离出来的,旨在管理容器的核心功能,现已成为工业级标准的容器运行时。
03.生产环境-containerd安装配置指南
Evan的博客
03-25 2884
容器运行时(Container Runtime)是Kubernetes(k8s)最重要的组件之一,负责管理镜像和容器的生命周期。Kubelet通过Container Runtime Interface (CRI) 与容器运行时交互,以管理镜像和容器。
Debian11之 Containerd1.7.x 安装及配置
李大能
09-25 4694
K8S发布的CRI(Container Runtime Interface)统一了容器运行时接口,凡是支持CRI的容器运行时的皆可作为K8S的底层容器运行时,而Docker Engine 没有实现 CRI,为此必须安装一个额外的服务 cri-dockerd才可以在K8S中使用,所以在K8S 1.24版本中从 kubelet 中移除了docker作为容器运行时,取而代之的是containerd容器运行时,它是从Docker中分离出来的底层容器运行时,使用起来与Docker相似。
Container
YUNYINGXIA的博客
06-25 1275
Containerd(Container Daemon)是一个开源的容器运行时,提供了标准化的方式来管理容器的生命周期。它最初由 Docker 开发团队创建,后来成为 CNCF(云原生计算基金会)的孵化项目。Containerd 采用 C/S 架构,服务端通过 Unix Domain Socket 暴露低层的 gRPC API,客户端通过这些 API 管理节点上的容器。每个 Containerd 只负责一台机器,承担拉取镜像、容器操作(启动、停止等)、网络和存储等任务,具体运行容器由 runc 负责。
基于Containerd搭建k8s集群
qq_28238325的博客
06-02 2279
iptables 模式在 v1.1 中就添加支持了,从 v1.2 版本开始 iptables 就是 kube-proxy 默认的操作模式,ipvs 和 iptables 都是基于 netfilter 的,但是 ipvs 采用的是 hash 表,因此当 service 数量达到一定规模时,hash 查表的速度优势就会显现 出来,从而提高 service 的服务性能。解决:rm -rf /etc/kubernetes/kubelet.conf /etc/kubernetes/pki/ca.crt。
在centos下使用containerd管理容器:5分钟从docker转型到containerd
ahuang1202的专栏
01-23 1946
在 Kubernetes 的早期,我们只支持一个容器运行时。那个运行时是 Docker 引擎。那时,并没有太多其他的选择,而 Docker 是处理容器的主要工具,所以这不是一个有争议的选择。最终,我们开始添加更多的容器运行时,比如 rkt 和 hypernetes,很明显 Kubernetes 用户希望选择最适合他们的运行时。因此,Kubernetes 需要一种方法来允许集群操作员灵活地使用他们选择的任何运行时。发布了容器运行时接口(CRI) 以实现这种灵活性。
【Kubernetes】Kubeadm部署 Containerd集群
爱意随风起,人生不可弃。
11-21 935
基于containerd容器运行时部署k8s 1.28集群。
containerd 安装和配置指南
gitblog_07002的博客
09-13 881
containerd 安装和配置指南 【免费下载链接】containerd containerd 是一个容器运行时和镜像生成工具,用于管理容器化应用程序的生命周期管理。 * 容器化应用程序管理、容器运行时和编排工具 * 有什么特点:容器管理工具、支持多种容器化应用程序管理和部署工具、易于使用和集成 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值