k8s拉取harbor仓库镜像

目录

• • 1. 修改containerd配置文件
  • 2. 重启containerd
  • 3. 验证
  • 4. 给containerd配置docker镜像加速器
• 新版本containerd配置方法
  • 创建对应的目录
  • 拉取私有镜像

由于现在国内无法连接dockerhub，所以镜像也是拉取不到的，所以需要去拉取本地仓库的地址

k8s版本 1.26

如果直接去指定harbor的地址的话是会失败的

[root@master containerd]# kubectl run tomcat1 --image 192.168.200.200:5000/test/tomcat:latest --image-pull-policy IfNotPresent
pod/tomcat1 created
[root@master containerd]# kubectl get pods
NAME      READY   STATUS         RESTARTS   AGE
tomcat1   0/1     ErrImagePull   0          6s

查看失败的原因

[root@master ~]# kubectl describe pods/tomcat1
  Warning  Failed     4m45s (x4 over 6m20s)  kubelet            Failed to pull image "192.168.200.200:5000/test/tomcat:latest": rpc error: code = Unknown desc = failed to pull and unpack image "192.168.200.200:5000/test/tomcat:latest": failed to resolve reference "192.168.200.200:5000/test/tomcat:latest": failed to do request: Head "https://192.168.200.200:5000/v2/test/tomcat/manifests/latest": http: server gave HTTP response to HTTPS client
  Warning  Failed     4m45s (x4 over 6m20s)  kubelet            Error: ErrImagePull
  Normal   BackOff    66s (x22 over 6m20s)   kubelet            Back-off pulling image "192.168.200.200:5000/test/tomcat:latest"

他说的意思就是他用的https的请求，但是harbor不支持https，所以报错了，我们现在需要修改配置让他信任harbor

1. 修改containerd配置文件

所有的k8s节点都需要做

[root@master ~]# vim /etc/containerd/config.toml
# 大概是在147行
147     [plugins."io.containerd.grpc.v1.cri".registry.auths]
148 
149       [plugins."io.containerd.grpc.v1.cri".registry.configs]
150           [plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.200.200:5000".tls]   # 这里是新增的，端口写你自己的harbor端口
151                 insecure_skip_verify = true
152           [plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.200.200:5000".auth]   # 这里是新增的
153                 username = "admin"                     # 写上你自己的harbor用户名和密码
154                 password = "Harbor12345"

158       [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
159           [plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.200.200:5000"]      #新增
160           endpoint = ["http://192.168.200.200:5000"]              # 新增

2. 重启containerd

[root@master ~]# systemctl restart containerd

3. 验证

[root@master ~]# kubectl run tomcat01 --image 192.168.200.200:5000/test/tomcat
pod/tomcat01 created
[root@master ~]# kubectl run tomcat02 --image 192.168.200.200:5000/test/tomcat
pod/tomcat02 created
[root@master ~]# kubectl get pods
NAME       READY   STATUS              RESTARTS   AGE
tomcat01   1/1     Running             0          6s
tomcat02   0/1     ContainerCreating   0          2s

可以看到，镜像已经拉取成功了

[root@master ~]# kubectl describe pods/tomcat01
  ----    ------     ----  ----               -------
  Normal  Scheduled  34s   default-scheduler  Successfully assigned internal/tomcat01 to node1
  Normal  Pulling    33s   kubelet            Pulling image "192.168.200.200:5000/test/tomcat"
  Normal  Pulled     33s   kubelet            Successfully pulled image "192.168.200.200:5000/test/tomcat" in 40.701332ms (40.705439ms including waiting)
  Normal  Created    33s   kubelet            Created container tomcat01
  Normal  Started    33s   kubelet            Started container tomcat01

4. 给containerd配置docker镜像加速器

[root@master calico]# vim /etc/containerd/config.toml
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
    endpoint = ["https://xxx.yourdomain.cn"]

写成这个样子，这样他在docker拉取镜像的时候就会使用xxx.yourdomain.cn这个加速器去拉取镜像了

新版本containerd配置方法

如果按照上面的配置去修改config.toml文件发现配置里面没有 [plugins."io.containerd.grpc.v1.cri".registry.mirrors] 这个配置，说明containerd已经是比较新的版本了(截止到2026-3-3)那么就需要使用以下方式

创建对应的目录

[root@master ~]# mkdir /etc/containerd/certs.d/
# certs.d/下一级目录就是你访问的harbor仓库的域名，我这里是harbor01.test.com 如果你的是ip或者其他域名，那么就创建对应的目录
[root@master ~]# mkdir /etc/containerd/certs.d/harbor01.test.com
[root@master ~]# cd /etc/containerd/certs.d/harbor01.test.com/
[root@master harbor01.test.com]# vim hosts.toml 
[root@master harbor01.test.com]# cat hosts.toml 
# 这里的server指向你的harbor仓库地址
server = "http://harbor01.test.com"
[host."http://harbor01.test.com"]
  capabilities = ["pull","resolve","push"]
# 使用自签名的ssl证书或者http连接那么需要让他跳过验证
  skip_verify = true

拉取私有镜像

如果需要拉取私有镜像，比如harbor内的仓库是私有的而不是公开的，那么是需要进行一个认证才可以拉取的，那我们如何来配置认证呢？
现在k8s不建议你直接将认证信息写在主机的配置文件内，原因1是不安全，2是如果集群内有非常多的主机，那么你的配置下发也是个麻烦事，并且下发了之后你还需要重启服务，非常不方便
所以现在有一个参数叫做imagePullSecrets
假设我们现在的harbor仓库的账号密码是 admin/Harbor12345，那么我们需要先创建一个secret

[root@master yaml]# kubectl create secret docker-registry harbor-secret   --docker-server=harbor01.test.com   --docker-username=admin   --docker-password='Harbor12345'

这里就将secret创建好了，接下来我们在yaml文件中去引用他就可以

apiVersion: apps/v1
kind: Deployment
metadata:
  name: test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: test
  template:
    metadata:
      labels:
        app: test
    spec:
      # 在这里指定secret
      imagePullSecrets:
      - name: harbor-secret
      containers:
      - name: redis
        image: harbor01.test.com/test/redis:latest

这里面的test这个仓库是私有的，然后我们apply这个yaml文件

[root@master yaml]# kubectl get pods 
NAME                    READY   STATUS    RESTARTS   AGE
test-6cccd668cc-w9hpn   1/1     Running   0          1s

可以看到，现在私有镜像已经拉取到了