当前位置：首页 > article >正文

别再踩坑了！KubeKey离线安装K8s v1.26.12时，containerd镜像拉取失败的完整避坑指南

article 2026/3/31 13:18:49

KubeKey离线部署K8s集群containerd镜像拉取全流程避坑手册第一次用KubeKey离线部署Kubernetes集群时containerd镜像拉取失败的问题让我折腾了大半天。看着部署日志里反复出现的证书错误提示才意识到离线环境下的镜像仓库配置远比想象中复杂。本文将系统梳理KubeKey离线安装Kubernetes v1.26.12时containerd运行时镜像拉取的完整避坑指南帮你提前规避这些坑。1. 离线环境的核心挑战与解决方案离线部署Kubernetes集群最大的难点在于容器镜像的获取与管理。与在线环境不同离线场景下所有依赖镜像都需要从私有仓库拉取。这涉及到三个关键环节的协同工作私有镜像仓库的证书信任自签名证书需要被集群节点信任KubeKey配置文件的正确参数insecureRegistries和registryMirrors的精准定义containerd运行时配置config.toml文件的生成与调优我曾遇到过一个典型问题部署过程中containerd反复报错x509: certificate signed by unknown authority。根本原因是Harbor仓库的自签名证书未被节点信任而KubeKey的配置文件又未正确声明跳过证书验证。2. 私有仓库证书的预处理在开始部署前必须确保所有节点都已信任私有仓库的证书。以Harbor为例假设仓库地址为dockerhub.kubekey.local需要执行以下操作# 获取仓库CA证书假设已存放在/tmp目录 sudo mkdir -p /usr/local/share/ca-certificates/dockerhub.kubekey.local sudo cp /tmp/ca.crt /usr/local/share/ca-certificates/dockerhub.kubekey.local/ sudo update-ca-certificates验证证书是否生效openssl s_client -connect dockerhub.kubekey.local:443 -showcerts /dev/null 2/dev/null | openssl x509 -noout -text | grep -A2 Validity如果因特殊原因无法部署证书必须在KubeKey配置和containerd配置中明确声明跳过证书验证生产环境不推荐。3. KubeKey配置文件的关键参数config.yaml是KubeKey部署的核心配置文件与镜像拉取相关的主要有以下参数registry: type: harbor auths: dockerhub.kubekey.local: username: admin password: Harbor12345 skipTLSVerify: true # 跳过TLS验证 privateRegistry: dockerhub.kubekey.local insecureRegistries: [dockerhub.kubekey.local] # 声明非安全仓库 registryMirrors: [] # 镜像加速器配置常见配置误区误用registryMirrors这个参数用于配置镜像加速器而非私有仓库地址忽略skipTLSVerify当使用自签名证书时必须设置为trueauths格式错误用户名密码必须与Harbor账户匹配提示建议先用curl测试仓库可访问性curl -vk https://dockerhub.kubekey.local/v2/_catalog4. containerd运行时深度配置即使KubeKey配置正确containerd自身的配置也至关重要。以下是完整的配置流程4.1 生成默认配置sudo mkdir -p /etc/containerd sudo containerd config default | sudo tee /etc/containerd/config.toml4.2 关键配置项修改在生成的config.toml中找到[plugins.io.containerd.grpc.v1.cri.registry]段添加以下内容[plugins.io.containerd.grpc.v1.cri.registry.mirrors] [plugins.io.containerd.grpc.v1.cri.registry.mirrors.dockerhub.kubekey.local] endpoint [https://dockerhub.kubekey.local] [plugins.io.containerd.grpc.v1.cri.registry.configs] [plugins.io.containerd.grpc.v1.cri.registry.configs.dockerhub.kubekey.local.tls] insecure_skip_verify true4.3 重启containerd服务sudo systemctl restart containerd sudo systemctl status containerd # 验证服务状态4.4 手动测试镜像拉取sudo crictl pull dockerhub.kubekey.local/kubesphereio/pause:3.9如果仍然失败可以尝试直接使用ctr命令测试sudo ctr --address /run/containerd/containerd.sock images pull \ --plain-http \ dockerhub.kubekey.local/kubesphereio/pause:3.95. 部署失败后的恢复策略当部署因镜像拉取失败而中断时不建议直接重试。正确的恢复流程应该是检查日志定位问题journalctl -u containerd -f --no-pager | grep -i pull验证网络连通性curl -vk https://dockerhub.kubekey.local/v2/_catalog ping dockerhub.kubekey.local检查配置生效情况sudo crictl info | jq .config.registry清理临时文件sudo rm -f /run/containerd/containerd.sock重新生成containerd配置sudo containerd config default /etc/containerd/config.toml6. 部署前检查清单为了避免部署时才发现问题建议执行以下检查[ ] 所有节点的时间同步NTP服务正常[ ] 节点主机名解析正确/etc/hosts或DNS配置[ ] Harbor证书已部署到所有节点[ ]config.yaml中的仓库地址与认证信息正确[ ] containerd配置已更新并重启[ ] 防火墙规则允许443端口访问[ ] 离线镜像包已正确导入Harbor可以通过以下命令快速验证# 验证证书 openssl s_client -connect dockerhub.kubekey.local:443 /dev/null 2/dev/null | openssl x509 -noout -issuer # 验证仓库访问 curl -u admin:Harbor12345 https://dockerhub.kubekey.local/v2/_catalog # 验证containerd配置 sudo crictl info | jq .config.registry.configs7. 高级技巧与注意事项对于生产环境还有一些额外的考虑因素镜像同步策略使用skopeo同步镜像到私有仓库示例命令skopeo copy --dest-tls-verifyfalse \ docker://docker.io/nginx:latest \ docker://dockerhub.kubekey.local/library/nginx:latest配置多仓库镜像[plugins.io.containerd.grpc.v1.cri.registry.mirrors] [plugins.io.containerd.grpc.v1.cri.registry.mirrors.docker.io] endpoint [https://dockerhub.kubekey.local]资源访问控制为KubeKey创建专用的Harbor账户限制该账户的权限范围定期轮换访问凭证性能调优建议[plugins.io.containerd.grpc.v1.cri] sandbox_image dockerhub.kubekey.local/kubesphereio/pause:3.9 [plugins.io.containerd.grpc.v1.cri.registry] config_path /etc/containerd/certs.d离线环境下的Kubernetes部署确实比在线部署复杂得多但通过系统化的准备和正确的配置完全可以避免大多数常见问题。建议在正式部署前先搭建一个测试环境验证所有配置。

别再踩坑了！KubeKey离线安装K8s v1.26.12时，containerd镜像拉取失败的完整避坑指南

相关文章：

别再踩坑了！KubeKey离线安装K8s v1.26.12时，containerd镜像拉取失败的完整避坑指南

XposedRimetHelper：如何优雅解决远程办公的定位打卡难题？[特殊字符]

pybind11进阶指南：如何高效封装C++类供Python调用（附常见问题解决方案）

OpCore-Simplify：从3天手动调试到3步智能配置，黑苹果配置的自动化革命

GitHub开源项目分享：SenseVoice-Small模型微调与领域适配工具链

OneAPI安全增强指南：令牌过期策略、兑换码批量发放、用户邀请奖励机制详解

Zabbix 6.0部署避坑指南：为什么你的Ubuntu安装总卡在数据库初始化这一步？

VxLAN网络如何“破圈”？聊聊Type5路由在云网融合中的真实应用场景

ESP32S3-Cam + MPU6050 DMP移植避坑实录：从编译报错到姿态数据稳定输出的完整流程

pandas API on Spark 与 pandas / PySpark 互转指南

ssm+java2026年毕设体育赛事管理系统App【源码+论文】

GodotPckTool 终极指南：如何在命令行中高效管理Godot游戏资源包

乙巳马年·皇城大门春联生成终端W安全部署实践：网络配置与访问控制

5步攻克TradingAgents-CN本地化部署：从环境搭建到智能体协同

StructBERT在嵌入式Linux设备上的轻量化部署方案

从夯到拉，大模型岗位全攻略：程序员转型指南与避坑指南

Cursor Pro破解工具：如何通过开源技术方案实现AI编程助手无限制使用？

fft npainting lama图像修复系统：5分钟上手，轻松去除图片水印和杂物

3步突破显卡限制：如何让AMD/Intel显卡实现DLSS级画质？

Mermaid Live Editor：代码驱动图表的革新者，重新定义技术可视化流程

3步精通Path of Building PoE2：流放之路2玩家的角色规划零门槛指南

OBS Advanced Timer：全场景直播计时神器，让你的直播节奏掌控自如

小觅相机‘凉了’之后，我们如何用它的SDK和开源工具链构建自己的SLAM数据集？

RPA+AI市场进入精细化竞争阶段，企业选型逻辑正在改变

QuickSnap：Blender三维建模效率革命，快速对齐插件让精准建模变得简单

DNS负载均衡的5个认知误区：为什么你的轮询总不生效？（附排查指南）

AgentCPM-Report研报系统实操：Pixel Epic贤者响应延迟优化教程

避坑指南：通达信DLL加密常见的5大误区与替代方案

解锁智能OCR新范式：Pix2Text多模态内容识别技术全解析

Magma智能剪辑系统：视频自动生成实战