当前位置：首页 > news >正文

docker和containerd从TLS harbor拉取镜像

news 2026/5/26 19:59:25

私有镜像仓库配置了自签名证书，https访问，好处是不需要处理免费证书和付费证书带来的证书文件变更，证书文件变更后需要重启服务，自签名证书需要将一套客户端证书存放在/etc/docker/cert.d目录下，或者/etc/containerd/certs.d下

一、docker和containerd配置Harbor TLS

docker和containerd都放在certs.d目录下

/etc/docker/certs.d/
├── harbor.devops.baga.life
│ ├── ca.crt
│ ├── harbor.devops.baga.life.cert
│ └──harbor.devops.baga.life.key

docker可以去login测试harbor的登录

docker login harbor.devops.baga.life -u 'robot$robot' -p 'xxxxxxx'

containerd不能直接登录harbor仓库，通过账号密码访问，配置在/etc/containerd/config.toml下

    [plugins."io.containerd.grpc.v1.cri".registry]config_path = "/etc/containerd/certs.d"[plugins."io.containerd.grpc.v1.cri".registry.configs][plugins."io.containerd.grpc.v1.cri".registry.configs."sealos.hub:5000".auth]username = "admin"password = "passw0rd"[plugins."io.containerd.grpc.v1.cri".registry.configs."harbor.devops.baga.life".auth]username = "robot$robot"password = "xxxxxxx"

配置完成以后可以重启一下docker或者containerd

二、拉取测试

用ctr操作推送失败了，换个思路，我先在其他机器上用docker拉取镜像，打tag以后推送至镜像仓库。最后让ctr去进行拉取

1、docker拉取镜像
docker pull ubuntu
2、打tag
docker tag ubuntu:latest harbor.devops.baga.life/base/ubuntu:tmp
3、推送镜像
$ docker push harbor.devops.baga.life/base/ubuntu:tmp
The push refers to repository [harbor.devops.baga.life/base/ubuntu]
4b7c01ed0534: Pushed 
tmp: digest: sha256:104f82606ea66da00e6cfecbcccdb53ba4238a7057bed809f004107ad8e90c97 size: 529•	docker push 只会推送本地和远程不同的层，如果 harbor.devops.baga.life 已经有相同的镜像层，那么 Docker 只会推送元数据，实际数据不会重复上传。•	size: 529 代表的是 manifest 文件的大小，而不是整个镜像的大小。
4、拉取镜像
crictl pull harbor.devops.baga.life/base/ubuntu:tmp

三、不同点

首先是docker命令和ctr展示不同，containerd用了命名空间，默认default，但很多镜像存储在k8s.io中
可以通过crictl命令操作containerd，和docker操作方式类似，但无法给镜像打tag和推送，只能拉取

镜像大小不同

# 这是docker镜像大小
redis                                 latest    43724892d6db     7 weeks ago   117MB
# 这是containerd镜像大小
harbor.devops.baga.life/base/redis      tmp        43724892d6db0       45.9MB

可以看到镜像id相同，但是大小差了很多
差异主要原因如下：
1、Docker和CRI（容器运行时接口）报告大小的方式不同：

Docker通常显示镜像的"虚拟大小"（所有层的总和）
crictl/containerd通常显示镜像的"压缩大小"或者仅特定层的大小

2、共享层的计算方式：Docker可能将已有的共享层计入总大小，而crictl可能只计算唯一层。
3、虚拟大小与实际占用空间：117MB可能是镜像的"虚拟大小"，而实际存储空间占用更小，约45.9MB。

docker和containerd从TLS harbor拉取镜像

一、docker和containerd配置Harbor TLS

二、拉取测试

三、不同点

相关文章：

docker和containerd从TLS harbor拉取镜像

kafka-关于ISR-概述

el-input实现金额输入

C++11智能指针

安装Git（小白也会装）

驭势科技9周年：怀揣理想，踏浪前行

一款在手机上制作电子表格

Python解决“比赛配对”问题

【AI论文】RAD: 通过大规模基于3D图形仿真器的强化学习训练端到端驾驶策略

Web开发：ORM框架之使用Freesql的导航属性

【docker】namespace底层机制

【每天认识一个漏洞】url重定向

端口映射/内网穿透方式及问题解决:warning: remote port forwarding failed for listen port

Polardb开发者大会

从二维随机变量到多维随机变量

Vulnhub靶场 Kioptrix: Level 1.3 (#4) 练习

权重生成图像

实时时钟（RTC）/日历芯片PCF8563的I2C读写驱动（2）：功能介绍

猿大师播放器：HTML内嵌VLC播放RTSP视频流，无需转码，300ms级延迟，碾压服务器转码方案

牛客刷题自留-深度学习

AlphaFold 3终极指南：掌握Jackhmmer与HMMER提升蛋白质结构预测精度

AMLP框架实战：基于MACE构建高精度机器学习势函数

Midjourney锐化效果失效真相（2024官方未公开的渲染管线瓶颈解析）

为什么92%的DeepSeek二次开发团队在6个月内遭遇交付延迟？——基于17个真实项目的技术债务归因分析

光效崩坏？噪点泛滥？色温漂移？——Midjourney专业级光效渲染全流程校准协议，含ACEScg色彩空间适配模板

转行网络安全运维：从0到1的可落地指南

光轮智能谢晨访谈总结机器人仿真数据产业

谷氨酸发酵过程的软测量建模【附模型】

HarmonyOS 6学习：解决图片放大后无法移动至边缘的matrix4矩阵变换技巧

手机也能玩转无人机仿真：用安卓QGC App连接同一WiFi下的PX4 JMAVSim模拟器