Containerd配置HTTP镜像仓库地址全攻略

一、配置背景与核心需求

在容器化部署场景中，Containerd作为轻量级容器运行时，其镜像拉取功能依赖配置的镜像仓库地址。当企业使用私有HTTP镜像仓库（如Harbor、Nexus或自建Registry）时，需正确配置Containerd以实现镜像的快速拉取与推送。相较于HTTPS仓库，HTTP仓库的配置需额外处理安全认证问题，这是开发者需重点关注的环节。

1.1 配置必要性

• 私有化部署需求：企业内网环境常使用HTTP协议以简化部署，避免HTTPS证书管理的复杂性。
• 性能优化：HTTP协议减少TLS握手开销，在可控网络中可提升镜像传输效率。
• 兼容性要求：部分旧版工具或嵌入式系统仅支持HTTP协议。

1.2 典型应用场景

• 开发测试环境：快速迭代时使用HTTP仓库加速镜像分发。
• 离线环境：无公网HTTPS证书的封闭网络。
• 边缘计算：资源受限设备优先选择轻量级HTTP协议。

二、配置前准备：环境检查与工具安装

2.1 系统环境确认

• 操作系统：Linux（推荐CentOS 7+/Ubuntu 18.04+）
• Containerd版本：v1.4+（支持插件化配置）
• 依赖工具：crictl、ctr、curl、jq

2.2 仓库地址规范

HTTP仓库地址需满足以下格式：

http://<仓库IP或域名>:<端口>/v2/

示例：

http://192.168.1.100:5000/v2/

注意：

• 端口默认为5000（未加密）或80（HTTP默认）
• 路径/v2/为Docker Registry API标准路径

三、配置步骤详解

3.1 修改Containerd配置文件

Containerd的主配置文件位于/etc/containerd/config.toml，需通过以下步骤修改：

步骤1：备份原配置

sudo cp /etc/containerd/config.toml /etc/containerd/config.toml.bak

步骤2：生成默认配置（若文件不存在）

sudo containerd config default > /etc/containerd/config.toml

步骤3：编辑配置文件

使用vim或nano打开文件，定位到[plugins."io.containerd.grpc.v1.cri".registry]段：

[plugins."io.containerd.grpc.v1.cri".registry]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
      endpoint = ["https://registry-1.docker.io"]
    # 添加自定义HTTP仓库配置
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."myhttprepo"]
      endpoint = ["http://192.168.1.100:5000"]

关键参数说明：

• mirrors：定义镜像仓库别名与地址映射
• endpoint：支持多个地址（负载均衡或故障转移）
• 仓库别名（如myhttprepo）需在后续镜像标签中统一使用

3.2 配置非安全仓库（跳过TLS验证）

HTTP协议默认被Containerd视为不安全连接，需显式允许：

方法1：全局禁用TLS验证（不推荐生产环境）

在config.toml的[plugins."io.containerd.grpc.v1.cri".registry.configs]段添加：

[plugins."io.containerd.grpc.v1.cri".registry.configs."myhttprepo".tls]
  insecure_skip_verify = true

方法2：通过ctr命令临时配置

sudo ctr config runtime-config \
  --insecure-registry myhttprepo \
  --skip-verify

3.3 重启Containerd服务

sudo systemctl restart containerd

验证服务状态：

sudo systemctl status containerd

四、验证配置有效性

4.1 使用ctr命令测试

sudo ctr images pull myhttprepo/nginx:latest

预期输出：

myhttprepo/nginx:latest: resolved       |++++++++++++++++++++++++++++++++++++++|
manifest-sha256:...: done            |++++++++++++++++++++++++++++++++++++++|
layer-sha256:...: done                |++++++++++++++++++++++++++++++++++++++|
...

4.2 使用crictl命令测试（Kubernetes环境）

sudo crictl pull myhttprepo/nginx:latest

4.3 调试技巧

• 日志查看：

  journalctl -u containerd -f

• 配置验证：

  sudo containerd config dump | grep myhttprepo

五、常见问题与解决方案

5.1 连接被拒绝（Connection refused）

原因：

• 仓库服务未启动
• 防火墙拦截
• 地址或端口错误

解决：

# 检查仓库服务状态
curl -v http://192.168.1.100:5000/v2/
# 检查防火墙规则
sudo iptables -L | grep 5000

5.2 x509证书错误（HTTPS误配置为HTTP）

现象：

x509: certificate signed by unknown authority

解决：

• 确认使用http://而非https://
• 检查配置文件中是否误启用了TLS验证

5.3 镜像拉取超时

优化建议：

• 调整Containerd超时设置：

  [plugins."io.containerd.grpc.v1.cri".registry]
    timeout = "10m"

• 检查网络带宽与仓库性能

六、安全增强建议

6.1 基础认证配置

为HTTP仓库添加用户名密码认证：

步骤1：创建认证文件

sudo mkdir -p /etc/containerd/auth
echo '{"auths":{"myhttprepo":{"username":"admin","password":"123456","auth":"YWRtaW46MTIzNDU2"}}}' | \
  sudo tee /etc/containerd/auth/config.json

步骤2：修改Containerd配置

[plugins."io.containerd.grpc.v1.cri".registry]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."myhttprepo".auth]
    username = "admin"
    password = "123456"

6.2 IP白名单限制

在仓库服务器配置Nginx或Registry的IP限制：

# Nginx配置示例
server {
    listen 5000;
    allow 192.168.1.0/24;
    deny all;
    ...
}

七、进阶配置：多仓库与镜像代理

7.1 配置镜像代理

通过Containerd实现多仓库镜像代理：

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
    endpoint = [
      "https://registry-1.docker.io",
      "http://myhttprepo/proxy/docker.io"  # 内部代理
    ]

7.2 仓库优先级控制

通过endpoint顺序定义优先级，Containerd会按顺序尝试连接。

八、总结与最佳实践

8.1 配置要点回顾

1. 正确设置mirrors别名与HTTP地址
2. 显式配置insecure_skip_verify跳过TLS验证
3. 通过认证文件增强安全性
4. 结合日志与测试命令验证配置

8.2 生产环境建议

• 仅在内网环境使用HTTP仓库
• 定期备份配置文件
• 监控仓库服务可用性
• 考虑使用HTTPS+自签名证书替代纯HTTP

8.3 扩展阅读

• Containerd官方文档
• Docker Registry API规范
• Kubernetes镜像策略配置

通过本文的详细指导，开发者可系统掌握Containerd配置HTTP镜像仓库地址的全流程，从基础配置到安全优化，覆盖开发、测试到生产环境的完整生命周期管理。