简体中文

如何信任不安全的镜像仓库？

问题描述

托管平台组件镜像的镜像仓库可能不提供 HTTPS 服务，或者没有由公共证书颁发机构签发的有效 TLS 证书。如果您信任该仓库，请按照以下步骤配置您的容器运行时。

配置信任不安全的镜像仓库

配置步骤因容器运行时而异。本文档涵盖 Docker 和 Containerd。

Docker 运行时

步骤

在导入集群的每个节点上运行以下操作：

备份 Docker 配置文件。

mkdir -p '/var/backup-docker-confs/'
if ! [ -f /etc/docker/daemon.json ]; then
    echo '未找到 Docker 配置。请检查 Docker 是否正确安装。如仍无法解决，请联系技术支持。'
    exit 1
else
    cp /etc/docker/daemon.json "/var/backup-docker-confs/daemon.json_$(date -u +%F_%R)"
fi

编辑 /etc/docker/daemon.json。

确保存在 insecure-registries 参数，并添加之前获取的镜像仓库地址。若有多个仓库，例如：

{
    "insecure-registries": [
        "<registry-address>",
        "192.168.134.43"
    ],
    "registry-mirrors": ["https://6telrzl8.mirror.aliyuncs.com"],
    "log-opts": {
      "max-size": "100m",
      "max-file": "2"
    },
    "live-restore": true,
    "metrics-addr": "0.0.0.0:9323",
    "experimental": true,
    "storage-driver": "overlay2"
}

（可选）使用 jq 验证 Docker 配置语法。

TIP
确保已安装 jq。例如：yum install jq -y。
```
jq . < /etc/docker/daemon.json
```

重启所有节点上的 Docker。

systemctl daemon-reload
systemctl restart docker

Containerd 运行时

注意：

所有需要使用镜像的节点（包括新加入的节点）都必须配置并重启 Containerd。
Containerd v1.4/v1.5 与 v1.6 的配置略有不同，请根据版本选择相应步骤。

在导入集群的每个节点上运行以下操作：

备份配置文件

mkdir -p '/var/backup-containerd-confs/'
if ! [ -f /etc/containerd/config.toml ]; then
    echo '未找到 Containerd 配置。请检查 containerd 是否正确安装。如仍无法解决，请联系技术支持。'
    exit 1
else
    cp /etc/containerd/config.toml /var/backup-containerd-confs/config.toml_$(date +%F_%T)
fi

获取 Containerd 运行时版本

# 获取 containerd 版本
# 与 v1.6 版本比较，选择相应步骤
ctr --version | grep -Eo 'v[0-9]+\.[0-9]+\.[0-9]+'

Containerd v1.4 v1.5 不安全仓库配置

在导入集群的每个节点上运行以下操作：

编辑 /etc/containerd/config.toml

# 配置文件中添加示例内容
# 方括号内为节名称，若文件已有同名节，则合并内容
[plugins."io.containerd.grpc.v1.cri".registry]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."<registry-address>"]
            endpoint = ["https://<registry-address>", "http://<registry-address>"]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.134.43"]
            endpoint = ["https://192.168.134.43", "http://192.168.134.43"]
    [plugins."io.containerd.grpc.v1.cri".registry.configs]
        [plugins."io.containerd.grpc.v1.cri".registry.configs."<registry-address>".tls]
            insecure_skip_verify = true
        [plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.134.43".tls]
            insecure_skip_verify = true

重启 Containerd。

systemctl daemon-reload && systemctl restart containerd

Containerd v1.6 不安全仓库配置

在导入集群的每个节点上运行以下操作：

检查配置中是否存在 config_path。

if ! grep -qF 'config_path' /etc/containerd/config.toml; then
    if grep -qE '\[plugins."io.containerd.grpc.v1.cri".registry.(mirrors|configs)(\.|\])' /etc/containerd/config.toml; then
        echo '请按照“Containerd v1.4 v1.5 不安全仓库配置”中的步骤操作。'
    else
        cat >> /etc/containerd/config.toml << 'EOF'
[plugins."io.containerd.grpc.v1.cri".registry]
    config_path = "/etc/containerd/certs.d/"
EOF
    fi
fi

config_path_var=$(grep -F '/etc/containerd/certs.d' /etc/containerd/config.toml)
if [ -z "$config_path_var" ]; then
   echo '文件中 config_path 的值异常，请检查！'
   exit 1
fi

创建 hosts.toml 文件。

如果上一步输出了“请按照‘Containerd v1.4 v1.5 不安全仓库配置’中的步骤操作。”，请参见 Containerd v1.4 v1.5 不安全仓库配置。

REGISTRY='<registry address obtained in the "Get the registry address" section>'    

mkdir -p "/etc/containerd/certs.d/$REGISTRY/"
cat > "/etc/containerd/certs.d/$REGISTRY/hosts.toml" << EOF
server = "$REGISTRY"
[host."http://$REGISTRY"]
  capabilities = ["pull", "resolve", "push"]
  skip_verify = true
[host."https://$REGISTRY"]
  capabilities = ["pull", "resolve", "push"]
  skip_verify = true
EOF

重启 Containerd。

systemctl daemon-reload && systemctl restart containerd

以 PDF 格式查看完整文档

如何信任不安全的镜像仓库？

问题描述

配置信任不安全的镜像仓库

配置步骤因容器运行时而异。本文档涵盖 Docker 和 Containerd。

Docker 运行时

步骤

在导入集群的每个节点上运行以下操作：

备份 Docker 配置文件。

mkdir -p '/var/backup-docker-confs/'
if ! [ -f /etc/docker/daemon.json ]; then
    echo '未找到 Docker 配置。请检查 Docker 是否正确安装。如仍无法解决，请联系技术支持。'
    exit 1
else
    cp /etc/docker/daemon.json "/var/backup-docker-confs/daemon.json_$(date -u +%F_%R)"
fi

编辑 /etc/docker/daemon.json。

确保存在 insecure-registries 参数，并添加之前获取的镜像仓库地址。若有多个仓库，例如：

{
    "insecure-registries": [
        "<registry-address>",
        "192.168.134.43"
    ],
    "registry-mirrors": ["https://6telrzl8.mirror.aliyuncs.com"],
    "log-opts": {
      "max-size": "100m",
      "max-file": "2"
    },
    "live-restore": true,
    "metrics-addr": "0.0.0.0:9323",
    "experimental": true,
    "storage-driver": "overlay2"
}

（可选）使用 jq 验证 Docker 配置语法。

TIP
确保已安装 jq。例如：yum install jq -y。
```
jq . < /etc/docker/daemon.json
```

重启所有节点上的 Docker。

systemctl daemon-reload
systemctl restart docker

Containerd 运行时

注意：

所有需要使用镜像的节点（包括新加入的节点）都必须配置并重启 Containerd。
Containerd v1.4/v1.5 与 v1.6 的配置略有不同，请根据版本选择相应步骤。

在导入集群的每个节点上运行以下操作：

备份配置文件

mkdir -p '/var/backup-containerd-confs/'
if ! [ -f /etc/containerd/config.toml ]; then
    echo '未找到 Containerd 配置。请检查 containerd 是否正确安装。如仍无法解决，请联系技术支持。'
    exit 1
else
    cp /etc/containerd/config.toml /var/backup-containerd-confs/config.toml_$(date +%F_%T)
fi

获取 Containerd 运行时版本

# 获取 containerd 版本
# 与 v1.6 版本比较，选择相应步骤
ctr --version | grep -Eo 'v[0-9]+\.[0-9]+\.[0-9]+'

Containerd v1.4 v1.5 不安全仓库配置

在导入集群的每个节点上运行以下操作：

编辑 /etc/containerd/config.toml

# 配置文件中添加示例内容
# 方括号内为节名称，若文件已有同名节，则合并内容
[plugins."io.containerd.grpc.v1.cri".registry]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."<registry-address>"]
            endpoint = ["https://<registry-address>", "http://<registry-address>"]
        [plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.134.43"]
            endpoint = ["https://192.168.134.43", "http://192.168.134.43"]
    [plugins."io.containerd.grpc.v1.cri".registry.configs]
        [plugins."io.containerd.grpc.v1.cri".registry.configs."<registry-address>".tls]
            insecure_skip_verify = true
        [plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.134.43".tls]
            insecure_skip_verify = true

重启 Containerd。

systemctl daemon-reload && systemctl restart containerd

Containerd v1.6 不安全仓库配置

在导入集群的每个节点上运行以下操作：

检查配置中是否存在 config_path。

if ! grep -qF 'config_path' /etc/containerd/config.toml; then
    if grep -qE '\[plugins."io.containerd.grpc.v1.cri".registry.(mirrors|configs)(\.|\])' /etc/containerd/config.toml; then
        echo '请按照“Containerd v1.4 v1.5 不安全仓库配置”中的步骤操作。'
    else
        cat >> /etc/containerd/config.toml << 'EOF'
[plugins."io.containerd.grpc.v1.cri".registry]
    config_path = "/etc/containerd/certs.d/"
EOF
    fi
fi

config_path_var=$(grep -F '/etc/containerd/certs.d' /etc/containerd/config.toml)
if [ -z "$config_path_var" ]; then
   echo '文件中 config_path 的值异常，请检查！'
   exit 1
fi

创建 hosts.toml 文件。

如果上一步输出了“请按照‘Containerd v1.4 v1.5 不安全仓库配置’中的步骤操作。”，请参见 Containerd v1.4 v1.5 不安全仓库配置。

REGISTRY='<registry address obtained in the "Get the registry address" section>'    

mkdir -p "/etc/containerd/certs.d/$REGISTRY/"
cat > "/etc/containerd/certs.d/$REGISTRY/hosts.toml" << EOF
server = "$REGISTRY"
[host."http://$REGISTRY"]
  capabilities = ["pull", "resolve", "push"]
  skip_verify = true
[host."https://$REGISTRY"]
  capabilities = ["pull", "resolve", "push"]
  skip_verify = true
EOF

重启 Containerd。

systemctl daemon-reload && systemctl restart containerd

ACP CLI (ac)

节点管理

托管集群

导入集群

公有云集群初始化

网络初始化

存储初始化

如何操作

实用指南

备份管理

恢复管理

架构

核心概念

功能指南

如何操作

ALB

故障排除

概念

功能指南

实用指南

故障排除

安装

核心概念

操作指南

实用指南

数据容灾

核心概念

操作指南

实用指南

操作指南

实用指南

合规

使用指南

API Refiner

用户

功能指南

用户组

功能指南

角色

功能指南

IDP

功能指南

故障排除

用户策略

功能指南

概览

镜像

操作指南

实用指南

虚拟机

操作指南

实用指南

问题处理

网络

操作指南

实用指南

存储

操作指南

备份和恢复

操作指南

核心概念

命名空间

创建应用

应用的操作与维护

Application Rollout

KEDA(Kubernetes Event-driven Autoscaling)

实用指南

计算组件

配置

应用可观测

实用指南

实用指南

安装

使用指南

概览

安装

升级

功能指南

How To

概念