配置 containerd 镜像仓库完全攻略

一、引言：为何需要配置 containerd 镜像仓库？

containerd 作为 Kubernetes 默认的容器运行时，其镜像管理能力直接影响集群的稳定性和效率。通过合理配置镜像仓库，开发者可以：

1. 加速镜像拉取：使用私有仓库或镜像缓存减少网络延迟
2. 增强安全性：通过 TLS 加密和认证机制防止镜像篡改
3. 控制成本：避免重复下载公共镜像，节省带宽资源
4. 满足合规性：对敏感数据实施访问控制

本文将系统讲解从基础配置到高级优化的完整流程，适用于单机环境、生产集群及混合云场景。

二、环境准备：前置条件检查

2.1 系统要求

• Linux 内核版本 ≥4.14（推荐 5.x+）
• containerd 版本 ≥1.6.0（通过 containerd --version 验证）
• 已安装 crictl 工具（用于调试）

2.2 依赖工具安装

# Ubuntu/Debian
sudo apt-get install -y runc cri-tools
# CentOS/RHEL
sudo yum install -y runc cri-tools

2.3 配置文件路径说明

• 主配置文件：/etc/containerd/config.toml
• 插件配置目录：/etc/containerd/conf.d/
• 运行时配置：/etc/containerd/runtime/

三、基础镜像仓库配置

3.1 修改 containerd 配置文件

# /etc/containerd/config.toml 示例片段
[plugins."io.containerd.grpc.v1.cri".registry]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
      endpoint = ["https://registry-1.docker.io"]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."my-registry.example.com"]
      endpoint = ["https://my-registry.example.com"]

3.2 配置镜像加速器（以阿里云为例）

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
  endpoint = [
    "https://<your-id>.mirror.aliyuncs.com",
    "https://registry-1.docker.io"
  ]

3.3 重启 containerd 服务

sudo systemctl restart containerd
sudo systemctl enable containerd  # 设置开机自启

四、私有仓库认证配置

4.1 创建认证配置文件

# 生成 base64 编码的认证信息
echo -n 'username:password' | base64 > auth.txt
# 配置到 config.toml
[plugins."io.containerd.grpc.v1.cri".registry.configs."my-registry.example.com".auth]
  username = "admin"
  password = "your-password"
  # 或使用 base64 编码
  # auth = "dXNlcm5hbWU6cGFzc3dvcmQ="

4.2 使用 TLS 证书配置

[plugins."io.containerd.grpc.v1.cri".registry.configs."my-registry.example.com".tls]
  ca_file = "/etc/containerd/certs.d/my-registry.example.com/ca.crt"
  cert_file = "/etc/containerd/certs.d/my-registry.example.com/client.crt"
  key_file = "/etc/containerd/certs.d/my-registry.example.com/client.key"

4.3 证书目录结构规范

/etc/containerd/certs.d/
└── my-registry.example.com/
    ├── ca.crt
    ├── client.cert
    └── client.key

五、高级配置技巧

5.1 镜像拉取策略优化

[plugins."io.containerd.grpc.v1.cri".image_pull_progress_timeout]
  default = "5m"  # 默认拉取超时时间

5.2 镜像缓存配置

[plugins."io.containerd.snapshotter.v1.overlayfs"]
  root_path = "/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs"
  [plugins."io.containerd.snapshotter.v1.overlayfs".cache]
    max_size = "10GB"

5.3 多架构镜像支持

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
  endpoint = [
    "https://registry-1.docker.io",
    "https://<mirror-id>.mirror.aliyuncs.com"
  ]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."docker.io".platform]
    architecture = "amd64,arm64"
    os = "linux"

六、故障排查与验证

6.1 常用诊断命令

# 查看镜像列表
crictl images
# 拉取测试镜像
crictl pull nginx:latest
# 检查 containerd 日志
journalctl -u containerd -f

6.2 常见问题解决方案

问题1：Failed to pull image 错误

• 检查网络连接：curl -v https://registry-1.docker.io/v2/
• 验证认证信息：cat /etc/containerd/config.toml | grep auth

问题2：镜像拉取缓慢

• 确认加速器配置正确
• 检查本地 DNS 解析：nslookup registry-1.docker.io

七、生产环境最佳实践

7.1 安全加固建议

1. 定期轮换镜像仓库凭证
2. 启用镜像签名验证
3. 限制非必要镜像仓库访问

7.2 性能优化方案

1. 部署本地镜像缓存（如 Harbor）
2. 对常用镜像实施预加载
3. 使用 Btrfs/ZFS 存储后端提升 I/O 性能

7.3 监控指标收集

# Prometheus 监控配置示例
- job_name: 'containerd'
  static_configs:
    - targets: ['localhost:1338']
  metrics_path: '/metrics'

八、总结与展望

通过系统配置 containerd 镜像仓库，开发者可以构建高效、安全的容器镜像管理体系。未来随着容器技术的演进，建议关注：

1. eStar 存储驱动的普及
2. 镜像分发协议的优化（如 CNI 插件集成）
3. 跨集群镜像共享机制的发展

建议定期审查配置（每季度一次），结合业务发展调整镜像缓存策略和认证机制，确保容器环境始终保持最佳状态。

（全文约 1850 字）