配置 containerd 镜像仓库完全攻略：从基础到进阶的完整指南

一、containerd镜像仓库的核心价值与配置前提

containerd作为Kubernetes默认的容器运行时，其镜像仓库配置直接影响容器拉取效率、安全性和集群稳定性。合理配置镜像仓库可解决三大核心问题：

1. 网络加速：通过配置国内镜像源（如阿里云、腾讯云镜像仓库）规避GCR等国外源的访问延迟
2. 安全管控：实现镜像签名验证、漏洞扫描等安全机制
3. 成本控制：利用私有仓库减少公网流量消耗，降低企业带宽成本

配置前提：

• 服务器已安装containerd 1.4+版本
• 具备root或sudo权限
• 已规划好镜像仓库类型（公有/私有）及认证方式

二、基础配置：修改containerd配置文件

1. 配置文件路径与结构

containerd的主配置文件位于/etc/containerd/config.toml，采用TOML格式。可通过以下命令生成默认配置：

containerd config default > /etc/containerd/config.toml

2. 镜像仓库核心配置段

在[plugins."io.containerd.grpc.v1.cri".registry]段下进行配置，典型结构如下：

[plugins."io.containerd.grpc.v1.cri".registry]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
      endpoint = ["https://registry-1.docker.io"]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.example.com"]
      endpoint = ["http://192.168.1.100:5000"]
  [plugins."io.containerd.grpc.v1.cri".registry.configs]
    [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.example.com".tls]
      insecure_skip_verify = true  # 跳过TLS验证（仅测试环境使用）

3. 配置国内镜像加速源

推荐配置方案（以阿里云为例）：

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
    endpoint = [
      "https://<your-id>.mirror.aliyuncs.com",
      "https://registry-1.docker.io"
    ]

注：需替换<your-id>为阿里云容器镜像服务ACR的个人ID

三、高级配置：认证与安全机制

1. 基础认证配置

对于需要认证的私有仓库，配置auth段：

[plugins."io.containerd.grpc.v1.cri".registry.configs]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."private-registry.com".auth]
    username = "admin"
    password = "your-password"
    auth = ""  # base64编码的"username:password"

生成base64认证字符串：

echo -n "username:password" | base64

2. TLS证书配置

对于自建私有仓库，需配置TLS证书路径：

[plugins."io.containerd.grpc.v1.cri".registry.configs]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."private-registry.com".tls]
    ca_file = "/etc/docker/certs.d/private-registry.com/ca.crt"
    cert_file = "/etc/docker/certs.d/private-registry.com/client.cert"
    key_file = "/etc/docker/certs.d/private-registry.com/client.key"

3. 镜像签名验证配置

启用Notary签名验证（需配合Notary服务器）：

[plugins."io.containerd.grpc.v1.cri".registry.configs]
  [plugins."io.containerd.grpc.v1.cri".registry.configs."signed-registry.com".tls]
    insecure_skip_verify = false
  [plugins."io.containerd.grpc.v1.cri".registry.configs."signed-registry.com".auth]
    # 认证配置
  [plugins."io.containerd.grpc.v1.cri".registry.configs."signed-registry.com".signing]
    trust_key = "/etc/containerd/trust-key.pem"
    trust_dir = "/etc/containerd/trust"

四、私有仓库搭建实战

1. 使用registry容器搭建

快速部署命令：

docker run -d \
  --name registry \
  --restart=always \
  -p 5000:5000 \
  -v /mnt/registry:/var/lib/registry \
  registry:2

2. 配置基础认证

生成htpasswd文件：

mkdir -p /etc/registry/auth
docker run --entrypoint htpasswd \
  registry:2 -Bbn testuser testpassword > /etc/registry/auth/htpasswd

启动带认证的registry：

docker run -d \
  --name registry-auth \
  -p 5000:5000 \
  -v /etc/registry/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v /mnt/registry:/var/lib/registry \
  registry:2

3. 配置TLS证书

生成自签名证书：

mkdir -p /etc/registry/certs
openssl req -newkey rsa:4096 -nodes -sha256 \
  -keyout /etc/registry/certs/domain.key \
  -x509 -days 365 \
  -out /etc/registry/certs/domain.crt \
  -subj "/CN=registry.example.com"

修改容器启动参数添加TLS：

-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
-e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
-v /etc/registry/certs:/certs

五、配置验证与故障排查

1. 验证配置生效

# 重启containerd服务
systemctl restart containerd
# 测试镜像拉取
ctr images pull registry.example.com/nginx:latest

2. 常见问题解决

问题1：x509: certificate signed by unknown authority
解决方案：

• 将CA证书添加到系统信任链
• 或在containerd配置中设置insecure_skip_verify = true（不推荐生产环境）

问题2：unauthorized: authentication required
解决方案：

• 检查认证配置是否正确
• 验证用户名密码是否匹配
• 检查registry服务器是否配置了正确的CORS策略

3. 日志分析

查看containerd日志：

journalctl -u containerd -f

启用debug级别日志：
在/etc/containerd/config.toml中设置：

[debug]
  level = "debug"
  format = "logfmt"

六、性能优化建议

1. 镜像缓存：在集群节点部署本地缓存镜像仓库
2. 并行拉取：调整max_concurrent_downloads参数（默认3）
3. 内存优化：设置disable_apparmor和disable_cgroup（根据安全需求）
4. 磁盘优化：配置root目录到高速存储设备

七、安全最佳实践

1. 定期轮换镜像仓库认证凭证
2. 启用镜像扫描工具（如Trivy、Clair）
3. 实施镜像签名机制
4. 限制registry的访问IP范围
5. 定期备份镜像仓库数据

八、进阶场景：多registry配置

对于复杂环境，建议采用分层配置：

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  # 公共仓库
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
    endpoint = ["https://registry-1.docker.io", "https://mirror.gcr.io"]
  # 内部开发仓库
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."dev-registry.internal"]
    endpoint = ["http://dev-registry:5000"]
  # 生产环境仓库
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."prod-registry.internal"]
    endpoint = ["https://prod-registry.internal", "https://fallback-registry.internal"]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."prod-registry.internal".auth]
      # 生产认证配置

通过这种分层配置，可以实现：

• 开发环境使用非加密连接
• 生产环境强制TLS和认证
• 自动故障转移至备用仓库

九、总结与展望

合理配置containerd镜像仓库是构建高效、安全容器环境的关键步骤。本文从基础配置到高级优化，系统介绍了：

1. 镜像仓库的核心配置方法
2. 多种认证机制的实现
3. 私有仓库的搭建流程
4. 性能优化与安全实践

随着容器技术的演进，未来镜像仓库配置将更加智能化，建议持续关注：

• OCI Distribution Spec的更新
• 镜像加密技术的普及
• 边缘计算场景下的镜像分发优化

通过科学配置镜像仓库，企业可显著提升容器部署效率，降低运营成本，为云原生转型奠定坚实基础。