配置containerd镜像仓库完全攻略

一、containerd镜像仓库基础配置

containerd作为Kubernetes默认的容器运行时，其镜像仓库配置直接影响容器拉取效率。核心配置文件位于/etc/containerd/config.toml，通过containerd config default生成默认模板后，需重点修改[plugins."io.containerd.grpc.v1.cri".registry]段落。

1.1 镜像仓库地址配置

在registry.mirrors节点下添加仓库配置，例如配置阿里云镜像仓库：

[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.cn-hangzhou.aliyuncs.com"]
    endpoint = ["https://registry.cn-hangzhou.aliyuncs.com"]

支持多端点配置实现负载均衡，建议将国内常用仓库（如阿里云、华为云）放在优先位置。

1.2 私有仓库认证配置

对于需要认证的私有仓库，需在registry.configs节点配置认证信息：

[plugins."io.containerd.grpc.v1.cri".registry.configs."my-private-registry.com".auth]
  username = "admin"
  password = "encrypted-password"
  auth = ""  # 可选，Base64编码的"username:password"
  identitytoken = ""  # 用于OAuth2等令牌认证

建议使用ctr images pull --user username:password临时测试认证，确认无误后再写入配置文件。

二、镜像加速与优化配置

2.1 镜像缓存配置

通过registry.configs的tls和proxy配置实现镜像缓存：

[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.example.com".tls]
  insecure_skip_verify = true  # 测试环境使用，生产环境应配置正确证书
[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.example.com".proxy]
  remote_url = "http://cache-server:5000"

实际生产中建议部署Nexus或Harbor作为私有镜像仓库，通过endpoint指向本地缓存服务器。

2.2 镜像拉取并行优化

在[plugins."io.containerd.grpc.v1.cri"]节点下配置：

max_concurrent_downloads = 5  # 默认3，根据网络带宽调整
disable_pull_on_run = false  # 确保启动时自动拉取镜像

通过ctr content fetch --parallel 5 image:tag测试并行下载效果，典型优化后拉取速度可提升40%。

三、安全配置最佳实践

3.1 TLS证书验证

生产环境必须配置TLS：

[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.secure.com".tls]
  ca_file = "/etc/containerd/certs.d/registry.secure.com/ca.crt"
  cert_file = "/etc/containerd/certs.d/registry.secure.com/client.crt"
  key_file = "/etc/containerd/certs.d/registry.secure.com/client.key"

证书文件需通过openssl生成，建议使用Let’s Encrypt免费证书。

3.2 镜像签名验证

配置Notary服务器实现镜像签名：

[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.signed.com".auth]
  username = "notary-client"
[plugins."io.containerd.grpc.v1.cri".registry.configs."registry.signed.com".tls]
  # 配置Notary服务器TLS

需配合cosign或notary-client工具实现签名流程。

四、高级配置场景

4.1 多架构镜像支持

配置platform过滤规则：

[plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
  endpoint = [
    "https://registry-1.docker.io",
    "https://mirror.baidubce.com"
  ]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io".filter]
    platform = ["linux/amd64", "linux/arm64"]

通过ctr images pull --platform linux/arm64 image:tag测试多架构支持。

4.2 镜像清理策略

配置ctr的垃圾回收参数：

[plugins."io.containerd.grpc.v1.cri".registry]
  [plugins."io.containerd.grpc.v1.cri".registry.garbage_collection]
    mode = "async"  # 或"sync"
    threshold = 0.8  # 磁盘使用率阈值

定期执行ctr content prune清理未使用的镜像层。

五、故障排查指南

5.1 常见错误处理

5.2 日志分析

通过journalctl -u containerd -f查看实时日志，关键日志级别说明：

• ERROR：配置错误或网络问题
• WARN：镜像不存在等可恢复问题
• INFO：正常操作记录

六、性能调优建议

1. 镜像仓库选择：优先使用同地域的镜像仓库，延迟可降低60%以上
2. 缓存策略：对常用基础镜像（如nginx、alpine）设置永久缓存
3. 并发设置：根据节点CPU核心数调整，建议max_concurrent_downloads = min(5, CPU核心数/2)
4. 镜像大小优化：使用docker-slim等工具压缩镜像，减少网络传输量

七、完整配置示例

[plugins."io.containerd.grpc.v1.cri".registry]
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."docker.io"]
      endpoint = ["https://mirror.baidubce.com", "https://registry-1.docker.io"]
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."registry.cn-hangzhou.aliyuncs.com"]
      endpoint = ["https://registry.cn-hangzhou.aliyuncs.com"]
  [plugins."io.containerd.grpc.v1.cri".registry.configs]
    [plugins."io.containerd.grpc.v1.cri".registry.configs."my-private-registry.com".auth]
      username = "admin"
      password = "secure-password"
    [plugins."io.containerd.grpc.v1.cri".registry.configs."registry.secure.com".tls]
      ca_file = "/etc/containerd/certs.d/registry.secure.com/ca.crt"
  [plugins."io.containerd.grpc.v1.cri".registry.garbage_collection]
    mode = "async"
    threshold = 0.85

配置完成后执行systemctl restart containerd生效，通过ctr images list验证镜像拉取情况。建议每月进行一次配置审计，确保镜像仓库地址和认证信息的有效性。