在 Kubernetes 1.24及以上版本环境中，docker不再被支持，主要使用Containerd 是常用的容器运行。默认情况下，Containerd 使用 HTTPS 协议与镜像仓库通信。然而，在某些场景下（如测试环境或内部网络），我们可能需要通过 HTTP 协议访问私有镜像仓库。本文将详细介绍如何安装Harbor及配置 Containerd 以支持 HTTP 协议，并拉取 Harbor 私有镜像仓库中的镜像。

我之前有文章写了如何在线安装docker和下载harbor安装包使用https部署，参考：Docker-compose部署Harbor实操（含故障处理），本文中，全部采用离线包方式，并使用的是http协议。

本文中的系统软件信息：
1.Docker version 24.0.5, build ced0996
2.Docker Compose version v2.24.7
3.Centos7.9
4.Harbor v2.9.1-5cbb1b01
5.Containerd-1.7.14
6.Crictl version v1.26.0

前置准备：
1.准备一个网络路径挂载点，将需要准备的离线安装包放入其内，在部署的时候可以直接调用。
2.本文中共有1个离线包及1个测试镜像需要提前下载好，可以自行替换软件版本和镜像

离线包内容（本文中不提供离线包的下载，包中的配置文件会在文中写出来，其他的可以自行网上搜索下载或版本替换）：
注：dashboard.tar是镜像包可替换，containerd.service，docker.service，config.toml是配置文件可照抄按需修改，其他的均为程序包，需要网上下载好

Harbor服务端（192.168.1.2）

安装docker，docker-compose，harbor
注：网络路径为192.168.1.1:/volume1/Share/，挂载到本机的/share目录，离线包所有内容均在此目录

# 创建 /share 目录，用于挂载 NFS 共享
mkdir /share

# 安装 NFS 客户端工具
yum -y install nfs-utils

# 挂载 NFS 共享到 /share 目录
mount -t nfs 192.168.1.1:/volume1/Share/ /share

# 将 NFS 挂载配置添加到 /etc/fstab，确保系统重启后自动挂载
echo "192.168.1.1:/volume1/Share /share nfs defaults 0 0" | sudo tee -a /etc/fstab

# 停止并禁用防火墙
systemctl stop firewalld
systemctl disable firewalld

# 临时关闭 SELinux
setenforce 0

# 永久禁用 SELinux
sed -i 's/enforcing/disabled/' /etc/selinux/config

# 创建 /docker 目录，用于存放 Docker 安装文件
mkdir -p /docker

# 从 NFS 共享中复制 Docker 安装包到 /docker 目录
cp /share/docker-24.0.5.tgz /docker

# 解压 Docker 安装包
tar xvf /docker/docker-24.0.5.tgz -C /docker

# 将解压后的 Docker 二进制文件复制到 /usr/bin 目录
cp /docker/docker/* /usr/bin/

# 从 NFS 共享中复制 Docker 服务文件到系统服务目录
cp /share/docker.service /etc/systemd/system/

# 查看Docker 服务文件
cat /etc/systemd/system/docker.service

内容如下：

[Unit]
# 描述服务的名称和用途
Description=Docker Application Container Engine

# 提供 Docker 官方文档的链接
Documentation=https://docs.docker.com

# 指定服务启动的依赖条件：
# - network-online.target：确保网络已启动
# - firewalld.service：确保防火墙服务已启动
After=network-online.target firewalld.service

# 指定服务启动的依赖关系：
# - network-online.target：确保网络已启动
Wants=network-online.target

[Service]
# 指定服务类型为 "notify"，表示服务启动后会通知 systemd
Type=notify

# Docker 守护进程的启动命令：
# - /usr/bin/dockerd：Docker 守护进程的路径
# - -H unix:///var/run/docker.sock：指定 Docker 监听的 Unix 套接字路径
# - --selinux-enabled=false：禁用 SELinux 支持
# - --default-ulimit nofile=65536:65536：设置默认的文件描述符限制
ExecStart=/usr/bin/dockerd -H unix:///var/run/docker.sock --selinux-enabled=false --default-ulimit nofile=65536:65536

# 重新加载服务的命令：发送 HUP 信号给主进程
ExecReload=/bin/kill -s HUP $MAINPID

# 设置资源限制：
# - LimitNOFILE=infinity：文件描述符数量无限制
# - LimitNPROC=infinity：进程数量无限制
# - LimitCORE=infinity：核心文件大小无限制
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity

# 如果系统支持 TasksMax，可以取消注释以设置任务数量无限制
# 仅 systemd 226 及以上版本支持此功能
#TasksMax=infinity

# 设置服务启动的超时时间为 0，表示无超时限制
TimeoutStartSec=0

# 启用 cgroup 委托，避免 systemd 重置 Docker 容器的 cgroup
Delegate=yes

# 设置杀死模式为 "process"，表示仅杀死 Docker 进程，而不是整个 cgroup 中的所有进程
KillMode=process

# 设置服务在失败时自动重启
Restart=on-failure

# 设置服务启动失败的限制：
# - StartLimitBurst=3：允许在 60 秒内最多重启 3 次
# - StartLimitInterval=60s：重启时间窗口为 60 秒
StartLimitBurst=3
StartLimitInterval=60s

[Install]
# 指定服务安装的目标，表示服务将被添加到多用户模式中
WantedBy=multi-user.target

# 赋予 Docker 服务文件可执行权限
chmod +x /etc/systemd/system/docker.service

# 从 NFS 共享中复制 Docker Compose 文件到 /usr/local/bin 目录
cp /share/docker-compose /usr/local/bin/

# 赋予 Docker Compose 文件可执行权限
chmod +x /usr/local/bin/docker-compose

# 重新加载 systemd 配置
systemctl daemon-reload

# 启动 Docker 服务
systemctl restart docker

# 查看 Docker 服务状态
systemctl status docker

# 验证 Docker Compose 版本
docker-compose -v

# 验证 Docker 版本
docker --version

# 创建 /harbor 目录，用于存放 Harbor 安装文件
mkdir -p /harbor

# 从 NFS 共享中复制 Harbor 离线安装包到 /harbor 目录
cp /share/k8s/harbor/harbor-offline-installer-v2.9.1.tgz /harbor

# 解压 Harbor 离线安装包
tar -zxvf /harbor/harbor-offline-installer-v2.9.1.tgz -C /harbor

# 进入 Harbor 安装目录
cd /harbor/harbor

# 复制 Harbor 配置文件模板并重命名为 harbor.yml
cp harbor.yml.tmpl harbor.yml

# 编辑harbor配置文件
vi /harbor/harbor/harbor.yml

修改hostname为本机IP，注释掉所有https字段（红框内），图片最下方为默认密码，有需要可以修改，其他可以不动

# 进入 Harbor 安装目录
cd /harbor/harbor

# 运行 prepare 脚本
# 该脚本会根据 harbor.yml 文件生成 Harbor 运行所需的配置文件和目录结构
./prepare

# 运行 install.sh 脚本
# 该脚本会安装并启动 Harbor 服务，包括数据库、Redis、Nginx 和 Harbor 核心组件
./install.sh

# 查看运行状态
docker ps

都up了就没问题

Containerd客户端（192.168.1.3）

安装containerd，runc，crictl
注：网络路径为192.168.1.1:/volume1/Share/，挂载到本机的/share目录，离线包所有内容均在此目录

# 创建 /share 目录，用于挂载 NFS 共享
mkdir /share

# 安装 NFS 客户端工具
yum -y install nfs-utils

# 挂载 NFS 共享到 /share 目录
mount -t nfs 192.168.1.1:/volume1/Share/ /share

# 将 NFS 挂载配置添加到 /etc/fstab，确保系统重启后自动挂载
echo "192.168.1.1:/volume1/Share /share nfs defaults 0 0" | sudo tee -a /etc/fstab

# 停止并禁用防火墙
systemctl stop firewalld
systemctl disable firewalld

# 临时关闭 SELinux
setenforce 0

# 永久禁用 SELinux
sed -i 's/enforcing/disabled/' /etc/selinux/config

# 安装 runc
cp  /share/runc.amd64 /tmp/
install -m 755 /tmp/runc.amd64 /usr/local/sbin/runc
rm -f /tmp/runc.amd64
cp -p /usr/local/sbin/runc  /usr/local/bin/runc
cp -p /usr/local/sbin/runc  /usr/bin/runc

# 拷贝共享目录中containerd相关安装配置文件
cp  /share/containerd-1.7.14-linux-amd64.tar.gz /tmp/

# 安装 containerd
tar Cxzvf /usr/local /tmp/containerd-1.7.14-linux-amd64.tar.gz
rm -f /tmp/containerd-1.7.14-linux-amd64.tar.gz

# 配置开机启动 containerd.service
cp  /tmp/containerd.service /etc/systemd/system/containerd.service
rm -f /tmp/containerd.service
systemctl daemon-reload
systemctl enable containerd

# 查看containerd.service服务文件
cat /etc/systemd/system/containerd.service

内容如下：

[Unit]
# 描述服务的名称和用途
Description=containerd container runtime

# 提供 containerd 官方文档的链接
Documentation=https://containerd.io

# 定义服务的启动顺序依赖
# 确保在网络、本地文件系统和 D-Bus 服务启动后再启动 containerd
After=network.target local-fs.target dbus.service

[Service]
# 在启动 containerd 之前加载 overlay 内核模块
# 如果模块加载失败，忽略错误继续执行
ExecStartPre=-/sbin/modprobe overlay

# 启动 containerd 服务
ExecStart=/usr/local/bin/containerd

# 定义服务类型为 notify，表示服务启动完成后会通知 systemd
Type=notify

# 允许 containerd 管理其子进程的 cgroup
Delegate=yes

# 定义杀死进程的模式为仅杀死 containerd 进程，而不是整个 cgroup
KillMode=process

# 定义服务在失败时自动重启
Restart=always

# 定义服务重启的间隔时间为 5 秒
RestartSec=5

# 设置进程数和核心文件大小的限制为无限制
# 建议使用 cgroups 进行容器本地资源管理
LimitNPROC=infinity
LimitCORE=infinity

# 设置任务最大数量为无限制
# 仅 systemd 226 及以上版本支持此选项
TasksMax=infinity

# 调整 OOM（Out of Memory）分数，降低 containerd 被 OOM Killer 杀死的概率
OOMScoreAdjust=-999

[Install]
# 定义服务在 multi-user.target 启动时自动启动
WantedBy=multi-user.target
关键点说明：
[Unit] 部分：

Description：描述服务的名称和用途。
Documentation：提供官方文档链接。
After：定义服务的启动顺序依赖，确保网络、本地文件系统和 D-Bus 服务启动后再启动 containerd。
[Service] 部分：

ExecStartPre：在启动 containerd 之前加载 overlay 内核模块，如果模块加载失败，忽略错误继续执行。
ExecStart：启动 containerd 服务。
Type=notify：定义服务类型为 notify，表示服务启动完成后会通知 systemd。
Delegate=yes：允许 containerd 管理其子进程的 cgroup。
KillMode=process：定义杀死进程的模式为仅杀死 containerd 进程，而不是整个 cgroup。
Restart=always：定义服务在失败时自动重启。
RestartSec=5：定义服务重启的间隔时间为 5 秒
DeepSeek-V3
DeepSeek-V3

# 生成 containerd 默认配置文件
mkdir -p /etc/containerd/
containerd config default > /etc/containerd/config.toml

# 备份默认配置文件
mv /etc/containerd/config.toml /etc/containerd/config.toml.bk

# 拷贝并查看containerd 配置文件
cp /share/config.toml  /etc/containerd/
cat /etc/containerd/config.toml

内容如下：

# 配置 containerd 的 CRI（Container Runtime Interface）插件
[plugins."io.containerd.grpc.v1.cri".registry]

  # 配置镜像仓库的镜像（mirror）设置
  [plugins."io.containerd.grpc.v1.cri".registry.mirrors]

    # 为特定的镜像仓库地址（192.168.1.2）配置镜像
    [plugins."io.containerd.grpc.v1.cri".registry.mirrors."192.168.1.2"]
      # 指定镜像仓库的访问端点（endpoint），使用 HTTP 协议
      endpoint = ["http://192.168.1.2"]

  # 配置镜像仓库的认证信息
  [plugins."io.containerd.grpc.v1.cri".registry.configs]

    # 为特定的镜像仓库地址（192.168.1.2）配置认证信息
    [plugins."io.containerd.grpc.v1.cri".registry.configs."192.168.1.2".auth]
      # 配置访问镜像仓库的用户名
      username = "admin"
      # 配置访问镜像仓库的密码（默认密码，如果之前改了这里也要改）
      password = "Harbor12345"

# 配置使用crictl管理 containerd 镜像
cp /share/crictl-v1.26.0-linux-amd64.tar.gz /tmp
tar zxvf /tmp/crictl-v1.26.0-linux-amd64.tar.gz -C /usr/local/bin
rm -f /tmp/crictl-v1.26.0-linux-amd64.tar.gz
cat >/etc/crictl.yaml <<EOF
runtime-endpoint: unix:///var/run/containerd/containerd.sock
image-endpoint: unix:///var/run/containerd/containerd.sock
timeout: 10
EOF

# 重启 containerd
systemctl restart containerd
systemctl status containerd

在Containerd客户端（192.168.1.3）导入镜像

# 1. 导入镜像文件 dashboard.tar
# 将本地的镜像文件导入到 containerd 中
ctr image import /share/dashboard.tar

# 2. 列出所有镜像
# 查看当前 containerd 中已存在的镜像，确认导入是否成功
ctr image ls

# 3. 重新打标签
# 将导入的镜像 docker.io/kubernetesui/dashboard:v2.7.0 重新打标签为 192.168.1.2/library/dashboard:v2.7.0
# 这一步是为了将镜像标记为私有仓库的地址，方便后续上传
ctr image tag docker.io/kubernetesui/dashboard:v2.7.0 192.168.1.2/library/dashboard:v2.7.0

# 4. 再次列出所有镜像
# 确认重新打标签是否成功，检查是否存在新的镜像标签
ctr image ls

在Containerd客户端（192.168.1.3）上传镜像

# 将镜像推送到私有 Harbor 仓库
# --plain-http: 使用 HTTP 协议而不是 HTTPS（适用于未启用 HTTPS 的仓库）
# --user admin:Harbor12345: 指定 Harbor 仓库的用户名和密码（用于身份验证）
# 192.168.1.2/library/dashboard:v2.7.0: 目标镜像的完整地址，格式为 <仓库地址>/<项目>/<镜像名>:<标签>
ctr image push --plain-http --user admin:Harbor12345 192.168.1.2/library/dashboard:v2.7.0

在Containerd客户端（192.168.1.3）下载镜像

# 从私有 Harbor 仓库拉取镜像
# --plain-http: 使用 HTTP 协议而不是 HTTPS（适用于未启用 HTTPS 的仓库）
# 192.168.1.2/library/dashboard:v2.7.0: 目标镜像的完整地址，格式为 <仓库地址>/<项目>/<镜像名>:<标签>
ctr image pull --plain-http 192.168.1.2/library/dashboard:v2.7.0