前言
在Kubernetes环境中使用自签名证书的私有Harbor镜像仓库时,常会遇到证书验证失败的问题。本文将详细讲解如何解决这个常见的证书问题。
环境信息:
- Kubernetes版本:1.28.2
- 容器运行时:containerd 1.6.20
- 私有仓库:Harbor(使用自签名证书)(超简单搭建私有仓库Harbor-亲测无坑)
问题描述
在K8s集群中从私有Harbor仓库拉取镜像时,出现以下错误:
certificate signed by unknown authority
分析:
- 在节点上直接使用
nerdctl pull命令拉取镜像时没有问题 - 但通过Kubernetes部署Pod时,拉取同样的镜像却报错
- 错误原因是容器运行时无法验证Harbor仓库的自签名证书
解决方案
1. 配置containerd信任私有仓库证书
需要通过配置containerd来解决证书信任问题,主要步骤如下:
1.1 证书准备
首先,需要将Harbor的CA证书复制到containerd的证书目录:
# 创建证书目录
mkdir -p /etc/containerd/certs.d/lzz.harbor.com/
# 复制CA证书到目录中
cp lzz.harbor.com.crt /etc/containerd/certs.d/lzz.harbor.com/ca.crt
1.2 修改containerd配置
编辑containerd配置文件,通常位于/etc/containerd/config.toml:
vi /etc/containerd/config.toml
添加以下配置(注意替换lzz.harbor.com为你的Harbor域名):
[plugins."io.containerd.grpc.v1.cri".registry]
[plugins."io.containerd.grpc.v1.cri".registry.mirrors]
[plugins."io.containerd.grpc.v1.cri".registry.configs."lzz.harbor.com"]
[plugins."io.containerd.grpc.v1.cri".registry.configs."lzz.harbor.com".tls]
ca_file = "/etc/containerd/certs.d/lzz.harbor.com/ca.crt" # 替换为实际证书路径
配置文件示意图:
1.3 重启containerd服务
systemctl restart containerd
2. 验证解决方案
重启containerd服务后,再次部署使用私有仓库镜像的Pod,观察是否能够正常拉取镜像。正常情况下,Pod应该能够成功拉取镜像并运行。
问题解决效果
完成上述配置后,再次查看Pod状态,发现已经可以正常拉取私有仓库的镜像,Pod顺利运行。
常见问题与注意
注意多节点集群配置
多节点的Kubernetes集群,需要在每个工作节点上都进行上述配置。可以考虑使用配置管理工具(如Ansible)批量操作。
不同容器运行时的配置差异
- Docker: 需要在
/etc/docker/certs.d/目录下配置 - CRI-O: 需要在全局CA证书目录或专用配置中设置
证书更新注意事项
当Harbor证书更新后,需要同步更新所有节点上的证书文件,并重启相应的容器运行时服务。
总结
解决K8s私有仓库证书问题的关键在于正确配置容器运行时(本例中是containerd)信任私有仓库的证书。通过将证书放置在正确的位置并更新配置文件,可以让Kubernetes集群顺利使用自签名证书的私有Harbor仓库。
这个问题在实际生产环境中比较常见,大家可以参考这个方法
