RKE2项目中containerd 2.0版本镜像拉取回退机制的修复

在RKE2项目v1.32.2版本中，当用户使用containerd 2.0运行时并在registries.yaml配置文件中配置了"*"通配符镜像仓库时，系统无法正确回退到默认的registry端点。这个问题在v1.32.3-rc1版本中得到了修复。

问题背景

containerd作为容器运行时，支持通过registries.yaml配置文件来定制镜像仓库的访问策略。当配置了通配符"*"作为镜像仓库的mirror时，理论上应该能够匹配所有镜像请求，并在主仓库不可用时回退到默认的registry端点。

然而在RKE2 v1.32.2版本中，这一机制出现了故障。当尝试拉取如"docker.io/rancher/hardened-etcd"这样的基础镜像时，系统会报错"not found"，无法完成正常的镜像拉取流程。这直接影响了RKE2集群的正常启动和运行。

问题表现

在实际部署中可以观察到以下现象：

1. 使用v1.32.2版本时，核心组件如etcd的镜像无法正常拉取
2. 系统日志中会出现"failed to resolve reference"的错误提示
3. 关键系统Pod无法正常启动，导致集群功能受损

解决方案

RKE2开发团队在v1.32.3-rc1版本中修复了这个问题。修复后的版本能够正确处理通配符镜像仓库配置，并实现预期的回退机制。

验证结果表明：

1. 基础镜像如etcd、coredns等能够正常拉取
2. 所有系统Pod能够正常启动并运行
3. 集群各项功能恢复正常

技术影响

这一修复对于使用containerd 2.0运行时的RKE2用户尤为重要。它确保了：

1. 镜像拉取策略的灵活性不受影响
2. 企业内网环境中的镜像仓库配置能够正常工作
3. 系统升级和部署的可靠性得到保障

最佳实践

对于需要使用镜像仓库mirror配置的用户，建议：

1. 及时升级到包含此修复的RKE2版本
2. 测试环境先行验证镜像拉取功能
3. 监控关键系统组件的启动状态

这一修复体现了RKE2项目对容器运行时兼容性和稳定性的持续关注，为用户提供了更加可靠的容器化基础设施解决方案。