MicroK8s中配置私有Docker注册表时HTTPS协议问题的解决方案

在使用MicroK8s部署应用时，许多开发者会遇到从私有Docker注册表拉取镜像的问题。本文将深入分析这个常见问题的根源，并提供完整的解决方案。

问题现象

当尝试从私有注册表拉取镜像时，MicroK8s容器运行时（containerd）会默认使用HTTPS协议访问注册表。如果私有注册表仅配置了HTTP服务，就会出现类似以下错误：

failed to do request: Head "https://10.0.0.58:30500/v2/block-party/manifests/latest": http: server gave HTTP response to HTTPS client

根本原因

这个问题源于容器运行时的安全策略。默认情况下，containerd会强制使用HTTPS协议与镜像注册表通信，这是出于安全考虑的设计。但对于内部开发环境或测试集群中的私有注册表，我们可能需要允许不安全的HTTP连接。

详细解决方案

1. 配置containerd信任私有注册表

MicroK8s提供了专门的配置目录来管理容器运行时对注册表的信任设置：

sudo mkdir -p /var/snap/microk8s/current/args/certs.d/<注册表地址>

对于示例中的注册表地址10.0.0.58:30500，应创建如下配置文件：

# /var/snap/microk8s/current/args/certs.d/10.0.0.58:30500/hosts.toml
server = "http://10.0.0.58:30500"

[host."http://10.0.0.58:30500"]
capabilities = ["pull", "resolve"]

关键配置说明：

• server字段明确指定使用HTTP协议
• capabilities定义允许的操作类型
• 主机地址必须包含协议头（http://）

2. 确保配置生效

配置更改后，必须重启MicroK8s服务使设置生效：

sudo microk8s stop
sudo microk8s start

3. 验证配置

使用ctr工具测试镜像拉取：

sudo microk8s.ctr images pull 10.0.0.58:30500/block-party:latest

成功输出应显示镜像层下载信息，而非HTTPS协议错误。

高级配置建议

1. 集群内部访问：在Kubernetes集群内部，建议使用Service DNS名称而非IP地址，如registry.network.svc.cluster.local:5000

2. 多注册表配置：可以为不同的注册表地址创建多个hosts.toml文件

3. 安全警告：HTTP协议仅适用于测试环境，生产环境应配置有效的TLS证书

常见问题排查

如果配置后仍然无效，请检查：

1. 文件路径和名称是否正确
2. 注册表地址是否包含端口号
3. 服务重启是否完成
4. 防火墙是否放行了指定端口

通过以上步骤，开发者可以顺利配置MicroK8s使用HTTP协议的私有Docker注册表，解决镜像拉取失败的问题。记住在生产环境中始终优先考虑使用安全的HTTPS连接。