K3s 使用 containerd 时出现 "failed to pull and unpack image" 具体排查

舞姬之光

发布时间：2026-01-19 17:11:02

359人浏览过

来源于php中文网

原创

镜像拉取失败不一定是containerd故障，需先用crictl验证网络、TLS证书、认证及镜像地址；再检查containerd的config.toml中私有仓库CA、registry配置和auth凭据；修改后须重启k3s或containerd，并用crictl info、ctr命令确认生效；应急可手动导入镜像并重打标签，或通过启动参数指定私服。

$k3s 使用 containerd 时出现 \$

确认镜像拉取失败是否真由 containerd 引起

先别急着改配置。K3s 默认用 containerd，但错误日志里出现 failed to pull and unpack image，不等于一定是 containerd 自身故障——它只是执行层，真正卡点往往在上游：网络、证书、认证或镜像地址本身。

最直接的验证方式是在出问题的节点上，用 crictl 模拟 kubelet 行为：

运行 sudo crictl pull harbor.intra.example.com/proj/app:v1.2.3（替换为你实际的镜像地址）
如果报 x509: certificate signed by unknown authority，说明是 TLS 信任问题
如果报 context deadline exceeded 或连接拒绝，优先查网络连通性与端口开放情况（如 Harbor 的 443/80 是否可达）
如果提示 unauthorized: authentication required，说明需要 registry 认证，但 K3s 未配置对应 secret 或 containerd 配置未生效

检查 containerd 对私有仓库的 TLS 和认证配置

K3s 不读 Docker 的 ~/.docker/config.json，它依赖 containerd 的 config.toml。关键配置路径通常是：

/var/lib/rancher/k3s/agent/etc/containerd/config.toml（agent 节点）
/var/lib/rancher/k3s/server/etc/containerd/config.toml（server 节点）

重点确认以下几项是否正确写入（需重启 containerd 或整个 k3s 才生效）：

MaxAI

MaxAI.me是一款功能强大的浏览器AI插件，集成了多种AI模型。

下载

私有仓库 CA 证书：把 Harbor 自签名 CA 证书（如 ca.crt）拷到 /var/lib/rancher/k3s/agent/etc/containerd/certs.d/harbor.intra.example.com/ca.crt（目录需手动创建）
registry 配置块：在 config.toml 的 [plugins."io.containerd.grpc.v1.cri".registry] 下添加对应 host 的 host 条目，启用 skip_verify = true（仅测试环境）或指定 ca 路径
认证凭据：若需账号密码，在 hosts.toml 中配置 auth 字段（Base64 编码后的 username:password），或使用 kubectl create secret docker-registry 并在 Pod 中引用

验证 containerd 实际使用的配置是否加载成功

修改 config.toml 后容易忽略一步：containerd 不会热重载该文件。必须重启服务：

执行 sudo systemctl restart k3s（k3s 会一并重启内置 containerd）
或单独重启 containerd：sudo systemctl restart containerd（仅当 K3s 以外部 containerd 模式运行时）

验证是否生效的方法：

运行 sudo ctr -n k8s.io image ls | grep your-image 查看本地是否有缓存镜像
执行 sudo crictl info | grep -A5 registry 看输出中是否列出你配置的私有 registry 地址
查看 containerd 日志：sudo journalctl -u k3s -n 100 --no-pager | grep -i "harbor\|pull\|cert"

绕过拉取失败的临时应急手段

生产环境不能长期卡在镜像拉取上。当排查耗时较长，可快速恢复业务：

手动导入镜像：在能联网的机器上 docker pull 镜像 → docker save -o app.tar image:tag → 拷贝到目标节点 → sudo ctr -n k8s.io image import app.tar
重打标签匹配原需求：比如 K3s 默认要拉 docker.io/rancher/pause:3.6，但你已导入 harbor.intra/pause:3.6，则运行：sudo ctr -n k8s.io image tag harbor.intra/pause:3.6 docker.io/rancher/pause:3.6
修改 K3s 启动参数跳过默认镜像拉取：通过 --pause-image 或 --system-default-registry 指定私服前缀，避免硬编码依赖外网

linux中有office吗

Python反爬识别机制_行为特征解析【教程】

Linux 怎么批量下载某个网站所有图片？

最常用的前端开发工具(js开发工具哪个好)

小白都能看懂的xss原理解析与窃取用户cookie并实现越权实战，看不懂拿板砖敲我！

相关专题

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

412

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

533

2023.08.23

jquery怎么操作json

操作的方法有：1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”；3、“$.each(obj, callback)”；4、“$.ajax()”。更多jquery怎么操作json的详细内容，可以访问本专题下面的文章。

310

2023.10.13

go语言处理json数据方法

本专题整合了go语言中处理json数据方法，阅读专题下面的文章了解更多详细内容。

2025.09.10

default gateway怎么配置

配置default gateway的步骤：1、了解网络环境；2、获取路由器IP地址；3、登录路由器管理界面；4、找到并配置WAN口设置；5、配置默认网关；6、保存设置并退出；7、检查网络连接是否正常。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

220

2023.12.07

k8s和docker区别

k8s和docker区别有抽象层次不同、管理范围不同、功能不同、应用程序生命周期管理不同、缩放能力不同、高可用性等等区别。本专题为大家提供k8s和docker区别相关的各种文章、以及下载和课程。

252

2023.07.24

docker进入容器的方法有哪些

docker进入容器的方法：1. Docker exec；2. Docker attach；3. Docker run --interactive --tty；4. Docker ps -a；5. 使用 Docker Compose。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

494

2024.04.08

docker容器无法访问外部网络怎么办

docker 容器无法访问外部网络的原因和解决方法：配置 nat 端口映射以将容器端口映射到主机端口。根据主机兼容性选择正确的网络驱动（如 host 或 overlay）。允许容器端口通过主机的防火墙。配置容器的正确 dns 服务器。选择正确的容器网络模式。排除主机网络问题，如防火墙或连接问题。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

399

2024.04.08

PHP WebSocket 实时通信开发

本专题系统讲解 PHP 在实时通信与长连接场景中的应用实践，涵盖 WebSocket 协议原理、服务端连接管理、消息推送机制、心跳检测、断线重连以及与前端的实时交互实现。通过聊天系统、实时通知等案例，帮助开发者掌握使用 PHP 构建实时通信与推送服务的完整开发流程，适用于即时消息与高互动性应用场景。

2026.01.19

热门下载

网站特效

网站源码

网站素材

前端模板