Rancher集群containerd导出镜像

奇墨科技是国内领先的全域IT质量管理平台及服务商，创始团队为在ITSM、公有云，私有云，超融合及安全业务方向服务多年的业界精英团队，尤其具备领先的运维服务和业务理解能力，已服务了大量的世界及中国500强客户，可提供一站式运维服务（v x：ITQM_Kuang)，大型项目云原生改造，咨询服务及安全整改。

背景

把Rancher中的containerd中的镜像导入到harbor中出现harbor仓库拒绝连接（connect refuse），几经修改config.toml依旧不生效，但现在有需要将containerd镜像存储到harbor镜像仓库中

解决思路

通过ctr命令导出containerd中镜像到本地，再通过docker连接harbor镜像仓库，还原container镜像文件到docker中，最后上传到harbor

方法步骤

1. 查看镜像

ctr --address /run/k3s/containerd/containerd.sock --namespace k8s.io image list

2. ctr命令导出containerd中镜像到本地

ctr --address /run/k3s/containerd/containerd.sock --namespace k8s.io image export updater-latest.tar docker.io/rancher/mirrored-neuvector-updater:latest

注意：updater-latest.tar为自定义镜像文件， docker.io/rancher/mirrored-neuvector-updater:latest为镜像名
3. docker连接harbor镜像仓库

docker login <repo url>

如果也报拒绝连接（connect refuse），修改docker.service：

#找到docker.service文件
find / -name docker.service 
#添加以下配置，到如下图位置
--insecure-registry= <repo url>

4. 在目标主机上使用 Docker CLI 工具导入镜像

docker load -i /path/to/image.tar

5. 对导入的镜像重新命名并为其打上标签，以便将其推送到远程仓库

docker tag <image-id> <registry>/<image-name>:<version>
#例如
 docker push xxx.com/rancher/mirrored-neuvector-updater:latest

其中 < registry > 是远程 Docker Registry 的名称或 URL，< image-name > 是镜像名称，< version > 是镜像版本号。
6. 使用 docker push 命令将新标记的镜像推送到远程仓库中

docker push <registry>/<image-name>:<version>

请确保您已经获得了对 Docker Registry 的写入权限，才能成功地推送镜像。如果还是无法推送，请检查网络连接、认证等相关设置。