请教 k8s 国内网络访问不了镜像问题的解决方案

docker pull 走 http 代理

好好研究下你那个代理软件吧。要么开全局代理 保证命令行也能 curl google.com ，要么在 docker 上配置 Proxies ，指向自己本机代理暴露出来的地址。

感觉这个 image 的 tag 不太合规，照理应该不能存在 2 个:的，尝试换个短 tag 的试试

不太明白你替换了 image 之后为啥 apply 的还是那个 url 。你不应该 apply 本地你替换之后的吗？那个字段不允许改是正常的，你这样的情况可以删除之后在使用你修改的文件 apply

最不济就是本地 docker pull `k8s.gcr.io` 的镜像然后 `docker save` ，scp 到服务器再 `docker load`

另外本地改 image tag 应该也是可行的

如果是自己家的话,搞个路由器吧,走路由器代理,或者开个 op 虚拟机,旁网关代理机器流量

其实代理软件也是可以设置代理局域网其他设备的流量的,你在自己电脑上拉取失败可以试试全局

可以去 hub.docker 拉镜像后改 tag

root@xxxx:~# docker pull k8s.gcr.io/ingress-nginx/kube-webhook-certgen:v1.1.1@sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660
k8s.gcr.io/ingress-nginx/kube-webhook-certgen@sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660: Pulling from ingress-nginx/kube-webhook-certgen
ec52731e9273: Pull complete
b90aa28117d4: Pull complete
Digest: sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660
Status: Downloaded newer image for k8s.gcr.io/ingress-nginx/kube-webhook-certgen@sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660
k8s.gcr.io/ingress-nginx/kube-webhook-certgen:v1.1.1@sha256:64d8c73dca984af206adf9d6d7e46aa550362b1d7a01f3a0a91b20cc67868660
root@xxxx:~# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
k8s.gcr.io/ingress-nginx/kube-webhook-certgen <none> c41e9fcadf5a 6 months ago 47.7MB


带 2 个: 的长 tag 拉取下来的之后 tag 是<none>
只要 tag 换成 v1.1.1 就可以了

试过改 deploy.yaml 里的地址可行

1. google 生态的开发要准备科学上网（必备）
2. docker 环境设置代理
3. 命令行的配置设置代理，比如：export https_proxy=http://127.0.0.1:7890 http_proxy=http://127.0.0.1:7890 all_proxy=socks5://127.0.0.1:7890

就可以了

@Illusionary @hhshenhuaxx #1 #2 我开了全局代理，访问 google 没有问题。


@hzfyjgw #3 短的我也试过，一样的错误，就是不生效。

# 首先确保国外有 Trojan 服务端

# 在腾讯云服务器上安装 Trojan 客户端
$ tar -xvf trojan-1.16.0-linux-amd64.tar.xz
$ mv trojan/trojan /usr/local/bin

# 配置 Trojan 客户端配置文件
$ mkdir /etc/trojan
$ cat > /etc/trojan/config.json <<-EOF
{
"run_type": "client",
"local_addr": "0.0.0.0",
"local_port": 1080,
"remote_addr": "xxxx",
"remote_port": 443,
"password": [
"xxxxx"
],
"log_level": 1,
"ssl": {
"verify": false,
"verify_hostname": false,
"cert": ""
}
}
EOF

# 配置 Systemd 的 Trojan 客户端服务
$ cat > /etc/systemd/system/trojan.service <<-EOF
[Unit]
Description=trojan
After=network.target

[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/local/bin/trojan -c /etc/trojan/config.json -l /var/log/trojan.log
ExecReload=/bin/kill -HUP $MAINPID
LimitNOFILE=1048576

[Install]
WantedBy=multi-user.target
EOF

# 创建日志文件
$ touch /var/log/trojan.log
$ chown nobody:nogroup /var/log/trojan.log

# 启动 Trojan
$ systemctl enable trojan
$ systemctl start trojan

# 验证代理是否成功
$ curl ip.sb --socks5 127.0.0.1:1080

# 在 Systemd 中配置 Docker Daemon 使用 SOCKS5 代理，其中代理 IP 改为自己的 Trojan 客户端 IP
$ mkdir -p /etc/systemd/system/docker.service.d
$ tee /etc/systemd/system/docker.service.d/socks5-proxy.conf <<-'EOF'
[Service]
Environment="HTTP_PROXY=socks5://172.27.111.113:1080/" "HTTPS_PROXY=socks5://172.27.111.113:1080/" "NO_PROXY=localhost,127.0.0.1,docker.io,yanzhe919.mirror.aliyuncs.com,99nkhzdo.mirror.aliyuncs.com,*.aliyuncs.com,*.mirror.aliyuncs.com,registry.docker-cn.com,hub.c.163.com,hub-auth.c.163.com,"
EOF

# 重启 Docker Daemon 服务
$ systemctl daemon-reload
$ systemctl restart docker
$ systemctl show --property=Environment docker # 查看环境变量是否生效

# 测试能否下载 Google 镜像
$ docker pull k8s.gcr.io/kube-proxy:v1.22.0

@klo424 #14 只要 image 的 tag 不要带 2 个: 照理没问题了，你 yaml 文件里的 image 的 tag 不需要这么长的

@mysalt 以上的步骤是我在国内云环境验证过可以成功的。如果是本地，直接搞个软路由吧，也不用折腾什么 HTTP ，SOCK5 这种代理。

@wd #4 apply 的 url 我换了，原来是 https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.2.0/deploy/static/provider/cloud/deploy.yaml ，换的 https://cdn.jsdelivr.net/gh/kade-code/k8s-mirror@master/deploy3.yaml ，我刚才又传到服务器本地试了下，还是一样的错误。
那个字段不允许改的话，具体是哪个字段呢？我只修改了 image 字段的值，别的都没改，所以我理解是这个文件就不能改。
#5 这个我也试了，改 tag ，但 apply 后，k8s 还是会 pull error 。

我的解决方案是在内网搭一个 nexus 做 k8s.gcr.io 的 docker 镜像，然后把 yml 里的 repo 改成内网的 repo

dockerproxy.com

这个可以临时解决问题么?