即使使用Kubernetes中的“--insecure-skip-tls-verify”选项获取“x509：由未知权限签名的证书”

Question

我有一个在Linux VM（10.78.0.228:5000）上运行的私有docker映像注册表， Kubernetes高手在不同的虚拟机上运行运行的Centos Linux的7

我用下面的命令来创建一个POD： kubectl create --insecure-skip-tls-verify -f monitorms-rc.yml

我得到这个sample monitorms-mmqhm 0/1 ImagePullBackOff 0 8m

，并在运行 kubectl describe pod monitorms-mmqhm --namespace=sample

它打印：Warning Failed Failed to pull image "10.78.0.228:5000/monitorms": Error response from daemon: {"message":"Get https://10.78.0.228:5000/v1/_ping: x509: certificate signed by unknown authority"}

是不是应该Kubernetes时--insecure-skip-tls-verify传递给忽略POD创建过程中的所有操作的服务器证书？

如果不是，我该如何让它在拉动码头图像时忽略tls验证？

PS：

Kubernetes版本：

客户端版本：version.Info {专业： “1”，次： “5”，GitVersion： “V1.5.2”，GitCommit： “08e099554f3c31f6e6f07b448ab3ed78d05205​​07”，GitTreeState： “干净”，创建日期： “2017-01-12T04：57：25Z”，GoVersion： “go1.7.4”，编译： “GC”，平台 “的Linux/AMD64”}

服务器版本：version.Info {Major：“1”，Minor：“5”，GitVersion：“v1.5.2”，GitCommit：“08e099554f3c31f6e6f07b448ab3ed78d05205​​07”， GitTreeState：“clean”，BuildDate：“2017-01-12T04：52：34Z”，GoVersion：“go1.7.4”，编译器：“gc”，平台：“linux/amd64”}

我提出了这个问题在这里：https://github.com/kubernetes/kubernetes/issues/43924

Answer 1

你看到的问题其实是码头问题。使用--insecure-skip-tls-verify是kubectl的有效参数，但它仅处理kubectl与kubernetes API服务器之间的连接。您看到的错误实际上是因为docker守护进程无法登录到私有注册表，因为它在未签名中使用的证书。

看看Docker insecure registry docs，这应该可以解决您的问题。