Docker 与 containerd 代理配置详解：镜像拉取速度慢的终极解决方案

引言

在企业内网、校园网络或其他受限网络环境中，使用 Docker 或 containerd 拉取外部镜像时常常遇到网络问题。本文基于实际运维经验，详细介绍如何为 Docker 和 containerd 配置代理，解决镜像拉取慢或失败的问题。

一、Docker 代理配置详解

1. 为什么需要配置代理？

在以下场景中，配置代理尤为重要：

• 企业内部网络设有防火墙，限制外部网络访问
• 校园/科研网络出口带宽有限，镜像拉取速度慢
• 某些地区网络访问外部镜像仓库不稳定

2. 详细配置步骤

2.1 配置 Docker 客户端

适用场景：容器内部需要访问外部网络时

在用户目录下创建或修改 .docker/config.json 文件：

{
  "proxies": {
    "default": {
      "httpProxy": "http://proxy.example.com:3128",
      "httpsProxy": "http://proxy.example.com:3129",
      "noProxy": "localhost,127.0.0.1,.example.org"
    }
  }
}

配置说明：

• httpProxy/httpsProxy：设置 HTTP 和 HTTPS 代理地址
• noProxy：指定不需要走代理的地址，如本地地址和内网域名

2.2 配置 Docker 守护进程

适用场景：拉取/推送镜像、Docker 构建等操作

1. 创建 systemd 配置目录：

sudo mkdir -p /etc/systemd/system/docker.service.d

2. 创建代理配置文件 /etc/systemd/system/docker.service.d/http-proxy.conf：

[Service]
Environment="HTTP_PROXY=http://proxy.example.com:3128"
Environment="HTTPS_PROXY=http://proxy.example.com:3129"
Environment="NO_PROXY=localhost,127.0.0.1,10.0.0.0/8"  ## 不走代理的地址

3. 重启 Docker 服务使配置生效：

sudo systemctl daemon-reload
sudo systemctl restart docker
sudo systemctl show --property=Environment docker

3. 验证配置是否成功

执行以下操作验证代理配置：

• docker info：查看是否显示代理设置
• docker pull hello-world：测试镜像拉取
• 容器内执行 env | grep -i proxy：检查容器是否继承代理环境变量

4. 实战经验与问题排查

常见问题及解决方案：

• 内网服务无法访问 ：确保 NO_PROXY 包含所有内网地址段
• Docker Desktop 配置：在 GUI 设置中找到 "Resources → Proxies" 进行配置
• 代理认证 ：使用 http://user:pass@proxy:port 格式，但注意安全风险
• 构建阶段代理 ：在 Dockerfile 中使用 ARG 传递代理变量
• 旧版本兼容性：部分旧版 Docker 需使用 systemd 环境变量方式配置

二、containerd 代理配置指南

1. containerd 代理配置背景

containerd 作为轻量级容器运行时，广泛应用于 Kubernetes 集群等场景。在受限网络环境中，同样需要配置代理以确保镜像拉取正常。

2. 具体配置步骤

2.1 systemd 环境变量配置

1. 创建配置目录：

sudo mkdir -p /etc/systemd/system/containerd.service.d

2. 写入代理配置：

sudo tee /etc/systemd/system/containerd.service.d/http-proxy.conf <<EOF
[Service]
Environment="HTTP_PROXY=http://proxy.example.com:3128"
Environment="HTTPS_PROXY=http://proxy.example.com:3129"
Environment="NO_PROXY=localhost,127.0.0.1,.svc,.cluster.local"
EOF

3. 重启服务：

sudo systemctl daemon-reload
sudo systemctl restart containerd

2.2 高级配置（可选）

如需配置镜像加速或 TLS 验证，可编辑 /etc/containerd/config.toml 文件，添加相应的 registry 配置。

3. 验证与测试

• ctr image pull docker.io/library/alpine:latest：测试镜像拉取
• systemctl show --property=Environment containerd：检查环境变量是否生效
• 查看 containerd 日志：排查代理相关错误

4. 实用技巧与注意事项

• Kubernetes 环境：可能需要为 kubelet 等组件也配置代理
• 云环境适配：不同云服务商的网络环境可能需要不同的代理策略
• 镜像加速：结合使用镜像加速器可进一步提升拉取速度
• TLS 配置：内部镜像仓库可能需要配置 TLS 验证跳过

三、总结与最佳实践

配置建议

1. 分层配置：根据实际需求分别配置客户端和守护进程代理
2. NO_PROXY 优化：合理设置不需要代理的地址，避免内网流量走代理
3. 安全性考虑：代理认证信息妥善保管，避免明文存储
4. 监控与日志：定期检查代理配置是否生效，及时排查问题

常见错误排查

• 代理服务器是否可达
• 防火墙规则是否允许代理流量
• 环境变量是否正确设置并生效
• 容器网络模式是否影响代理使用

通过本文的配置指南，相信您能够在各种网络环境中顺利使用 Docker 和 containerd，解决镜像拉取的网络问题。