k8s 拉取镜像时,请求提前断开(EOF)导致拉取失败

沧州刺史2026-05-13 13:42

这次问题发生在使用 Keycloak 官方 quickstart YAML 部署资源时:

复制代码 
kubectl create -f https://raw.githubusercontent.com/keycloak/keycloakquickstarts/refs/heads/main/kubernetes/keycloak.yaml

创建出来的资源包括:

复制代码 
service/keycloak
service/keycloak-discovery
statefulset.apps/keycloak
deployment.apps/postgres
service/postgres

但是 Postgres Pod 一直无法启动,事件中反复出现镜像拉取失败:

复制代码 
Failed to pull image "mirror.gcr.io/postgres:17":failed to pull and unpack image "mirror.gcr.io/postgres:17":failed to copy:failed to do request:Get "https://mirror.gcr.io/v2/postgres/..." EOF

这里的关键错误是:

复制代码 
EOF

它表示 containerd 在拉取镜像时,请求还没正常完成,连接就被提前断开了。最开始怀疑是 k3s 节点没有配置代理,或者 containerd 没有走代理。

随后检查了 k3s 的配置目录:

复制代码 
sudo ls -l /etc/rancher/k3s/

结果只有:

复制代码 
config.yamlk3s.yaml

没有:

复制代码 
registries.yaml

说明当前 k3s 没有通过 /etc/rancher/k3s/registries.yaml 配置镜像仓库 mirror。

然后继续检查 k3s 的 systemd 环境变量:

复制代码 
sudo systemctl show k3s --property=Environment

发现 k3s 已经配置了代理:

复制代码 
HTTP_PROXY=http://127.0.0.1:7897HTTPS_PROXY=http://127.0.0.1:7897NO_PROXY=...

为了确认代理本身是否可用,又分别用普通用户和 root 用户测试:

复制代码 
curl -I -x http://127.0.0.1:7897 https://mirror.gcr.iosudo curl -I -x http://127.0.0.1:7897 https://mirror.gcr.io

返回中出现:

复制代码 
HTTP/1.1 200 Connection established

说明代理连接本身是通的。后面的 HTTP/2 405 只是因为 mirror.gcr.io 根路径不接受这种 HEAD 请求,并不代表代理失败。

最后直接用 k3s 的 crictl 测试两个镜像源:

复制代码 
sudo k3s crictl pull mirror.gcr.io/postgres:17

结果失败:

复制代码 
EOF

再测试 Docker Hub 原始镜像:

复制代码 
sudo k3s crictl pull docker.io/library/postgres:17

结果成功:

复制代码 
Image is up to date for sha256:...

这一步最终定位出问题原因:
k3s 的代理链路是可用的,postgres:17 镜像本身也可以正常拉取,真正的问题是 mirror.gcr.io/postgres:17 这个镜像源在当前网络环境下不稳定。

最终解决方式是不要继续使用:

复制代码 
image: mirror.gcr.io/postgres:17

而是改成:

复制代码 
image: docker.io/library/postgres:17

如果资源已经创建,可以直接修改 Deployment 镜像:

复制代码 
kubectl set image deployment/postgres postgres=docker.io/library/postgres:17 -n keycloak

然后查看 rollout 状态:

复制代码 
kubectl rollout status deployment/postgres -n keycloak

也可以把远程 YAML 下载到本地后替换镜像地址:

复制代码 
curl -L -o keycloak.yaml https://raw.githubusercontent.com/keycloak/keycloak-quickstarts/refs/heads/main/kubernetes/keycloak.yamlsed -i 's#mirror.gcr.io/postgres:17#docker.io/library/postgres:17#g' keycloak.yamlkubectl apply -n keycloak -f keycloak.yaml

总结来说,这次排查链路是:
Pod 拉取镜像失败 → 发现错误为 mirror.gcr.io/postgres:17 EOF → 检查 k3s 是否配置 registry mirror → 检查 k3s 是否配置 HTTP 代理 → 验证代理端口可用 → 使用 crictl pull 分别测试 mirror.gcr.iodocker.io → 确认 Docker Hub 原始镜像可拉、mirror.gcr.io 不可拉 → 将 YAML 中的镜像源从 mirror.gcr.io/postgres:17 改为 docker.io/library/postgres:17,问题解决。

相关推荐
真上帝的左手10 小时前
11. 容器化 vs 虚拟化-K8s-工作负载实战
云原生·容器·kubernetes
极客先躯11 小时前
高级java每日一道面试题-2026年01月18日-实战篇[Docker]-如何清理仓库中的旧镜像?
java·运维·docker·容器
张忠琳13 小时前
【kubernetes v1.21】(controller-manager part 1)kube-controller-manager 核心架构与启动流程
云原生·架构·kubernetes
qq_4523962314 小时前
第十五篇:《Docker 与 Kubernetes 集成:从 Swarm 到 K8s 的迁移》
docker·容器·kubernetes
HackTwoHub14 小时前
K8s综合渗透测试工具,集成信息搜集、权限逃逸、横向移动,一站式搞定全流程渗透测试工作
人工智能·安全·web安全·云原生·容器·kubernetes·系统安全
做个文艺程序员14 小时前
第05篇:K8s CI/CD 全流程:GitOps × ArgoCD × Harbor——Java SaaS 从代码提交到生产部署一键直达
ci/cd·kubernetes·argocd
人工智能培训14 小时前
数字孪生建模常用方式有哪些?
人工智能·深度学习·机器学习·容器·知识图谱
lpfasd12314 小时前
docker中默认网络的作用和注意事项
网络·docker·容器
IT策士15 小时前
第 37 篇 k8s之调度进阶:亲和性、污点与容忍
云原生·容器·kubernetes
EntyIU15 小时前
DOCKER_CHEATSHEET
运维·docker·容器
热门推荐
01GitHub 镜像站点022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03Codex 下载安装指南:Windows 和 macOS 官方版下载04Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复05【AI】2026 年具身智能模型和世界模型总结06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 接入 DeepSeek API 完整配置文档10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法