Gyakori kérdések – Azure Container Registry

Igen. Íme egy sablon, amellyel létrehozhat egy beállításjegyzéket.

Igen. Tekintse meg a Felhőhöz készült Microsoft Defender, a Twistlock és az Aqua dokumentációját.

Tekintse meg a Kubernetes dokumentációját és az Azure Kubernetes Service lépéseit.

Mielőtt rendszergazdai hitelesítő adatokat kap, győződjön meg arról, hogy a beállításjegyzék rendszergazdai felhasználója engedélyezve van.

Hitelesítő adatok lekérése az Azure CLI használatával:

az acr credential show -n myRegistry

Using Azure PowerShell:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Mielőtt rendszergazdai hitelesítő adatokat kap, győződjön meg arról, hogy a beállításjegyzék rendszergazdai felhasználója engedélyezve van.

Az első jelszó lekérése:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

A második jelszó lekérése:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

A hiba akkor jelenik meg, ha a felhasználó rendelkezik engedélyekkel egy beállításjegyzékhez, de nem rendelkezik olvasószintű engedélyekkel az előfizetéshez. A probléma megoldásához rendeljen olvasói engedélyeket az előfizetéshez a felhasználóhoz:

az role assignment create --role "Reader" --assignee user@contoso.com --scope /subscriptions/<subscription_id> 

A tűzfalszabály-módosítások propagálása egy ideig tart. A tűzfalbeállítások módosítása után várjon néhány percet a módosítás ellenőrzése előtt.

Az ACR támogatja a Docker Registry HTTP API V2-t. Az API-k a következő címen https://<your registry login server>/v2/érhetők el: . Példa: https://mycontainerregistry.azurecr.io/v2/

Ha bashen van:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry ---image myRepository@%

PowerShell esetén:

az acr manifest list-metadata --name myRepository --repository myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

További információ: Tárolórendszerképek törlése az Azure Container Registryben.

Ez a helyzet akkor fordulhat elő, ha a mögöttes rétegekre továbbra is hivatkoznak más tárolólemezképek. Ha hivatkozás nélküli lemezképet töröl, a beállításjegyzék-használat néhány perc múlva frissül.

Hozzon létre egy 1 GB-os réteggel rendelkező képet a következő Docker-fájl használatával. Ez biztosítja, hogy a rendszerkép olyan réteggel rendelkezik, amelyet a beállításjegyzékben lévő többi rendszerkép nem oszt meg.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Hozza létre és küldje le a lemezképet a beállításjegyzékbe a Docker CLI használatával.

docker build -t myregistry.azurecr.io/1gb:latest .
docker push myregistry.azurecr.io/1gb:latest

Látnia kell, hogy a tárterület kihasználtsága növekedett az Azure Portalon, vagy lekérdezheti a használatot a parancssori felület használatával.

az acr show-usage -n myregistry

Törölje a rendszerképet az Azure CLI vagy a portál használatával, és ellenőrizze néhány perc alatt a frissített használatot.

az acr repository delete -n myregistry --image 1gb

Az Azure CLI-tárolót a Docker-szoftvercsatorna csatlakoztatásával kell futtatnia:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

A tárolóban telepítse a következőt docker:

apk --update add docker

Ezután hitelesítés a beállításjegyzékkel:

az acr login -n MyRegistry

Engedélyezze a TLS 1.2-t a legutóbbi Docker-ügyfél (18.03.0-s vagy újabb verzió) használatával.

Igen, megbízható rendszerképeket használhat az Azure Container Registryben, mivel a Docker-jegyző integrálva lett, és engedélyezhető. További információ: Tartalommegbízhatóság az Azure Container Registryben.

Hol található az ujjlenyomat fájlja?

A következő alatt ~/.docker/trust/tuf/myregistry.azurecr.io/myrepository/metadata:

• Az összes szerepkör nyilvános kulcsait és tanúsítványait (a delegálási szerepkörök kivételével) a rendszer a root.json.
• A delegálási szerepkör nyilvános kulcsait és tanúsítványait a szülőszerepkör JSON-fájljában tárolja a rendszer (például targets.json a targets/releases szerepkör esetében).

Javasoljuk, hogy ellenőrizze ezeket a nyilvános kulcsokat és tanúsítványokat a Docker és a Közjegyző ügyfél által végzett teljes TUF-ellenőrzés után.

Az ACR olyan egyéni szerepköröket támogat, amelyek különböző szintű engedélyeket biztosítanak. A szerepkörök lehetővé teszik a felhasználók számára a rendszerképek lekérését és/vagy leküldését anélkül, AcrPullAcrPush hogy a beállításjegyzék-erőforrást az Azure-ban kezelhessék.

• Azure Portal: A beállításjegyzék –> Hozzáférés-vezérlés (IAM) –> Hozzáadás (Válassza ki AcrPull vagy AcrPush válassza ki a szerepkört).

• Azure CLI: Keresse meg a beállításjegyzék erőforrás-azonosítóját az alábbi parancs futtatásával:

  az acr show -n myRegistry
  

  Ezután hozzárendelheti a szerepkört vagy a AcrPullAcrPush szerepkört egy felhasználóhoz (az alábbi példa a következőket használja AcrPull):

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Vagy rendelje hozzá a szerepkört egy, az alkalmazásazonosítója alapján azonosított szolgáltatásnévhez:

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

A hozzárendelt ezután képes hitelesíteni és elérni a rendszerképeket a beállításjegyzékben.

• Hitelesítés beállításjegyzékben:

  az acr login -n myRegistry 
  

• Adattárak listázása:

  az acr repository list -n myRegistry
  

• Kép lekérése:

  docker pull myregistry.azurecr.io/hello-world
  

Csak a szerepkör vagy AcrPush a AcrPull szerepkör használata esetén a hozzárendelt nem rendelkezik a beállításjegyzék-erőforrás Azure-beli kezeléséhez szükséges engedéllyel. Például, az acr list vagy az acr show -n myRegistry nem jelenik meg a beállításjegyzék.

A rendszerkép-karantén jelenleg az ACR előzetes verziója. Engedélyezheti a beállításjegyzék karantén üzemmódját, hogy csak azok a rendszerképek legyenek láthatók a normál felhasználók számára, amelyek sikeresen átestek a biztonsági vizsgálaton. További részletekért tekintse meg az ACR GitHub adattárát.

További információ: A beállításjegyzék tartalmának nyilvánosan elérhetővé tétele.

A jegyzékfájl nem terjeszthető rétege olyan URL-paramétert tartalmaz, amelyből a tartalom lekérhető. A nem terjeszthető rétegleküldések engedélyezésének néhány lehetséges felhasználási esete a hálózatra korlátozott nyilvántartások, a korlátozott hozzáférésű légi hozzáférésű nyilvántartások vagy az internetkapcsolattal nem rendelkező adatbázisok.

Ha például NSG-szabályok vannak beállítva, hogy a virtuális gépek csak az Azure-tárolóregisztrációs adatbázisból tudjanak lemezképeket lekérni, a Docker lekéri a külső/nem terjeszthető rétegek hibáit. Egy Windows Server Core-rendszerkép például az Azure Container Registry idegen rétegbeli hivatkozásait tartalmazza a jegyzékben, és ebben a forgatókönyvben nem sikerül lekérni.

A nem terjeszthető rétegek leküldésének engedélyezése:

1. Szerkessze a daemon.json linuxos gazdagépeken és a Windows Serveren C:\ProgramData\docker\config\daemon.json található /etc/docker/ fájlt. Ha a fájl korábban üres volt, adja hozzá a következő tartalmat:

   {
     "allow-nondistributable-artifacts": ["myregistry.azurecr.io"]
   }
   

   Megjegyzés:

   Az érték a beállításjegyzék-címek vesszővel elválasztott tömbje.

2. Mentse és lépjen ki a fájlból.

3. Indítsa újra a Dockert.

Amikor leküldi a képeket a listában szereplő adatbázisba, a rendszer leküldi a nem terjeszthető rétegeket a beállításjegyzékbe.

A környezettel és a beállításjegyzéktel kapcsolatos gyakori problémák elhárításához tekintse meg az Azure-tárolóregisztrációs adatbázis állapotának ellenőrzését.

• Ha ez a hiba átmeneti probléma, akkor az újrapróbálkozás sikeres lesz.
• Ha docker pull folyamatosan meghiúsul, akkor probléma lehet a Docker démonnal. A probléma általában a Docker-démon újraindításával hárítható el.
• Ha a Docker démon újraindítása után is megjelenik ez a probléma, akkor a probléma hálózati csatlakozási problémákat okozhat a géppel. Annak ellenőrzéséhez, hogy a gép általános hálózata kifogástalan-e, futtassa a következő parancsot a végpontkapcsolat teszteléséhez. A kapcsolat-ellenőrzési parancsot tartalmazó minimális az acr verzió a 2.2.9. Frissítse az Azure CLI-t, ha régebbi verziót használ.

az acr check-health -n myRegistry

• Mindig rendelkeznie kell egy újrapróbálkozási mechanizmussal minden Docker-ügyfélművelethez.

A sebességmérő eszközzel tesztelheti a gép hálózati letöltési sebességét. Ha a géphálózat lassú, fontolja meg az Azure-beli virtuális gép használatát a beállításjegyzékével azonos régióban a hálózati sebesség javítása érdekében.

A sebességmérő eszközzel tesztelheti a gép hálózati feltöltési sebességét. Ha a géphálózat lassú, fontolja meg az Azure-beli virtuális gép használatát a beállításjegyzékével azonos régióban a hálózati sebesség javítása érdekében.

Ez a hiba a Docker démon Red Hat verziójával fordulhat elő, ahol --signature-verification alapértelmezés szerint engedélyezve van. A Következő parancs futtatásával ellenőrizheti a Red Hat Enterprise Linux (RHEL) vagy Fedora Docker démonbeállításait:

grep OPTIONS /etc/sysconfig/docker

A Fedora 28 Server például a következő docker démonbeállításokat kínálja:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Ha --signature-verification=false hiányzik, docker pull a következőhöz hasonló hibával meghiúsul:

Trying to pull repository myregistry.azurecr.io/myimage ...
unauthorized: authentication required

To resolve the error:

1. Adja hozzá a lehetőséget --signature-verification=false a Docker démonkonfigurációs fájlhoz /etc/sysconfig/docker. Például:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Indítsa újra a Docker démonszolgáltatást a következő parancs futtatásával:

   sudo systemctl restart docker.service
   

A részletek a --signature-verification futtatással man dockerdtekinthetők meg.

Győződjön meg arról, hogy az összes kisbetűs kiszolgáló URL-címét használja, például akkor is, docker push myregistry.azurecr.io/myimage:latestha a beállításjegyzék-erőforrás neve nagybetűs vagy vegyes, például myRegistry.

Kezdje dockerd a debug beállítással. Először hozza létre a Docker démonkonfigurációs fájlt (/etc/docker/daemon.json), ha az nem létezik, és adja hozzá a debug következő lehetőséget:

{    
    "debug": true    
}

Ezután indítsa újra a démont. Például az Ubuntu 14.04-zel:

sudo service docker restart

A részletek a Docker dokumentációjában találhatók.

• A naplók a rendszertől függően különböző helyeken hozhatók létre. Az Ubuntu 14.04 esetében például az /var/log/upstart/docker.log.
  Részletekért tekintse meg a Docker dokumentációját .

• A WindowsHoz készült Docker esetében a naplók a %LOCALAPPDATA%/docker/alatt jönnek létre. Előfordulhat azonban, hogy még nem tartalmazza az összes hibakeresési információt.

  A teljes démonnapló eléréséhez szükség lehet néhány további lépésre:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Most már hozzáférhet a futó dockerdvirtuális gép összes fájlához. A napló a következő helyen /var/log/docker.logtalálható: .

Ha új engedélyeket (új szerepköröket) ad egy szolgáltatásnévnek, előfordulhat, hogy a módosítás nem lép érvénybe azonnal. Két lehetséges oka lehet:

• Microsoft Entra szerepkör-hozzárendelés késleltetése. Általában gyors, de a propagálási késleltetés miatt perceket is igénybe vehet.

• Az ACR-jogkivonat-kiszolgálón az engedélykésés akár 10 percet is igénybe vehet. A mérséklés érdekében 1 perc elteltével ismét hitelesíthet docker logout ugyanazzal a felhasználóval:

  docker logout myregistry.azurecr.io
  docker login myregistry.azurecr.io
  

Az ACR jelenleg nem támogatja az otthoni replikáció felhasználók általi törlését. A megkerülő megoldás az, hogy az otthoni replikáció létrehozása szerepeljen a sablonban, de hagyja ki a létrehozását az alábbiak szerint:"condition": false

{
    "name": "[concat(parameters('acrName'), '/', parameters('location'))]",
    "condition": false,
    "type": "Microsoft.ContainerRegistry/registries/replications",
    "apiVersion": "2017-10-01",
    "location": "[parameters('location')]",
    "properties": {},
    "dependsOn": [
        "[concat('Microsoft.ContainerRegistry/registries/', parameters('acrName'))]"
     ]
},

Előfordulhat, hogy hibát tapasztalInvalidAuthenticationInfo, különösen ha az curl eszközt használja a beállítással --location-L(az átirányítások követéséhez). Például a blob curl beolvasása beállítással és alapszintű hitelesítéssel -L :

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

a következő választ eredményezheti:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

A kiváltó ok az, hogy egyes curl implementációk az eredeti kérés fejléceit tartalmazó átirányításokat követnek.

A probléma megoldásához manuálisan kell követnie az átirányításokat a fejlécek nélkül. Nyomtassa ki a válaszfejléceket a -D - következő lehetőséggel, majd bontsa curl ki a Location fejlécet:

REDIRECT_URL=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $REDIRECT_URL

Ha a Microsoft Edge/IE böngészőt használja, legfeljebb 100 tárházat vagy címkét láthat. Ha a beállításjegyzék több mint 100 tárházat vagy címkét tartalmaz, javasoljuk, hogy a Firefox vagy a Chrome böngésző használatával listázhassa az összeset.

Előfordulhat, hogy a böngésző nem tudja elküldeni az adattárak vagy címkék lekérésére vonatkozó kérést a kiszolgálónak. Különböző okok is lehetnek, például:

• Hálózati kapcsolat hiánya
• Firewall
• A portál használata nyilvános hálózatról olyan beállításjegyzékhez, amely csak a privát hozzáférést teszi lehetővé
• Hirdetésblokkolók
• DNS-hibák

Forduljon a hálózati rendszergazdához, vagy ellenőrizze a hálózati konfigurációt és a kapcsolatot. az acr check-health -n yourRegistry Futtassa az Azure CLI-t annak ellenőrzéséhez, hogy a környezet képes-e csatlakozni a Tárolóregisztrációs adatbázishoz. Emellett megpróbálhat inkognitó vagy privát munkamenetet is a böngészőben, hogy elkerülje az elavult böngésző-gyorsítótárat vagy cookie-kat.

Az alábbiakban néhány olyan esetet talál, ahol a műveletek nem engedélyezettek:

• A klasszikus regisztrációs adatbázisok már nem támogatottak. Frissítsen egy támogatott szolgáltatási szintre az az acr update vagy az Azure Portal használatával.
• A rendszerkép vagy az adattár zárolva lehet, hogy ne lehessen törölni vagy frissíteni. Az az acr-adattár megjelenítési parancsával megtekintheti az aktuális attribútumokat.
• Egyes műveletek nem engedélyezettek, ha a rendszerkép karanténban van. További információ a karanténról.
• Előfordulhat, hogy a beállításjegyzék elérte a tárterületkorlátot.

Ha olyan hibaüzenetet lát, mint a "nem támogatott adattár formátuma", "érvénytelen formátum", vagy "a kért adatok nem léteznek" hibaüzenet jelenik meg, amikor adattárnevet ad meg az adattárműveletekben, ellenőrizze a név helyesírását és esetét. Az érvényes adattárnevek csak kisbetűs alfanumerikus karaktereket, pontokat, kötőjeleket, aláhúzásjeleket és perjeleket tartalmazhatnak.

Előfeltételek

• HTTPS visszafejtése engedélyezése a Fiddlerben
• Engedélyezze a Dockernek, hogy proxyt használjon a Docker felhasználói felületén keresztül.
• Ha elkészült, mindenképpen térjen vissza. A Docker nem működik ezzel az engedélyezve, és a Fiddler nem fut.

Windows-tárolók

Docker-proxy konfigurálása 127.0.0.1:8888-ra

Linux-tárolók

Keresse meg a Docker virtuális gép virtuális kapcsolójának IP-címét:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Konfigurálja a Docker-proxyt az előző parancs és a 8888-os port kimenetére (például 10.0.75.1:8888)

Az alábbi parancsok megszakítják a megadott beállításjegyzék összes futó feladatát.

az acr task list-runs -r $myregistry --run-status Running --query '[].runId' -o tsv \
| xargs -I% az acr task cancel-run -r $myregistry --run-id %

Ha egy helyi forrásmappát ad át a az acr build parancsnak, a .git mappa alapértelmezés szerint ki lesz zárva a feltöltött csomagból. A következő beállítással hozhat létre .dockerignore fájlt. Azt jelzi a parancsnak, hogy állítsa vissza az összes fájlt .git a feltöltött csomagban.

!.git/**

Ez a beállítás a az acr run parancsra is vonatkozik.

Jelenleg nem támogatjuk a GitLab for Source triggereket.

Hibaüzenet futtatása – hibaelhárítás

CI/CD-integráció

• CircleCI
• GitHub Actions

Állítsa be a megfelelő tűzfalszabályokat a meglévő hálózati biztonsági csoportokhoz vagy felhasználó által megadott útvonalakhoz. A beállítás után várjon néhány percet, amíg a tűzfalszabályok érvényesek lesznek.

A következő azure-beli beépített szabályzat, ha a megfelelő szabályzatállapotra van állítva, letiltja a felhasználó számára, hogy rendszergazdai felhasználót engedélyezzen a beállításjegyzékében.

További lépések

• További információ az Azure Container Registryről.