Sık sorulan sorular-Azure Container Registry

Evet. Kayıt defteri oluşturmak için kullanabileceğiniz bir şablon aşağıda verilmiştir.

Evet. Bulut Için Microsoft Defender, twistlock ve deniz mavisibelgelerine bakın.

Azure Kubernetes hizmetiIçin Kubernetes ve adımlar belgelerine bakın.

Yönetici kimlik bilgilerini almadan önce, kayıt defterinin yönetici kullanıcısının etkinleştirildiğinden emin olun.

Azure CLı kullanarak kimlik bilgilerini almak için:

az acr credential show -n myRegistry

Azure PowerShell kullanma:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Yönetici kimlik bilgilerini almadan önce, kayıt defterinin yönetici kullanıcısının etkinleştirildiğinden emin olun.

İlk parolayı almak için:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

İkinci parolayı almak için:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

Kullanıcı bir kayıt defteri üzerinde izinlere sahip olduğunda ancak abonelik üzerinde okuyucu düzeyi izinlere sahip olmadığında hata görülür. Bu sorunu çözmek için, kullanıcıya abonelik üzerinde okuyucu izinleri atayın:

az role assignment create --role "Reader" --assignee user@contoso.com --scope /subscriptions/<subscription_id> 

Güvenlik duvarı kuralı değişikliklerinin yayılması biraz zaman alır. Güvenlik Duvarı ayarlarını değiştirdikten sonra bu değişikliği doğrulamadan önce lütfen birkaç dakika bekleyin.

ACR, Docker kayıt defteri HTTP API v2 'YI destekler. API 'Lere ' de erişilebilir https://<your registry login server>/v2/ . Örnek: https://mycontainerregistry.azurecr.io/v2/

Bash kullanıyorsanız:

az acr repository show-manifests -n myRegistry --repository myRepository --query "[?tags[0]==null].digest" -o tsv  | xargs -I% az acr repository delete -n myRegistry -t myRepository@%

PowerShell için:

az acr repository show-manifests -n myRegistry --repository myRepository --query "[?tags[0]==null].digest" -o tsv | %{ az acr repository delete -n myRegistry -t myRepository@$_ }

Daha fazla bilgi için bkz. Azure Container Registry kapsayıcı görüntülerini silme.

Bu durum, temeldeki katmanlara başka kapsayıcı görüntüleri tarafından hala başvuruluyorsa meydana gelebilir. Başvuruları olmayan bir görüntüyü silerseniz, kayıt defteri kullanımı birkaç dakika içinde güncelleştirilir.

Aşağıdaki Docker dosyasını kullanarak 1GB bir katman içeren bir görüntü oluşturun. Bu, görüntüde kayıt defterindeki başka bir görüntü tarafından paylaşılmayan bir katman olmasını sağlar.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Docker CLı kullanarak görüntüyü derleyin ve Kayıt defterinize gönderin.

docker build -t myregistry.azurecr.io/1gb:latest .
docker push myregistry.azurecr.io/1gb:latest

Depolama kullanımının Azure portal arttığını veya CLı kullanarak kullanımı sorgulama yapabilmesini sağlayabilirsiniz.

az acr show-usage -n myregistry

Azure CLı veya portalını kullanarak görüntüyü silin ve güncelleştirilmiş kullanımı birkaç dakika içinde denetleyin.

az acr repository delete -n myregistry --image 1gb

Docker yuvasını bağlayarak Azure CLı kapsayıcısını çalıştırmanız gerekir:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

Kapsayıcıda şunu yüklemesi docker :

apk --update add docker

Ardından kayıt defterinizde kimlik doğrulaması yapın:

az acr login -n MyRegistry

Herhangi bir yeni Docker istemcisini (sürüm 18.03.0 ve üzeri) kullanarak TLS 1,2 'yi etkinleştirin.

Evet, Docker noçi tümleşik olduğundan ve etkinleştirilemediğinden Azure Container Registry içindeki güvenilir görüntüleri kullanabilirsiniz. Ayrıntılar için bkz. Azure Container Registry Içerik güveni.

Parmak izi dosyası nerede bulunur?

Altında ~/.docker/trust/tuf/myregistry.azurecr.io/myrepository/metadata :

• Tüm rollerin ortak anahtarları ve sertifikaları (atama rolleri hariç) içinde depolanır root.json .
• Ortak anahtarlar ve temsili rolünün sertifikaları, üst rolünün JSON dosyasında (örneğin targets.json , targets/releases rol için) depolanır.

Bu ortak anahtarların ve sertifikaların, Docker ve Nodown istemcisi tarafından gerçekleştirilen genel olarak doğrulanması sonrasında doğrulanması önerilir.

ACR, farklı izin düzeyleri sağlayan özel rolleri destekler. Özellikle AcrPull ve AcrPush rolleri, kullanıcıların Azure 'daki kayıt defteri kaynağını yönetme izni olmadan resimleri çekmesini ve/veya gönderemelerine olanak tanır.

• Azure portal: kayıt defteriniz > Access Control (ıAM)-> Add (rol seçin AcrPull AcrPush ).

• Azure CLı: aşağıdaki komutu çalıştırarak kayıt defterinin kaynak KIMLIĞINI bulun:

  az acr show -n myRegistry
  

  Daha sonra AcrPull AcrPush bir kullanıcıya veya rolünü atayabilirsiniz (aşağıdaki örnekte kullanır AcrPull ):

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Ya da rolü, uygulama KIMLIĞI tarafından tanımlanan bir hizmet sorumlusuna atayın:

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

Atanan e-, daha sonra kayıt defterindeki görüntülere kimlik doğrulaması yapabilir ve bu görüntüleri erişebilir.

• Kayıt defterine kimlik doğrulaması yapmak için:

  az acr login -n myRegistry 
  

• Depoları listelemek için:

  az acr repository list -n myRegistry
  

• Bir görüntü çekmek için:

  docker pull myregistry.azurecr.io/hello-world
  

Yalnızca AcrPull veya AcrPush rolü kullanımıyla, atanan oturum, Azure 'da kayıt defteri kaynağını yönetme iznine sahip değildir. Örneğin, az acr list veya az acr show -n myRegistry kayıt defterini göstermez.

Görüntü karantina Şu anda ACR 'nin önizleme özelliğidir. Yalnızca güvenlik taramasını başarıyla geçen görüntülerin normal kullanıcılara görünür olması için bir kayıt defterinin karantina modunu etkinleştirebilirsiniz. ayrıntılar için bkz. acr GitHub deposu.

Daha fazla bilgi için bkz. kayıt defteri içeriğinizi herkese açık hale getirme.

Bir bildirimde dağıtılabilir olmayan bir katman, içeriğin getirileceği bir URL parametresi içerir. Dağıtılabilir katman gönderimleri etkinleştirmek için bazı olası kullanım durumları, ağ kısıtlı kayıt defterleri, kısıtlı erişime sahip AIR-gapped kayıt defterleri veya internet bağlantısı olmayan kayıt defterleri için kullanılır.

Örneğin, bir VM 'nin yalnızca Azure Container Kayıt defterinizden görüntü çekebilmesi için NSG kurallarınızı ayarladıysanız, Docker yabancı/dağıtılabilir olmayan katmanlar için hatalara sahip olur. örneğin, bir Windows Server çekirdek görüntüsü, bildiriminde Azure container registry 'ye yabancı katman başvuruları içerir ve bu senaryoya çekme işlemi başarısız olur.

Dağıtılabilir katmanların göndermeyi etkinleştirmek için:

1. daemon.json /etc/docker/ Linux konaklarında ve üzerinde bulunan Windows sunucuda bulunan dosyayı düzenleyin C:\ProgramData\docker\config\daemon.json . Dosyanın daha önce boş olduğunu varsayarak aşağıdaki içeriği ekleyin:

   {
     "allow-nondistributable-artifacts": ["myregistry.azurecr.io"]
   }
   

   Not

   değeri, virgülle ayrılmış bir kayıt defteri adresi dizisidir.

2. Dosyayı kaydedin ve dosyadan çıkın.

3. Docker'ı yeniden başlatın.

Listede kayıt defterlerine görüntü iterken, bunların dağıtılamaz katmanları kayıt defterine eklenir.

Yaygın ortam ve kayıt defteri sorunlarını gidermek için bkz. Azure kapsayıcı kayıt defterinin durumunu denetleme.

• Bu hata geçici bir sorunsa yeniden deneme başarılı olur.
• Sürekli docker pull başarısız olursa Docker daemon'ları ile ilgili bir sorun olabilir. Sorun genellikle Docker daemon'ları yeniden başlatarak azaltılacaktır.
• Docker daemon'ını yeniden başlattıktan sonra bu sorunu görmeye devam edersanız, sorun makinede bazı ağ bağlantısı sorunları olabilir. Makinede genel ağın iyi olup olduğunu kontrol etmek için uç nokta bağlantısını test etmek için aşağıdaki komutu çalıştırın. Bu bağlantı az acr denetimi komutunu içeren en düşük sürüm 2.2.9'dür. Daha eski bir sürüm kullanıyorsanız Azure CLI'nizi yükseltin.

az acr check-health -n myRegistry

• Tüm Docker istemci işlemleri üzerinde her zaman bir yeniden deneme mekanizmasına sahip olmak gerekir.

Makine ağı indirme hızınızı test etmek için bu aracı kullanın. Makine ağı yavaşsa, kayıt defteriniz ile aynı bölgede Azure VM kullanmayı göz önünde bulundurabilirsiniz. Bu genellikle daha hızlı ağ hızı sağlar.

Makine ağı karşıya yükleme hızınızı test etmek için bu aracı kullanın. Makine ağı yavaşsa, kayıt defteriniz ile aynı bölgede Azure VM kullanmayı göz önünde bulundurabilirsiniz. Bu genellikle daha hızlı ağ hızı sağlar.

Bu hata Docker daemon'larının Red Hat sürümünde olabilir ve burada --signature-verification varsayılan olarak etkindir. Aşağıdaki komutu çalıştırarak Red Hat Enterprise Linux (RHEL) veya Fedora için Docker daemon seçeneklerini kontrol edin:

grep OPTIONS /etc/sysconfig/docker

Örneğin Fedora 28 Server aşağıdaki docker daemon seçeneklerine sahiptir:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Eksik --signature-verification=false olduğunda docker pull aşağıdakine benzer bir hatayla başarısız olur:

Trying to pull repository myregistry.azurecr.io/myimage ...
unauthorized: authentication required

Hatayı çözmek için:

1. --signature-verification=falseSeçeneğini Docker daemon yapılandırma dosyasına /etc/sysconfig/docker ekleyin. Örneğin:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Aşağıdaki komutu çalıştırarak Docker daemon hizmetini yeniden başlatın:

   sudo systemctl restart docker.service
   

ayrıntıları --signature-verification çalıştırarak man dockerd bulunabilir.

Kayıt defteri kaynak adı gibi büyük harf veya karışık büyük harf olsa bile tüm küçük harf sunucu URL'sini (örneğin, ) kullanmaya docker push myregistry.azurecr.io/myimage:latest emin myRegistry olun.

dockerdseçeneğiyle debug başlar. İlk olarak, docker daemon yapılandırma dosyasını oluşturun ( /etc/docker/daemon.json ) yoksa, seçeneğini debug ekleyin:

{    
    "debug": true    
}

Ardından daemon'ı yeniden başlatın. Örneğin Ubuntu 14.04 ile:

sudo service docker restart

Ayrıntılar Docker belgelerinde bulunabilir.

• Günlükler sisteminize bağlı olarak farklı konumlarda oluşturulmuş olabilir. Örneğin Ubuntu 14.04 için bu /var/log/upstart/docker.log olur.
  Ayrıntılar için Docker belgelerine bakın.

• Windows için Docker için günlükler %LOCALAPPDATA%/docker/ altında oluşturulur. Ancak henüz tüm hata ayıklama bilgilerini içerebildi.

  Tam daemon günlüğüne erişmek için birkaç ek adıma ihtiyacınız olabilir:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Artık çalıştıran VM'nin tüm dosyalarına dockerd erişebilirsiniz. Günlük, /var/log/docker.log 'dedir.

Bir hizmet sorumlusuna yeni izinler (yeni roller) sağlarken, değişiklik hemen etkili olmaz. bunun iki olası nedeni vardır:

• Azure Active Directory atama gecikmesi. Normalde hızlıdır, ancak yayma gecikmesi nedeniyle dakikalar sürebilir.

• ACR belirteci sunucusunda izin gecikmesi. Bu 10 dakika kadar sürebilir. Azaltmak için, 1 dakika docker logout sonra aynı kullanıcıyla yeniden kimlik doğrulaması ve kimlik doğrulaması yapma:

  docker logout myregistry.azurecr.io
  docker login myregistry.azurecr.io
  

Şu anda ACR, kullanıcılar tarafından ev çoğaltması silmeyi desteklemez. Geçici çözüm, ana çoğaltma oluşturma işlemini şablona dahil etmek ama aşağıda gösterildiği gibi ekleyerek oluşturma "condition": false işlemini atlamaktır:

{
    "name": "[concat(parameters('acrName'), '/', parameters('location'))]",
    "condition": false,
    "type": "Microsoft.ContainerRegistry/registries/replications",
    "apiVersion": "2017-10-01",
    "location": "[parameters('location')]",
    "properties": {},
    "dependsOn": [
        "[concat('Microsoft.ContainerRegistry/registries/', parameters('acrName'))]"
     ]
},

Özellikle aracı InvalidAuthenticationInfo seçeneğiyle kullanırken curl (yeniden yönlendirmeleri takip etmek -L --location için) bir hatayla karşılaşabilirsiniz. Örneğin, seçeneğini ve temel kimlik curl doğrulamasını kullanarak -L blobu getirme:

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

aşağıdaki yanıta neden olabilir:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

Kök neden, bazı uygulamalar curl özgün istekten üst bilgilerle yeniden yönlendirmeleri izlemedir.

Sorunu çözmek için yeniden yönlendirmeleri üst bilgiler olmadan el ile izlemeniz gerekir. seçeneğiyle yanıt üst bilgilerini -D - yazdırarak curl şu üst bilgileri Location ayıklar: üst bilgisi:

redirect_url=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $redirect_url

Microsoft Edge/IE tarayıcısını kullanıyorsanız en fazla 100 depo veya etiket görüntüleyebilirsiniz. Kayıt defteriniz 100'den fazla depo veya etikete sahipse, bunların hepsini liste için Firefox veya Chrome tarayıcısını kullanmanızı öneririz.

Tarayıcı, sunucuya depoları veya etiketleri getirme isteğini göndereyemiyor olabilir. Bunun çeşitli nedenleri olabilir:

• Ağ bağlantısı eksikliği
• Güvenlik Duvarı
• Yalnızca özel erişime izin veren bir kayıt defteri için genel ağdan portalı kullanma
• Reklam engelleyiciler
• DNS hataları

Lütfen ağ yöneticinize başvurun veya ağ yapılandırmanızı ve bağlantınızı denetleyin. Ortamınızı az acr check-health -n yourRegistry kullanarak azure CLI'nizi kullanarak ortamınıza bağlanıp bağlana Container Registry. Ayrıca, eski tarayıcı önbelleği veya tanımlama bilgilerini önlemek için tarayıcınızda gizli veya özel oturum da denemeniz gerekir.

İşlemlere izin verilmeyen bazı senaryolar:

• Klasik kayıt defterleri artık desteklenmiyor. Lütfen az acr update veya Azure portal kullanarak desteklenen bir hizmet Azure portal.
• Görüntü veya depo silinemez veya güncelleştirilemez şekilde kilitlenmiş olabilir. Geçerli öznitelikleri görüntülemek için az acr show repository komutunu kullanabilirsiniz.
• Görüntü karantinada ise bazı işlemlere izin verilmiyor. Karantinaya almak hakkında daha fazla bilgi alın.
• Kayıt defteriniz depolama sınırına ulaşmış olabilir.

Depo işlemlerde depo adı belirtirken "desteklenmeyen depo biçimi", "geçersiz biçim" veya "istenen veriler yok" gibi bir hatayla karşılaştıysanız adın yazımını ve büyük/küçük harflerini denetleyin. Geçerli depo adları yalnızca küçük harf alfasayısal karakterler, nokta, tire, alt çizgi ve eğik çizgi içerebilir.

Tam depo adlandırma kuralları için bkz. Open Container Initiative Distribution Specification.

Önkoşullar

• Fiddler'da https şifresini çözmeyi etkinleştirin: https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS
• Docker kullanıcı arabirimi aracılığıyla ara sunucu kullanmak için Docker'ı etkinleştirin: https://docs.docker.com/docker-for-windows/#proxies
• Tamamlandığında geri dönmek için emin olun. Docker bu etkin ve fiddler çalışmıyor ile birlikte çalışmaz.

Windows kapsayıcıları

Docker ara sunucusunu 127.0.0.1:8888 olarak yapılandırma

Linux kapsayıcıları

Docker vm sanal anahtarının ip'sini bulun:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Önceki komutun çıktısı ve 8888 bağlantı noktası (örneğin, 10.0.75.1:8888) için Docker proxy'lerini yapılandırma

Aşağıdaki komutlar belirtilen kayıt defterinde çalışan tüm görevleri iptal eder.

az acr task list-runs -r $myregistry --run-status Running --query '[].runId' -o tsv \
| xargs -I% az acr task cancel-run -r $myregistry --run-id %

Komutuna yerel bir kaynak klasör az acr build geçersiniz, klasör varsayılan olarak karşıya yüklenen .git paketin dışındadır. Aşağıdaki ayar ile .dockerignore bir dosya oluşturabilirsiniz. Komutuna, karşıya yüklenen pakette altındaki .git tüm dosyaları geri yüklemesini söyler.

!.git/**

Bu ayar komutu için de az acr run geçerlidir.

Şu anda Kaynak tetikleyicileri için GitLab'i desteklemez.

Hata İletisi Çalıştırma Sorunlarını Giderme

CI/CD tümleştirmesi

• CircleCI
• GitHub Actions

Sonraki adımlar

• Daha fazla bilgi Azure Container Registry.