Tento článek se zabývá nejčastějšími dotazy a známými problémy se službou Azure Container Registry.
Pokyny k řešení potíží s registrem najdete tady:
Řízení zdrojů
Můžu ve službě Azure Stack Hub vytvořit službu Azure Container Registry pomocí šablony Resource Manageru?
Ano. Tady je šablona , kterou můžete použít k vytvoření registru. Tato šablona je určená pro veřejný cloud Azure. Pokud chcete tuto šablonu použít ve službě Azure Stack Hub, upravte verzi rozhraní API na verzi 2019-05-01, jinak se nepovede nasadit.
Existuje kontrola ohrožení zabezpečení imagí ve službě Azure Container Registry ve službě Azure Stack Hub?
Ne. V současné době neexistuje integrace se službou Azure Security Center pro registry nasazené ve službě Azure Stack Hub. Existují možnosti třetích stran a open source, které je možné využít k naplnění této potřeby pro připojená nebo odpojená nasazení služby Azure Stack Hub.
Návody nakonfigurovat Kubernetes se službou Azure Container Registry?
Viz dokumentace pro Kubernetes a kroky pro Azure Kubernetes Service.
Návody získat přihlašovací údaje správce pro registr kontejneru?
Důležité
Uživatelský účet správce je určený pro jednoho uživatele pro přístup k registru, hlavně pro účely testování. Nedoporučujeme sdílet přihlašovací údaje účtu správce s více uživateli. Individuální identita se doporučuje pro uživatele a instanční objekty pro bezobslužné scénáře. Viz Přehled ověřování.
Před získáním přihlašovacích údajů správce se ujistěte, že je povolený uživatel správce registru.
Získání přihlašovacích údajů pomocí Azure CLI:
az acr credential show -n myRegistry
Pomocí Azure PowerShellu:
Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry
Návody získat přihlašovací údaje správce v šabloně Resource Manageru?
Důležité
Uživatelský účet správce je určený pro jednoho uživatele pro přístup k registru, hlavně pro účely testování. Nedoporučujeme sdílet přihlašovací údaje účtu správce s více uživateli. Individuální identita se doporučuje pro uživatele a instanční objekty pro bezobslužné scénáře. Viz Přehled ověřování.
Před získáním přihlašovacích údajů správce se ujistěte, že je povolený uživatel správce registru.
Získání prvního hesla:
{
"password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}
Pokud chcete získat druhé heslo:
{
"password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}
Návody nasdílení image kontejneru ve službě Azure Container Registry do odpojeného nasazení služby Azure Stack Hub se spuštěným Kubernetes?
Přenos bitové kopie počítače do počítače můžete provést přes místní síť z počítače, který už má požadované image kontejnerů. Akce:
Nejprve načtěte požadované image kontejnerů pomocí počítače s připojením k internetu pomocí rozhraní příkazového řádku Dockeru a příkazu docker pull. Další informace najdete v tématu Import imagí kontejneru do registru kontejneru.
Po importu požadovaných imagí převezměte počítač do umístění odpojené instance Azure Hubu.
Pomocí značky Dockeru a příkazů Docker Push označte a nasdílejte image do místního služby Azure Container Registry v úložišti služby Azure Stack Hub.
Operace registru
Návody přístup k rozhraní HTTP API registru Dockeru V2?
Azure Container Registry podporuje rozhraní HTTP API Docker Registry V2. K rozhraním API je možné přistupovat na adrese https://<your registry login server>/v2/
. Příklad: https://mycontainerregistry.azsacr.<regionname>.<fqdn>/v2/
Návody odstranit všechny manifesty, na které se v úložišti neodkazuje žádná značka?
Pokud používáte Bash:
az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv | xargs -I% az acr repository delete --name myRegistry --image myRepository@%
Pro PowerShell:
az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }
Poznámka:
Potvrzení můžete --yes
přeskočit přidáním příkazu delete.
Další informace najdete v tématu Odstranění imagí kontejneru ve službě Azure Container Registry.
Proč se využití kvóty registru po odstranění imagí nezmenšuje?
K této situaci může dojít v případě, že na podkladové vrstvy stále odkazují jiné image kontejneru. Pokud odstraníte image bez odkazů, aktualizuje se využití registru za několik minut.
Návody ověřit změny kvóty úložiště?
Vytvořte image s vrstvou 1 GB pomocí následujícího souboru Dockeru. Tím se zajistí, že image má vrstvu, kterou nesdílí žádná jiná image v registru.
FROM alpine
RUN dd if=/dev/urandom of=1GB.bin bs=32M count=32
RUN ls -lh 1GB.bin
Sestavte a nasdílejte image do registru pomocí rozhraní příkazového řádku Dockeru.
docker build -t myregistry.azsacr.<regionname>.<fqdn>/1gb:latest .
docker push myregistry.azsacr.<regionname>.<fqdn>/1gb:latest
Měli byste vidět, že se využití úložiště zvýšilo na portálu Služby Azure Stack Hub nebo se můžete dotazovat na využití pomocí rozhraní příkazového řádku.
az acr show-usage -n myregistry
Odstraňte image pomocí Azure CLI nebo portálu a zkontrolujte aktualizované využití během několika minut.
az acr repository delete -n myregistry --image 1gb
Návody ověření pomocí registru při spuštění rozhraní příkazového řádku v kontejneru?
Kontejner Azure CLI musíte spustit připojením soketu Dockeru:
docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev
V kontejneru nainstalujte docker
:
apk --update add docker
Pak se ověřte pomocí registru:
az acr login -n MyRegistry
Jak povolit protokol TLS 1.2?
Povolte protokol TLS 1.2 pomocí libovolného nedávného klienta Dockeru (verze 18.03.0 a vyšší).
Důležité
Od 13. ledna 2020 bude služba Azure Container Registry vyžadovat všechna zabezpečená připojení ze serverů a aplikací k používání protokolu TLS 1.2. Podpora protokolu TLS 1.0 a 1.1 bude vyřazena.
Podporuje Azure Container Registry ve službě Azure Stack Hub důvěryhodnost obsahu?
Ne, aktuální verze registru kontejnerů Azure ve službě Azure Stack Hub podporuje pouze skladovou položku Standard a nepodporuje důvěryhodnost obsahu.
Návody udělit přístup k vyžádání nebo nabízení imagí bez oprávnění ke správě prostředku registru?
Azure Container Registry podporuje vlastní role , které poskytují různé úrovně oprávnění. Konkrétně AcrPull
a AcrPush
role umožňují uživatelům vyžádat a/nebo nasdílit image bez oprávnění ke správě prostředku registru v Azure.
Portál služby Azure Stack Hub: Váš registr –> Řízení přístupu (IAM) –> Přidání (výběr
AcrPull
neboAcrPush
pro roli).Azure CLI: Spuštěním následujícího příkazu najděte ID prostředku registru:
az acr show -n myRegistry
Potom můžete uživateli přiřadit
AcrPull
roliAcrPush
(následující příklad používáAcrPull
):az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
Nebo přiřaďte roli instančnímu objektu identifikovanému id aplikace:
az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
Přiřazování pak může ověřovat a přistupovat k imagím v registru.
Ověření v registru:
az acr login -n myRegistry
Zobrazení seznamu úložišť:
az acr repository list -n myRegistry
Stažení obrázku:
docker pull myregistry.azsacr.<regionname>.<fqdn>/hello-world
Při použití pouze role AcrPull
nebo AcrPush
role nemá přiřazený správce oprávnění ke správě prostředku registru v Azure. Registr se například az acr list
az acr show -n myRegistry
nezobrazí.
Návody nasdílení ne distribuovatelných vrstev do registru?
Ne distribuovatelná vrstva v manifestu obsahuje parametr adresy URL, ze kterého se obsah může načíst. Některé možné případy použití pro povolení ne distribuovatelných nabízených oznámení vrstvy jsou určené pro registry s omezeným přístupem v síti, registry s omezeným přístupem nebo pro registry bez připojení k internetu.
Pokud máte například nastavená pravidla NSG tak, aby mohl virtuální počítač načíst image jenom z registru kontejneru Azure, Docker načte selhání cizích nebo neretribuovatelných vrstev. Image jádra Windows Serveru by například v manifestu obsahovala odkazy na cizí vrstvy do registru kontejneru Azure a v tomto scénáři by se nepodařilo načíst.
Povolení nabízení ne distribuovatelných vrstev:
daemon.json
Upravte soubor, který se nachází na/etc/docker/
hostitelích s Linuxem a naC:\ProgramData\docker\config\daemon.json
Windows Serveru. Za předpokladu, že byl soubor dříve prázdný, přidejte následující obsah:{ "allow-nondistributable-artifacts": ["myregistry.azsacr.<regionname>.<fqdn>"] }
Poznámka:
Hodnota je pole adres registru oddělené čárkami.
Uložte a ukončete soubor.
Restartujte Docker.
Když nasdílíte image do registrů v seznamu, jejich ne distribuovatelné vrstvy se nasdílí do registru.
Upozorňující
Nedistribuovatelné artefakty obvykle mají omezení, jak a kde je lze distribuovat a sdílet. Tuto funkci použijte pouze k nasdílení artefaktů do privátních registrů. Ujistěte se, že splňujete všechny podmínky, které pokrývají redistribuci neredistribuovatelných artefaktů.
Diagnostika a kontroly stavu
Kontrola stavu pomocí příkazu az acr check-health
Informace o řešení běžných problémů s prostředím a registrem najdete v tématu Kontrola stavu registru kontejneru Azure.
Přijetí změn Dockeru selže s chybou: net/http: Požadavek se zrušil při čekání na připojení (Klient.Timeout byl překročen při čekání na hlavičky).
- Pokud se jedná o přechodný problém, zkuste to znovu.
- Pokud
docker pull
dojde k selhání nepřetržitě, může dojít k problému s démonem Dockeru. Problém lze obecně zmírnit restartováním démona Dockeru. - Pokud se po restartování démona Dockeru dál zobrazuje tento problém, může se jednat o problémy s připojením k síti s počítačem. Pokud chcete zkontrolovat, jestli je obecná síť na počítači v pořádku, spusťte následující příkaz a otestujte připojení koncového bodu. Minimální
az acr
verze, která obsahuje tento příkaz kontroly připojení, je 2.2.9. Pokud používáte starší verzi, upgradujte azure CLI.
az acr check-health -n myRegistry
- Vždy byste měli mít mechanismus opakování pro všechny operace klienta Dockeru.
Vyžádání dockeru je pomalé
Tento nástroj použijte k otestování rychlosti stahování sítě počítače.
Nabízení Dockeru je pomalé
Tento nástroj použijte k otestování rychlosti nahrávání sítě počítače.
Nabízení Dockeru je úspěšné, ale přijetí změn Dockeru selže s chybou: Neautorizováno: Vyžadováno ověření
K této chybě může dojít u verze démona Dockeru v Red Hatu, kde --signature-verification
je ve výchozím nastavení povolená. Možnosti démona Dockeru pro Red Hat Enterprise Linux (RHEL) nebo Fedora můžete zkontrolovat spuštěním následujícího příkazu:
grep OPTIONS /etc/sysconfig/docker
Například Fedora 28 Server má následující možnosti démon dockeru:
OPTIONS='--selinux-enabled --log-driver=journald --live-restore'
Pokud --signature-verification=false
chybí, docker pull
selže s chybou podobnou této:
Trying to pull repository myregistry.azsacr.<regionname>.<fqdn>/myimage ...
unauthorized: authentication required
Řešení chyby:
Přidejte možnost
--signature-verification=false
do konfiguračního souboru/etc/sysconfig/docker
démona Dockeru . Příklad:OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'
Restartujte službu démona Dockeru spuštěním následujícího příkazu:
sudo systemctl restart docker.service
--signature-verification
Podrobnosti naleznete spuštěním man dockerd
příkazu .
příkaz az acr login je úspěšný, ale Docker selže s chybou: Neautorizováno: Vyžadováno ověřování
Ujistěte se, že používáte například adresu URL serveru malými písmeny, docker push myregistry.azsacr.<regionname>.<fqdn>/myimage:latest
i když je název prostředku registru velkými nebo smíšenými písmeny, například myRegistry
.
Povolení a získání protokolů ladění démona Dockeru
Začněte dockerd
s debug
možností. Nejprve vytvořte konfigurační soubor démona Dockeru (/etc/docker/daemon.json
), pokud neexistuje, a přidejte možnost debug
:
{
"debug": true
}
Potom proces démon restartujte. Například s Ubuntu 14.04:
sudo service docker restart
Podrobnosti najdete v dokumentaci k Dockeru.
Protokoly se můžou generovat v různých umístěních v závislosti na vašem systému. Například pro Ubuntu 14.04 je to
/var/log/upstart/docker.log
.
Podrobnosti najdete v dokumentaci k Dockeru.V případě Dockeru pro Windows se protokoly generují v části %LOCALAPPDATA%/docker/. Nemusí však obsahovat všechny informace o ladění.
Pokud chcete získat přístup k úplnému protokolu démona, možná budete potřebovat několik dalších kroků:
docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh chroot /host
Teď máte přístup ke všem souborům spuštěného
dockerd
virtuálního počítače . Protokol je na/var/log/docker.log
adrese .
Nová uživatelská oprávnění nemusí být efektivní okamžitě po aktualizaci
Když instančnímu objektu udělíte nová oprávnění (nové role), změna se nemusí projevit okamžitě. Existují dva možné důvody:
Zpoždění přiřazení role Microsoft Entra Obvykle je to rychlé, ale může to trvat minuty kvůli zpoždění šíření.
Zpoždění oprávnění na serveru tokenů služby Azure Container Registry Může to trvat až 10 minut. Pokud chcete tento problém zmírnit, můžete
docker logout
se po 1 minutě znovu ověřit u stejného uživatele:docker logout myregistry.azsacr.<regionname>.<fqdn> docker login myregistry.azsacr.<regionname>.<fqdn>
Informace o ověřování nejsou u přímých volání rozhraní REST API zadané ve správném formátu.
Může dojít k InvalidAuthenticationInfo
chybě, zejména použití curl
nástroje s možností -L
, --location
(pro sledování přesměrování).
Například načtení objektu blob pomocí curl
-L
možnosti a základního ověřování:
curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest
může vést k následující odpovědi:
<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>
Hlavní příčinou je, že některé curl
implementace následují přesměrování s hlavičkami z původního požadavku.
Pokud chcete tento problém vyřešit, musíte ručně sledovat přesměrování bez hlaviček. Vytiskněte hlavičky odpovědi s -D -
možností curl
a pak extrahujte: hlavičku Location
:
redirect_url=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $redirect_url
Proč portál Služby Azure Stack Hub nevypisuje všechna moje úložiště nebo značky?
Pokud používáte prohlížeč Microsoft Edge/IE, můžete zobrazit maximálně 100 úložišť nebo značek. Pokud má váš registr více než 100 úložišť nebo značek, doporučujeme k jejich výpisu použít prohlížeč Firefox nebo Chrome.
Proč se na portálu Azure Stack Hub nedaří načíst úložiště nebo značky?
Prohlížeč nemusí být schopen odeslat požadavek na načtení úložišť nebo značek na server. Můžou se zde vyskytovat různé důvody, například:
- Nedostatek síťového připojení
- Brána firewall
- Použití portálu z veřejné sítě pro registr, který umožňuje pouze privátní přístup
- Blokování reklam
- Chyby DNS
Obraťte se na správce sítě nebo zkontrolujte konfiguraci sítě a připojení. Zkuste spustit az acr check-health -n yourRegistry
pomocí Azure CLI a zkontrolujte, jestli se vaše prostředí může připojit ke službě Container Registry. Kromě toho můžete v prohlížeči vyzkoušet anonymní nebo soukromou relaci, abyste se vyhnuli zastaralé mezipaměti prohlížeče nebo souborům cookie.
Proč moje žádost o přijetí změn nebo nabízení selže s nepovolenou operací?
Tady je několik scénářů, kdy se operace můžou nepovolit:
- Image nebo úložiště možná zamknuté, aby ho nebylo možné odstranit nebo aktualizovat. K zobrazení aktuálních atributů můžete použít příkaz az acr show repository .
- Některé operace jsou zakázány, pokud je image v karanténě. Přečtěte si další informace o karanténě.
- Váš registr možná dosáhl limitu úložiště.
Formát úložiště je neplatný nebo nepodporovaný
Pokud se při zadávání názvu úložiště v operacích úložiště zobrazí chyba typu Nepodporovaný formát úložiště, Neplatný formát nebo Požadovaná data neexistují, zkontrolujte pravopis a malá a velká písmena názvu. Platné názvy úložišť můžou obsahovat jenom malá písmena alfanumerické znaky, tečky, pomlčky, podtržítka a lomítka.
Návody shromažďovat trasování http ve Windows?
Požadavky
- Povolení dešifrování https ve fiddleru: https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS
- Povolte Dockeru použití proxy prostřednictvím uživatelského rozhraní Dockeru: https://docs.docker.com/docker-for-windows/#proxies
- Po dokončení se nezapomeňte vrátit. Docker s tímto povoleným režimem nebude fungovat a fiddler neběží.
Kontejnery Windows
Konfigurace proxy Dockeru na 127.0.0.1:8888
Linuxové kontejnery
Vyhledejte IP adresu virtuálního přepínače Virtuálního počítače Dockeru:
(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress
Nakonfigurujte proxy Dockeru pro výstup předchozího příkazu a port 8888 (například 10.0.75.1:8888).
Další kroky
- Přečtěte si další informace o službě Azure Container Registry.