Perguntas frequentes – Registro de Contêiner do Azure no Azure Stack Hub

Sim. Aqui está um modelo que você pode usar para criar um registro. Este modelo é para a nuvem pública do Azure. Para usar esse modelo no Azure Stack Hub, modifique a versão da API para 2019-05-01, caso contrário, ele não será implantado.

Não. No momento, não há integração com a Central de Segurança do Azure para registros implantados no Azure Stack Hub. Há opções de terceiros e de software livre que podem ser aproveitadas para atender a essa necessidade de implantações conectadas ou desconectadas do Azure Stack Hub.

Confira a documentação do Kubernetes e as etapas do Serviço de Kubernetes do Azure.

Antes de obter as credenciais de administrador, verifique se o usuário administrador do registro está habilitado.

Para obter credenciais usando a CLI do Azure:

az acr credential show -n myRegistry

Usar o Microsoft Azure PowerShell:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Antes de obter as credenciais de administrador, verifique se o usuário administrador do registro está habilitado.

Para obter a primeira senha:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

Para obter a segunda senha:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

Você pode executar uma transferência de imagem de máquina para máquina em uma rede local de uma máquina que já tenha as imagens de contêiner necessárias. Para fazer isso:

1. Primeiro, recupere as imagens de contêiner necessárias usando um computador com conectividade com a Internet usando a CLI do docker e o comando docker pull. Consulte Importar imagens de contêiner para um registro de contêiner para obter mais informações.

2. Depois de importar as imagens necessárias, transporte o computador para o local da instância desconectada do Hub do Azure.

3. Use os comandos docker tag e docker push para marcar e enviar a imagem por push para o Registro de Contêiner do Azure local no repositório do Azure Stack Hub.

O Registro de Contêiner do Azure dá suporte à API HTTP V2 do Registro do Docker. As APIs podem ser acessadas em https://<your registry login server>/v2/. Exemplo: https://mycontainerregistry.azsacr.<regionname>.<fqdn>/v2/

Se você estiver no bash:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry --image myRepository@%

Para PowerShell:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

Para obter mais informações, confira Excluir imagens de contêiner no Registro de Contêiner do Azure.

Essa situação pode ocorrer se as camadas subjacentes ainda estiverem sendo referenciadas por outras imagens de contêiner. Se você excluir uma imagem sem referências, o uso do registro será atualizado em alguns minutos.

Crie uma imagem com uma camada de 1 GB, usando o seguinte arquivo do Docker. Isso garante que a imagem tenha uma camada que não é compartilhada por nenhuma outra imagem no registro.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Crie e envie a imagem para o registro usando a CLI do Docker.

docker build -t myregistry.azsacr.<regionname>.<fqdn>/1gb:latest .
docker push myregistry.azsacr.<regionname>.<fqdn>/1gb:latest

Você deve ser capaz de ver que o uso do armazenamento aumentou no portal do Azure Stack Hub ou pode consultar o uso usando a CLI.

az acr show-usage -n myregistry

Exclua a imagem usando a CLI do Azure ou o portal do Azure e verifique o uso atualizado em alguns minutos.

az acr repository delete -n myregistry --image 1gb

É necessário executar o contêiner da CLI do Azure montando o soquete do Docker:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

No contêiner, instale o docker:

apk --update add docker

Em seguida, autentique com seu registro:

az acr login -n MyRegistry

Habilite o TLS 1.2 usando qualquer cliente recente do Docker (versão 18.03.0 e posterior).

Não, a versão atual do registro de contêiner do Azure no Azure Stack Hub dá suporte apenas ao SKU "Standard" e não dá suporte à Confiança de Conteúdo.

O Registro de Contêiner do Azure dá suporte a funções personalizadas que fornecem diferentes níveis de permissões. Especificamente, as funções AcrPull e AcrPush permitem que os usuários recebam e/ou enviem imagens sem a permissão para gerenciar o recurso de registro no Azure.

• Portal do Azure Stack Hub: Seu registro –> IAM (Controle de Acesso) –> Adicionar (Selecionar AcrPull ou AcrPush para a Função).

• CLI do Azure: Encontre a ID do recurso do registro executando o comando a seguir:

  az acr show -n myRegistry
  

  Em seguida, você pode atribuir a função AcrPull ou AcrPush a um usuário (o exemplo a seguir usa AcrPull):

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Ou, atribuir a função a uma entidade de serviço identificada por sua ID de aplicativo:

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

O destinatário pode autenticar e acessar as imagens no registro.

• Para autenticar para um registro:

  az acr login -n myRegistry 
  

• Para listar os repositórios:

  az acr repository list -n myRegistry
  

• Para receber uma imagem:

  docker pull myregistry.azsacr.<regionname>.<fqdn>/hello-world
  

Usando somente a função AcrPull ou AcrPush, o destinatário não tem permissão para gerenciar o recurso de registro no Azure. Por exemplo, az acr list ou az acr show -n myRegistry não mostra o registro.

Uma camada não distribuível em um manifesto contém um parâmetro de URL do qual o conteúdo pode ser obtido. Alguns casos de uso possíveis para habilitar pushes de camadas não distribuíveis são para registros restritos de rede, registros de ar-gapped com acesso restrito ou para registros sem conectividade com a Internet.

Por exemplo, se você tiver regras de NSG configuradas para que uma VM possa extrair imagens somente do seu registro de contêiner do Azure, o Docker efetuará pull de falhas para camadas externas/não distribuíveis. Por exemplo, uma imagem do Windows Server Core conteria referências de camada estrangeira ao registro de contêiner do Azure em seu manifesto e não conseguiria efetuar pull nesse cenário.

Para habilitar o envio por push de camadas não distribuíveis:

1. Edite o daemon.json arquivo, que está localizado em /etc/docker/ hosts Linux e no C:\ProgramData\docker\config\daemon.json Windows Server. Supondo que o arquivo estava vazio anteriormente, adicione o seguinte conteúdo:

   {
     "allow-nondistributable-artifacts": ["myregistry.azsacr.<regionname>.<fqdn>"]
   }
   

   Observação

   O valor é uma matriz de endereços de registro, separados por vírgulas.

2. Salve e feche o arquivo.

3. Reinicie o Docker.

Quando você envia imagens por push para os registros na lista, suas camadas não distribuíveis são enviadas por push para o registro.

Para solucionar problemas comuns de ambiente e registro, confira Verificar a integridade de um registro de contêiner do Azure.

• Se esse erro for um problema transitório, a repetição obterá sucesso.
• Se docker pull falhar continuamente, pode haver um problema com o daemon do Docker. Normalmente, o problema pode ser atenuado reiniciando o daemon do Docker.
• Se você continuar a ver esse problema após a reinicialização do daemon do Docker, o problema pode estar relacionado à conectividade de rede com o computador. Para verificar se a rede geral no computador está intata, execute o seguinte comando para testar a conectividade do ponto de extremidade. A versão mínima do az acr que contém esse comando de verificação de conectividade é 2.2.9. Atualize a CLI do Azure se você estiver usando uma versão mais antiga.

az acr check-health -n myRegistry

• Você sempre deve ter um mecanismo de repetição em todas as operações de cliente do Docker.

Use essa ferramenta para testar a velocidade de download da rede do computador.

Use essa ferramenta para testar a velocidade de carregamento da rede do computador.

Esse erro pode ocorrer com a versão do Red Hat do daemon do Docker, onde --signature-verification está habilitado por padrão. Você pode verificar as opções do daemon do Docker para Red Hat Enterprise Linux (RHEL) ou Fedora, executando o seguinte comando:

grep OPTIONS /etc/sysconfig/docker

Por exemplo, o servidor Fedora 28 tem as seguintes opções do daemon do docker:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Com --signature-verification=false ausente, docker pull falha com um erro semelhante a:

Trying to pull repository myregistry.azsacr.<regionname>.<fqdn>/myimage ...
unauthorized: authentication required

Para resolver o erro:

1. Adicione a opção --signature-verification=false ao arquivo de configuração do daemon do Docker /etc/sysconfig/docker. Por exemplo:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Reinicie o serviço de daemon do Docker executando o seguinte comando:

   sudo systemctl restart docker.service
   

Os detalhes de --signature-verification podem ser encontrados executando man dockerd.

Use uma URL do servidor em minúsculas, por exemplo, docker push myregistry.azsacr.<regionname>.<fqdn>/myimage:latest, mesmo se o nome do recurso de registro estiver em maiúsculas ou em maiúsculas e minúsculas, como myRegistry.

Inicie dockerd com a opção debug. Primeiro, crie o arquivo de configuração do daemon do Docker (/etc/docker/daemon.json), se não existir, e adicione a opção debug:

{    
    "debug": true    
}

Em seguida, reinicie o daemon. Por exemplo, com o Ubuntu 14.04:

sudo service docker restart

Os detalhes podem ser encontrados na documentação do Docker.

• Os logs podem ser gerados em locais diferentes, dependendo do sistema. Por exemplo, para o Ubuntu 14.04, é /var/log/upstart/docker.log.
  Confira documentação do Docker para obter detalhes.

• Para o Docker for Windows, os logs são gerados em %LOCALAPPDATA%/docker/. No entanto, talvez ainda não contenha todas as informações de depuração.

  Para acessar o log completo do daemon, algumas etapas adicionais podem ser necessárias:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Agora você tem acesso a todos os arquivos da VM em execução dockerd. O log está em /var/log/docker.log.

Quando você concede novas permissões (novas funções) a uma entidade de serviço, a alteração pode não entrar em vigor imediatamente. Há dois motivos possíveis:

• Atraso na atribuição de função do Microsoft Entra. Normalmente é rápido, mas pode levar minutos devido ao atraso na propagação.

• Atraso de permissão no servidor de token do Registro de Contêiner do Azure. Pode demorar até 10 minutos. Para atenuar, você pode docker logout e, em seguida, autenticar novamente com o mesmo usuário após 1 minuto:

  docker logout myregistry.azsacr.<regionname>.<fqdn>
  docker login myregistry.azsacr.<regionname>.<fqdn>
  

Você pode encontrar um erro InvalidAuthenticationInfo, especialmente usando a ferramenta curl com a opção -L, --location (para seguir os redirecionamentos). Por exemplo, buscar o blob usando curl com a opção -L e a autenticação básica:

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

pode resultar na resposta a seguir:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

A causa raiz é que algumas implementações de curl seguem redirecionamentos com cabeçalhos da solicitação original.

Para resolver o problema, você precisa seguir os redirecionamentos manualmente, sem os cabeçalhos. Imprima os cabeçalhos de resposta com a opção -D - de curl e, em seguida, extraia: o cabeçalho Location:

redirect_url=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $redirect_url

Se você estiver usando o navegador Microsoft Edge/IE, poderá ver no máximo 100 repositórios ou tags. Se o registro tiver mais de 100 repositórios ou tags, recomendamos que você use o navegador Firefox ou Chrome para listar todos eles.

O navegador pode não enviar a solicitação para buscar repositórios ou tags no servidor. Pode haver vários motivos, como:

• Falta de conectividade de rede
• Firewall
• Usando o portal de uma rede pública para um registro que permite apenas acesso privado
• Bloqueadores de AD
• Erros DNS

Entre em contato com o administrador de rede ou verifique a configuração de rede e a conectividade. Tente executar az acr check-health -n yourRegistry usando a CLI do Azure para verificar se o ambiente pode se conectar ao Registro de Contêiner. Além disso, você também pode tentar uma sessão privada ou anônima no navegador para evitar cache ou cookies antigos do navegador.

Estes são alguns cenários em que as operações podem não ser permitidas:

• A imagem ou o repositório pode estar bloqueado para que não possa ser excluído ou atualizado. Você pode usar o comando az acr show repository para exibir os atributos atuais.
• Algumas operações não serão permitidas se a imagem estiver em quarentena. Saiba mais sobre a quarentena.
• O registro pode ter atingido seu limite de armazenamento.

Se você vir um erro como "formato de repositório sem suporte", "formato inválido" ou "os dados solicitados não existem" ao especificar um nome de repositório em operações de repositório, verifique a ortografia e a maiúscula e minúscula do nome. Os nomes de repositório válidos só podem incluir caracteres alfanuméricos minúsculos, pontos, traços, sublinhados e barras invertidas.

Pré-requisitos

• Habilite a descriptografia de HTTPS no Fiddler: https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS
• Habilite o Docker para usar um proxy por meio da interface do usuário do Docker: https://docs.docker.com/docker-for-windows/#proxies
• Não se esqueça de reverter ao concluir. O Docker não funciona se esse recurso estiver habilitado e se o Fiddler não estiver em execução.

Contêineres do Windows

Configure o proxy do Docker para 127.0.0.1:8888

Contêineres do Linux

Encontre o IP do comutador virtual da VM do Docker:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Configure o proxy do Docker para a saída do comando anterior e a porta 8888 (por exemplo 10.0.75.1:8888)

Próximas etapas

• Saiba mais sobre o Registro de Contêiner do Azure.