`docker pull` 从私有 gitlab 注册表返回 `denied: access denied`

Posted 2023-02-19

【中文标题】`docker pull` 从私有 gitlab 注册表返回 `denied: access denied`

【英文标题】：`docker pull` returns `denied: access forbidden` from private gitlab registry

【发布时间】：2018-03-07 05:12:13

【问题描述】：

我有一个Dockerfile，它将被实现FROM 一个私有注册表的图像。我用Docker version 1.12.6, build 78d1802 和docker-compose version 1.8.0, build unknown 构建这个文件没有任何问题，但是在另一台有Docker version 17.06.1-ce, build 874a737 和docker-compose version 1.16.1, build 6d1ac21 的机器上，docker-compose build 返回：

FROM my.private.gitlab.registry:port/image:tag
http://my.private.gitlab.registry:port/v2/docker/image/manifests/tag: denied: access forbidden

docker pull my.private.gitlab.registry:port/image:tag 返回相同。

请注意，我试图获取 my.private.registry:port/image:tag 和 http://my.private.registry:port/v2/docker/image/manifests/tag 已被捕获。

【问题讨论】：

如果这是一个经过身份验证的注册表，那么您需要在您正在构建它的机器上运行docker login <regitsryurl>。只需执行一次

@TarunLalwani，它返回了Unauthorized: authentication required。可能和我对 gitlab 的权限有关。我会检查并通知您。

@TarunLalwani，你已经指出了确切的原因。请将其发布为答案，以便我批准。

【参考方案1】：

如果这是一个经过身份验证的注册表，那么您需要在您正在构建它的机器上运行 docker login <registryurl>。

每个主机只需执行一次。然后该命令将身份验证缓存在文件中

$ cat ~/.docker/config.json

    "auths": 
        "https://index.docker.io/v1/": 
            "auth": "......="
        
    

【讨论】：

请注意：确保<registryurl> 是my.private.registry:port/path/to/repo。 docker login my.private.registry 没有给我足够的权限来拉取图像。

正如@JacobStern 提到的，使用完整路径很重要，而且：添加版本也很重要！所以一定是：my.private.registry/path/to/repo:version

【参考方案2】：

登录并没有解决我的问题。这可能特定于 Mac，但以防万一这里是 Git issue

我对此的评论：

也遇到了这个问题。

Dockerfile:

FROM <insert_private_registry>/test-image:latest

命令行

如果没有登录到私有注册表，这两个命令都会失败（预期）

    $ docker-compose up
    Building app
    Step 1/2 : FROM <insert_private_registry>/test-image:latest
    ERROR: Service 'app' failed to build: Get https://<insert_private_registry>/v2/test-image/manifests/latest: denied: access forbidden

    $ docker pull <insert_private_registry>/test-image:latest
    Error response from daemon: Get https://<insert_private_registry>/test-image/manifests/latest: denied: access forbidden

登录后，docker pull ... 工作，而docker-compose up 无法拉取图像：

    $ docker login <insert_private_registry>
    Username: <insert>
    Password: <insert>
    Login Succeeded

    $ docker-compose up
    Building app
    Step 1/2 : FROM <insert_private_registry>/test-image:latest
    ERROR: Service 'app' failed to build: Get https://<insert_private_registry>/v2/test-image/manifests/latest: denied: access forbidden

    $ docker pull <insert_private_registry>/test-image:latest
    latest: Pulling from <insert_private_image_path>/test-image
    ...
    Status: Downloaded newer image for <insert_private_registry>/test-image:latest

当前解决方案

我们当前的解决方法是在运行 docker-compose 容器之前显式拉取映像：

    docker pull <insert_private_registry>/test-image:latest
    latest: Pulling from <insert_private_image_path>/test-image
    ...
    Status: Downloaded newer image for <insert_private_registry>/test-image:latest

    $ docker-compose up
    Building app
    Step 1/2 : FROM <insert_private_registry>/test-image:latest
    ...

【参考方案3】：

我注意到您的 URL 方案使用 http 协议 - 需要将 Docker 配置为允许不安全的注册表。

创建或修改您的daemon.json（在以下位置之一需要）：

Linux：/etc/docker/

Windows：C:\ProgramData\Docker\config\

附内容：

    "insecure-registries" : [ "my.private.gitlab.registry:port" ]

然后重新启动 Docker（不仅仅是终端会话）并重试。

登录后：

docker login my.private.gitlab.registry:port

根据tarun-lalwani 的回答，这应该将身份验证添加到配置中，以备将来使用（docker pull 等）。