`docker pull` 从私有 gitlab 注册表返回 `denied: access denied`
Posted
技术标签:
【中文标题】`docker pull` 从私有 gitlab 注册表返回 `denied: access denied`【英文标题】:`docker pull` returns `denied: access forbidden` from private gitlab registry 【发布时间】:2018-03-07 05:12:13 【问题描述】:我有一个Dockerfile
,它将被实现FROM
一个私有注册表的图像。我用Docker version 1.12.6, build 78d1802
和docker-compose version 1.8.0, build unknown
构建这个文件没有任何问题,但是在另一台有Docker version 17.06.1-ce, build 874a737
和docker-compose version 1.16.1, build 6d1ac21
的机器上,docker-compose build
返回:
FROM my.private.gitlab.registry:port/image:tag
http://my.private.gitlab.registry:port/v2/docker/image/manifests/tag: denied: access forbidden
docker pull my.private.gitlab.registry:port/image:tag
返回相同。
请注意,我试图获取 my.private.registry:port/image:tag
和 http://my.private.registry:port/v2/docker/image/manifests/tag
已被捕获。
【问题讨论】:
如果这是一个经过身份验证的注册表,那么您需要在您正在构建它的机器上运行docker login <regitsryurl>
。只需执行一次
@TarunLalwani,它返回了Unauthorized: authentication required
。可能和我对 gitlab 的权限有关。我会检查并通知您。
@TarunLalwani,你已经指出了确切的原因。请将其发布为答案,以便我批准。
【参考方案1】:
如果这是一个经过身份验证的注册表,那么您需要在您正在构建它的机器上运行 docker login <registryurl>
。
每个主机只需执行一次。然后该命令将身份验证缓存在文件中
$ cat ~/.docker/config.json
"auths":
"https://index.docker.io/v1/":
"auth": "......="
【讨论】:
请注意:确保<registryurl>
是my.private.registry:port/path/to/repo
。 docker login my.private.registry
没有给我足够的权限来拉取图像。
正如@JacobStern 提到的,使用完整路径很重要,而且:添加版本也很重要!所以一定是:my.private.registry/path/to/repo:version
【参考方案2】:
登录并没有解决我的问题。这可能特定于 Mac,但以防万一这里是 Git issue
我对此的评论:
也遇到了这个问题。
Dockerfile:
FROM <insert_private_registry>/test-image:latest
命令行
如果没有登录到私有注册表,这两个命令都会失败(预期)
$ docker-compose up
Building app
Step 1/2 : FROM <insert_private_registry>/test-image:latest
ERROR: Service 'app' failed to build: Get https://<insert_private_registry>/v2/test-image/manifests/latest: denied: access forbidden
$ docker pull <insert_private_registry>/test-image:latest
Error response from daemon: Get https://<insert_private_registry>/test-image/manifests/latest: denied: access forbidden
登录后,docker pull ...
工作,而docker-compose up
无法拉取图像:
$ docker login <insert_private_registry>
Username: <insert>
Password: <insert>
Login Succeeded
$ docker-compose up
Building app
Step 1/2 : FROM <insert_private_registry>/test-image:latest
ERROR: Service 'app' failed to build: Get https://<insert_private_registry>/v2/test-image/manifests/latest: denied: access forbidden
$ docker pull <insert_private_registry>/test-image:latest
latest: Pulling from <insert_private_image_path>/test-image
...
Status: Downloaded newer image for <insert_private_registry>/test-image:latest
当前解决方案
我们当前的解决方法是在运行 docker-compose 容器之前显式拉取映像:
docker pull <insert_private_registry>/test-image:latest
latest: Pulling from <insert_private_image_path>/test-image
...
Status: Downloaded newer image for <insert_private_registry>/test-image:latest
$ docker-compose up
Building app
Step 1/2 : FROM <insert_private_registry>/test-image:latest
...
【讨论】:
【参考方案3】:我注意到您的 URL 方案使用 http 协议 - 需要将 Docker 配置为允许不安全的注册表。
创建或修改您的daemon.json
(在以下位置之一需要):
Linux:/etc/docker/
Windows:C:\ProgramData\Docker\config\
附内容:
"insecure-registries" : [ "my.private.gitlab.registry:port" ]
然后重新启动 Docker(不仅仅是终端会话)并重试。
登录后:
docker login my.private.gitlab.registry:port
根据tarun-lalwani 的回答,这应该将身份验证添加到配置中,以备将来使用(docker pull
等)。
【讨论】:
以上是关于`docker pull` 从私有 gitlab 注册表返回 `denied: access denied`的主要内容,如果未能解决你的问题,请参考以下文章
docker从私有镜像库pull/push镜像问题:Error response from daemon: Get https://harbor.op.xxxx.com/v2/: x509: cert
在 Docker 中使用私有 gitlab 模块构建 Go 应用程序
遇到的问题--docker---gitlab---k8s---error pulling image configuration: Get https://production.cloudflare.