Questions fréquentes - Registres de conteneurs Azure sur Azure Stack Hub

Oui. Voici un modèle que vous pouvez utiliser pour créer un registre. Ce modèle concerne le cloud public Azure. Pour utiliser ce modèle sur Azure Stack Hub, modifiez la version de l’API vers 2019-05-01, sinon elle ne parvient pas à être déployée.

Non. Il n’existe actuellement aucune intégration à Azure Security Center pour les registres déployés sur Azure Stack Hub. Vous pouvez utiliser des options tierces et open source afin de répondre à ce besoin pour les déploiements Azure Stack Hub connectés ou déconnectés.

Consultez la documentation de Kubernetes et les étapes concernant Azure Kubernetes Service.

Avant d’obtenir les informations d’identification administrateur, vérifiez que l’utilisateur administrateur du registre est activé.

Pour obtenir les informations d’identification à l’aide de l’interface de ligne de commande Azure :

az acr credential show -n myRegistry

Utilisation d’Azure PowerShell :

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Avant d’obtenir les informations d’identification administrateur, vérifiez que l’utilisateur administrateur du registre est activé.

Pour obtenir le premier mot de passe :

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

Pour obtenir le second mot de passe :

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

Vous pouvez effectuer un transfert d’image de machine à machine sur un réseau local à partir d’un ordinateur disposant déjà de la ou des images conteneur requises. Pour ce faire :

1. Tout d’abord, récupérez la ou les images conteneur requises à l’aide d’une machine disposant d’une connectivité Internet à l’aide de l’interface CLI Docker et de la commande docker pull. Pour plus d’informations, consultez Importer des images conteneur dans un registre de conteneurs.

2. Une fois que vous avez importé les images requises, transportez la machine à l’emplacement de l’instance Azure Hub déconnectée.

3. Utilisez les commandes docker tag et docker push pour étiqueter et envoyer l’image à l’instance Azure Container Registry locale sur le référentiel Azure Stack Hub.

Azure Container Registry prend en charge l’API HTTP Docker Registry V2. Les API sont accessibles à l’adresse https://<your registry login server>/v2/. Exemple : https://mycontainerregistry.azsacr.<regionname>.<fqdn>/v2/

Si vous êtes sur bash :

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry --image myRepository@%

Pour PowerShell :

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

Pour plus d’informations, consultez Supprimer des images conteneur dans Azure Container Registry.

Cette situation peut se produire si les couches sous-jacentes sont toujours référencées par d’autres images conteneur. Si vous supprimez une image sans aucune référence, l’utilisation du registre est mise à jour en quelques minutes.

Créez une image avec une couche de 1 Go à l’aide du fichier docker suivant. Ainsi, l’image a une couche qui n’est partagée par aucune autre image dans le registre.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Générez l’image et envoyez-la (push) à votre registre à l’aide de l’interface CLI docker.

docker build -t myregistry.azsacr.<regionname>.<fqdn>/1gb:latest .
docker push myregistry.azsacr.<regionname>.<fqdn>/1gb:latest

Vous devez pouvoir observer l’augmentation de l’utilisation du stockage dans le portail Azure Stack Hub ou interroger l’utilisation avec l’interface CLI.

az acr show-usage -n myregistry

Supprimez l’image à l’aide de l’interface de ligne de commande Azure ou du portail et vérifiez que l’utilisation a été mise à jour au bout de quelques minutes.

az acr repository delete -n myregistry --image 1gb

Vous devez exécuter le conteneur Azure CLI en montant le socket Docker :

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

Dans le conteneur, installez docker :

apk --update add docker

Ensuite, authentifiez-vous auprès du registre :

az acr login -n MyRegistry

Activez TLS 1.2 à l’aide de n’importe quel client docker récent (versions 18.03.0 et ultérieures).

Non, la version actuelle des registres de conteneurs Azure sur Azure Stack Hub prend uniquement en charge la référence SKU « Standard » et ne prend pas en charge l’approbation de contenu.

Azure Container Registry prend en charge les rôles personnalisés qui fournissent différents niveaux d’autorisations. Plus précisément, les rôles AcrPull et AcrPush permettent aux utilisateurs de tirer (pull) et/ou d’envoyer (push) des images sans l’autorisation de gérer la ressource du registre dans Azure.

• Portail Azure Stack Hub : Votre registre -> Contrôle d’accès (IAM) -> Ajouter (sélectionnez AcrPull ou AcrPush pour le rôle).

• Azure CLI : Recherchez l’ID de ressource du registre en exécutant la commande suivante :

  az acr show -n myRegistry
  

  Vous pouvez ensuite attribuer le rôle AcrPull ou AcrPush à un utilisateur (l’exemple suivant utilise AcrPull) :

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Ou bien, attribuez le rôle à un principal de service identifié par son ID d’application :

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

Le destinataire est alors en mesure de s’authentifier et d’accéder aux images dans le registre.

• Pour s’authentifier auprès du registre :

  az acr login -n myRegistry 
  

• Pour lister les dépôts :

  az acr repository list -n myRegistry
  

• Pour tirer (pull) une image :

  docker pull myregistry.azsacr.<regionname>.<fqdn>/hello-world
  

À l’aide du seul rôle AcrPull ou AcrPush, le destinataire n’est pas autorisé à gérer la ressource du registre dans Azure. Par exemple, az acr list ou az acr show -n myRegistry n’affiche pas le registre.

Les couches non distribuables dans un manifeste contiennent un paramètre d’URL à partir duquel le contenu peut être extrait. Certains cas d’utilisation possibles pour l’activation des pushs de couche non distribuable sont pour les registres restreints du réseau, les registres d’accès direct $$$à l’air avec accès restreint ou pour les registres sans connectivité Internet.

Par exemple, si vous avez configuré des règles de groupe de sécurité réseau de manière à ce qu’une machine virtuelle puisse extraire des images uniquement de votre registre de conteneurs Azure, Docker extrait des échecs pour les couches étrangères/non distribuable. Par exemple, une image Windows Server Core peut contenir des références de couche étrangère à Azure Container Registry dans son manifeste et ne pas parvenir à effectuer une extraction dans ce scénario.

Pour activer le push de couches non distribuables :

1. Modifiez le fichier daemon.json, qui se trouve dans /etc/docker/ sur les hôtes Linux et sur C:\ProgramData\docker\config\daemon.json dans Windows Server. En supposant que le fichier était déjà vide, ajoutez le contenu suivant :

   {
     "allow-nondistributable-artifacts": ["myregistry.azsacr.<regionname>.<fqdn>"]
   }
   

   Notes

   La valeur est un tableau d’adresses du registre, séparées par des virgules.

2. Enregistrez et fermez le fichier.

3. Redémarrez Docker.

Lorsque vous envoyez des images aux registres de la liste, leurs couches non distribuables sont envoyées au registre.

Pour résoudre les problèmes courants liés à l’environnement et au registre, consultez Vérifier l’intégrité d’un registre de conteneurs Azure.

• Si cette erreur est un problème temporaire, une nouvelle tentative réussit.
• Si docker pull échoue en permanence, un problème affecte peut-être le démon Docker. Vous pouvez généralement résoudre le problème en redémarrant le démon Docker.
• Si vous continuez à voir ce problème après le redémarrage du démon Docker, il se peut que la machine ait un problème de connectivité réseau. Pour vérifier si le réseau d’ordre général sur la machine est sain, exécutez la commande suivante afin de tester la connectivité du point de terminaison. La version az acr minimale qui contient cette vérification de la connectivité est 2.2.9. Si vous utilisez une version antérieure, mettez à niveau votre interface de ligne de commande Azure.

az acr check-health -n myRegistry

• Vous devez toujours avoir un mécanisme de nouvelle tentative sur toutes les opérations du client Docker.

Utilisez cet outil pour tester la vitesse de téléchargement de votre réseau de machines.

Utilisez cet outil pour tester la vitesse de chargement de votre réseau de machines.

Cette erreur peut se produire avec la version Red Hat du démon Docker, où --signature-verification est activé par défaut. Vous pouvez vérifier les options du démon Docker pour RHEL (Red Hat Enterprise Linux) ou Fedora en exécutant la commande suivante :

grep OPTIONS /etc/sysconfig/docker

Par exemple, Fedora 28 Server présente les options du démon docker suivantes :

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Quand --signature-verification=false fait défaut, docker pull échoue avec une erreur similaire à la suivante :

Trying to pull repository myregistry.azsacr.<regionname>.<fqdn>/myimage ...
unauthorized: authentication required

Pour résoudre l’erreur :

1. Ajoutez l’option --signature-verification=false au fichier de configuration du démon Docker /etc/sysconfig/docker. Par exemple :

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Redémarrez le service du démon Docker en exécutant la commande suivante :

   sudo systemctl restart docker.service
   

Pour obtenir des informations détaillées sur --signature-verification, vous pouvez exécuter man dockerd.

Assurez-vous d’utiliser une URL de serveur tout en minuscules, par exemple, docker push myregistry.azsacr.<regionname>.<fqdn>/myimage:latest, même si le nom de la ressource du registre est en majuscules ou à casse mixte, comme myRegistry.

Démarrez dockerd avec l’option debug. Tout d’abord, créez le fichier de configuration du démon Docker (/etc/docker/daemon.json) s’il n’existe pas et ajoutez l’option debug :

{    
    "debug": true    
}

Ensuite, redémarrez le démon. Par exemple, avec Ubuntu 14.04 :

sudo service docker restart

Des informations détaillées sont disponibles dans la documentation Docker.

• Vous pouvez générer les journaux à différents emplacements, selon votre système. Par exemple, pour Ubuntu 14.04, il s’agit de /var/log/upstart/docker.log.
  Consultez la documentation Docker pour plus d’informations.

• Concernant Docker pour Windows, les journaux sont générés sous %LOCALAPPDATA%/docker/. Il se peut toutefois qu’ils ne contiennent pas encore toutes les informations de débogage.

  Pour accéder au journal complet du démon, vous devrez peut-être suivre quelques étapes supplémentaires :

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Maintenant, vous avez accès à tous les fichiers de la machine virtuelle en exécutant dockerd. Le journal se trouve à l’emplacement /var/log/docker.log.

Quand vous accordez de nouvelles autorisations (nouveaux rôles) à un principal de service, la modification peut ne pas prendre effet immédiatement. Il existe deux raisons possibles :

• Délai d’attribution du rôle Microsoft Entra. Normalement, l’attribution est rapide, mais elle peut prendre quelques minutes en raison du délai de propagation.

• Délai d’autorisation sur le serveur de jetons Azure Container Registry. Cette opération peut prendre jusqu’à 10 minutes. Pour limiter ce délai, vous pouvez exécuter la commande docker logout, puis vous réauthentifier avec le même utilisateur après 1 minute :

  docker logout myregistry.azsacr.<regionname>.<fqdn>
  docker login myregistry.azsacr.<regionname>.<fqdn>
  

Vous pouvez rencontrer une erreur InvalidAuthenticationInfo, en particulier en utilisant l’outil curl avec l’option -L, --location (pour suivre les redirections). Par exemple, la récupération (fetch) de l’objet blob en utilisant curl avec l’option -L et l’authentification de base :

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

Peut entraîner la réponse suivante :

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

La cause racine est que certaines implémentations curl suivent les redirections avec des en-têtes de la demande d’origine.

Pour résoudre le problème, vous devez suivre les redirections manuellement sans les en-têtes. Récupérez les en-têtes de réponse avec l’option -D - de curl et extrayez l’en-têteLocation  :

redirect_url=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $redirect_url

Si vous utilisez le navigateur Microsoft Edge/Internet Explorer, vous pouvez voir au maximum 100 dépôts ou étiquettes. Si votre registre a plus de 100 dépôts ou étiquettes, nous vous recommandons d’utiliser le navigateur Firefox ou Chrome pour les lister tous.

Le navigateur n'est peut-être pas en mesure d'envoyer la demande de récupération de dépôts ou d'étiquettes au serveur. Les raisons peuvent être diverses :

• Absence de connectivité réseau
• Pare-feu
• Utilisation du portail à partir d’un réseau public pour un registre qui autorise uniquement l’accès privé
• Bloqueurs de publicités
• Erreurs DNS

Contactez votre administrateur réseau ou vérifiez la configuration et la connectivité de votre réseau. Essayez d’exécuter az acr check-health -n yourRegistry à l’aide de votre Azure CLI pour vérifier si votre environnement est en mesure de se connecter au registre de conteneurs. En outre, vous pouvez également essayer une session incognito ou privée dans votre navigateur pour éviter tout cache ou cookie périmé.

Voici quelques scénarios dans lesquels les opérations peuvent ne pas être autorisées :

• L’image ou le référentiel peuvent être verrouillés afin qu’il ne soit pas possible de les supprimer ou de les mettre à jour. Vous pouvez utiliser la commande az acr show repository pour afficher les attributs actuels.
• Certaines opérations ne sont pas autorisées si l’image est en contrôle. En savoir plus sur le contrôle.
• Votre registre a peut-être atteint sa limite de stockage.

Si vous voyez une erreur telle que « format de référentiel non pris en charge », « format non valide » ou « les données requises n’existent pas » lors de la spécification d’un nom de référentiel dans les opérations de référentiel, vérifiez l’orthographe du nom. Les noms de référentiel valides ne peuvent inclure que des caractères alphanumériques en minuscules, des points, des tirets, des tirets du bas et des barres obliques.

Prérequis

• Activez le déchiffrement HTTPS dans Fiddler : https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS
• Autorisez Docker à utiliser un proxy via l’interface utilisateur Docker : https://docs.docker.com/docker-for-windows/#proxies
• Veillez à revenir à la configuration antérieure une fois que vous avez terminé. Docker ne fonctionne pas si ces options sont activées et que Fiddler n’est pas en cours d’exécution.

Conteneurs Windows

Configurez le proxy Docker sur 127.0.0.1:8888.

Conteneurs Linux

Recherchez l’adresse IP du commutateur virtuel de machine virtuelle Docker :

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Configurez le proxy Docker sur la sortie de la commande précédente et le port 8888 (par exemple 10.0.75.1:8888)

Étapes suivantes

• Découvrez-en plus sur Azure Container Registry.