Veelgestelde vragen - Azure Container Registry

Ja. Hier volgt een sjabloon die u kunt gebruiken om een register te maken.

Ja. Zie de documentatie van Microsoft Defender voor Cloud, Twistlock en Aqua.

Raadpleeg de documentatie voor Kubernetes en stappen voor Azure Kubernetes Service.

Voordat u beheerdersreferenties ophaalt, moet u ervoor zorgen dat de beheerdergebruiker van het register is ingeschakeld.

Referenties ophalen met behulp van de Azure CLI:

az acr credential show -n myRegistry

Azure PowerShell gebruiken:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Voordat u beheerdersreferenties ophaalt, moet u ervoor zorgen dat de beheerdergebruiker van het register is ingeschakeld.

Het eerste wachtwoord ophalen:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

Het tweede wachtwoord ophalen:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

De fout wordt weergegeven wanneer de gebruiker machtigingen heeft voor een register, maar geen machtigingen op lezerniveau voor het abonnement heeft. U kunt dit probleem oplossen door leesmachtigingen voor het abonnement toe te wijzen aan de gebruiker:

az role assignment create --role "Reader" --assignee user@contoso.com --scope /subscriptions/<subscription_id> 

Het duurt enige tijd om wijzigingen in firewallregels door te geven. Nadat u de firewallinstellingen hebt gewijzigd, wacht u enkele minuten voordat u deze wijziging controleert.

ACR ondersteunt Docker Registry HTTP API V2. De API's zijn toegankelijk op https://<your registry login server>/v2/. Voorbeeld: https://mycontainerregistry.azurecr.io/v2/

Als u bash gebruikt:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry ---image myRepository@%

Voor PowerShell:

az acr manifest list-metadata --name myRepository --repository myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

Zie Containerinstallatiekopieën verwijderen in Azure Container Registry voor meer informatie.

Deze situatie kan zich voordoen als er nog steeds naar de onderliggende lagen wordt verwezen door andere containerinstallatiekopieën. Als u een installatiekopieën zonder verwijzingen verwijdert, wordt het registergebruik over een paar minuten bijgewerkt.

Maak een installatiekopieën met een laag van 1 GB met behulp van het volgende Docker-bestand. Dit zorgt ervoor dat de installatiekopieën een laag hebben die niet wordt gedeeld door een andere installatiekopieën in het register.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Bouw en push de installatiekopieën naar uw register met behulp van de Docker CLI.

docker build -t myregistry.azurecr.io/1gb:latest .
docker push myregistry.azurecr.io/1gb:latest

U moet kunnen zien dat het opslaggebruik in Azure Portal is toegenomen of dat u query's kunt uitvoeren met behulp van de CLI.

az acr show-usage -n myregistry

Verwijder de installatiekopieën met behulp van de Azure CLI of portal en controleer het bijgewerkte gebruik over een paar minuten.

az acr repository delete -n myregistry --image 1gb

U moet de Azure CLI-container uitvoeren door de Docker-socket te koppelen:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

Installeer het volgende dockerin de container:

apk --update add docker

Verifieer vervolgens met uw register:

az acr login -n MyRegistry

Schakel TLS 1.2 in met behulp van een recente Docker-client (versie 18.03.0 en hoger).

Ja, u kunt vertrouwde installatiekopieën gebruiken in Azure Container Registry, omdat de Docker Notary is geïntegreerd en kan worden ingeschakeld. Zie Content Trust in Azure Container Registry voor meer informatie.

Waar bevindt het bestand zich voor de vingerafdruk?

Onder ~/.docker/trust/tuf/myregistry.azurecr.io/myrepository/metadata:

• Openbare sleutels en certificaten van alle rollen (behalve delegatierollen) worden opgeslagen in de root.json.
• Openbare sleutels en certificaten van de delegatierol worden opgeslagen in het JSON-bestand van de bovenliggende rol (bijvoorbeeld targets.json voor de targets/releases rol).

Het wordt aangeraden om deze openbare sleutels en certificaten te verifiëren na de algehele TUF-verificatie die is uitgevoerd door de Docker- en Notary-client.

ACR ondersteunt aangepaste rollen die verschillende machtigingsniveaus bieden. AcrPull AcrPush Met name met rollen kunnen gebruikers installatiekopieën ophalen en/of pushen zonder de machtiging om de registerresource in Azure te beheren.

• Azure Portal: uw register -> Toegangsbeheer (IAM) -> Toevoegen (selecteren AcrPull of AcrPush voor de rol).

• Azure CLI: zoek de resource-id van het register door de volgende opdracht uit te voeren:

  az acr show -n myRegistry
  

  Vervolgens kunt u de AcrPull of AcrPush rol toewijzen aan een gebruiker (in het volgende voorbeeld wordt gebruikgemaakt AcrPullvan):

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Of wijs de rol toe aan een service-principal die is geïdentificeerd door de toepassings-id:

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

De toegewezen gebruiker kan vervolgens installatiekopieën in het register verifiëren en openen.

• Ga als volgende te werk om te verifiëren bij een register:

  az acr login -n myRegistry 
  

• Opslagplaatsen weergeven:

  az acr repository list -n myRegistry
  

• Een afbeelding ophalen:

  docker pull myregistry.azurecr.io/hello-world
  

Met het gebruik van alleen de AcrPull of AcrPush rol heeft de toegewezen gebruiker niet de machtiging om de registerresource in Azure te beheren. Het register wordt bijvoorbeeld az acr list az acr show -n myRegistry niet weergegeven.

Quarantaine van afbeeldingen is momenteel een preview-functie van ACR. U kunt de quarantainemodus van een register inschakelen, zodat alleen de installatiekopieën die de beveiligingsscan hebben doorstaan zichtbaar zijn voor normale gebruikers. Zie de ACR GitHub-opslagplaats voor meer informatie.

Zie Uw registerinhoud openbaar beschikbaar maken voor meer informatie.

Een niet-te distribueren laag in een manifest bevat een URL-parameter waaruit inhoud kan worden opgehaald. Sommige mogelijke gebruiksvoorbeelden voor het inschakelen van niet-distribueerbare laagpushingen zijn voor netwerkregisters met beperkte toegang, of voor registers zonder internetverbinding.

Als u bijvoorbeeld NSG-regels hebt ingesteld, zodat een VIRTUELE machine alleen installatiekopieën kan ophalen uit uw Azure-containerregister, haalt Docker fouten op voor externe/niet-distribueerbare lagen. Een Windows Server Core-installatiekopie bevat bijvoorbeeld verwijzingen naar refererende lagen naar het Azure-containerregister in het manifest en kan dit scenario niet ophalen.

Pushen van niet-distribueerbare lagen inschakelen:

1. Bewerk het daemon.json bestand, dat zich op /etc/docker/ Linux-hosts en op C:\ProgramData\docker\config\daemon.json Windows Server bevindt. Ervan uitgaande dat het bestand eerder leeg was, voegt u de volgende inhoud toe:

   {
     "allow-nondistributable-artifacts": ["myregistry.azurecr.io"]
   }
   

   Notitie

   De waarde is een matrix van registeradressen, gescheiden door komma's.

2. Sla het bestand op en sluit het af.

3. Start Docker opnieuw.

Wanneer u installatiekopieën naar de registers in de lijst pusht, worden de niet-distribueerbare lagen naar het register gepusht.

Zie De status van een Azure-containerregister controleren om veelvoorkomende omgevings- en registerproblemen op te lossen.

• Als deze fout een tijdelijk probleem is, slaagt het opnieuw.
• Als docker pull dit continu mislukt, kan er een probleem zijn met de Docker-daemon. Het probleem kan over het algemeen worden verholpen door de Docker-daemon opnieuw op te starten.
• Als u dit probleem blijft zien nadat u Docker-daemon opnieuw hebt opgestart, kan het probleem enkele problemen met de netwerkverbinding met de computer zijn. Als u wilt controleren of het algemene netwerk op de computer in orde is, voert u de volgende opdracht uit om de connectiviteit van het eindpunt te testen. De minimale az acr versie die deze connectiviteitscontroleopdracht bevat, is 2.2.9. Voer een upgrade uit van uw Azure CLI als u een oudere versie gebruikt.

az acr check-health -n myRegistry

• U moet altijd een mechanisme voor opnieuw proberen hebben voor alle Docker-clientbewerkingen.

Gebruik het snelheidsprogramma om de downloadsnelheid van uw computernetwerk te testen. Als het computernetwerk traag is, kunt u overwegen om azure-VM in dezelfde regio als uw register te gebruiken om de netwerksnelheid te verbeteren.

Gebruik het snelheidsprogramma om de uploadsnelheid van uw computernetwerk te testen. Als het computernetwerk traag is, kunt u overwegen om azure-VM in dezelfde regio als uw register te gebruiken om de netwerksnelheid te verbeteren.

Deze fout kan optreden met de Red Hat-versie van de Docker-daemon, waarbij --signature-verification deze standaard is ingeschakeld. U kunt de Docker-daemonopties voor Red Hat Enterprise Linux (RHEL) of Fedora controleren door de volgende opdracht uit te voeren:

grep OPTIONS /etc/sysconfig/docker

Fedora 28 Server heeft bijvoorbeeld de volgende docker daemon-opties:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Als --signature-verification=false deze ontbreekt, docker pull mislukt het met een fout die vergelijkbaar is met:

Trying to pull repository myregistry.azurecr.io/myimage ...
unauthorized: authentication required

Los deze fout als volgt op:

1. Voeg de optie --signature-verification=false toe aan het configuratiebestand /etc/sysconfig/dockervan de Docker-daemon. Voorbeeld:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Start de Docker-daemon-service opnieuw door de volgende opdracht uit te voeren:

   sudo systemctl restart docker.service
   

Details van --signature-verification kunt u vinden door uit te voeren man dockerd.

Zorg ervoor dat u een url van alle kleine letters van de server gebruikt, bijvoorbeeld, docker push myregistry.azurecr.io/myimage:latestzelfs als de naam van de registerresource hoofdletters of gemengde hoofdletters is, zoals myRegistry.

Begin dockerd met de debug optie. Maak eerst het Docker-daemon-configuratiebestand (/etc/docker/daemon.json) als dit niet bestaat en voeg de debug optie toe:

{    
    "debug": true    
}

Start vervolgens de daemon opnieuw. Bijvoorbeeld met Ubuntu 14.04:

sudo service docker restart

Meer informatie vindt u in de Docker-documentatie.

• De logboeken kunnen op verschillende locaties worden gegenereerd, afhankelijk van uw systeem. Voor Ubuntu 14.04 is het /var/log/upstart/docker.logbijvoorbeeld .
  Raadpleeg de Docker-documentatie voor meer informatie.

• Voor Docker voor Windows worden de logboeken gegenereerd onder %LOCALAPPDATA%/docker/. Het kan echter nog niet alle foutopsporingsgegevens bevatten.

  Als u toegang wilt krijgen tot het volledige daemon-logboek, hebt u mogelijk enkele extra stappen nodig:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  U hebt nu toegang tot alle bestanden van de vm die wordt uitgevoerd dockerd. Het logboek bevindt zich op /var/log/docker.log.

Wanneer u nieuwe machtigingen (nieuwe rollen) aan een service-principal verleent, wordt de wijziging mogelijk niet onmiddellijk van kracht. Er zijn twee mogelijke redenen:

• Vertraging in roltoewijzing van Microsoft Entra. Normaal gesproken is het snel, maar het kan minuten duren vanwege de doorgiftevertraging.

• Het kan tot 10 minuten duren voordat de machtigingsvertraging op de ACR-tokenserver duurt. U kunt docker logout dit beperken door na 1 minuut opnieuw te verifiëren met dezelfde gebruiker:

  docker logout myregistry.azurecr.io
  docker login myregistry.azurecr.io
  

Op dit moment biedt ACR geen ondersteuning voor het verwijderen van thuisreplicatie door de gebruikers. De tijdelijke oplossing is om het maken van de basisreplicatie in de sjabloon op te nemen, maar het maken ervan over te slaan door toe te voegen "condition": false , zoals hieronder wordt weergegeven:

{
    "name": "[concat(parameters('acrName'), '/', parameters('location'))]",
    "condition": false,
    "type": "Microsoft.ContainerRegistry/registries/replications",
    "apiVersion": "2017-10-01",
    "location": "[parameters('location')]",
    "properties": {},
    "dependsOn": [
        "[concat('Microsoft.ContainerRegistry/registries/', parameters('acrName'))]"
     ]
},

Er kan een InvalidAuthenticationInfo fout optreden, met name het gebruik van het curl hulpprogramma met de optie -L( --location om omleidingen te volgen). Bijvoorbeeld het ophalen van de blob met -L behulp van curl optie en basisverificatie:

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

kan resulteren in het volgende antwoord:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

De hoofdoorzaak is dat sommige curl implementaties omleidingen volgen met headers van de oorspronkelijke aanvraag.

Als u het probleem wilt oplossen, moet u de omleidingen handmatig volgen zonder de headers. Druk de antwoordheaders af met de -D - optie van curl en pak deze vervolgens uit: de Location koptekst:

REDIRECT_URL=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $REDIRECT_URL

Als u de Microsoft Edge/IE-browser gebruikt, kunt u maximaal 100 opslagplaatsen of tags zien. Als uw register meer dan 100 opslagplaatsen of tags bevat, raden we u aan om firefox of Chrome te gebruiken om ze allemaal weer te geven.

Mogelijk kan de browser de aanvraag voor het ophalen van opslagplaatsen of tags niet verzenden naar de server. Er kunnen verschillende redenen zijn, zoals:

• Gebrek aan netwerkconnectiviteit
• Firewall
• De portal gebruiken vanuit een openbaar netwerk voor een register dat alleen privétoegang toestaat
• Advertentieblokkeringen
• DNS-fouten

Neem contact op met uw netwerkbeheerder of controleer de netwerkconfiguratie en -connectiviteit. Voer de Azure CLI uit az acr check-health -n yourRegistry om te controleren of uw omgeving verbinding kan maken met het Container Registry. Daarnaast kunt u ook een incognito- of privésessie in uw browser proberen om verouderde browsercache of cookies te voorkomen.

Hier volgen enkele scenario's waarbij bewerkingen mogelijk niet zijn toegestaan:

• Klassieke registers worden niet meer ondersteund. Voer een upgrade uit naar een ondersteunde servicelaag met behulp van az acr update of Azure Portal.
• De installatiekopieën of opslagplaatsen zijn mogelijk vergrendeld, zodat deze niet kunnen worden verwijderd of bijgewerkt. U kunt de opdracht az acr repository show gebruiken om de huidige kenmerken weer te geven.
• Sommige bewerkingen zijn niet toegestaan als de installatiekopieën in quarantaine zijn. Meer informatie over quarantaine.
• Het register heeft mogelijk de opslaglimiet bereikt.

Als er een fout wordt weergegeven, zoals 'niet-ondersteunde indeling van opslagplaats', 'ongeldige indeling' of 'de aangevraagde gegevens bestaan niet' wanneer u een opslagplaatsnaam opgeeft in opslagplaatsbewerkingen, controleert u de spelling en het geval van de naam. Geldige namen van opslagplaatsen kunnen alleen alfanumerieke tekens in kleine letters, punten, streepjes, onderstrepingstekens en slashes bevatten.

Vereisten

• Https ontsleutelen inSchakelen in Fiddler
• Schakel Docker in om een proxy te gebruiken via de Docker-gebruikersinterface.
• Vergeet niet om terug te keren wanneer u klaar bent. Docker werkt niet met deze functie en Fiddler wordt niet uitgevoerd.

Windows-containers

Docker-proxy configureren op 127.0.0.1:8888

Linux-containers

Zoek het IP-adres van de virtuele Docker-VM-switch:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Configureer de Docker-proxy voor uitvoer van de vorige opdracht en poort 8888 (bijvoorbeeld 10.0.75.1:8888)

Met de volgende opdrachten worden alle actieve taken in het opgegeven register geannuleerd.

az acr task list-runs -r $myregistry --run-status Running --query '[].runId' -o tsv \
| xargs -I% az acr task cancel-run -r $myregistry --run-id %

Als u een lokale bronmap doorgeeft aan de az acr build opdracht, wordt de .git map standaard uitgesloten van het geüploade pakket. U kunt een .dockerignore bestand maken met de volgende instelling. Hiermee wordt de opdracht voor het herstellen van alle bestanden in .git het geüploade pakket aangegeven.

!.git/**

Deze instelling is ook van toepassing op de az acr run opdracht.

GitLab wordt momenteel niet ondersteund voor brontriggers.

Probleemoplossing voor het uitvoeren van foutberichten

CI/CD-integratie

• CircleCI
• GitHub Actions

Stel de juiste firewallregels in voor de bestaande netwerkbeveiligingsgroepen of door de gebruiker gedefinieerde routes. Wacht na de installatie enkele minuten totdat de firewallregels zijn toegepast.

Met het volgende ingebouwde Azure-beleid, wanneer dit is ingesteld op de respectieve beleidsstatus, kan de gebruiker geen beheerdersgebruiker in het register inschakelen.

Volgende stappen

• Meer informatie over Azure Container Registry.