Часто задаваемые вопросы о Реестре контейнеров Azure

Да. Вот шаблон, который можно использовать для создания реестра.

Да. См. документацию из Microsoft Defender для облака, Twistlock и Aqua.

См. документацию по Kubernetes и инструкции для Службы Azure Kubernetes.

Перед получением учетных данных администратора убедитесь в том, что администратор реестра включен.

Получение учетных данных с помощью Azure CLI:

az acr credential show -n myRegistry

С помощью Azure PowerShell:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Перед получением учетных данных администратора убедитесь в том, что администратор реестра включен.

Получение первого пароля:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

Получение второго пароля:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

Эта ошибка возникает, когда у пользователя есть разрешения на доступ к реестру, но нет разрешений для чтения подписки. Чтобы решить эту проблему, назначьте пользователю разрешения читателя для подписки:

az role assignment create --role "Reader" --assignee user@contoso.com --scope /subscriptions/<subscription_id> 

Распространение изменений, внесенных в правила брандмауэра, занимает некоторое время. После изменения параметров брандмауэра подождите несколько минут, прежде чем проверять это изменение.

ACR поддерживает API HTTP для реестра Docker версии 2. Доступ к API можно получить по адресу https://<your registry login server>/v2/. Пример: https://mycontainerregistry.azurecr.io/v2/

Если вы используете bash:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry ---image myRepository@%

Для PowerShell:

az acr manifest list-metadata --name myRepository --repository myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

Дополнительные сведения см. в статье Удаление образов контейнеров в службе "Реестр контейнеров Azure".

Такая ситуация может возникнуть, если другие образы контейнеров по-прежнему ссылаются на базовые слои. Если удалить образ без ссылок, данные по использованию реестра будут обновлены через несколько минут.

Создайте образ с уровнем 1 ГБ, используя приведенный ниже файл Docker. В результате образ будет иметь уровень, который не используется ни одним другим образом в реестре.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Выполните сборку образа и отправьте его в реестр с помощью CLI Docker.

docker build -t myregistry.azurecr.io/1gb:latest .
docker push myregistry.azurecr.io/1gb:latest

Вы можете увидеть, что использование хранилища увеличилось, на портале Azure либо запросить данные по использованию с помощью интерфейса CLI.

az acr show-usage -n myregistry

Удалите образ с помощью Azure CLI или портала и проверьте обновленные данные по использованию через несколько минут.

az acr repository delete -n myregistry --image 1gb

Необходимо запустить контейнер Azure CLI, подключив сокет Docker:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

В контейнере установите docker:

apk --update add docker

Затем пройдите проверку подлинности в реестре:

az acr login -n MyRegistry

Включите TLS 1.2 с помощью любого нового клиента Docker (версии не ниже 18.03.0).

Да, вы можете использовать доверенные образы в Реестре контейнеров Azure, так как служба Docker Notary была интегрирована и ее можно включить. Подробные сведения см. в статье Доверие содержимому в Реестре контейнеров Azure.

Где находится файл для отпечатка?

По пути ~/.docker/trust/tuf/myregistry.azurecr.io/myrepository/metadata:

• Открытые ключи и сертификаты всех ролей (за исключением ролей делегирования) хранятся в root.json.
• Открытые ключи и сертификаты роли делегирования хранятся в JSON-файле родительской роли (например, targets.json для роли targets/releases).

Рекомендуется проверить эти открытые ключи и сертификаты после общей проверки TUF, выполненной Docker и клиентом Notary.

ACR поддерживает пользовательские роли, предоставляющие различные уровни разрешений. В частности, роли AcrPull и AcrPush позволяют пользователям получать и отправлять образы без разрешения на управление ресурсом реестра в Azure.

• Портал Azure: ваш реестр -> Управление доступом (IAM) -> Добавить (выберите роль AcrPull или AcrPush).

• Azure CLI: найдите идентификатор ресурса реестра, выполнив следующую команду:

  az acr show -n myRegistry
  

  Затем можно назначить пользователю роль AcrPull или AcrPush (в следующем примере используется AcrPull):

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Можно также назначить роль субъекту-службе, определяемому идентификатором приложения:

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

После этого пользователь с ролью сможет проходить проверку подлинности и получать доступ к образам в реестре.

• Проверка подлинности в реестре:

  az acr login -n myRegistry 
  

• Вывод списка репозиториев:

  az acr repository list -n myRegistry
  

• Получение образа:

  docker pull myregistry.azurecr.io/hello-world
  

При использовании только роли AcrPull или AcrPush у пользователя нет разрешения на управление ресурсом реестра в Azure. Например, с помощью команды az acr list или az acr show -n myRegistry нельзя просмотреть реестр.

В настоящее время помещение образов в карантин — это предварительная версия функции в ACR. Вы можете включить режим карантина для реестра, чтобы обычным пользователям были видны только те образы, которые успешно прошли проверку безопасности. Подробные сведения см. в репозитории ACR в GitHub.

Дополнительные сведения см. в разделе Обеспечение общедоступного содержимого реестра.

Нераспространяемый слой в манифесте содержит параметр URL-адреса, из которого может быть получено содержимое. Некоторые возможные варианты использования предназначены для реестров с ограниченным сетевым доступом, реестров, отключенных от Интернета, с ограниченным доступом или реестров без доступа к Интернету.

Например, если правила NSG у вас настроены таким образом, чтобы виртуальная машина могла извлекать образы только из реестра контейнеров Azure, Docker будет выдавать сбои для внешних и нераспространяемых слоев. Например, образ Windows Server Core будет содержать ссылки на внешние слои в реестр контейнеров Azure в своем манифесте и не будет доступен для извлечения в этом сценарии.

Чтобы включить отправку нераспространяемых слоев, выполните следующие действия:

1. Измените файл daemon.json, который находится в /etc/docker/ на узлах Linux и в C:\ProgramData\docker\config\daemon.json на Windows Server. Если до этого файл был пустым, добавьте следующее содержимое:

   {
     "allow-nondistributable-artifacts": ["myregistry.azurecr.io"]
   }
   

   Примечание.

   Значение представляет собой массив адресов реестра, разделенных запятыми.

2. Сохраните и закройте файл.

3. Перезапустите Docker.

При отправке образов в реестры из списка их нераспространяемые слои отправляются в реестр.

Сведения об устранении распространенных проблем среды и реестра см. в статье Проверка работоспособности реестра контейнеров Azure.

• Если эта ошибка является временной, повторная попытка завершится успешно.
• Если команда docker pull постоянно завершается сбоем, возможно, имеется проблема с управляющей программой Docker. Как правило, такую проблему можно устранить путем перезапуска управляющей программы Docker.
• Если эта проблема не пропадает после перезапуска управляющей программы Docker, она может быть связана с неполадками сетевого подключения на компьютере. Чтобы проверить общую работоспособность сети на компьютере, выполните приведенную ниже команду для проверки подключения к конечной точке. Минимальная версия az acr, содержащая эту команду проверки подключения, — 2.2.9. Если используется более старая версия, обновите Azure CLI.

az acr check-health -n myRegistry

• Все операции клиента Docker должны предусматривать механизм повторного выполнения.

Используйте это средство для проверки скорости скачивания по сети на компьютере. Если сетевое подключение компьютера работает медленно, попробуйте использовать виртуальную машину Azure в том же регионе, что и реестр, чтобы увеличить скорость сети.

Используйте это средство для проверки скорости отправки по сети на компьютере. Если сетевое подключение компьютера работает медленно, попробуйте использовать виртуальную машину Azure в том же регионе, что и реестр, чтобы увеличить скорость сети.

Эта ошибка может возникать при использовании версии Red Hat управляющей программы Docker, в которой параметр --signature-verification включен по умолчанию. Проверить параметры управляющей программы Docker для Red Hat Enterprise Linux (RHEL) или Fedora можно с помощью следующей команды:

grep OPTIONS /etc/sysconfig/docker

Например, Fedora 28 Server имеет следующие параметры управляющей программы Docker:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

При отсутствии --signature-verification=false команда docker pull завершается ошибкой наподобие следующей:

Trying to pull repository myregistry.azurecr.io/myimage ...
unauthorized: authentication required

Чтобы устранить эту ошибку, сделайте следующее:

1. Добавьте параметр --signature-verification=false в файл конфигурации управляющей программы Docker /etc/sysconfig/docker. Например:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Перезапустите службу управляющей программы Docker, выполнив следующую команду:

   sudo systemctl restart docker.service
   

Чтобы получить подробные сведения о --signature-verification, выполните команду man dockerd.

Убедитесь в том, что используется URL-адрес сервера в нижнем регистре, например docker push myregistry.azurecr.io/myimage:latest, даже если имя ресурса реестра содержит символы в верхнем или смешанном регистре, например myRegistry.

Запустите dockerd с параметром debug. Сначала создайте файл конфигурации управляющей программы Docker (/etc/docker/daemon.json), если его нет, и добавьте параметр debug:

{    
    "debug": true    
}

Затем перезапустите управляющую программу. Например, в Ubuntu 14.04:

sudo service docker restart

Подробные сведения можно найти в документации по Docker.

• Журналы могут создаваться в разных местах в зависимости от используемой системы. Например, в Ubuntu 14.04 это /var/log/upstart/docker.log.
  Подробные сведения см. в документации по Docker.

• Для Docker для Windows журналы создаются в папке %LOCALAPPDATA%/docker/. Однако они пока могут содержать не всю отладочную информацию.

  Для доступа к полному журналу управляющей программы могут потребоваться дополнительные действия:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Теперь у вас есть доступ ко всем файлам виртуальной машины, в которой выполняется dockerd. Журнал находится в файле /var/log/docker.log.

При предоставлении новых разрешений (ролей) субъекту-службе изменение может вступать в силу не сразу. Есть две возможные причины.

• Задержка назначения ролей Microsoft Entra. Обычно оно происходит быстро, но из-за задержки распространения может занимать несколько минут.

• Задержка применения разрешений на сервере токенов ACR может достигать до 10 минут. Чтобы устранить эту проблемы, можно выполнить команду docker logout, а затем снова пройти проверку подлинности с теми же учетными данными через одну минуту:

  docker logout myregistry.azurecr.io
  docker login myregistry.azurecr.io
  

В настоящее время ACR не поддерживает удаление домашней репликации пользователями. В качестве обходного пути можно включить в шаблон команду создания домашней репликации, но пропустить ее создание, добавив "condition": false, как показано ниже:

{
    "name": "[concat(parameters('acrName'), '/', parameters('location'))]",
    "condition": false,
    "type": "Microsoft.ContainerRegistry/registries/replications",
    "apiVersion": "2017-10-01",
    "location": "[parameters('location')]",
    "properties": {},
    "dependsOn": [
        "[concat('Microsoft.ContainerRegistry/registries/', parameters('acrName'))]"
     ]
},

Может возникнуть ошибка InvalidAuthenticationInfo, особенно при использовании средства curl с параметром -L, --location (для поддержки перенаправлений). Например, получение большого двоичного объекта с помощью curl с параметром -L и обычной проверкой подлинности:

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

может привести к следующему ответу:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

Основная причина заключается в том, что некоторые реализации curl поддерживают перенаправления с заголовками из исходного запроса.

Чтобы устранить эту проблему, необходимо выполнять перенаправления вручную без заголовков. Выведите заголовки ответа с параметром -D -curl, а затем извлеките заголовок Location:

REDIRECT_URL=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $REDIRECT_URL

В браузере Microsoft Edge или Internet Explorer отображается не более 100 репозиториев или тегов. Если в реестре более 100 репозиториев или тегов, для вывода их списка рекомендуется использовать браузер Firefox или Chrome.

Возможно, браузеру не удается отправить на сервер запрос на получение репозиториев или тегов. Это может происходить по разным причинам:

• отсутствие подключения к сети;
• Брандмауэр
• Использование портала из общедоступной сети для реестра, который разрешает только частный доступ
• блокировщики рекламы;
• ошибки DNS.

Обратитесь к администратору сети или проверьте конфигурацию сети и подключение. Попробуйте выполнить команду az acr check-health -n yourRegistry в Azure CLI, чтобы проверить, может ли среда подключиться к Реестру контейнеров. Кроме того, в браузере можно попробовать использовать режим инкогнито или частный сеанс, чтобы избежать проблем с устаревшим кэшем или файлами cookie.

Ниже приведены некоторые сценарии, в которых операции могут быть запрещены.

• Классические реестры больше не поддерживаются. Выполните обновление до поддерживаемого уровня служб с помощью команды az acr update или на портале Azure.
• Образ или репозиторий может быть заблокирован, поэтому его нельзя удалить или обновить. Для просмотра текущих атрибутов можно использовать команду az acr repository show .
• Некоторые операции запрещены, если образ находится на карантине. Дополнительные сведения о карантине.
• Возможно, ваш реестр достиг предельного размера хранилища.

Если отображается сообщение об ошибке, такое как "неподдерживаемый формат репозитория", "недопустимый формат" или "запрошенные данные не существуют", при указании имени репозитория в операциях репозитория, проверьте правильность и регистр написания имени. Допустимые имена репозитория могут включать только строчные буквы, цифры, точки, дефисы, подчеркивания и символы косой черты.

Необходимые компоненты

• Включите расшифровку HTTPS в Fiddler.
• Включите в Docker использование прокси-сервера через пользовательский интерфейс Docker.
• По завершении отмените эти изменения. Docker не будет работать, если эта функция включена и Fiddler не запущен.

Контейнеры Windows

Настройка адрес прокси-сервера Docker 127.0.0.1:8888.

Контейнеры Linux

Определите IP-адрес виртуального коммутатора виртуальной машины Docker:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Задайте в качестве адреса прокси-сервера Docker выходные данные предыдущей команды и укажите порт 8888 (например, 10.0.75.1:8888).

Приведенные ниже команды отменяют все выполняемые задачи в указанном реестре.

az acr task list-runs -r $myregistry --run-status Running --query '[].runId' -o tsv \
| xargs -I% az acr task cancel-run -r $myregistry --run-id %

Если передать локальную папку с исходным кодом в команду az acr build, папка .git по умолчанию исключается из отправляемого пакета. Можно создать файл .dockerignore со следующим параметром. Он предписывает команде восстановить все файлы из папки .git в отправляемом пакете.

!.git/**

Этот параметр также применяется к команде az acr run.

В настоящее время GitLab для исходных триггеров не поддерживается.

Устранение ошибок выполнения

Интеграция CI/CD

• CircleCI
• GitHub Actions

Настройте подходящие правила брандмауэров для существующих групп безопасности сети или определяемых пользователем маршрутов. Для применения правил брандмауэра может потребоваться несколько минут.

Следующая встроенная политика Azure (если задано соответствующее состояние политики) блокирует включение администратора в реестре.

Следующие шаги

• Дополнительные сведения о Реестре контейнеров Azure.