禁止从私有注册表访问进行 AWS EB docker-compose 部署

分类:编程问答

如何解决禁止从私有注册表访问进行 AWS EB docker-compose 部署

我正在尝试将 docker-compose 部署到 AWS Elastic Beanstalk 工作,其中 docker 镜像是从 GitLab 托管的私有注册表中提取的。

奇怪的是初始部署完美无缺;它从私有注册表中拉取镜像并使用 docker-compose 启动容器,并且可以通过主机访问网页(由 Django 提供)。

使用相同的 docker-compose 和相同的 docker 镜像部署新版本会导致拉取 docker 镜像时出错:

2021/03/16 09:28:34.957094 [ERROR] An error occurred during execution of command [app-deploy] - [Run Docker Container]. Stop running the command. Error: failed to run docker containers: Command /bin/sh -c docker-compose up -d failed with error exit status 1. Stderr:Building with native build. Learn about native build in Compose here: https://docs.docker.com/go/compose-native-build/
Creating network "current_default" with the default driver
Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest(registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
 

2021/03/16 09:28:34.957104 [INFO] Executing cleanup logic

设置

AWS Elastic Beanstalk 64 位 Amazon Linux 2/3.2

Gitlab 注册表凭证存储在 S3 存储桶中,文件名为 .dockercfg 并具有以下内容:

{
        "auths": {
                "registry.gitlab.com": {
                        "auth": "base64 encoded username:personal_access_token"
                }
        },"HttpHeaders": {
                "User-Agent": "Docker-Client/18.03.1-ce (linux)"
        }
}

存储库包含一个 v3 Dockerrun.aws.json 文件,用于引用 S3 中的凭证文件:

{
  "AWSEBDockerrunVersion": "3","Authentication": {
    "bucket": "gitlab-dockercfg","key": ".dockercfg"
  }
}

复制

设置 docker-compose.yml 使用带有私有 docker 镜像的服务(并且可以使用 S3 中 dockercfg 中的凭据设置拉取)

创建一个使用 docker-platform 的新应用程序。

eb init testapplication --platform=docker --region=eu-west-1

注意:区域必须与包含 dockercfg 的 S3 存储桶相同。

初始部署(这会成功)

eb create testapplication-test --branch_default --cname testapplication-test --elb-type=application --instance-types=t2.micro --min-instance=1 --max-instances=4

初始部署显示镜像可用,可以启动:

2021/03/16 08:58:07.533988 [INFO] save docker tag command: docker tag 5812dfe24a4f redis:alpine
2021/03/16 08:58:07.533993 [INFO] save docker tag command: docker tag f8fcde8b9ae2 mysql:5.7
2021/03/16 08:58:07.533998 [INFO] save docker tag command: docker tag 1dd9b65d6a9f registry.gitlab.com/company/spikes/dockertest:latest
2021/03/16 08:58:07.534010 [INFO] Running command /bin/sh -c docker rm `docker ps -aq`

不对本地存储库和私有注册表上的远程 docker 映像进行任何更改,让我们进行重新部署,这将触发错误:

eb deploy testapplication-test

这将失败并显示以下输出:

...
2021-03-16 10:02:28    INFO    Command execution completed on all instances. Summary: [Successful: 0,Failed: 1].
2021-03-16 10:02:29    ERROR   Unsuccessful command execution on instance id(s) 'i-0dc445d118ac14b80'. Aborting the operation.
2021-03-16 10:02:29    ERROR   Failed to deploy application.        
                                                                      
ERROR: ServiceError - Failed to deploy application.

实例的日志显示(/var/log/eb-engine.log):

Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest (registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
 

2021/03/16 10:02:25.902479 [INFO] Executing cleanup logic

我尝试调试或解决问题的步骤

  • 在 S3 上将 dockercfg 重命名为 .dockercfg(互联网上某处提到作为可能的解决方案)
  • 使用“旧”的 docker 配置格式,而不是 docker 1.7+ 生成的格式。但后来我发现 Amazon Linux 2-instances 与 Dockerrun v3 一起兼容新格式
  • 在 S3 上使用格式不正确的 dockercfg 将导致有关格式错误的文件的错误部署(因此它实际上对来自 S3 的 dockercfg 执行了一些操作)

文档

我没有调试选项,我不知道去哪里进一步调试这个问题。也许有人可以看到这里出了什么问题?

解决方法

首先,上述问题是亚马逊确认的错误。为了让部署在我们这边工作,我们已经联系了亚马逊支持。 他们有一个应该在本月发布的修复程序,所以请密切关注 Elastic beanstalk 平台的更新日志:https://docs.aws.amazon.com/elasticbeanstalk/latest/relnotes/relnotes.html

尽管即将发布的版本应该会修复,但有一种解决方法可以让 docker-compose 部署正常工作。

Elastic Beanstalk 允许在部署中执行钩子,可用于从 S3 存储桶中获取 .docker.cfg 以针对私有注册表进行身份验证。 为此,请从项目的根目录创建以下文件和目录:

文件位置:.platform/hooks/predeploy/docker_login

#!/bin/bash
aws s3 cp s3://{{bucket_name_to_use}}/.dockercfg ~/.docker/config.json

重要:为此文件添加执行权限(例如:chmod +x .platform/hooks/predeploy/docker_login

要支持实例配置更改,请将 hooks 目录符号链接到 confighooks

ln -s .platform/hooks/ .platform/confighooks/

更新配置也需要获取 .dockercfg 凭据。

这应该能够在没有身份验证错误的情况下持续部署到同一个 EB 实例,因为挂钩将在 docker 镜像拉取之前执行。

一些背景: 在传统的 linux 系统上,docker 守护进程默认从 ~/.docker/config 读取凭据。在初始部署时,此文件将存在于 Elastic Beanstalk 实例中。在下一次部署时,此文件将被删除。不幸的是,在下一次部署中,不会重新获取 .dockercfg,因此 docker 守护程序没有正确的凭据来进行身份验证。

,

我在尝试从私人托管的 GitLab 实例中提取图像时遇到了同样的错误。我能够通过在 auth 文件的 .dockercfg 字段中包含与生成的令牌相关联的电子邮件地址来解决这些问题。

以下文件格式对我有用:

   "registry.gitlab.com" {
       "auth": "base64 encoded username:personal_access_token","email": "email for personal access token"
   }

在我的例子中,我使用了一个 Project Access Token,它在创建后有一个关联的电子邮件地址。

Elastic Beanstalk 文档中用于身份验证文件 here 的文件格式表明这是必需的文件格式,尽管它说需要这种格式的版本几乎肯定已经过时,因为我们正在运行Docker ^19

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐

导入项目后报错问题
依赖报错 idea导入项目后依赖报错,解决方案:https://blog.csdn.net/weixin_42420249/article/details/81191861 依赖版本报错:更换其他版本 无法下载依赖可参考:https://blog.csdn.net/weixin_42628809/a
idea不能识别yaml文件
使用mybatis plus常见错误
错误1:代码生成器依赖和mybatis依赖冲突 启动项目时报错如下 2021-12-03 13:33:33.927 ERROR 7228 [ main] o.s.b.d.LoggingFailureAnalysisReporter : *************************** APPL
gradle常见问题与错误
错误1:gradle项目控制台输出为乱码 # 解决方案:https://blog.csdn.net/weixin_43501566/article/details/112482302 # 在gradle-wrapper.properties 添加以下内容 org.gradle.jvmargs=-Df
Mybatis Plus传入参数0不起作用
错误还原:在查询的过程中,传入的workType为0时,该条件不起作用 <select id="xxx"> SELECT di.id, di.name, di.work_type, di.updated... <where> <if test=&qu
linux中make编译源码包失败
报错如下,gcc版本太低 ^ server.c:5346:31: 错误:‘struct redisServer’没有名为‘server_cpulist’的成员 redisSetCpuAffinity(server.server_cpulist); ^ server.c: 在函数‘hasActiveC
微服务启动错误:Command line is too long. Shorten command line for
解决方案1 1、改项目中.idea/workspace.xml配置文件,增加dynamic.classpath参数 2、搜索PropertiesComponent,添加如下 <property name="dynamic.classpath" value="tru
vue常见错误
删除根组件app.vue中的默认代码后报错:Module Error (from ./node_modules/eslint-loader/index.js): 解决方案:关闭ESlint代码检测,在项目根目录创建vue.config.js,在文件中添加 module.exports = { lin
spark常见错误
查看spark默认的python版本 [root@master day27]# pyspark /home/software/spark-2.3.4-bin-hadoop2.7/conf/spark-env.sh: line 2: /usr/local/hadoop/bin/hadoop: No s
matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd import matplotlib.pyplot as plt # 设置字体 plt.rcParams['font.sans-serif'] = ['SimHei'] # 能正确显示负号 p
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:controller层有一个接口,访问该接口时报错:Request method ‘DELETE‘ not supported 错误原因:没有接收到前端传入的参数,修改为如下 参考 错误2:cannot r
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon: driver failed programming external connectivity on endpoint quirky_allen 解决方法:重启docker -> systemctl r
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Altʾnter快捷键,选择第2项 参考:https://blog.csdn.net/shi_hong_fei_hei/article/details/88814070 错误2:启动时报错,不能找到主启动类 #
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirement already satisfied: pip in c:\users\ychen\appdata\local\programs\python\python310\lib\site-packages (22.0.4) Coll
maven常见错误
错误1:maven打包报错 错误还原:使用maven打包项目时报错如下 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-resources-plugin:3.2.0:resources (default-resources)
cloud项目中常见错误
错误1:服务调用时报错 服务消费者模块assess通过openFeign调用服务提供者模块hires 如下为服务提供者模块hires的控制层接口 @RestController @RequestMapping("/hires") public class FeignControl
springboot常见错误
错误1:运行项目后报如下错误 解决方案 报错2:Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.8.1:compile (default-compile) on project sb 解决方案:在pom.
springmvc拦截器中使用redisTemplate报空指针异常
参考 错误原因 过滤器或拦截器在生效时,redisTemplate还没有注入 解决方案:在注入容器时就生效 @Component //项目运行时就注入Spring容器 public class RedisBean { @Resource private RedisTemplate<String
vite报错:npm ERR! command C:WINDOWSsystem32cmd.exe /d /s /c C:UsersychenAppDataLocalTempnpx-dde1c848.cmd
使用vite构建项目报错 C:\Users\ychen\work>npm init @vitejs/app @vitejs/create-app is deprecated, use npm init vite instead C:\Users\ychen\AppData\Local\npm-
pythonJavaScriptjavaHTMLPHPreactjsC#AndroidCSSNode.jssqlrpython-3.xMysqLjQueryc++pandasFlutterangularIOSdjangolinuxswifttypescript路由器JSON路由器设置无线路由器h3c华三华三路由器设置华三路由器电脑软件教程arraysdocker软件图文教程Cvue.jslaravelspring-boot