` `docker pull`从私有gitlab注册表返回`拒绝:访问禁止`

Question

我有一个Dockerfile，它将被实现为一个私有注册表的镜像。我用Docker version 1.12.6, build 78d1802和docker-compose version 1.8.0, build unknown编译这个文件没有任何问题，但是在另一台安装了Docker version 17.06.1-ce, build 874a737和docker-compose version 1.16.1, build 6d1ac21的机器上，docker-compose build返回：

FROM my.private.gitlab.registry:port/image:tag
http://my.private.gitlab.registry:port/v2/docker/image/manifests/tag: denied: access forbidden

docker pull my.private.gitlab.registry:port/image:tag返回相同的结果。

请注意，我试图获取my.private.registry:port/image:tag，但http://my.private.registry:port/v2/docker/image/manifests/tag已被捕获。

Answer 1

如果这是一个经过身份验证的注册表，那么您需要在构建此注册表的机器上运行docker login <registryurl>。

这只需要在每个主机上执行一次。然后，该命令将身份验证缓存到一个文件中

$ cat ~/.docker/config.json
{
    "auths": {
        "https://index.docker.io/v1/": {
            "auth": "......="
        }
    }
}

Answer 2

登录并没有解决我的问题。这可能是特定于Mac的，但为了以防万一，这里是Git issue。

我对它的评论是：

也遇到了这个问题。

Dockerfile：

FROM <insert_private_registry>/test-image:latest

CLI

这两个命令在没有登录到专用注册表的情况下都会失败(预期)

    $ docker-compose up
    Building app
    Step 1/2 : FROM <insert_private_registry>/test-image:latest
    ERROR: Service 'app' failed to build: Get https://<insert_private_registry>/v2/test-image/manifests/latest: denied: access forbidden

    $ docker pull <insert_private_registry>/test-image:latest
    Error response from daemon: Get https://<insert_private_registry>/test-image/manifests/latest: denied: access forbidden

登录后，当docker-compose up拉取镜像失败时，docker pull ...可以正常工作：

    $ docker login <insert_private_registry>
    Username: <insert>
    Password: <insert>
    Login Succeeded

    $ docker-compose up
    Building app
    Step 1/2 : FROM <insert_private_registry>/test-image:latest
    ERROR: Service 'app' failed to build: Get https://<insert_private_registry>/v2/test-image/manifests/latest: denied: access forbidden

    $ docker pull <insert_private_registry>/test-image:latest
    latest: Pulling from <insert_private_image_path>/test-image
    ...
    Status: Downloaded newer image for <insert_private_registry>/test-image:latest

当前解决方案

我们目前的解决方法是在运行docker-compose容器之前显式拉取图像：

    docker pull <insert_private_registry>/test-image:latest
    latest: Pulling from <insert_private_image_path>/test-image
    ...
    Status: Downloaded newer image for <insert_private_registry>/test-image:latest

    $ docker-compose up
    Building app
    Step 1/2 : FROM <insert_private_registry>/test-image:latest
    ...

Answer 3

我注意到您的URL方案使用http协议- Docker需要配置为允许不安全的注册表。

创建或修改daemon.json (需要在以下位置之一)：

Linux：/etc/docker/

Windows：C:\ProgramData\Docker\config\

内容如下：

{
    "insecure-registries" : [ "my.private.gitlab.registry:port" ]
}

然后重启Docker (不仅仅是终端会话)并重试。

一旦您使用以下命令登录：

docker login my.private.gitlab.registry:port

根据tarun-lalwani的回答，这应该将身份验证添加到配置中，以供将来使用(docker pull的等)。