当我试图从Quay.io镜像OKD安装镜像时，为什么我得到这个“未授权”的错误？

Question

我一直在致力于在有气隙的环境中安装OKD。第一个主要步骤是镜像OKD镜像，以便它们可以移动到新环境并在本地拉取。我一直在使用OpenShift documentation和this article的组合，以及用于设置证书的this resource。我一直在取得缓慢但持续的进展。

但是，我现在尝试使用以下命令实际镜像文件时遇到了问题

oc adm -a ${LOCAL_SECRET_JSON} release mirror \ 
--from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE}-${ARCHITECTURE} \ 
--to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \ 
--to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE}-${ARCHITECTURE}

我得到了以下鼓舞人心的回应：

info: Mirroring 120 images to host.okd-registry.dns:5000/ocp4/openshift4 ...

然后是blobs:和manifests:行，最后是行

stats: shared=0 unique=7 size=105.3MiB ratio=1.00

然后我得到了大约50行语句

error: unable to retrieve source image quay.io/openshift-release-dev/ocp-v4.0-art-dev manifest
sha256:{some value}: unauthorized: access to the requested resource is not authorized

我有一个码头帐户，但我不确定是否需要，即使在我的研究之后，如果它是，我将在哪里或如何登录。我曾尝试在release结构中使用oc login后跟各种地址来执行此操作，但如果这就是解决方案，我可能使用了错误的参数，因为我找不到任何有关执行此操作的说明。

我还在sudo中尝试了该命令。我怀疑这是一个问题，但我还是试过了。

我想问题可能出在我的证书上，但我不确定如何确定是否是这种情况。

任何指导或建议都将不胜感激。

Answer 1

在我发布这个答案的时候，已经确定OKD文档是不准确的，并指示读者从OCP映像存储库而不是OKD存储库获取，这显然需要额外的凭据。已经记录了一个错误，文档很快就会更新。

镜像镜像的正确环境变量和完整命令如下所示：

LOCAL_REGISTRY=localhost:5000 (or your local domain name and port for the registry)
LOCAL_REPOSITORY=okd
LOCAL_SECRET_JSON=<full path to your pull secret>
OCP_RELEASE=4.5.0-0.okd-2020-10-15-235428
PRODUCT_REPO=openshift
RELEASE_NAME=okd
ARCHITECTURE=not-used-in-okd


oc adm -a ${LOCAL_SECRET_JSON} release mirror \
--from=quay.io/${PRODUCT_REPO}/${RELEASE_NAME}:${OCP_RELEASE} \
--to=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY} \
--to-release-image=${LOCAL_REGISTRY}/${LOCAL_REPOSITORY}:${OCP_RELEASE} --dry-run