AWS EB docker-compose 部署从私有注册表访问被禁止

Question

我正在尝试将 docker-compose 部署到 AWS Elastic Beanstalk 工作，其中 docker 图像是从 GitLab 托管的私有注册表中提取的。

奇怪的是，初始部署完美无缺。 它从私有注册表中提取图像并使用 docker-compose 启动容器，并且可以通过主机访问网页（由 Django 提供服务）。

使用相同的 docker-compose 和相同的 docker 映像部署新版本将导致在拉取 docker 映像时出错：

2021/03/16 09:28:34.957094 [ERROR] An error occurred during execution of command [app-deploy] - [Run Docker Container]. Stop running the command. Error: failed to run docker containers: Command /bin/sh -c docker-compose up -d failed with error exit status 1. Stderr:Building with native build. Learn about native build in Compose here: https://docs.docker.com/go/compose-native-build/
Creating network "current_default" with the default driver
Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest(registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
 

2021/03/16 09:28:34.957104 [INFO] Executing cleanup logic

设置

AWS Elastic Beanstalk 64 位亚马逊 Linux 2/3.2

Gitlab 注册表凭证存储在 S3 存储桶中，文件.dockercfg ，内容如下：

{
        "auths": {
                "registry.gitlab.com": {
                        "auth": "base64 encoded username:personal_access_token"
                }
        },
        "HttpHeaders": {
                "User-Agent": "Docker-Client/18.03.1-ce (linux)"
        }
}

该存储库包含一个 v3 Dockerrun.aws.json文件以引用 S3 中的凭证文件：

{
  "AWSEBDockerrunVersion": "3",
  "Authentication": {
    "bucket": "gitlab-dockercfg",
    "key": ".dockercfg"
  }
}

复制

设置 docker-compose.yml 使用具有私有 docker 映像的服务（并且可以使用 S3 中 dockercfg 中的凭据设置拉取）

创建一个使用 docker-platform 的新应用程序。

eb init testapplication --platform=docker --region=eu-west-1

注意：区域必须与包含 dockercfg 的 S3 存储桶相同。

初始部署（这将成功）

eb create testapplication-test --branch_default --cname testapplication-test --elb-type=application --instance-types=t2.micro --min-instance=1 --max-instances=4

初始部署显示镜像可用，可以启动：

2021/03/16 08:58:07.533988 [INFO] save docker tag command: docker tag 5812dfe24a4f redis:alpine
2021/03/16 08:58:07.533993 [INFO] save docker tag command: docker tag f8fcde8b9ae2 mysql:5.7
2021/03/16 08:58:07.533998 [INFO] save docker tag command: docker tag 1dd9b65d6a9f registry.gitlab.com/company/spikes/dockertest:latest
2021/03/16 08:58:07.534010 [INFO] Running command /bin/sh -c docker rm `docker ps -aq`

在不对本地存储库和私有注册表上的远程 docker 映像进行任何更改的情况下，让我们进行重新部署，这将触发错误：

eb deploy testapplication-test

这将失败，出现以下 output：

...
2021-03-16 10:02:28    INFO    Command execution completed on all instances. Summary: [Successful: 0, Failed: 1].
2021-03-16 10:02:29    ERROR   Unsuccessful command execution on instance id(s) 'i-0dc445d118ac14b80'. Aborting the operation.
2021-03-16 10:02:29    ERROR   Failed to deploy application.        
                                                                      
ERROR: ServiceError - Failed to deploy application.

并且实例的日志显示（ /var/log/eb-engine.log ）：

Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest (registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
 

2021/03/16 10:02:25.902479 [INFO] Executing cleanup logic

我尝试调试或解决问题的步骤

• 在 S3 上将 dockercfg 重命名为 .dockercfg （互联网上提到的可能的解决方案）
• 使用“旧”docker 配置格式，而不是由 docker 1.7+ 生成的配置格式。 但后来我发现 Amazon Linux 2-instances 与 Dockerrun v3 一起与新格式兼容
• 在 S3 上使用格式不正确的 dockercfg 将导致有关格式错误的文件的错误部署（因此它实际上对 S3 中的 dockercfg 做了一些事情）

文档

• https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/single-container-docker-configuration.html

我没有调试选项，我不知道在哪里可以进一步调试这个问题。 也许有人可以看到这里出了什么问题？

Answer 1

首先，上面描述的问题是亚马逊确认的一个错误。 为了让部署在我们这边工作，我们已经联系了 Amazon 支持。 他们有一个应该在本月发布的修复程序，所以请留意 Elastic beanstalk 平台的更新日志： https://docs.aws.amazon.com/elasticbeanstalk/latest/relnotes/relnotes.html

尽管即将发布的版本应该有修复，但有一种解决方法可以让docker-compose部署工作。

Elastic Beanstalk 允许在部署中执行挂钩，可用于从 S3 存储桶获取.docker.cfg以针对私有注册表进行身份验证。 为此，请从项目的根目录创建以下文件和目录：

文件位置： .platform/hooks/predeploy/docker_login

#!/bin/bash
aws s3 cp s3://{{bucket_name_to_use}}/.dockercfg ~/.docker/config.json

重要：向该文件添加执行权限（例如： chmod +x.platform/hooks/predeploy/docker_login ）

要支持实例配置更改，请将hooks目录符号链接到confighooks ：

ln -s .platform/hooks/ .platform/confighooks/

更新配置也需要获取.dockercfg凭据。

这应该能够持续部署到相同的 EB 实例而不会出现身份验证错误，因为挂钩将在 docker 图像拉取之前执行。

一些背景知识：docker 守护程序在传统 linux 系统上默认从~/.docker/config读取凭据。 在初始部署时，此文件将存在于 Elastic Beanstalk 实例上。 在下一次部署中，此文件将被删除。 不幸的是，在下一次部署中，不会重新获取.dockercfg ，因此 docker 守护程序没有正确的凭据来进行身份验证。

Answer 2

我在尝试从私有托管的 GitLab 实例中提取图像时遇到了同样的错误。 我能够通过包含 email 地址来解决它们，该地址与在.dockercfg文件的auth字段中找到的生成的令牌相关联。

以下文件格式对我有用：

   "registry.gitlab.com" {
       "auth": "base64 encoded username:personal_access_token",
       "email": "email for personal access token"
   } 

在我的例子中，我使用了一个Project Access Token ，它在创建后有一个与之关联的电子邮件地址。

此处的身份验证文件的 Elastic Beanstalk 文档中的文件格式表明这是必需的文件格式，尽管它说需要这种格式的版本几乎肯定已经过时，因为我们正在运行 Docker ^19 。