[英]AWS EB docker-compose deployment from private registry access forbidden
我正在嘗試將 docker-compose 部署到 AWS Elastic Beanstalk 工作,其中 docker 圖像是從 GitLab 托管的私有注冊表中提取的。
奇怪的是,初始部署完美無缺。 它從私有注冊表中提取圖像並使用 docker-compose 啟動容器,並且可以通過主機訪問網頁(由 Django 提供服務)。
使用相同的 docker-compose 和相同的 docker 映像部署新版本將導致在拉取 docker 映像時出錯:
2021/03/16 09:28:34.957094 [ERROR] An error occurred during execution of command [app-deploy] - [Run Docker Container]. Stop running the command. Error: failed to run docker containers: Command /bin/sh -c docker-compose up -d failed with error exit status 1. Stderr:Building with native build. Learn about native build in Compose here: https://docs.docker.com/go/compose-native-build/
Creating network "current_default" with the default driver
Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest(registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
2021/03/16 09:28:34.957104 [INFO] Executing cleanup logic
設置
AWS Elastic Beanstalk 64 位亞馬遜 Linux 2/3.2
Gitlab 注冊表憑證存儲在 S3 存儲桶中,文件.dockercfg
,內容如下:
{
"auths": {
"registry.gitlab.com": {
"auth": "base64 encoded username:personal_access_token"
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/18.03.1-ce (linux)"
}
}
該存儲庫包含一個 v3 Dockerrun.aws.json
文件以引用 S3 中的憑證文件:
{
"AWSEBDockerrunVersion": "3",
"Authentication": {
"bucket": "gitlab-dockercfg",
"key": ".dockercfg"
}
}
復制
設置 docker-compose.yml 使用具有私有 docker 映像的服務(並且可以使用 S3 中 dockercfg 中的憑據設置拉取)
創建一個使用 docker-platform 的新應用程序。
eb init testapplication --platform=docker --region=eu-west-1
注意:區域必須與包含 dockercfg 的 S3 存儲桶相同。
初始部署(這將成功)
eb create testapplication-test --branch_default --cname testapplication-test --elb-type=application --instance-types=t2.micro --min-instance=1 --max-instances=4
初始部署顯示鏡像可用,可以啟動:
2021/03/16 08:58:07.533988 [INFO] save docker tag command: docker tag 5812dfe24a4f redis:alpine
2021/03/16 08:58:07.533993 [INFO] save docker tag command: docker tag f8fcde8b9ae2 mysql:5.7
2021/03/16 08:58:07.533998 [INFO] save docker tag command: docker tag 1dd9b65d6a9f registry.gitlab.com/company/spikes/dockertest:latest
2021/03/16 08:58:07.534010 [INFO] Running command /bin/sh -c docker rm `docker ps -aq`
在不對本地存儲庫和私有注冊表上的遠程 docker 映像進行任何更改的情況下,讓我們進行重新部署,這將觸發錯誤:
eb deploy testapplication-test
這將失敗,出現以下 output:
...
2021-03-16 10:02:28 INFO Command execution completed on all instances. Summary: [Successful: 0, Failed: 1].
2021-03-16 10:02:29 ERROR Unsuccessful command execution on instance id(s) 'i-0dc445d118ac14b80'. Aborting the operation.
2021-03-16 10:02:29 ERROR Failed to deploy application.
ERROR: ServiceError - Failed to deploy application.
並且實例的日志顯示( /var/log/eb-engine.log
):
Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest (registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
2021/03/16 10:02:25.902479 [INFO] Executing cleanup logic
我嘗試調試或解決問題的步驟
文檔
我沒有調試選項,我不知道在哪里可以進一步調試這個問題。 也許有人可以看到這里出了什么問題?
首先,上面描述的問題是亞馬遜確認的一個錯誤。 為了讓部署在我們這邊工作,我們已經聯系了 Amazon 支持。 他們有一個應該在本月發布的修復程序,所以請留意 Elastic beanstalk 平台的更新日志: https://docs.aws.amazon.com/elasticbeanstalk/latest/relnotes/relnotes.html
盡管即將發布的版本應該有修復,但有一種解決方法可以讓docker-compose
部署工作。
Elastic Beanstalk 允許在部署中執行掛鈎,可用於從 S3 存儲桶獲取.docker.cfg
以針對私有注冊表進行身份驗證。 為此,請從項目的根目錄創建以下文件和目錄:
文件位置: .platform/hooks/predeploy/docker_login
#!/bin/bash
aws s3 cp s3://{{bucket_name_to_use}}/.dockercfg ~/.docker/config.json
重要:向該文件添加執行權限(例如: chmod +x.platform/hooks/predeploy/docker_login
)
要支持實例配置更改,請將hooks
目錄符號鏈接到confighooks
:
ln -s .platform/hooks/ .platform/confighooks/
更新配置也需要獲取.dockercfg
憑據。
這應該能夠持續部署到相同的 EB 實例而不會出現身份驗證錯誤,因為掛鈎將在 docker 圖像拉取之前執行。
一些背景知識:docker 守護程序在傳統 linux 系統上默認從~/.docker/config
讀取憑據。 在初始部署時,此文件將存在於 Elastic Beanstalk 實例上。 在下一次部署中,此文件將被刪除。 不幸的是,在下一次部署中,不會重新獲取.dockercfg
,因此 docker 守護程序沒有正確的憑據來進行身份驗證。
我在嘗試從私有托管的 GitLab 實例中提取圖像時遇到了同樣的錯誤。 我能夠通過包含 email 地址來解決它們,該地址與在.dockercfg
文件的auth
字段中找到的生成的令牌相關聯。
以下文件格式對我有用:
"registry.gitlab.com" {
"auth": "base64 encoded username:personal_access_token",
"email": "email for personal access token"
}
在我的例子中,我使用了一個Project Access Token ,它在創建后有一個與之關聯的電子郵件地址。
此處的身份驗證文件的 Elastic Beanstalk 文檔中的文件格式表明這是必需的文件格式,盡管它說需要這種格式的版本幾乎肯定已經過時,因為我們正在運行 Docker ^19
。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.