Questo articolo include le risposte alle domande frequenti e i problemi noti relativi a Registro Azure Container.
Per indicazioni sulla risoluzione dei problemi dei registri, vedere:
Gestione delle risorse
È possibile creare un Registro Azure Container nell'hub di Azure Stack usando un modello di Resource Manager?
Sì. Ecco un modello che è possibile usare per creare un registro. Questo modello è per il cloud pubblico di Azure. Per usare questo modello nell'hub di Azure Stack, modificare la versione dell'API in 2019-05-01; in caso contrario, la distribuzione non riesce.
Esiste un'analisi delle vulnerabilità di sicurezza per le immagini in Registro Azure Container nell'hub di Azure Stack?
No. Attualmente non è disponibile alcuna integrazione con Centro sicurezza di Azure per i registri distribuiti nell'hub di Azure Stack. Sono disponibili opzioni open source e di terze parti che possono essere sfruttate per soddisfare questa esigenza per le distribuzioni dell'hub di Azure Stack connesse o disconnesse.
Come si configura Kubernetes con Registro Azure Container?
Vedere la documentazione per Kubernetes e i passaggi per il servizio Azure Kubernetes.
Come si ottengono le credenziali di amministratore per un registro contenitori?
Importante
L'account utente amministratore è pensato per consentire l'accesso al registro a un singolo utente, principalmente a scopo di test. Non è consigliabile condividere le credenziali dell'account amministratore con più utenti. Negli scenari di tipo headless è consigliabile che gli utenti e le entità servizio abbiano una propria identità. Vedere la Panoramica dell'autenticazione.
Prima di ottenere le credenziali di amministratore, assicurarsi che l'utente amministratore del registro sia abilitato.
Per ottenere le credenziali tramite l'interfaccia della riga di comando di Azure:
az acr credential show -n myRegistry
Usando Azure PowerShell:
Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry
Come si ottengono le credenziali di amministratore in un modello di Resource Manager?
Importante
L'account utente amministratore è pensato per consentire l'accesso al registro a un singolo utente, principalmente a scopo di test. Non è consigliabile condividere le credenziali dell'account amministratore con più utenti. Negli scenari di tipo headless è consigliabile che gli utenti e le entità servizio abbiano una propria identità. Vedere la Panoramica dell'autenticazione.
Prima di ottenere le credenziali di amministratore, assicurarsi che l'utente amministratore del registro sia abilitato.
Per ottenere la prima password:
{
"password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}
Per ottenere la seconda password:
{
"password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}
Ricerca per categorie eseguire il push di un'immagine del contenitore in Registro Azure Container a una distribuzione dell'hub di Azure Stack disconnessa che esegue Kubernetes?
È possibile eseguire un trasferimento di immagini da computer a computer in una rete locale da un computer che dispone già delle immagini del contenitore necessarie. A questo scopo, è necessario:
Recuperare prima di tutto le immagini del contenitore necessarie usando un computer con connettività Internet usando l'interfaccia della riga di comando docker e il comando docker pull. Per altre informazioni, vedere Importare immagini del contenitore in un registro contenitori.
Dopo aver importato le immagini necessarie, trasferire il computer nella posizione dell'istanza disconnessa dell'hub di Azure.
Usare i comandi docker tag e docker push per contrassegnare ed eseguire il push dell'immagine nell'Registro Azure Container locale nel repository dell'hub di Azure Stack.
Operazioni sui registri
Come si accede all'API HTTP V2 del registro Docker?
Registro Azure Container supporta l'API HTTP del Registro di sistema Docker V2. È possibile accedervi in https://<your registry login server>/v2/
. Esempio: https://mycontainerregistry.azsacr.<regionname>.<fqdn>/v2/
Come si eliminano tutti i manifesti a cui non viene fatto riferimento da alcun tag in un repository?
Se si è in Bash:
az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv | xargs -I% az acr repository delete --name myRegistry --image myRepository@%
Per PowerShell:
az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }
Nota
È possibile aggiungere --yes
nel comando di eliminazione per ignorare la conferma.
Per altre informazioni, vedere Eliminare le immagini del contenitore in Registro Azure Container.
Perché l'utilizzo della quota del registro non si riduce dopo l'eliminazione di immagini?
Questa situazione può verificarsi se le altre immagini del contenitore fanno ancora riferimento ai livelli sottostanti. Se si elimina un'immagine senza riferimenti, l'utilizzo del registro viene aggiornato in pochi minuti.
Come si convalidano le modifiche della quota di archiviazione?
Creare un'immagine con un livello da 1 GB usando il file Docker seguente. In questo modo si garantisce che l'immagine abbia un livello non condiviso da nessun'altra immagine nel registro.
FROM alpine
RUN dd if=/dev/urandom of=1GB.bin bs=32M count=32
RUN ls -lh 1GB.bin
Compilare l'immagine ed eseguirne il push nel registro usando l'interfaccia della riga di comando di Docker.
docker build -t myregistry.azsacr.<regionname>.<fqdn>/1gb:latest .
docker push myregistry.azsacr.<regionname>.<fqdn>/1gb:latest
Dovrebbe essere possibile vedere che l'utilizzo dell'archiviazione è aumentato nel portale dell'hub di Azure Stack oppure è possibile eseguire query sull'utilizzo usando l'interfaccia della riga di comando.
az acr show-usage -n myregistry
Eliminare l'immagine usando l'interfaccia della riga di comando di Azure o il portale e controllare che l'utilizzo si aggiorni in pochi minuti.
az acr repository delete -n myregistry --image 1gb
Come si esegue l'autenticazione nel registro quando si esegue l'interfaccia della riga di comando in un contenitore?
È necessario eseguire il contenitore dell'interfaccia della riga di comando di Azure montando il socket di Docker:
docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev
Installare docker
nel contenitore:
apk --update add docker
In seguito eseguire l'autenticazione nel registro:
az acr login -n MyRegistry
Come si abilita TLS 1.2?
Abilitare TLS 1.2 usando qualsiasi client Docker recente (versione 18.03.0 o successiva).
Importante
A partire dal 13 gennaio 2020, Registro Azure Container richiederà l'uso di TLS 1.2 in tutte le connessioni sicure da server e applicazioni. Il supporto per TLS 1.0 e 1.1 verrà ritirato.
Registro Azure Container nell'hub di Azure Stack supporta l'attendibilità dei contenuti?
No, la versione corrente del Registro Azure Container nell'hub di Azure Stack supporta solo lo SKU "Standard" e non supporta l'attendibilità del contenuto.
Come si concede l'accesso per eseguire il pull o il push delle immagini senza autorizzazione per la gestione della risorsa del registro?
Registro Azure Container supporta ruoli personalizzati che forniscono livelli diversi di autorizzazioni. In particolare, i ruoli AcrPull
e AcrPush
consentono agli utenti di eseguire il pull e/o il push di immagini senza l'autorizzazione per gestire la risorsa del registro in Azure.
Portale dell'hub di Azure Stack: Registro di sistema -> Controllo di accesso (IAM) -> Aggiungere (selezionare
AcrPull
oAcrPush
per il ruolo).Interfaccia della riga di comando di Azure: individuare l'ID risorse del registro eseguendo il comando seguente:
az acr show -n myRegistry
È quindi possibile assegnare il ruolo
AcrPull
oAcrPush
a un utente. Nell'esempio seguente viene usatoAcrPull
:az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
In alternativa, è possibile assegnare il ruolo a un'entità servizio identificata in base al rispettivo ID applicazione:
az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
L'assegnatario può quindi autenticarsi e accedere alle immagini nel registro.
Per eseguire l'autenticazione in un registro:
az acr login -n myRegistry
Per elencare repository:
az acr repository list -n myRegistry
Per eseguire il pull di un'immagine:
docker pull myregistry.azsacr.<regionname>.<fqdn>/hello-world
Usando solo il ruolo AcrPull
o AcrPush
, l'assegnatario non ha l'autorizzazione per gestire la risorsa del registro in Azure. Ad esempio, az acr list
o az acr show -n myRegistry
non visualizzerà il registro.
Come si esegue il push di livelli non distribuibili in un registro?
Un livello non distribuibile in un manifesto contiene un parametro URL da cui è possibile recuperare contenuti. Alcuni casi d'uso possibili per l'abilitazione di push di livelli non distribuibili sono relativi a registri limitati alla rete, registri disconnessi con accesso con limitazioni o registri senza connettività Internet.
Se ad esempio sono state configurate regole di gruppi di sicurezza di rete in modo che una VM possa eseguire il pull di immagini solo dall'istanza del registro Azure Container, Docker eseguirà il pull di errori per livelli esterni/non distribuibili. Se un'immagine di Windows Server Core contiene ad esempio riferimenti a un livello esterno per l'istanza del Registro Azure Container nel manifesto, non sarà possibile eseguirne il pull in questo scenario.
Per abilitare il push di livelli non distribuibili:
Modificare il file
daemon.json
, che si trova in/etc/docker/
negli host Linux e inC:\ProgramData\docker\config\daemon.json
in Windows Server. Supponendo che il file fosse in precedenza vuoto, aggiungere i contenuti seguenti:{ "allow-nondistributable-artifacts": ["myregistry.azsacr.<regionname>.<fqdn>"] }
Nota
Il valore è una matrice di indirizzi di registro, separati da virgole.
Salvare e chiudere il file.
Riavviare Docker.
Quando si esegue il push di immagini nei registri nell'elenco, viene eseguito il push dei rispettivi livelli non distribuibili nel registro.
Avviso
Gli artefatti non distribuibili includono in genere restrizioni sul modo e sulla posizione in cui possono essere distribuiti e condivisi. Usare questa funzionalità solo per eseguire il push di artefatti nei registri privati. Assicurarsi di rispettare la conformità con eventuali condizioni relative alla ridistribuzione di artefatti non distribuibili.
Controlli di diagnostica e integrità
Controllare l'integrità con “az acr check-health”
Per risolvere i problemi comuni relativi all'ambiente e al registro, vedere Verificare l'integrità di un registro contenitori di Azure.
L'esecuzione di docker pull ha esito negativo con errore: net/http: richiesta annullata durante l'attesa della connessione (Client.timeout ha superato le intestazioni in attesa)
- Se questo errore è un problema temporaneo, un secondo tentativo avrà esito positivo.
- Se
docker pull
ha esito negativo in modo continuo, potrebbe essersi verificato un problema con il daemon di Docker. Il problema può in genere essere risolto riavviando il daemon di Docker. - Se si continua a visualizzare questo problema dopo il riavvio del daemon di Docker, il problema potrebbe essere dovuto alla connettività di rete con il computer. Per verificare l'integrità della rete generale nel computer, eseguire il comando seguente per testare la connettività degli endpoint. La versione minima di
az acr
che contiene questo comando di controllo della connettività è la 2.2.9. Aggiornare l'interfaccia della riga di comando di Azure se si sta usando una versione precedente.
az acr check-health -n myRegistry
- È necessario avere sempre un meccanismo di ripetizione dei tentativi per tutte le operazioni del client Docker.
Il pull di Docker è lento
Usare questo strumento per testare la velocità di download della rete del computer.
Il push di Docker è lento
Usare questo strumento per testare la velocità di caricamento della rete del computer.
L'esecuzione di docker push ha esito positivo, ma docker pull ha esito negativo con errore: non autorizzato: autenticazione obbligatoria
Questo errore può verificarsi con la versione Red Hat del daemon di Docker, in cui --signature-verification
è abilitato per impostazione predefinita. È possibile controllare le opzioni del daemon di Docker per Red Hat Enterprise Linux (RHEL) o Fedora eseguendo il comando seguente:
grep OPTIONS /etc/sysconfig/docker
Ad esempio, Fedora 28 Server ha le opzioni del daemon di Docker seguenti:
OPTIONS='--selinux-enabled --log-driver=journald --live-restore'
Se manca --signature-verification=false
, docker pull
ha esito negativo e restituisce un errore simile al seguente:
Trying to pull repository myregistry.azsacr.<regionname>.<fqdn>/myimage ...
unauthorized: authentication required
Per risolvere l'errore:
Aggiungere l'opzione
--signature-verification=false
al file di configurazione del daemon di Docker/etc/sysconfig/docker
. Ad esempio:OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'
Riavviare il sevizio del daemon di Docker eseguendo il comando seguente:
sudo systemctl restart docker.service
I dettagli di --signature-verification
sono reperibili eseguendo man dockerd
.
az acr login ha esito positivo, ma i comandi di Docker hanno esito negativo con errore: non autorizzato: autenticazione obbligatoria
Assicurarsi di usare un URL del server composto interamente da minuscole, ad esempio docker push myregistry.azsacr.<regionname>.<fqdn>/myimage:latest
, anche se il nome della risorsa del registro è maiuscolo o misto, come ad esempio myRegistry
.
Abilitare e ottenere i log di debug del daemon di Docker
Avviare dockerd
con l'opzione debug
. Per prima cosa, creare il file di configurazione del daemon di Docker (/etc/docker/daemon.json
) se non esiste e aggiungere l'opzione debug
:
{
"debug": true
}
In seguito riavviare il daemon. Ad esempio, con Ubuntu 14.04:
sudo service docker restart
Altri dettagli sono disponibili nella documentazione di Docker.
I log possono essere generati in posizioni diverse, a seconda del sistema. Ad esempio, per Ubuntu 14.04 possono trovarsi in
/var/log/upstart/docker.log
.
Per informazioni dettagliate, vedere la documentazione di Docker.Per Docker per Windows, i log vengono generati in%LOCALAPPDATA%/docker/. Tuttavia, è possibile che non siano presenti ancora tutte le informazioni di debug.
Per accedere al log del daemon completo, potrebbero essere necessari alcuni passaggi aggiuntivi:
docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh chroot /host
A questo punto è possibile accedere a tutti i file della VM che esegue
dockerd
. Il log si trova in/var/log/docker.log
.
Le nuove autorizzazioni utente possono non essere valide immediatamente dopo l'aggiornamento
Quando si concedono nuove autorizzazioni, ovvero nuovi ruoli, a un'entità servizio, la modifica potrebbe non avere effetto immediato. Le ragioni possono essere due:
Ritardo di assegnazione di ruolo Microsoft Entra. Normalmente è un'operazione veloce, ma potrebbero essere necessari alcuni minuti a causa del ritardo della propagazione.
Ritardo delle autorizzazioni nel server token Registro Azure Container. Per completare questa operazione possono essere necessari fino a 10 minuti. Per attenuare questo problema, è possibile eseguire
docker logout
e quindi eseguire di nuovo l'autenticazione con lo stesso utente dopo un minuto:docker logout myregistry.azsacr.<regionname>.<fqdn> docker login myregistry.azsacr.<regionname>.<fqdn>
Le informazioni di autenticazione non sono specificate nel formato corretto nelle chiamate API REST dirette
È possibile che si verifichi un errore InvalidAuthenticationInfo
, in particolare quando si usa lo strumento curl
con l'opzione -L
, --location
per seguire i reindirizzamenti.
Ad esempio, se si recupera il BLOB usando curl
con l'opzione -L
e l'autenticazione di base:
curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest
è possibile che venga generata la risposta seguente:
<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>
La causa radice è che alcune implementazioni di curl
seguono i reindirizzamenti con le intestazioni della richiesta originale.
Per risolvere il problema, è necessario seguire manualmente i reindirizzamenti senza le intestazioni. Stampare le intestazioni della risposta con l'opzione -D -
di curl
ed estrarre l'intestazione Location
:
redirect_url=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $redirect_url
Perché il portale dell'hub di Azure Stack non elenca tutti i repository o i tag?
Se si usa il browser Microsoft Edge/IE, è possibile visualizzare al massimo 100 repository o tag. Se il registro contiene più di 100 repository o tag, è consigliabile usare il browser Firefox o Chrome per elencarli tutti.
Perché il portale dell'hub di Azure Stack non riesce a recuperare repository o tag?
Il browser potrebbe non essere in grado di inviare la richiesta di recupero dei repository o dei tag al server. I motivi possono essere diversi, ad esempio:
- Mancanza di connettività di rete
- Firewall
- Uso del portale da una rete pubblica per un registro che consente solo l'accesso privato
- Blocchi degli annunci
- Errori DNS
Contattare l'amministratore di rete o controllare la configurazione e la connettività di rete. Provare a eseguire az acr check-health -n yourRegistry
usando l'interfaccia della riga di comando di Azure per verificare se l'ambiente in uso può connettersi al Registro Container. È anche possibile provare ad aprire una sessione in incognito o privata nel browser per evitare la cache o i cookie del browser obsoleti.
Perché la richiesta pull o push ha esito negativo con errore di operazione non consentita?
Di seguito sono riportati alcuni scenari in cui è possibile che le operazioni non siano consentite:
- L'immagine o il repository possono essere bloccati in modo che non possano essere eliminati o aggiornati. È possibile usare il comando az acr show repository per visualizzare gli attributi correnti.
- Alcune operazioni non sono consentite se l'immagine è in quarantena. Altre informazioni sulla quarantena.
- È possibile che il registro abbia raggiunto il rispettivo limite di archiviazione.
Il formato del repository non è valido o non è supportato
Se viene visualizzato un errore di tipo "Formato del repository non supportato", "Formato non valido" o "I dati esistenti non esistono" quando si specifica il nome di un repository nelle operazioni del repository, controllare l'ortografia e la distinzione tra maiuscole/minuscole nel nome. I nomi di repository validi possono includere solo caratteri alfanumerici minuscoli, punti, trattini, caratteri di sottolineatura e barre.
Come si raccolgono le tracce http in Windows?
Prerequisiti
- Abilitare la decrittografia di HTTPS in Fiddler: https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS
- Abilitare Docker per l'uso di un proxy tramite l'interfaccia utente di Docker: https://docs.docker.com/docker-for-windows/#proxies
- Assicurarsi di eseguire il ripristino al termine dell'operazione. Docker non funziona con queste opzioni abilitate e Fiddler non in esecuzione.
Contenitori Windows
Configurare il proxy di Docker su 127.0.0.1:8888
Contenitori Linux
Trovare l'indirizzo IP del commutatore virtuale della VM Docker:
(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress
Configurare il proxy di Docker per restituire l'output del comando precedente e la porta 8888 (ad esempio, 10.0.75.1:8888)
Passaggi successivi
- Altre informazioni su Registro Azure Container.