Sık sorulan sorular - Azure Container Registry

Evet. Kayıt defteri oluşturmak için kullanabileceğiniz bir şablon aşağıdadır.

Evet. Bulut için Microsoft Defender, Twistlock ve Aqua belgelerine bakın.

Kubernetes belgelerine ve Azure Kubernetes Service adımlarına bakın.

Yönetici kimlik bilgilerini almadan önce kayıt defterinin yönetici kullanıcısının etkinleştirildiğinden emin olun.

Azure CLI kullanarak kimlik bilgilerini almak için:

az acr credential show -n myRegistry

Azure PowerShell kullanma:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Yönetici kimlik bilgilerini almadan önce kayıt defterinin yönetici kullanıcısının etkinleştirildiğinden emin olun.

İlk parolayı almak için:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

İkinci parolayı almak için:

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

Hata, kullanıcının bir kayıt defteri üzerinde izinleri olduğunda ancak abonelikte Okuyucu düzeyinde izinlere sahip olmadığında görülür. Bu sorunu çözmek için kullanıcıya abonelikte Okuyucu izinleri atayın:

az role assignment create --role "Reader" --assignee user@contoso.com --scope /subscriptions/<subscription_id> 

Güvenlik duvarı kuralı değişikliklerini yaymak biraz zaman alır. Güvenlik duvarı ayarlarını değiştirdikten sonra, bu değişikliği doğrulamadan önce lütfen birkaç dakika bekleyin.

ACR, Docker Kayıt Defteri HTTP API V2'lerini destekler. API'lere adresinden https://<your registry login server>/v2/erişilebilir. Örnek: https://mycontainerregistry.azurecr.io/v2/

Bash kullanıyorsanız:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry ---image myRepository@%

PowerShell için:

az acr manifest list-metadata --name myRepository --repository myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

Daha fazla bilgi için bkz . Azure Container Registry'de kapsayıcı görüntülerini silme.

Bu durum, temel alınan katmanlara diğer kapsayıcı görüntüleri tarafından hala başvurulmaya devam ediyorsa oluşabilir. Başvuru içermeyen bir görüntüyü silerseniz kayıt defteri kullanımı birkaç dakika içinde güncelleştirilir.

Aşağıdaki docker dosyasını kullanarak 1 GB katmanına sahip bir görüntü oluşturun. Bu, görüntünün kayıt defterindeki başka bir görüntü tarafından paylaşılmaması için bir katmana sahip olmasını sağlar.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Docker CLI kullanarak görüntüyü derleyin ve kayıt defterinize gönderin.

docker build -t myregistry.azurecr.io/1gb:latest .
docker push myregistry.azurecr.io/1gb:latest

Azure portalında depolama kullanımının arttığını görebilmeli veya CLI kullanarak kullanımı sorgulayabilirsiniz.

az acr show-usage -n myregistry

Azure CLI'yi veya portalı kullanarak görüntüyü silin ve güncelleştirilmiş kullanımı birkaç dakika içinde denetleyin.

az acr repository delete -n myregistry --image 1gb

Docker yuvasını takarak Azure CLI kapsayıcısını çalıştırmanız gerekir:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

kapsayıcısında yükleyin docker:

apk --update add docker

Ardından kayıt defterinizle kimlik doğrulaması yapın:

az acr login -n MyRegistry

Son docker istemcilerini (sürüm 18.03.0 ve üzeri) kullanarak TLS 1.2'yi etkinleştirin.

Evet, Docker Noter tümleşik olduğundan ve etkinleştirilebildiği için Azure Container Registry'de güvenilen görüntüleri kullanabilirsiniz. Ayrıntılar için bkz . Azure Container Registry'de İçerik Güveni.

Parmak izi dosyası nerede bulunur?

altında ~/.docker/trust/tuf/myregistry.azurecr.io/myrepository/metadata:

• Tüm rollerin (temsilci rolleri hariç) ortak anahtarları ve sertifikaları içinde root.jsondepolanır.
• Temsilci rolünün ortak anahtarları ve sertifikaları, üst rolünün JSON dosyasında depolanır (örneğintargets.json, rol).targets/releases

Docker ve Noter istemcisi tarafından yapılan genel TUF doğrulamasından sonra bu ortak anahtarların ve sertifikaların doğrulanması önerilir.

ACR, farklı izin düzeyleri sağlayan özel rolleri destekler. Özellikle ve AcrPush roller kullanıcıların AcrPull Azure'da kayıt defteri kaynağını yönetme izni olmadan görüntüleri çekmesine ve/veya göndermesine olanak tanır.

• Azure portalı: Kayıt defteriniz -> Erişim Denetimi (IAM) -> Ekle (Rol için veya AcrPush seçinAcrPull).

• Azure CLI: Aşağıdaki komutu çalıştırarak kayıt defterinin kaynak kimliğini bulun:

  az acr show -n myRegistry
  

  Ardından veya AcrPush rolünü bir kullanıcıya atayabilirsiniz AcrPull (aşağıdaki örnekte kullanılırAcrPull):

  az role assignment create --scope resource_id --role AcrPull --assignee user@example.com
  

  Veya rolü uygulama kimliğiyle tanımlanan bir hizmet sorumlusuna atayın:

  az role assignment create --scope resource_id --role AcrPull --assignee 00000000-0000-0000-0000-000000000000
  

Atanan daha sonra kayıt defterindeki görüntülerin kimliğini doğrulayıp bunlara erişebilir.

• Kayıt defterinde kimlik doğrulaması yapmak için:

  az acr login -n myRegistry 
  

• Depoları listelemek için:

  az acr repository list -n myRegistry
  

• Görüntü çekmek için:

  docker pull myregistry.azurecr.io/hello-world
  

Yalnızca AcrPull veya AcrPush rolünün kullanılmasıyla, atananın Azure'daki kayıt defteri kaynağını yönetme izni yoktur. Örneğin, az acr list veya az acr show -n myRegistry kayıt defterini göstermez.

Görüntü karantinası şu anda ACR'nin bir önizleme özelliğidir. Yalnızca güvenlik taramasını başarıyla geçen görüntülerin normal kullanıcılar tarafından görülebilmesi için kayıt defterinin karantina modunu etkinleştirebilirsiniz. Ayrıntılar için bkz . ACR GitHub deposu.

Daha fazla bilgi için bkz . Kayıt defteri içeriğinizi herkese açık hale getirme.

Bildirimdeki dağıtılamayan bir katman, içeriğin getirilebileceği bir URL parametresi içerir. Dağıtılamayan katman gönderimlerini etkinleştirmeye yönelik bazı olası kullanım örnekleri ağ kısıtlanmış kayıt defterleri, kısıtlı erişime sahip havayla eşlenen kayıt defterleri veya İnternet bağlantısı olmayan kayıt defterleri içindir.

Örneğin, vm'nin yalnızca Azure kapsayıcı kayıt defterinizden görüntü çekebilmesi için NSG kurallarını ayarladıysanız Docker, yabancı/dağıtılamayan katmanlar için hataları çeker. Örneğin, bir Windows Server Core görüntüsü bildiriminde Azure kapsayıcı kayıt defterine yabancı katman başvuruları içerebilir ve bu senaryoda çekme işlemi başarısız olur.

Dağıtılamayan katmanların gönderimini etkinleştirmek için:

1. daemon.json Linux konaklarında ve C:\ProgramData\docker\config\daemon.json Windows Server'da /etc/docker/ bulunan dosyayı düzenleyin. Dosyanın daha önce boş olduğunu varsayarak aşağıdaki içeriği ekleyin:

   {
     "allow-nondistributable-artifacts": ["myregistry.azurecr.io"]
   }
   

   Not

   Değer, virgülle ayrılmış bir kayıt defteri adresleri dizisidir.

2. Dosyayı kaydedin ve dosyadan çıkın.

3. Docker'i yeniden başlatın.

Görüntüleri listedeki kayıt defterlerine gönderdiğinizde, dağıtılamayan katmanları kayıt defterine gönderilir.

Yaygın ortam ve kayıt defteri sorunlarını gidermek için bkz . Azure kapsayıcı kayıt defterinin durumunu denetleme.

• Bu hata geçici bir sorunsa yeniden deneme başarılı olur.
• Sürekli docker pull başarısız olursa Docker daemon ile ilgili bir sorun olabilir. Docker daemon'ları yeniden başlatılarak sorun genellikle giderilebilir.
• Docker daemon'ı yeniden başlattıktan sonra bu sorunu görmeye devam ederseniz, sorun makinedeki bazı ağ bağlantısı sorunları olabilir. Makinedeki genel ağın iyi durumda olup olmadığını denetlemek için aşağıdaki komutu çalıştırarak uç nokta bağlantısını test edin. Bu bağlantı denetimi komutunu içeren en düşük az acr sürüm 2.2.9'dur. Daha eski bir sürüm kullanıyorsanız Azure CLI'nizi yükseltin.

az acr check-health -n myRegistry

• Tüm Docker istemci işlemlerinde her zaman bir yeniden deneme mekanizmasına sahip olmanız gerekir.

Makine ağı indirme hızınızı test etmek için hız aracını kullanın. Makine ağı yavaşsa ağ hızını artırmak için kayıt defterinizle aynı bölgede Azure VM kullanmayı göz önünde bulundurun.

Makine ağınızın karşıya yükleme hızını test etmek için hız aracını kullanın. Makine ağı yavaşsa ağ hızını artırmak için kayıt defterinizle aynı bölgede Azure VM kullanmayı göz önünde bulundurun.

Bu hata, varsayılan olarak etkin olan --signature-verification Docker daemon'un Red Hat sürümünde oluşabilir. Aşağıdaki komutu çalıştırarak Red Hat Enterprise Linux (RHEL) veya Fedora için Docker daemon seçeneklerini de kontrol edebilirsiniz:

grep OPTIONS /etc/sysconfig/docker

Örneğin, Fedora 28 Server aşağıdaki docker daemon seçeneklerine sahiptir:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Eksik --signature-verification=false olduğunda aşağıdakine docker pull benzer bir hatayla başarısız olur:

Trying to pull repository myregistry.azurecr.io/myimage ...
unauthorized: authentication required

Hatayı düzeltmek için:

1. Seçeneğini --signature-verification=false Docker daemon yapılandırma dosyasına /etc/sysconfig/dockerekleyin. Örneğin:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Aşağıdaki komutu çalıştırarak Docker daemon hizmetini yeniden başlatın:

   sudo systemctl restart docker.service
   

öğesini --signature-verification çalıştırarak man dockerdayrıntılarını bulabilirsiniz.

Kayıt defteri kaynak adı gibi myRegistrybüyük harfli veya karışık olsa bile, tüm docker push myregistry.azurecr.io/myimage:latestküçük harfli sunucu URL'sini kullandığınızdan emin olun.

Seçeneğiyle debug başlayındockerd. İlk olarak, mevcut değilse Docker daemon yapılandırma dosyasını (/etc/docker/daemon.json) oluşturun ve şu seçeneği ekleyin debug :

{    
    "debug": true    
}

Ardından daemon'ı yeniden başlatın. Örneğin, Ubuntu 14.04 ile:

sudo service docker restart

Ayrıntılar Docker belgelerinde bulunabilir.

• Günlükler, sisteminize bağlı olarak farklı konumlarda oluşturulabilir. Örneğin, Ubuntu 14.04 için bu olur /var/log/upstart/docker.log.
  Ayrıntılar için Docker belgelerine bakın.

• Windows için Docker için günlükler %LOCALAPPDATA%/docker/ altında oluşturulur. Ancak, henüz tüm hata ayıklama bilgilerini içermeyebilir.

  Tam daemon günlüğüne erişmek için bazı ek adımlara ihtiyacınız olabilir:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Artık çalıştıran dockerdVM'nin tüm dosyalarına erişebilirsiniz. Günlük konumundadır /var/log/docker.log.

Bir hizmet sorumlusuna yeni izinler (yeni roller) verdiğinizde, değişiklik hemen geçerli olmayabilir. bunun iki olası nedeni vardır:

• Microsoft Entra rol atama gecikmesi. Normalde hızlıdır, ancak yayılma gecikmesi nedeniyle dakikalar sürebilir.

• ACR belirteci sunucusunda izin gecikmesi 10 dakikaya kadar sürebilir. Azaltmak için, 1 dakika sonra aynı kullanıcıyla yeniden kimlik doğrulaması yapabilir docker logout ve ardından:

  docker logout myregistry.azurecr.io
  docker login myregistry.azurecr.io
  

Şu anda ACR, kullanıcılar tarafından ev çoğaltma silmeyi desteklemez. Geçici çözüm, giriş çoğaltması oluşturma işlemini şablona eklemektir, ancak aşağıda gösterildiği gibi ekleyerek "condition": false oluşturma işlemini atlayın:

{
    "name": "[concat(parameters('acrName'), '/', parameters('location'))]",
    "condition": false,
    "type": "Microsoft.ContainerRegistry/registries/replications",
    "apiVersion": "2017-10-01",
    "location": "[parameters('location')]",
    "properties": {},
    "dependsOn": [
        "[concat('Microsoft.ContainerRegistry/registries/', parameters('acrName'))]"
     ]
},

Özellikle aracı seçeneğiyle --location -Lkullanarak curl (yeniden yönlendirmeleri izlemek için) bir InvalidAuthenticationInfo hatayla karşılaşabilirsiniz. Örneğin, seçeneği ve temel kimlik doğrulaması ile -L kullanarak curl blobu getirme:

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

aşağıdaki yanıta neden olabilir:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

Kök neden, bazı curl uygulamaların özgün istekten alınan üst bilgilerle yeniden yönlendirmeleri izlemesidir.

Sorunu çözmek için yeniden yönlendirmeleri üst bilgiler olmadan el ile izlemeniz gerekir. seçeneğiyle -D - curl yanıt üst bilgilerini yazdırın ve ardından şu üst bilgiyi ayıklayın:Location

REDIRECT_URL=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $REDIRECT_URL

Microsoft Edge/IE tarayıcısını kullanıyorsanız en fazla 100 depo veya etiket görebilirsiniz. Kayıt defterinizde 100'den fazla depo veya etiket varsa, bunların tümünü listelemek için Firefox veya Chrome tarayıcısını kullanmanızı öneririz.

Tarayıcı, depoları veya etiketleri sunucuya getirme isteğini gönderemeyebilir. Aşağıdakiler gibi çeşitli nedenler olabilir:

• Ağ bağlantısı eksikliği
• Güvenlik Duvarı
• Yalnızca özel erişime izin veren bir kayıt defteri için genel ağdan portalı kullanma
• Reklam engelleyicileri
• DNS hataları

Lütfen ağ yöneticinize başvurun veya ağ yapılandırmanızı ve bağlantınızı denetleyin. Ortamınızın Container Registry'ye bağlanıp bağlanamadığını denetlemek için Azure CLI'nizi kullanarak çalıştırmayı az acr check-health -n yourRegistry deneyin. Ayrıca, eski tarayıcı önbelleğini veya tanımlama bilgilerini önlemek için tarayıcınızda gizli veya özel oturum da deneyebilirsiniz.

İşlemlere izin verilmeyen bazı senaryolar şunlardır:

• Klasik kayıt defterleri artık desteklenmiyor. Lütfen az acr update veya Azure portalını kullanarak desteklenen bir hizmet katmanına yükseltin.
• Görüntü veya depo silinemez veya güncelleştirilemez şekilde kilitlenmiş olabilir. Geçerli öznitelikleri görüntülemek için az acr repository show komutunu kullanabilirsiniz.
• Görüntü karantinadaysa bazı işlemlere izin verilmez. Karantina hakkında daha fazla bilgi edinin.
• Kayıt defteriniz depolama sınırına ulaşmış olabilir.

Depo işlemlerinde bir depo adı belirtirken "desteklenmeyen depo biçimi", "geçersiz biçim" veya "istenen veriler yok" gibi bir hata görürseniz, adın yazımını ve büyük/küçük harflerini denetleyin. Geçerli depo adları yalnızca küçük harfli alfasayısal karakterler, nokta, tire, alt çizgi ve eğik çizgi içerebilir.

Önkoşullar

• Fiddler'da HTTPS şifresini çözmeyi etkinleştirme
• Docker kullanıcı arabirimi aracılığıyla ara sunucu kullanmak için Docker'ı etkinleştirin.
• Tamamlandığında geri döndüğünüzden emin olun. Docker bu etkinken çalışmaz ve Fiddler çalışmaz.

Windows kapsayıcıları

Docker proxy'sini 127.0.0.1:8888 olarak yapılandırma

Linux kapsayıcıları

Docker vm sanal anahtarının ip'sini bulun:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Docker proxy'sini önceki komutun ve 8888 numaralı bağlantı noktasının çıkışına göre yapılandırın (örneğin, 10.0.75.1:8888)

Aşağıdaki komutlar, belirtilen kayıt defterinde çalışan tüm görevleri iptal eder.

az acr task list-runs -r $myregistry --run-status Running --query '[].runId' -o tsv \
| xargs -I% az acr task cancel-run -r $myregistry --run-id %

Komutuna az acr build yerel bir kaynak klasörü geçirirseniz, .git klasör varsayılan olarak karşıya yüklenen paketten dışlanır. Aşağıdaki ayara sahip bir .dockerignore dosya oluşturabilirsiniz. Komutuna, karşıya yüklenen paketteki altındaki .git tüm dosyaları geri yüklemesini söyler.

!.git/**

Bu ayar komut için az acr run de geçerlidir.

Şu anda Kaynak tetikleyicileri için GitLab'i desteklemiyoruz.

Çalıştırma Hata İletisi Sorunlarını Giderme

CI/CD tümleştirmesi

• CircleCI
• GitHub Actions

Mevcut ağ güvenlik gruplarına veya kullanıcı tanımlı yollara doğru güvenlik duvarı kurallarını ayarlayın. Kurulumdan sonra güvenlik duvarı kurallarının uygulanması için birkaç dakika bekleyin.

Aşağıdaki Azure yerleşik ilkesi, ilgili ilke durumuna ayarlandığında kullanıcının kendi kayıt defterinde yönetici kullanıcıyı etkinleştirmesini engeller.

Sonraki adımlar

• Azure Container Registry hakkında daha fazla bilgi edinin.