Häufig gestellte Fragen: Azure Container Registry

Ja. Hier ist eine Vorlage, mit deren Hilfe Sie eine Registrierung erstellen können.

Ja. Konsultieren Sie die Dokumentation von Microsoft Defender für Cloud, Twistlock und Aqua.

Siehe die Dokumentation zu Kubernetes und Anweisungen zu Azure Kubernetes Service.

Stellen Sie vor dem Abrufen von Administratoranmeldeinformationen sicher, dass die Registrierung des Administratorbenutzers aktiviert ist.

So rufen Sie Anmeldeinformationen mithilfe der Azure CLI ab

az acr credential show -n myRegistry

Verwenden von Azure PowerShell:

Invoke-AzureRmResourceAction -Action listCredentials -ResourceType Microsoft.ContainerRegistry/registries -ResourceGroupName myResourceGroup -ResourceName myRegistry

Stellen Sie vor dem Abrufen von Administratoranmeldeinformationen sicher, dass die Registrierung des Administratorbenutzers aktiviert ist.

So rufen Sie das erste Kennwort ab

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[0].value]"
}

So rufen Sie das zweite Kennwort ab

{
    "password": "[listCredentials(resourceId('Microsoft.ContainerRegistry/registries', 'myRegistry'), '2017-10-01').passwords[1].value]"
}

Dieser Fehler tritt auf, wenn ein Benutzer die Rolle Container Registry Contributor and Data Access Configuration Administrator für eine Registrierung besitzt – was das Löschen von Replikaten über die Azure CLI ermöglicht –, aber keine Leseberechtigungen für das Abonnement hat. Der Lesezugriff auf das Abonnement ist erforderlich, um Replikate über das Portal zu löschen. Um dieses Problem zu beheben, weisen Sie dem Benutzer die Berechtigung „Leser“ für das Abonnement zu:

az role assignment create --role "Reader" --assignee user@contoso.com --scope /subscriptions/<subscription_id> 

Es dauert einige Zeit, bis Änderungen von Firewallregeln verbreitet werden. Nach dem Ändern der Firewalleinstellungen sollten Sie einige Minuten warten, bevor Sie diese Änderung überprüfen.

ACR unterstützt die HTTP-API V2 für Docker-Registrierungen. Der Zugriff auf die APIs erfolgt über https://<your registry login server>/v2/. Beispiel: https://mycontainerregistry.azurecr.io/v2/

Wenn Sie auf Bash sind:

az acr manifest list-metadata --name myRepository --registry myRegistry --query "[?tags[0]==null].digest" --output tsv  | xargs -I% az acr repository delete --name myRegistry ---image myRepository@%

Mit PowerShell:

az acr manifest list-metadata --name myRepository --repository myRegistry --query "[?tags[0]==null].digest" --output tsv | %{ az acr repository delete --name myRegistry --image myRepository@$_ }

Weitere Informationen finden Sie unter Löschen von Containerimages in Azure Container Registry.

Diese Situation kann eintreten, wenn andere Containerimages noch auf die zugrunde liegenden Ebenen verweisen. Wenn Sie ein Image ohne Verweise löschen, wird die Registrierungsnutzung binnen weniger Minuten aktualisiert.

Erstellen Sie mithilfe der folgenden Docker-Datei ein Image mit einer 1-GB-Ebene. Dieser Schritt stellt sicher, dass das Image eine Ebene hat, die mit keinem anderen Image in der Registrierung gemeinsam genutzt wird.

FROM alpine
RUN dd if=/dev/urandom of=1GB.bin  bs=32M  count=32
RUN ls -lh 1GB.bin

Erstellen Sie das Image, und übertragen Sie es per Push mithilfe der Docker CLI in Ihre Registrierung.

docker build -t myregistry.azurecr.io/1gb:latest .
docker push myregistry.azurecr.io/1gb:latest

Sie sollten sich im Azure-Portal davon überzeugen können, dass die Speichernutzung gestiegen ist. Sie können die Nutzung auch über die CLI abfragen.

az acr show-usage -n myregistry

Löschen Sie das Image mithilfe der Azure CLI oder des Portals, und überprüfen Sie nach wenigen Minuten die aktualisierte Nutzung.

az acr repository delete -n myregistry --image 1gb

Sie müssen den Azure CLI-Container ausführen, indem Sie das Docker-Socket einbinden:

docker run -it -v /var/run/docker.sock:/var/run/docker.sock azuresdk/azure-cli-python:dev

Installieren Sie im Container docker:

apk --update add docker

Authentifizieren Sie sich anschließend bei Ihrer Registrierung:

az acr login -n MyRegistry

Aktivieren Sie TLS 1.2 mithilfe eines beliebigen aktuellen Docker-Clients (Version 18.03.0 und höher).

Ja, Sie können vertrauenswürdige Images in Azure Container Registry mit Docker Content Trust verwenden. Weitere Informationen finden Sie unter Inhaltsvertrauen in Azure Container Registry.

Wo befindet sich die Datei für den Fingerabdruck?

Unter ~/.docker/trust/tuf/myregistry.azurecr.io/myrepository/metadata:

• Öffentliche Schlüssel und Zertifikate aller Rollen (mit Ausnahme von Delegierungsrollen) werden in root.json gespeichert.
• Öffentliche Schlüssel und Zertifikate der Delegierungsrollen werden in der JSON-Datei der übergeordneten Rolle gespeichert (z.B. in targets.json für die Rolle targets/releases).

Sie sollten diese öffentlichen Schlüssel und Zertifikate nach der gesamten TUF-Überprüfung durch den Docker- und Notary-Client überprüfen.

ACR unterstützt die rollenbasierte Microsoft Entra-Zugriffssteuerung (RBAC) und integrierte Rollen , die unterschiedliche Ebenen von Microsoft Entra-basierten Berechtigungen bereitstellen, z. B. das Erteilen von Bild-Push- oder Pullberechtigungen, ohne berechtigungen für die gesamte Registrierung zu erteilen.

Optional können Sie [Microsoft Entra attribute-based access control (ABAC)] verwenden, um Microsoft Entra-basierte Repositoryberechtigungen zu verwalten und Rollenzuweisungen für bestimmte Repositorys zu beschränken.

Quarantäne von Images ist derzeit eine Previewfunktion von ACR. Der Quarantänemodus einer Registrierung kann aktiviert werden, sodass nur Images, die Sicherheitsscans bestehen, für normale Benutzer sichtbar sind. Weitere Informationen finden Sie im GitHub-Repository zu ACR.

Weitere Informationen finden Sie unter Öffentlich Verfügbarmachen von Registrierungsinhalten.

Eine nicht verteilbare Ebene in einem Manifest enthält einen URL-Parameter, aus dem Inhalte abgerufen werden können. Einige Anwendungsfälle für das Aktivieren des Pushens von nicht verteilbaren Ebenen sind Registrierungen mit Netzwerkeinschränkungen, Air Gap-Registrierungen mit eingeschränktem Zugriff oder Registrierungen ohne Internetverbindung.

Wenn z. B. Netzwerksicherheitsgruppenregeln (Network Security Group, NSG) so eingerichtet sind, dass eine VM Bilder nur aus Ihrer Azure-Containerregistrierung herunterladen kann, könnte Docker möglicherweise auf Fehler beim Herunterladen fremder oder nicht verteilbarer Schichten stoßen. Ein Windows Server Core-Image würde beispielsweise fremde Ebenenverweise auf Azure Container Registry im Manifest enthalten und in diesem Szenario Fehler bei Pullvorgängen ausgeben.

So aktivieren Sie das Pushen von nicht verteilbaren Ebenen:

1. Bearbeiten Sie die Datei daemon.json, die sich unter /etc/docker/ (Linux) und unter C:\ProgramData\docker\config\daemon.json (Windows Server) befindet. Wenn die Datei zuvor leer war, fügen Sie die folgenden Inhalte hinzu:

   {
     "allow-nondistributable-artifacts": ["myregistry.azurecr.io"]
   }
   

   Hinweis

   Der Wert ist ein Array von Registrierungsadressen, die durch Kommas getrennt sind.

2. Speicher und beende die Datei.

3. Starten Sie Docker neu.

Wenn Sie Images an die Registrierungen in der Liste pushen, werden ihre nicht verteilbaren Ebenen an die Registrierung gepusht.

Informationen zur Behebung von Problemen mit der allgemeinen Umgebung und der Registrierung finden Sie unter Überprüfen der Integrität einer Azure-Containerregistrierung.

• Wenn dieser Fehler ein vorübergehendes Problem ist, kann eine Wiederholung erfolgreich sein.
• Wenn docker pull ständig ausfällt, kann dies an einem Problem mit dem Docker-Daemon liegen. Das Problem kann in der Regel durch einen Neustart des Docker-Daemons behoben werden.
• Wenn dieses Problem nach dem Neustart des Docker-Daemons weiterhin besteht, liegt ggf. ein Problem mit der Netzwerkverbindung des Computers vor. Um zu überprüfen, ob das allgemeine Netzwerk auf dem Computer funktionsfähig ist, führen Sie den folgenden Befehl zum Testen der Endpunktkonnektivität aus. Die Mindestversion von az acr, die diesen Befehl für die Konnektivitätsprüfung enthält, ist 2.2.9. Aktualisieren Sie Ihre Azure-Befehlszeilenschnittstelle, falls Sie eine ältere Version verwenden.

az acr check-health -n myRegistry

• Sie sollten für alle Docker-Clientvorgänge stets einen Wiederholungsmechanismus einrichten.

Verwenden Sie das Speed-Tool, um die Netzwerk-Downloadgeschwindigkeit Ihres Computers zu testen. Wenn das Computernetzwerk langsam ist, sollten Sie eine Azure Virtual Machine (VM) in derselben Region wie Ihre Registrierung verwenden, um die Netzwerkgeschwindigkeit zu verbessern.

Verwenden Sie das Speed-Tool, um die Netzwerk-Uploadgeschwindigkeit Ihres Computers zu testen. Wenn das Computernetzwerk langsam ist, sollten Sie die Azure-VM in derselben Region wie Ihre Registrierung verwenden, um die Netzwerkgeschwindigkeit zu verbessern.

Dieser Fehler kann bei der Red Hat-Version des Docker-Daemons auftreten, bei der --signature-verification standardmäßig aktiviert ist. Sie können die Docker-Daemon-Optionen für Red Hat Enterprise Linux (RHEL) oder Fedora überprüfen, indem Sie den folgenden Befehl ausführen:

grep OPTIONS /etc/sysconfig/docker

Fedora 28 Server bietet beispielsweise die folgenden Docker-Daemon-Optionen:

OPTIONS='--selinux-enabled --log-driver=journald --live-restore'

Wenn --signature-verification=false fehlt, schlägt docker pull mit einem Fehler wie dem folgenden fehl:

Trying to pull repository myregistry.azurecr.io/myimage ...
unauthorized: authentication required

So beheben Sie den Fehler

1. Fügen Sie der Docker-Daemon-Konfigurationsdatei /etc/sysconfig/docker die Option --signature-verification=false hinzu. Beispiel:

   OPTIONS='--selinux-enabled --log-driver=journald --live-restore --signature-verification=false'

2. Starten Sie den Docker-Daemon-Dienst neu, indem Sie den folgenden Befehl ausführen:

   sudo systemctl restart docker.service
   

Details zu --signature-verification finden Sie, indem Sie man dockerd ausführen.

Stellen Sie sicher, dass Sie für die Server-URL Kleinbuchstaben verwenden (z. B. docker push myregistry.azurecr.io/myimage:latest), auch wenn der Name der Registrierungsressource auch aus Großbuchstaben oder Groß- und Kleinbuchstaben besteht (z. B. myRegistry).

Starten Sie dockerd mit der Option debug. Erstellen Sie zunächst die Docker-Daemon-Konfigurationsdatei (/etc/docker/daemon.json), falls sie noch nicht vorhanden ist, und fügen Sie die Option debug hinzu:

{    
    "debug": true    
}

Starten Sie dann den Daemon neu.

sudo service docker restart

Weitere Informationen finden Sie in der Dokumentation zu Docker.

• Die Protokolle können je nach System an verschiedenen Speicherorten generiert werden. Unter Ubuntu 14.04 ist dies z.B. /var/log/upstart/docker.log.
  Weitere Informationen finden Sie in der Dokumentation zu Docker.

• Für Docker für Windows werden die Protokolle unter %LOCALAPPDATA%/docker/ generiert. Möglicherweise sind jedoch noch nicht alle Debuginformationen enthalten.

  Um auf das vollständige Daemon-Protokoll zugreifen zu können, müssen Sie ggf. einige zusätzliche Schritte durchführen:

  docker run --privileged -it --rm -v /var/run/docker.sock:/var/run/docker.sock -v /usr/local/bin/docker:/usr/local/bin/docker alpine sh
  
  docker run --net=host --ipc=host --uts=host --pid=host -it --security-opt=seccomp=unconfined --privileged --rm -v /:/host alpine /bin/sh
  chroot /host
  

  Jetzt haben Sie Zugriff auf alle Dateien der VM, auf der dockerd ausgeführt wird. Das Protokoll befindet sich in /var/log/docker.log.

Wenn Sie einem Dienstprinzipal neue Berechtigungen (neue Rollen) erteilen, wird die Änderung möglicherweise nicht sofort wirksam. Es gibt zwei mögliche Gründe:

• Verzögerung der Rollenzuweisung bei Microsoft Entra. Normalerweise erfolgt dieser Vorgang schnell, kann aber aufgrund einer Weitergabeverzögerung einige Minuten dauern.

• Die Berechtigungsverzögerung auf dem ACR-Tokenserver kann bis zu 10 Minuten betragen. Um Abhilfe zu schaffen, können Sie docker logout ausführen und sich dann nach einer Minute wieder mit dem gleichen Benutzer authentifizieren:

  docker logout myregistry.azurecr.io
  docker login myregistry.azurecr.io
  

ACR unterstützt derzeit nicht das Löschen der Stammreplikation durch die Benutzer. Die Problemumgehung besteht darin, die Erstellung der Stammreplikation in die Vorlage aufzunehmen, aber ihre Erstellung zu überspringen, indem Sie "condition": false wie unten gezeigt hinzufügen:

{
    "name": "[concat(parameters('acrName'), '/', parameters('location'))]",
    "condition": false,
    "type": "Microsoft.ContainerRegistry/registries/replications",
    "apiVersion": "2017-10-01",
    "location": "[parameters('location')]",
    "properties": {},
    "dependsOn": [
        "[concat('Microsoft.ContainerRegistry/registries/', parameters('acrName'))]"
     ]
},

Sie können auf den Fehler InvalidAuthenticationInfo stoßen, insbesondere wenn Sie das curl-Tool mit der Option -L, --location verwenden (um Umleitungen zu folgen). Das Abrufen des Blobs mithilfe von curl mit der Option -L und der Standardauthentifizierung:

curl -L -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest

kann z.B. zur folgenden Antwort führen:

<?xml version="1.0" encoding="utf-8"?>
<Error><Code>InvalidAuthenticationInfo</Code><Message>Authentication information is not given in the correct format. Check the value of Authorization header.
RequestId:00000000-0000-0000-0000-000000000000
Time:2019-01-01T00:00:00.0000000Z</Message></Error>

Die eigentliche Ursache ist, dass einige Implementierungen von curl auf Umleitungen mit Headern aus der ursprünglichen Anforderung folgen.

Um das Problem zu beheben, müssen Sie Umleitungen manuell ohne die Header folgen. Geben Sie die Antwortheader mit der Option -D - von curl aus, und extrahieren Sie dann den Header Location:

REDIRECT_URL=$(curl -s -D - -H "Authorization: basic $credential" https://$registry.azurecr.io/v2/$repository/blobs/$digest | grep "^Location: " | cut -d " " -f2 | tr -d '\r')
curl $REDIRECT_URL

Wenn Sie Microsoft Edge oder Internet Explorer als Browser verwenden, werden maximal 100 Repositorys oder Tags angezeigt. Wenn Ihre Registrierung mehr als 100 Repositorys oder Tags enthält, empfehlen wir Ihnen, entweder Firefox oder Chrome als Browser zu verwenden, um alle aufzulisten.

Der Browser ist möglicherweise nicht in der Lage, die Anforderung zum Abrufen von Repositorys oder Tags an den Server zu senden. Dies könnte verschiedene Ursachen haben, z. B.:

• Fehlende Netzwerkverbindung
• Brandmauer
• Verwenden des Portals aus einem öffentlichen Netzwerk für eine Registrierung, die nur privaten Zugriff zulässt
• Werbeblocker
• DNS-Fehler (Domain Name Server)

Wenden Sie sich an Ihren Netzwerkadministrator, oder überprüfen Sie Ihre Netzwerkkonfiguration und -verbindungen. Führen Sie az acr check-health -n yourRegistry mithilfe Ihrer Azure CLI aus, um zu überprüfen, ob Ihre Umgebung eine Verbindung mit Container Registry herstellen kann. Außerdem könnten Sie es mit einer Inkognito- bzw. privaten Sitzung in Ihrem Browser probieren, um veraltete Browsercaches oder -cookies zu vermeiden.

Hier finden Sie einige Szenarios, bei denen Vorgänge möglicherweise nicht zulässig sind:

• Klassische Registrierungen werden nicht mehr unterstützt. Aktualisieren Sie mithilfe von az acr update oder im Azure-Portal auf einen unterstützten Tarif.
• Das Image oder Repository ist möglicherweise gesperrt, sodass es nicht gelöscht oder aktualisiert werden kann. Sie können den Befehl az acr repository show verwenden, um aktuelle Attribute anzuzeigen.
• Einige Vorgänge sind nicht zulässig, wenn das Image in Quarantäne gestellt wird. Weitere Informationen zur Quarantäne finden Sie hier.
• Möglicherweise hat Ihre Registrierung das Speicherlimit erreicht.

Wenn beim Angeben eines Repository-Namens in Repository-Operationen eine Fehlermeldung wie „Nicht unterstütztes Repository-Format“, „Ungültiges Format“ oder „Die angeforderten Daten existieren nicht“ angezeigt wird, überprüfen Sie die Schreibweise und Groß-/Kleinschreibung des Namens. Gültige Repositorynamen dürfen nur alphanumerische Kleinbuchstaben, Punkte, Bindestriche, Unterstriche und Schrägstriche enthalten.

Voraussetzungen

• Aktivieren Sie die Entschlüsselung von HTTPS in Fiddler.
• Aktivieren Sie Docker zur Verwendung eines Proxys über die Docker-Benutzeroberfläche.
• Setzen Sie die Einstellung nach Abschluss des Vorgangs unbedingt zurück. Docker funktioniert nicht, wenn diese Option aktiviert ist und Fiddler nicht ausgeführt wird.

Windows-Container

Konfigurieren des Docker-Proxys für 127.0.0.1:8888

Linux-Container

Ermitteln Sie die IP-Adresse des virtuellen Switches des virtuellen Docker-Computers:

(Get-NetIPAddress -InterfaceAlias "*Docker*" -AddressFamily IPv4).IPAddress

Konfigurieren Sie den Docker-Proxy für die Ausgabe des vorherigen Befehls und für den Port 8888 (z. B. 10.0.75.1:8888).

Mit den folgenden Befehlen werden alle ausgeführten Aufgaben in der angegebenen Registrierung abgebrochen.

az acr task list-runs -r $myregistry --run-status Running --query '[].runId' -o tsv \
| xargs -I% az acr task cancel-run -r $myregistry --run-id %

Wenn Sie einen lokalen Quellordner an den Befehl az acr build übergeben, wird der Ordner .git standardmäßig aus dem hochgeladenen Paket ausgeschlossen. Sie können eine .dockerignore-Datei mit der folgenden Einstellung erstellen. Sie weist den Befehl an, alle Dateien unter .git im hochgeladenen Paket wiederherzustellen.

!.git/**

Diese Einstellung gilt auch für den Befehl az acr run.

„GitLab for Source“-Trigger werden derzeit nicht unterstützt.

Problembehandlung bei Fehlermeldung bei Ausführung

CI/CD-Integration

• CircleCI.
• GitHub Actions

Richten Sie die richtigen Firewallregeln für die vorhandenen Netzwerksicherheitsgruppen oder benutzerdefinierten Routen ein. Warten Sie nach der Einrichtung einige Minuten, bis die Firewallregeln angewendet werden.

Wenn die folgende integrierte Azure-Richtlinie auf den entsprechenden Richtlinienstatus gesetzt ist, hindert sie Benutzer daran, den Administratorkonto in ihrem Register zu aktivieren.

Nächste Schritte

• Mehr über Azure Container Registry.