Amazon ECR'ye görüntü aktarılamıyor - "temel kimlik doğrulama bilgileri olmadan" başarısız oluyor

Bir docker görüntüsünü bir Amazon ECR kayıt defterine aktarmaya çalışıyorum. Docker istemcisi Docker sürüm 1.9.1, build kullanıyorum a34a1d5. aws ecr get-login --region us-east-1Docker giriş kredilerini almak için kullanıyorum . Sonra bu kredilerle başarılı bir şekilde şu şekilde giriş yapıyorum:

docker login -u AWS -p XXXX -e none https://####.dkr.ecr.us-east-1.amazonaws.com
WARNING: login credentials saved in /Users/ar/.docker/config.json
Login Succeeded

Ama resmimi itmeye çalıştığımda şu hatayı alıyorum:

$ docker push ####.dkr.ecr.us-east-1.amazonaws.com/image:latest
The push refers to a repository [####.dkr.ecr.us-east-1.amazonaws.com/image] (len: 1)
bcff5e7e3c7c: Preparing 
Post https://####.dkr.ecr.us-east-1.amazonaws.com/v2/image/blobs/uploads/: no basic auth credentials

Aws kullanıcısının doğru izinlere sahip olduğundan emin oldum. Ben de deponun kullanıcının ona itmesine izin verdiğinden emin oldum. Bunun bir sorun olmadığından emin olmak için kayıt defterini tüm kullanıcıların tam erişimine izin verecek şekilde ayarladım. Hiçbir şey "no basic auth credentials"hatayı değiştirmez. Tüm trafik şifreli olduğundan bu hata ayıklamaya nasıl başlayacağımı bilmiyorum.

GÜNCELLEME

Bu yüzden problemimin temel sebebini fark ettiğimde biraz Homer Simpson D'Oh anı yaşadım. Birden fazla AWS hesabına erişimim var. aws configureHavuzumu kurduğum hesap için kimlik bilgilerimi ayarlamak için kullanıyor olmama rağmen , aws cli aslında ortam değişkenlerini AWS_ACCESS_KEY_IDve AWS_SECRET_ACCESS_KEY. Bu yüzden yaptığımda aws ecr get-loginyanlış hesap için bir giriş döndürüyordu. Önerilen yanıtlardan bazılarını denemek için şimdi geri dönene kadar hesap numaralarının farklı olduğunu fark edemedim. Ortam değişkenlerini kaldırdığımda her şey doğru çalışıyor. Sanırım hikayenin sloganı bu hatayı vurursanız, giriş yaptığınız havuzun görüntüye uyguladığınız etiketle eşleştiğinden emin olun.

eğer koşarsan senin $(aws ecr get-login --region us-east-1)için her şey bitecek

Benim durumumda bu, Windows için Docker ve Windows Kimlik Bilgisi Yöneticisi desteğiyle ilgili bir hataydı.

Girişinizi açın ~/.docker/config.jsonve "credsStore": "wincred"girişi kaldırın .

Bu, kimlik bilgilerinin config.jsondoğrudan yazılmasına neden olur . Daha sonra tekrar giriş yapmanız gerekecek.

Bu hatayı GitHub'daki # 22910 ve # 24968 biletlerinden takip edebilirsiniz .

Eğer profil kullanıyorsanız, geçmek unutma --profile=XXXiçin aws ecr get-login.

Ben de bu sorunu yaşadım. Bana ne oldu, koştuktan sonra bana geri dönen komutu çalıştırmayı unuttum

aws ecr get-login --region ap-southeast-2

Bu komut, docker loginoradaki komutu içeren büyük bir damla döndürdü ! Farkında değildim. Bunun gibi bir şey döndürmelidir:

docker login -u AWS -p <your_token_which_is_massive> -e none <your_aws_url>

Bu komutu kopyalayıp yapıştırın ve ardından aşağıdaki gibi görünen docker push komutunuzu çalıştırın:

docker push 8888888.blah.blah.ap-southwest-1.amazonaws.com/dockerfilename

Bu, izinleri açmadan da çalışmış olmalıydı. Özel Kayıt Defteri Kimlik Doğrulaması belgelerine bakın .

[Düzenle: aslında, ikinci bir test yaparken ben de izin sorunları vardı. Bkz. Docker, hatalı biçimlendirilmiş JSON ile başarısız olan AWS ECR özel repo'ya itme ).]

Yine de aynı problemi yaşadım; Nedenini bilmiyorum, ancak belgede alma yetkisi belirteci için daha uzun soluklu kimlik doğrulama mekanizmasını başarıyla kullandım

AWS CLI ve Docker sürümleri:

$ aws --version
aws-cli/1.9.17 Python/2.7.6 Linux/3.16.0-38-generic botocore/1.3.17
$ docker --version
Docker version 1.9.1, build a34a1d5

Yetkilendirme jetonunu alın ('docker şifresi').

aws ecr get-authorization-token --region us-east-1 --output text \
    --query authorizationData[].authorizationToken | base64 -d | cut -d: -f2

Not: ~ / .aws / config farklı bir varsayılan bölge belirtir, bu yüzden açıkça ayarlamam gerekiyordu --region us-east-1 .

Etkileşimli olarak giriş yapın ( ############AWS hesap kimliğinizle değiştirin):

docker login -u AWS https://############.dkr.ecr.us-east-1.amazonaws.com/
password: <paste the very long password from above>
email: <I left this blank>

Bir görüntüyü itin (docker görüntüsü yaptığınızı varsayarak test):

docker tag test:latest ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
docker push ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
The push refers to a repository [910732017890.dkr.ecr.us-east-1.amazonaws.com/test] (len: 1)
d5122f58a2e1: Pushed 
7bddbca3b908: Pushed 
latest: digest: sha256:bc0b521fd398bd1a2ef58a289dcb910334608723fd570e7bddb36eacd0060363 size: 4378

Şunu deneyin:

eval $(aws ecr get-login --no-include-email | sed 's|https://||')

itmeden önce.

Güncelleme

AWS CLI sürüm 2 - aws ecr get-loginkullanımdan kaldırıldığından ve doğru yöntemaws ecr get-login-password .

Bu nedenle doğru ve güncellenmiş cevap şudur: docker login -u AWS -p $(aws ecr get-login-password --region us-east-1) xxxxxxxx.dkr.ecr.us-east-1.amazonaws.com

Eğer herkese yardım ederse ...

Benim sorunum --profilekimlik bilgileri dosyasından doğru profil ile kimlik doğrulaması için seçeneği kullanmak zorunda oldu .

Sonra, --region [region_name]"temel kimlik doğrulama yok" hatası veren komutu atlatmıştım .

Benim için çözüm bundan emrimi değiştiriyordu:

aws ecr get-login

Buna:

aws --profile [profile_name] ecr get-login --region [region_name]

Misal:

aws --profile foo ecr get-login --region us-east-1

Umarım birine yardım eder!

Windows'taki wincred kimlik bilgisi yöneticisinde bilinen bir hata var. 'Https: //' öğesini oluşturulan giriş komutundan kaldırmak bunu çözer.

docker login -u AWS -p <password> <aws_account_id>.dkr.ecr.<region>.amazonaws.com

onun yerine

docker login -u AWS -p <password> https://<aws_account_id>.dkr.ecr.<region>.amazonaws.com

Ayrıca sorun giderme sayfasına bakın .

Aynı sorunu yaşadım.

Yeni AWS kimlik bilgileri (erişim anahtarları) oluşturmak ve AWS CLI'yi yeni kimlik bilgileriyle yeniden yapılandırmak sorunu çözdü.

Daha önce, aws ecr get-login --region us-east-1geçersiz EC kayıt defteri URL'si ile oluşturulan docker giriş komutu.

On Windows'un içinde PowerShell kullanın:

Invoke-Expression $(aws ecr get-login --no-include-email)

Farklı bir nedenden dolayı bu sorunu yaşadım: AWS Hesabımla ilişkili olmayan bir kayıt defterine (müşterinin ECR kayıt defteri) basmam gerekiyordu. İstemci, IAM kimliğimi (ör. arn:aws:iam::{AWS ACCT #}:user/{Username}) Ana Kişi olarak ekleyerek kayıt defterinin İzinler sekmesi altında bana erişim izni vermişti . Her zamanki adımlarla giriş yapmaya çalıştım:

$(aws ecr get-login --region us-west-2 --profile profilename)
docker push {Client AWS ACCT #}.dkr.ecr.us-west-1.amazonaws.com/imagename:latest

Tabii ki sonuçlandı no basic auth credentials. Sonradan anlaşıldı ki , aws ecr get-loginECR oturumunu açacaktır giriş ilişkili kayıt için geçmişe bakıldığında mantıklı. Çözüm, aws ecr get-loginhangi kayıt defterinde oturum açmak istediğinizi söylemektir .

$(aws ecr get-login --region us-west-2 --profile profilename --registry-ids {Client AWS ACCT #})

Bundan sonra, docker pushgayet iyi çalışıyor.

1. Önce ECR kayıt defterini oluşturduğunuzdan emin olun.
   Daha sonra ECR Push Komut Talimatlarına göre, aşağıdaki komutları kesin ve yapıştırın
2. 
   eval $(aws ecr get-login --region us-east-1)
   Birden çok AWS Hesabı kullanıyorsanız docker oturum açma komutunu yürütün (Mac / Linux'ta eval, kes ve yapıştır atlar) add --profile
   eval $(aws ecr get-login --region us-east-1 --profile your-profile)
3. docker build -t image-name .
4. docker tag image-name:latest ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest
5. docker push ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest

Hata durumunda, tüm komutları tekrar çalıştırdığınızdan emin olun! Kullandığınız kimlik bilgileriniz aws ecr get-logingeçicidir ve süresi dolar.

Benim durumumda, çalıştırdıktan sonra aws ecr get-login --no-include-email --region *****, bu komutun çıktısını şu şekilde kopyaladım:docker login -u *** -p ************ istemine yapıştırın. İtme devam etti.

AWS belgeleri size aşağıdaki komutu uygulamanızı söyler (ap-southeast-2 bölgesi için)

aws ecr get-login --region ap-southeast-2

Bu sorunla karşılaştığımda, bu komutun sonucunu terminale girmeniz ve yürütmeniz gereken dokümanlara dayanarak bana açık değildi.

Benim için çalışan düzeltme sonucu panoya kopyalamaktı

aws ecr get-login --region ap-southeast-2 | pbcopy

Sonucu komut satırına yapıştırın ve yürütün

Bu komutu çalıştırdıktan sonra:

(aws ecr get-login --no-include-email --region us-west-2)

çıkıştan docker giriş komutunu çalıştırmanız yeterlidir

docker login -u AWS -p epJ....

liman işçisinin ECR'ye giriş şekli

Bu hata genellikle ecr girişi başarısız olursa atılır. Ben windows sistemi kullanıyorum ve ilk ecr giriş için Yönetici modunda "Powershell" kullandım.

Invoke-Expression $(aws ecr get-login --no-include-email)

Bu "Giriş başarılı" çıktısı vermelidir.

Aynı sorunla karşılaştım ve yaptığım hata yanlış repo yolunu kullanmaktı

Örneğin: docker push xxxxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/jenkins:latest

Yukarıdaki yolda bu hatayı yaptığım yer: Bunun "dkr.ecr.us-east-1.amazonaws.com"yerine "west". Ben "kullanıyordum east". Ben hatamı düzeltilmiş keresinde başarıyla görüntü itmek başardı.

Aws-cli tarafından verilen docker komutu çok az ...

Docker oturum açma özelliğini kullanırken, docker, anahtar zincirinize veya ~ / .docker / config.json dosyasına bir sunucu: anahtar çifti kaydeder

Anahtarı https://7272727.dkr.ecr.us-east-1.amazonaws.com, arama sırasında anahtar aramasının altına kaydederse, docker 7272727.dkr.ecr.us-east-1.amazonaws.comnot adlı bir sunucu arayacağından başarısız olurhttps://7272727.dkr.ecr.us-east-1.amazonaws.com .

Giriş yapmak için aşağıdaki komutu kullanın:

eval $(aws ecr get-login --no-include-email --region us-east-1 --profile yourprofile | sed 's|https://||')

Komutu çalıştırdığınızda 'Login Succeeded'mesaj alacaksınız ve bundan
sonra push komutunuzun çalışması iyi olacak

Docker görüntülerini ECR'ye aktarmanın çok basit bir yolu var: Amazon ECR Docker Kimlik Bilgisi Yardımcısı . Sadece verilen kılavuza göre yükleyin ~/.docker/config.json, aşağıdaki gibi güncelleyin :

{
    "credsStore": "ecr-login"
}

ve görüntüleri olmadan itebilir / çekebilirsiniz docker login.

OSX üzerinde çalışırken de bu sorunla karşılaştım. Oliver Salzburg'un yanıtını gördüm ve ~ / .docker / config.json'umu kontrol ettim. İçinde sahip olduğum farklı AWS hesaplarından birden fazla yetkilendirme bilgisi vardı. Dosyayı sildim ve get-login çalıştırdıktan sonra tekrar çalıştı.

Doğru bölgeyi kullandığınızdan emin olun aws ecr get-login; bu, deponuzun oluşturulduğu bölgeyle eşleşmelidir.

Benim sorunumda birden fazla AWS kimlik bilgisi vardı; varsayılan ve dev. Ben dev için dağıtmak çalışıyordu beri bu çalıştı:

$(aws ecr get-login --no-include-email --region eu-west-1 --profile dev | sed 's|https://||')

FWIW, Debian 9, Docker 18.06.1-ce sürümü, e68fc7a derlemesi:

$(aws ecr get-login | sed 's| -e none | |g')

Birden çok profil kullanıyorsanız ve varsayılan profiliniz olmayan bir profile giriş yapmanız gerekiyorsa, bu komutla giriş yapmanız gerekir:

$(AWS_PROFILE=<YOUR PROFILE> aws ecr get-login --no-include-email --region eu-west-1)

Aşağıdaki komut benim için çalışıyor:

sudo $(aws ecr get-login --region us-east-1 --no-include-email)

Ve sonra şu komutları çalıştırıyorum:

sudo docker tag e9ae3c220b23(image_id) aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app

sudo docker push aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app

Bugün bu sorunla da karşılaştık ve bu yayında belirtilen her şeyi denedik (AWS kimlik bilgileri oluşturma hariç).

Sonunda sadece Docker'ı yükselterek sorunu çözdük, sonra itme işe yaradı.

Sorun Docker 1.10.x ile karşılaşıldı ve Docker 1.11.x ile çözüldü.

Bu yardımcı olur umarım

AWS Hesaplarını CI / CD amacıyla yalıtıyorsanız ve bir ECR deposunun birden çok AWS Hesabı arasında paylaşılmasını sağlıyorsanız, ~/.docker/config.json manuel .

Diyelim ki şu kurulumlara sahipsiniz:

1. ECR'nin sahibi AWS Hesap Kimliği 00000000000000
2. CI sunucusunun sahibi AWS Hesap Kimliği 99999999999999

aws ecr get-login --region us-west-2 | bashCI sunucunuzda arama yaparsanız , docker içinde geçici kimlik bilgileri oluşturur ~/.docker/config.json.

{
  "auths": {
    "https://99999999999999.dkr.ecr.us-west-2.amazonaws.com": {
      "auth": "long-token.."
    }
  }
}

Ancak ECR'nin hesabına işaret etmek istersiniz, bu nedenle ana bilgisayar adını değiştirmeniz gerekir.

{
  "auths": {
    "https://00000000000000.dkr.ecr.us-west-2.amazonaws.com": {
      "auth": "long-token.."
    }
  }
}

Bu durumun ECR erişimine izin vermek için IAM kullanıcı / ilkesini nasıl oluşturduğunuza bağlı olduğunu unutmayın.

Doğru kimlik bilgilerini kullanarak oturum açtığınızdan emin olmalısınız, Resmi hata açıklamasına ve denetimlerine buradan bakın

http://docs.aws.amazon.com/AmazonECR/latest/userguide/common-errors-docker.html

Bağlantıda "temel kimlik doğrulaması yok" düzeltmesi açıklanıyor

aws ecr get-login --region us-west-1 --no-include-email

Bu komut bana giriş yapmak için doğru komutu veriyor. "--No-include-email" kullanmazsanız, başka bir hata daha gönderir. Yukarıdaki komutun çıktısı bu docker girişine benziyor -u AWS -p ********************** çok büyük ******. Bunu kopyalayın ve yürütün. Şimdi "Giriş Başarılı" mesajını gösterecektir. Artık görüntünüzü ECR'ye aktarabilirsiniz.

AMI kuralınızın giriş yapmaya çalıştığınız kullanıcı için izni olduğundan emin olun.