अमेज़ॅन ईसीआर के लिए छवि को धक्का नहीं दे सकता - "कोई मूल विशेषाधिकार नहीं" के साथ विफल रहता है

मैं एक अमेज़ॅन ईसीआर रजिस्ट्री के लिए एक डॉक छवि को धक्का देने की कोशिश कर रहा हूं। मैं docker क्लाइंट Docker संस्करण 1.9.1 का उपयोग कर रहा हूं, बिल्ड a34a1d5। मैं aws ecr get-login --region us-east-1docker login क्रेडिट पाने के लिए उपयोग करता हूँ । फिर मैं उन क्रेडिट के साथ सफलतापूर्वक लॉगिन करता हूं:

docker login -u AWS -p XXXX -e none https://####.dkr.ecr.us-east-1.amazonaws.com
WARNING: login credentials saved in /Users/ar/.docker/config.json
Login Succeeded

लेकिन जब मैं अपनी छवि को आगे बढ़ाने की कोशिश करता हूं तो मुझे निम्नलिखित त्रुटि मिलती है:

$ docker push ####.dkr.ecr.us-east-1.amazonaws.com/image:latest
The push refers to a repository [####.dkr.ecr.us-east-1.amazonaws.com/image] (len: 1)
bcff5e7e3c7c: Preparing 
Post https://####.dkr.ecr.us-east-1.amazonaws.com/v2/image/blobs/uploads/: no basic auth credentials

मुझे यकीन है कि aws उपयोगकर्ता सही अनुमति थी। मैंने यह भी सुनिश्चित किया कि रिपॉजिटरी ने उस उपयोगकर्ता को इसे पुश करने की अनुमति दी। बस यह सुनिश्चित करने के लिए कि सभी उपयोगकर्ताओं को पूर्ण पहुँच की अनुमति देने के लिए मैंने रजिस्ट्री सेट नहीं की है। कुछ भी "no basic auth credentials"त्रुटि नहीं बदलता है । मुझे नहीं पता कि सभी ट्रैफ़िक एन्क्रिप्ट किए जाने के बाद से इसे कैसे डीबग करना शुरू करना है।

अपडेट करें

इसलिए मेरे पास होमर सिम्पसन डी'ओएच का क्षण था जब मुझे अपनी समस्या का मूल कारण पता चला। मेरे पास कई AWS खातों तक पहुंच है। भले ही मैं aws configureउस खाते के लिए अपनी साख सेट करने के लिए उपयोग कर रहा था , जहां मैंने अपनी रिपॉजिटरी aws cli सेटअप की थी वास्तव में पर्यावरण चर AWS_ACCESS_KEY_IDऔर का उपयोग कर रहा था AWS_SECRET_ACCESS_KEY। इसलिए जब मैंने किया तो aws ecr get-loginयह गलत खाते के लिए एक लॉगिन लौटा रहा था । मैं यह नोट करने में विफल रहा कि जब तक मैं अभी प्रस्तावित प्रस्तावों में से कुछ को आज़माने के लिए खाता संख्या अलग नहीं हो गया था। जब मैं पर्यावरण चर निकालता हूं तो सब कुछ सही ढंग से काम करता है। मुझे लगता है कि कहानी का आदर्श वाक्य है यदि आप इस त्रुटि को मारते हैं, तो सुनिश्चित करें कि आप जिस रिपॉजिटरी में लॉग इन कर रहे हैं वह उस टैग से मेल खाता है जिसे आपने छवि पर लागू किया है।

यदि आप $(aws ecr get-login --region us-east-1)इसे चलाते हैं तो यह सब आपके लिए किया जाएगा

मेरे मामले में यह विंडोज के लिए डॉकर के साथ एक बग था और विंडोज क्रेडेंशियल मैनेजर के लिए उनका समर्थन था।

अपनी खोलें ~/.docker/config.jsonऔर "credsStore": "wincred"प्रविष्टि को हटा दें ।

इससे क्रेडेंशियल्स को config.jsonसीधे लिखा जाएगा । आपको बाद में फिर से लॉग इन करना होगा।

आप इस बग को GitHub पर टिकट # 22910 और # 24968 के माध्यम से ट्रैक कर सकते हैं ।

आप प्रोफ़ाइल का उपयोग करते हैं, तो पारित करने के लिए मत भूलना --profile=XXXके लिए aws ecr get-login।

मेरे पास भी यह मुद्दा था। मेरे साथ जो हुआ था, मैं कमांड चलाने के लिए भूल गया था जो मुझे दौड़ने के बाद वापस कर दिया गया था

aws ecr get-login --region ap-southeast-2

इस कमांड ने एक बड़ा ब्लॉब लौटाया, जिसमें docker loginकमांड भी शामिल है ! मुझे एहसास नहीं हुआ। इसे कुछ इस तरह लौटाना चाहिए:

docker login -u AWS -p <your_token_which_is_massive> -e none <your_aws_url>

इस कमांड को कॉपी और पेस्ट करें और फिर अपना डॉक पुश कमांड चलाएं जो कुछ इस तरह दिखता है:

docker push 8888888.blah.blah.ap-southwest-1.amazonaws.com/dockerfilename

यह अनुमतियों को खोलने के बिना भी काम करना चाहिए था। प्रलेखन देखें: निजी रजिस्ट्री प्रमाणीकरण ।

[संपादित करें: वास्तव में, मुझे दूसरा परीक्षण करते समय भी समस्याएँ थीं। डॉकटर को AWS ECR निजी रेपो में विकृत JSON के साथ असफल देखें )।

फिर भी मुझे वही समस्या थी; मुझे पता नहीं क्यों, लेकिन मैंने गेट -ऑथोराइज़ेशन-टोकन के लिए डॉक्स में वर्णित अधिक लंबी घुमावदार हवा तंत्र का सफलतापूर्वक उपयोग किया

AWS सीएलआई और डॉकर संस्करण:

$ aws --version
aws-cli/1.9.17 Python/2.7.6 Linux/3.16.0-38-generic botocore/1.3.17
$ docker --version
Docker version 1.9.1, build a34a1d5

ऑर्टिकल टोकन प्राप्त करें ('docker password')।

aws ecr get-authorization-token --region us-east-1 --output text \
    --query authorizationData[].authorizationToken | base64 -d | cut -d: -f2

नोट: मेरा ~ / .aws / config एक अलग डिफ़ॉल्ट क्षेत्र निर्दिष्ट करता है, इसलिए मुझे स्पष्ट रूप से सेट करने की आवश्यकता है --region us-east-1।

अंतःक्रियात्मक रूप से लॉग इन करें ( ############अपनी AWS खाता आईडी में परिवर्तन करें):

docker login -u AWS https://############.dkr.ecr.us-east-1.amazonaws.com/
password: <paste the very long password from above>
email: <I left this blank>

एक छवि पुश करें (यह मानते हुए कि आपने डॉक छवि बनाई है test):

docker tag test:latest ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
docker push ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
The push refers to a repository [910732017890.dkr.ecr.us-east-1.amazonaws.com/test] (len: 1)
d5122f58a2e1: Pushed 
7bddbca3b908: Pushed 
latest: digest: sha256:bc0b521fd398bd1a2ef58a289dcb910334608723fd570e7bddb36eacd0060363 size: 4378

इसके साथ प्रयास करें:

eval $(aws ecr get-login --no-include-email | sed 's|https://||')

धक्का देने से पहले।

अपडेट करें

चूंकि एडब्ल्यूएस सीएलआई संस्करण 2 - aws ecr get-loginपदावनत है और सही विधि है aws ecr get-login-password।

इसलिए सही और अद्यतन उत्तर निम्न है: docker login -u AWS -p $(aws ecr get-login-password --region us-east-1) xxxxxxxx.dkr.ecr.us-east-1.amazonaws.com

अगर यह किसी की मदद करता है ...

मेरी समस्या यह थी कि मुझे --profileक्रेडेंशियल फ़ाइल से उचित प्रोफ़ाइल को प्रमाणित करने के लिए विकल्प का उपयोग करना था ।

इसके बाद, मैंने --region [region_name]कमांड को ommitted किया था, जिसने "कोई मूल विशेषाधिकार नहीं" त्रुटि दी थी।

मेरे लिए समाधान इससे मेरी आज्ञा बदल रहा था:

aws ecr get-login

इसके लिए:

aws --profile [profile_name] ecr get-login --region [region_name]

उदाहरण:

aws --profile foo ecr get-login --region us-east-1

आशा है कि किसी की मदद करता है!

विंडोज पर wincred क्रेडेंशियल मैनेजर में एक ज्ञात बग है। उत्पन्न लॉगिन कमांड से 'https: //' को हटाने से यह हल हो जाता है।

docker login -u AWS -p <password> <aws_account_id>.dkr.ecr.<region>.amazonaws.com

के बजाय

docker login -u AWS -p <password> https://<aws_account_id>.dkr.ecr.<region>.amazonaws.com

समस्या निवारण पृष्ठ भी देखें ।

मैंने उसी मुद्दे का अनुभव किया।

नई AWS क्रेडेंशियल (पहुंच कुंजी) बनाना और नए क्रेडेंशियल्स के साथ AWS CLI को पुन: कॉन्फ़िगर करने से समस्या हल हो गई।

इससे पहले, aws ecr get-login --region us-east-1अवैध EC रजिस्ट्री URL के साथ डॉकटर लॉगिन कमांड जनरेट किया गया था।

PowerShell में Windows पर , उपयोग करें:

Invoke-Expression $(aws ecr get-login --no-include-email)

मेरे पास एक अलग कारण के साथ यह मुद्दा था: मुझे अपने एडब्ल्यूएस खाते (एक ग्राहक की ईसीआर रजिस्ट्री) के साथ जुड़ी हुई रजिस्ट्री पर धकेलने की आवश्यकता नहीं थी। क्लाइंट ने मुझे arn:aws:iam::{AWS ACCT #}:user/{Username}प्रिंसिपल के रूप में अपनी IAM आईडी (जैसे, ) जोड़कर रजिस्ट्री के लिए अनुमतियाँ टैब के तहत पहुंच प्रदान की थी । मैंने सामान्य चरणों के साथ लॉगिन करने की कोशिश की:

$(aws ecr get-login --region us-west-2 --profile profilename)
docker push {Client AWS ACCT #}.dkr.ecr.us-west-1.amazonaws.com/imagename:latest

जिसके परिणामस्वरूप निश्चित रूप से no basic auth credentials। जैसा कि यह पता चला है , आपके लॉगिन से जुड़ी रजिस्ट्री के लिएaws ecr get-login ईसीआर में आपको लॉग इन करता है , जो रेट्रोस्पेक्ट में समझ में आता है। समाधान यह बताना है कि आप aws ecr get-loginकिस रजिस्ट्री (रजिस्ट्री) में लॉग इन करना चाहते हैं।

$(aws ecr get-login --region us-west-2 --profile profilename --registry-ids {Client AWS ACCT #})

उसके बाद, docker pushठीक काम करता है।

1. सुनिश्चित करें कि आपने पहले ECR रजिस्ट्री बनाई है।
   फिर ईसीआर पुश कमांड निर्देशों के अनुसार, निम्नलिखित कमांडों को काटें और पेस्ट करें
2. 
   eval $(aws ecr get-login --region us-east-1)
   यदि आप एक से अधिक AWS खातों का उपयोग करते हैं, तो docker लॉगिन कमांड (Mac / Linux पर कट-एंड-पेस्ट को हटाता है ) को जोड़ दें - प्रॉफाइल करें
   eval $(aws ecr get-login --region us-east-1 --profile your-profile)
3. docker build -t image-name .
4. docker tag image-name:latest ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest
5. docker push ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest

त्रुटि के मामले में, सुनिश्चित करें कि आप सभी आदेशों को फिर से चलाते हैं! आपके द्वारा उपयोग aws ecr get-loginकिए जा रहे क्रेडेंशियल अस्थायी हैं और समाप्त हो जाएंगे।

मेरे मामले में, दौड़ने के बाद aws ecr get-login --no-include-email --region *****, मैंने सिर्फ उस कमांड के आउटपुट को कॉपी किया था जो फॉर्म का है docker login -u *** -p ************, और आप इसे प्रॉम्प्ट में पेस्ट करते हैं। धक्कामुक्की आगे बढ़ गई।

AWS दस्तावेज़ आपको निम्नलिखित कमांड निष्पादित करने के लिए कहते हैं (एपी-दक्षिण -२ क्षेत्र के लिए)

aws ecr get-login --region ap-southeast-2

जब मैं इस मुद्दे पर टकराया, तो यह उस डॉक्स के आधार पर मेरे लिए स्पष्ट नहीं था कि आपको इस कमांड के परिणाम को टर्मिनल में दर्ज करने और इसे निष्पादित करने की आवश्यकता है।

फिक्स जो मेरे लिए काम करता था, वह परिणाम को क्लिपबोर्ड पर कॉपी करना था

aws ecr get-login --region ap-southeast-2 | pbcopy

परिणाम को कमांड लाइन में पेस्ट करें और इसे निष्पादित करें

इस कमांड को चलाने के बाद:

(aws ecr get-login --no-include-email --region us-west-2)

बस आउटपुट से docker लॉगिन कमांड चलाएँ

docker login -u AWS -p epJ....

वह तरीका है जो डॉकटर ईसीआर में प्रवेश करता है

यह त्रुटि आम तौर पर फेंक दी जाती है अगर एक्स्ट्रा लॉगिन विफल हो गया हो। मैं विंडोज़ सिस्टम का उपयोग कर रहा हूं और मैंने पहले ecr में लॉगिन करने के लिए एडमिनिस्ट्रेटर मोड में "Powershell" का उपयोग किया है।

Invoke-Expression $(aws ecr get-login --no-include-email)

यह "लॉगिन सफल हुआ" आउटपुट होना चाहिए।

मुझे उसी मुद्दे का सामना करना पड़ा और मैंने जो गलती की वह गलत रेपो पथ का उपयोग कर रहा था

उदाहरण के लिए: docker push xxxxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/jenkins:latest

उपरोक्त पथ में यह वह जगह है जहाँ मैंने गलती की है: इसके "dkr.ecr.us-east-1.amazonaws.com"बजाय "west"। मैं उपयोग कर रहा था " east"। एक बार जब मैंने अपनी गलती को सुधार लिया, तो मैं छवि को सफलतापूर्वक धक्का देने में सक्षम था।

Aws-cli द्वारा दिया गया docker कमांड बहुत कम है ...

डॉक लॉगिन का उपयोग करते समय, डॉकटर एक सर्वर को बचाएगा: कुंजी जोड़ी या तो आपके किचेन या ~ / .docker / config .json फ़ाइल में।

अगर यह https://7272727.dkr.ecr.us-east-1.amazonaws.comपुश के दौरान कुंजी के लिए लुकअप के तहत कुंजी को बचाता है तो विफल हो जाएगा क्योंकि docker सर्वर की तलाश करेगा जिसका नाम 7272727.dkr.ecr.us-east-1.amazonaws.comनहीं है https://7272727.dkr.ecr.us-east-1.amazonaws.com।

लॉगिन करने के लिए निम्न कमांड का उपयोग करें:

eval $(aws ecr get-login --no-include-email --region us-east-1 --profile yourprofile | sed 's|https://||')

एक बार जब आप कमांड चलाते 'Login Succeeded'हैं तो आपको संदेश मिल जाएगा और उसके बाद आप अच्छे हैं
कि आपके पुश कमांड को काम करना चाहिए

ECR के लिए docker की छवियों को धकेलने का एक बहुत ही सरल तरीका है: Amazon ECR Docker क्रेडेंशियल हेल्पर । बस इसे दिए गए मार्गदर्शिका के अनुसार स्थापित करें, अपने ~/.docker/config.jsonनिम्नलिखित को अपडेट करें :

{
    "credsStore": "ecr-login"
}

और आप अपनी छवियों को बिना धक्का दिए / खींच पाएंगे docker login।

मैं इस मुद्दे पर भाग गया साथ ही साथ OSX पर चल रहा था। मैंने ओलिवर साल्ज़बर्ग की प्रतिक्रिया देखी और मेरी ~ / .docker / config.json की जाँच की। मेरे पास विभिन्न AWS खातों से इसके अंदर कई प्राधिकरण क्रेडेंशियल थे। मैंने फाइल को डिलीट कर दिया और गेट-लॉगिन को चलाने के बाद फिर से काम किया।

सुनिश्चित करें कि आप सही क्षेत्र का उपयोग करते हैं aws ecr get-login, यह उस क्षेत्र से मेल खाना चाहिए जिसमें आपका भंडार बनाया गया है।

मेरे मुद्दे में कई AWS क्रेडेंशियल थे; डिफ़ॉल्ट और देव। जब से मैं यह काम करने के लिए तैनात करने की कोशिश कर रहा था:

$(aws ecr get-login --no-include-email --region eu-west-1 --profile dev | sed 's|https://||')

एफडब्ल्यूआईडब्ल्यू, डेबियन 9, डॉकर संस्करण 18.06.1-CE, बिल्ड e68fc7a:

$(aws ecr get-login | sed 's| -e none | |g')

यदि आप कई प्रोफ़ाइलों का उपयोग करते हैं और आपको ऐसे प्रोफ़ाइल में लॉगिन करने की आवश्यकता है जो आपका डिफ़ॉल्ट नहीं है, तो आपको इस आदेश के साथ लॉगिन करने की आवश्यकता है:

$(AWS_PROFILE=<YOUR PROFILE> aws ecr get-login --no-include-email --region eu-west-1)

मेरे लिए निम्नलिखित कमांड काम करती है:

sudo $(aws ecr get-login --region us-east-1 --no-include-email)

और फिर मैं ये कमांड चलाता हूं:

sudo docker tag e9ae3c220b23(image_id) aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app

sudo docker push aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app

आज हम इस मुद्दे का सामना भी कर रहे हैं और इस पोस्ट में उल्लिखित सब कुछ करने की कोशिश की (AWS क्रेडेंशियल्स को छोड़कर)।

हमने आखिरकार डॉकटर को अपग्रेड करके समस्या को हल किया, फिर पुश ने काम किया।

इस समस्या का सामना डॉकर 1.10.x के साथ किया गया था और इसे डॉकर 1.11.x के साथ हल किया गया था।

उम्मीद है की यह मदद करेगा

यदि आप CI / CD उद्देश्य के लिए AWS खातों को अलग कर रहे हैं और एक ECR रिपॉजिटरी को कई AWS खातों में साझा किया है, तो आपको ~/.docker/config.jsonमैन्युअल रूप से बदलने की आवश्यकता हो सकती है ।

मान लें कि आपके पास ये सेटअप हैं:

1. ECR AWS खाता आईडी के स्वामित्व में है 00000000000000
2. CI सर्वर AWS खाता आईडी के स्वामित्व में है 99999999999999

यदि आप aws ecr get-login --region us-west-2 | bashअपने CI सर्वर के भीतर कॉल करते हैं, तो docker अस्थायी क्रेडेंशियल जनरेट करेगा ~/.docker/config.json।

{
  "auths": {
    "https://99999999999999.dkr.ecr.us-west-2.amazonaws.com": {
      "auth": "long-token.."
    }
  }
}

लेकिन आप ईसीआर के खाते को इंगित करना चाहते हैं, इसलिए आपको होस्टनाम बदलने की आवश्यकता है।

{
  "auths": {
    "https://00000000000000.dkr.ecr.us-west-2.amazonaws.com": {
      "auth": "long-token.."
    }
  }
}

ध्यान दें कि यह स्थिति निर्भर करती है कि आप ईसीआर एक्सेस की अनुमति देने के लिए IAM उपयोगकर्ता / नीति कैसे बनाते हैं।

आपको यह सुनिश्चित करना होगा कि आपने सही क्रेडेंशियल्स का उपयोग करके लॉग इन किया है, यहां ऑफिकल एरर विवरण और चेक देखें

http://docs.aws.amazon.com/AmazonECR/latest/userguide/common-errors-docker.html

लिंक में "नो बेसिक ऑथेंटिकेशन" फिक्स करना वर्णित है

aws ecr get-login --region us-west-1 --no-include-email

यह कमांड मुझे लॉगिन करने की सही कमांड देता है। यदि आप "-no-शामिल-ईमेल" का उपयोग नहीं करते हैं, तो यह एक और त्रुटि फेंक देगा। उपरोक्त कमांड का आउटपुट इस डॉकटर लॉगिन के जैसा दिखता है -u AWS -p ************************ बहुत बड़ा ******। उसे कॉपी करें और निष्पादित करें। अब यह "लॉगिन सफल" दिखाएगा। अब आप अपनी छवि को ईसीआर में धकेल सकते हैं।

सुनिश्चित करें कि आपके AMI नियम में उस उपयोगकर्ता की अनुमति है जिसे आपने लॉगिन करने का प्रयास किया था।