我正在尝试让 docker-compose 部署到 AWS Elastic Beanstalk 正常工作,其中 docker 镜像是从 GitLab 托管的私有(private)注册表中提取的。
奇怪的是初始部署工作完美;它从私有(private)注册表中提取图像并使用 docker-compose 启动容器,并且可以通过主机访问网页(由 Django 提供服务)。
使用相同的 docker-compose 和相同的 docker 镜像部署新版本将导致在拉取 docker 镜像时出错:
2021/03/16 09:28:34.957094 [ERROR] An error occurred during execution of command [app-deploy] - [Run Docker Container]. Stop running the command. Error: failed to run docker containers: Command /bin/sh -c docker-compose up -d failed with error exit status 1. Stderr:Building with native build. Learn about native build in Compose here: https://docs.docker.com/go/compose-native-build/
Creating network "current_default" with the default driver
Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest(registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
2021/03/16 09:28:34.957104 [INFO] Executing cleanup logic
设置
AWS Elastic Beanstalk 64 位亚马逊 Linux 2/3.2
Gitlab 注册表凭据存储在 S3 存储桶中,文件名为 .dockercfg
并包含以下内容:
{
"auths": {
"registry.gitlab.com": {
"auth": "base64 encoded username:personal_access_token"
}
},
"HttpHeaders": {
"User-Agent": "Docker-Client/18.03.1-ce (linux)"
}
}
存储库包含一个 v3 Dockerrun.aws.json
文件来引用 S3 中的凭证文件:
{
"AWSEBDockerrunVersion": "3",
"Authentication": {
"bucket": "gitlab-dockercfg",
"key": ".dockercfg"
}
}
复制
设置 docker-compose.yml,它使用带有私有(private) docker 镜像的服务(并且可以使用 S3 中 dockercfg 中的凭据设置拉取)
创建一个使用 docker 平台的新应用程序。
eb init testapplication --platform=docker --region=eu-west-1
注意:region 必须与包含 dockercfg 的 S3 bucket 相同。
初始部署(这会成功)
eb create testapplication-test --branch_default --cname testapplication-test --elb-type=application --instance-types=t2.micro --min-instance=1 --max-instances=4
初始部署显示镜像可用,可以启动:
2021/03/16 08:58:07.533988 [INFO] save docker tag command: docker tag 5812dfe24a4f redis:alpine
2021/03/16 08:58:07.533993 [INFO] save docker tag command: docker tag f8fcde8b9ae2 mysql:5.7
2021/03/16 08:58:07.533998 [INFO] save docker tag command: docker tag 1dd9b65d6a9f registry.gitlab.com/company/spikes/dockertest:latest
2021/03/16 08:58:07.534010 [INFO] Running command /bin/sh -c docker rm `docker ps -aq`
在不对本地存储库和私有(private)注册表上的远程 docker 镜像进行任何更改的情况下,让我们进行重新部署,这将触发错误:
eb deploy testapplication-test
这将失败,输出如下:
...
2021-03-16 10:02:28 INFO Command execution completed on all instances. Summary: [Successful: 0, Failed: 1].
2021-03-16 10:02:29 ERROR Unsuccessful command execution on instance id(s) 'i-0dc445d118ac14b80'. Aborting the operation.
2021-03-16 10:02:29 ERROR Failed to deploy application.
ERROR: ServiceError - Failed to deploy application.
实例日志显示(/var/log/eb-engine.log
):
Pulling redis (redis:alpine)...
Pulling mysql (mysql:5.7)...
Pulling project.dockertest (registry.gitlab.com/company/spikes/dockertest:latest)...
Get https://registry.gitlab.com/v2/company/spikes/dockertest/manifests/latest: denied: access forbidden
2021/03/16 10:02:25.902479 [INFO] Executing cleanup logic
我尝试调试或解决问题的步骤
- 在 S3 上将 dockercfg 重命名为 .dockercfg(互联网上某处提到的可能解决方案)
- 使用“旧”docker 配置格式,而不是 docker 1.7+ 生成的格式。但后来我发现 Amazon Linux 2-instances 与 Dockerrun v3 一起兼容新格式
- 在 S3 上有一个格式不正确的 dockercfg 将导致关于格式错误的文件的错误部署(因此它实际上对 S3 中的 dockercfg 做了一些事情)
文档
我没有调试选项,而且我不知道该去哪里进一步调试这个问题。也许有人可以看出这里出了什么问题?
最佳答案
首先,上述问题是亚马逊确认的bug。为了让部署在我们这边工作,我们联系了 Amazon 支持。 他们有一个应在本月发布的修复程序,因此请关注 Elastic beanstalk 平台的变更日志:https://docs.aws.amazon.com/elasticbeanstalk/latest/relnotes/relnotes.html
虽然即将发布的版本应该有修复,但有一个解决方法可以让 docker-compose
部署正常工作。
Elastic Beanstalk 允许在部署中执行 Hook ,可用于从 S3 存储桶中获取 .docker.cfg
以针对私有(private)注册表进行身份验证。
为此,从项目的根目录创建以下文件和目录:
文件位置:.platform/hooks/predeploy/docker_login
#!/bin/bash
aws s3 cp s3://{{bucket_name_to_use}}/.dockercfg ~/.docker/config.json
重要:给这个文件添加执行权限(例如:chmod +x .platform/hooks/predeploy/docker_login
)
为了支持实例配置更改,请将 hooks
目录符号链接(symbolic link)到 confighooks
:
ln -s .platform/hooks/ .platform/confighooks/
更新配置也需要获取 .dockercfg
凭证。
这应该能够在没有身份验证错误的情况下持续部署到同一个 EB 实例,因为 Hook 将在 docker 镜像拉取之前执行。
一些背景:
在传统的 linux 系统上,docker 守护进程默认从 ~/.docker/config
读取凭证。在初始部署时,该文件将存在于 Elastic Beanstalk 实例中。在下一次部署时,此文件将被删除。不幸的是,在下一次部署时,.dockercfg
没有被重新提取,因此 docker 守护进程没有正确的凭据来进行身份验证。
关于amazon-web-services - 禁止从私有(private)注册表访问的 AWS EB docker-compose 部署,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66653185/