带你读《企业级云原生白皮书项目实战》——3.2.1 ACR容器镜像服务（4）

《企业级云原生白皮书项目实战》——第三章 容器——3.2 业务部署——3.2.1 ACR容器镜像服务（3） https://developer.aliyun.com/article/1229390?groupCode=supportservice

docker login 登陆Tips

•阿里云的账户名是中文的能登陆吗？

亲测可以登陆，登录失败除了排查下面的原因，还要排查用户使用的远程访问的客户端编码。

•用户没有填写登陆域名，这样用户登陆的是Docker Hub，没有使用阿里云容器镜像服务

•docker login

Username: docker

Password:

Email: docker@gmail.com

Error response from daemon: Wrong login/password, please try again

•用户使用了sudo，Linux提示输入的是sudo的密码。特点是sudo的密码错误会重新尝试三次。

•sudo docker login registry.cn-hangzhou.aliyuncs.com

[sudo] password for hyzhou: Sorry, try again.

[sudo] password for hyzhou: Sorry, try again.

[sudo] password for hyzhou: Sorry, try again.

sudo: 3 incorrect password attempts

•用户密码使用错误，登陆Registry的密码是容器镜像服务控制台独立设置的。不是阿里云账户的登陆密码。

Registry的登录密码是在容器镜像服务控制台上设置与修改的

https://help.aliyun.com/document_detail/60761.htm

•子账户登录的情况，确认用户登录名为 <子账户名>@<企业别名> 进行登录。企业别名未设置时为AliyunUID。

注意企业别名是没有 . 字符的。区分一下企业别名和域别名的概念。

https://help.aliyun.com/document_detail/28628.html

•国际站用户使用国际站用户的服务域名，中国站用户使用中国站用户的服务域名登陆。两套入口账户隔离。

•确认用户有没有在Docker Daemon中设置全局代理。

docker pull/push

•用户拉取的是否是容器镜像服务的镜像。如果不是用户自己检查一下登陆权限等问题

•docker pull notme/asdas:latest Using default tag: latest you are not autho

rized to perform this operation: server returned 401.

•用户拉取的镜像是自己的私有镜像，这时需要先进行登录再拉取。

a. 确认用户镜像的所在地域。在A地域的镜像只能使用A地域的服务域名拉取。例如杭州的镜像不能使用 registry.cn-beijing.aliyuncs.com 拉取。

b. 确认用户是否登录Registry。使用 cat ~/.docker/confifig.json 可以看到用户登陆的所有域名列表。

c. 查看里面是否包含您想要下载镜像的Registry域名。如果没有的话，需要先进行登录操作。

如果显示已经登录的话，那么您需要确认您登录的这个账户是否有权限下载这个镜像。子账户默认没有任何权限。关于仓库的访问控制授权，请参见仓库访问控制。

•镜像拉取ImageId不能保持一致用户Docker版本低于1.12时，ImageID和宿主机环境有关，导致其在各个机器上不一致。

•公有仓库数量、私有仓库数量已经到达仓库上线时，会报错不允许上传。

免密组件

aliyun-acr-credential-helper是一个可以在ACK集群中免密拉取ACR个人版或企业版私有镜像的组件。它是通过读取ACK集群内的kube-system命名空间中的acr-confifiguration的配置，进行私有镜像拉取。

表：免密组件confifigmap配置说明

图：confifigmap配置示例

图：免密组件日志

•在Kubernetes资源（例如无状态应用Deployment）模板中配置拉取凭证（imagePullSecret）会导致免密组件失效，如果需使用免密组件，请避免手工配置拉取凭证（imagePullSecret）。

•如果部署的Kubernetes资源（例如无状态应用Deployment）使用了自定义的ServiceAccount，需先调整免密组件配置文件中Service-Account字段，使其作用于自定义的ServiceAccount，再进行部署资源操作。

•确认Kubernetes集群所属地域与要拉取的镜像所在的地域是否一致，默认配置只可以拉取本地域的镜像。如果需要跨地域拉取镜像，请参考下面的配置。（仅适用于公网拉取）

图：跨地域配置示例

《企业级云原生白皮书项目实战》——第三章 容器——3.2 业务部署——3.2.1 ACR容器镜像服务（5） https://developer.aliyun.com/article/1229385?groupCode=supportservice