我使用 Sonatype Nexus 作为私有 Docker 注册表。
虽然它适用于经过身份验证的用户,但尝试使用匿名用户拉取图像是行不通的。这只发生在 docker 客户端上。
使用 Nexus UI(未登录)我可以浏览我的存储库中的图像。但尝试提取图像时出现“未经授权”错误。
以下是 Docker 客户端 和 Nexus 存储库之间的通信捕获流:
这很奇怪,因为启用了匿名访问,根据文档,我可能有一个 Docker Hosted Registry(通过 HTTPs 端口访问 RW)和一个 Docker Group Registry,指向 Docker Hosted Registry,具有RO/Anonymous 访问权限。
【问题讨论】:
标签: docker https nexus sonatype
此功能是在 Nexus 3.6 中添加的。根据the documentation:
【讨论】:
Nexus 让我很头疼,直到我发现了一个相当晦涩的 sonatype post 声明不要更改匿名领域。
所以我按照以下步骤进行操作:(在 Nexus 3.19.1 到 3.23.0 中测试)
与@andrewdotn 的答案相同(启用 Docker 承载令牌 安全 > 领域部分中的领域)
为本地授权领域启用匿名访问(如the above mentioned link 中所述)
创建 docker(proxy) 存储库(在本例中为代理 hub.docker.com)
3.1。启用 HTTP / HTTPS 端点(取决于你是使用 ssl 连接还是使用反向代理)
3.2。 enable “允许匿名 docker pull(需要 Docker Bearer Token Realm)”
3.3。输入 "https://registry-1.docker.io" 作为 "远程存储库的位置"(对于 docker-hub)
3.4。将 "Docker Index" 设置为使用 docker hub 索引(又名:"Use Docker Hub")
3.5。保存
确保您的匿名用户有权读取新存储库(默认匿名角色将允许读取更多内容,但应该已经允许匿名拉取)
4.1。 (可选)如果你想尽可能限制匿名用户(即:只允许 docker pull)创建一个角色 "nx-docker_read"(或类似的)并给它“nx-repository-view-docker--read”*。 (这将允许组中的任何用户从任何 docker 存储库中拉取图像,允许匿名拉取,但在 web-ui 上看不到任何内容)
4.2。 (如果你做了 4.1)现在剩下的就是将匿名用户的组更改为你的新角色(在我的示例中 “nx-docker_read”)并将其删除from "nx-anonymous" => 匿名用户不能再在 web-ui 上浏览 nexus 但仍然可以拉取图片
【讨论】:
Docker Registry API 需要对注册表访问进行身份验证,即使对于拉取操作也是如此,Nexus 3 也是如此。 Dockerhub 始终需要访问令牌,即使对于拉取也是如此。 但是你可以从 dockerhub 匿名拉取的原因是它使用了一个令牌服务器,它会自动向匿名用户发放访问令牌。 这种机制在 Nexus 3.0.1 中暂时不可用。 或许会实现(https://issues.sonatype.org/browse/NEXUS-10813)。
因此,目前使用 Nexus 3,总是需要先登录才能拉取图像(最终匿名用户是您的权限设置方式)。
【讨论】: