Не удается отправить изображение в Amazon ECR - происходит сбой без «базовых учетных данных»

Я пытаюсь вставить образ докера в реестр Amazon ECR. Я использую Docker клиент Docker версии 1.9.1, сборка a34a1d5. Я использую aws ecr get-login --region us-east-1для получения кредитов входа в докер. Затем я успешно захожу с этими кредитами следующим образом:

docker login -u AWS -p XXXX -e none https://####.dkr.ecr.us-east-1.amazonaws.com
WARNING: login credentials saved in /Users/ar/.docker/config.json
Login Succeeded

Но когда я пытаюсь нажать на свое изображение, я получаю следующую ошибку:

$ docker push ####.dkr.ecr.us-east-1.amazonaws.com/image:latest
The push refers to a repository [####.dkr.ecr.us-east-1.amazonaws.com/image] (len: 1)
bcff5e7e3c7c: Preparing 
Post https://####.dkr.ecr.us-east-1.amazonaws.com/v2/image/blobs/uploads/: no basic auth credentials

Я убедился, что у пользователя aws были правильные разрешения. Я также позаботился о том, чтобы репозиторий позволил этому пользователю перейти на него. Просто чтобы убедиться, что это не проблема, я настроил реестр, чтобы предоставить всем пользователям полный доступ. Ничто не меняет "no basic auth credentials"ошибку. Я не знаю, как начать отлаживать это, так как весь трафик зашифрован.

ОБНОВИТЬ

Так что у меня был момент Гомера Симпсона Д'О, когда я понял основную причину моей проблемы. У меня есть доступ к нескольким аккаунтам AWS. Даже при том, что я использовал, aws configureчтобы установить свои учетные данные для учетной записи, где я настроил свой репозиторий, aws cli фактически использовал переменные среды AWS_ACCESS_KEY_IDи AWS_SECRET_ACCESS_KEY. Поэтому, когда я aws ecr get-loginэто делал, возвращался логин для неправильной учетной записи. Я не заметил, что номера счетов были другими, пока не вернулся, чтобы попробовать некоторые из предложенных ответов. Когда я удаляю переменные окружения, все работает правильно. Я предполагаю, что девиз этой истории - если вы нажмете эту ошибку, убедитесь, что репозиторий, в который вы входите, соответствует тегу, который вы применили к изображению.

если вы запустите, $(aws ecr get-login --region us-east-1)все будет сделано за вас

В моем случае это была ошибка в Docker для Windows и их поддержке диспетчера учетных данных Windows.

Откройте свой ~/.docker/config.jsonи удалите "credsStore": "wincred"запись.

Это приведет к тому, что учетные данные будут записаны config.jsonнапрямую. Вы должны будете войти снова после этого.

Вы можете отследить эту ошибку через билеты # 22910 и # 24968 на GitHub.

Если вы используете профили, не забудьте перейти --profile=XXXна aws ecr get-login.

У меня тоже была эта проблема. Что случилось со мной, я забыл выполнить команду, которая была возвращена мне после того, как я побежал

aws ecr get-login --region ap-southeast-2

Эта команда вернула большой двоичный объект, который включает в себя docker loginкоманду прямо здесь! Я не поняла Он должен вернуть что-то вроде этого:

docker login -u AWS -p <your_token_which_is_massive> -e none <your_aws_url>

Скопируйте и вставьте эту команду, а затем запустите команду Docker push, которая выглядит примерно так:

docker push 8888888.blah.blah.ap-southwest-1.amazonaws.com/dockerfilename

Это должно было работать даже без открытия разрешений. Смотрите документацию: Аутентификация частного реестра .

[Правка: на самом деле, у меня тоже были проблемы с разрешениями при выполнении второго теста. Посмотрите, как Docker подталкивает к неудачному закрытому репозиторию AWS ECR с искаженным JSON ).]

Тем не менее у меня была та же проблема; Я не знаю почему, но я успешно использовал более сложный механизм аутентификации, описанный в документации для get-authorization-token

Версии AWS CLI и Docker:

$ aws --version
aws-cli/1.9.17 Python/2.7.6 Linux/3.16.0-38-generic botocore/1.3.17
$ docker --version
Docker version 1.9.1, build a34a1d5

Получить токен авторизации («пароль докера»).

aws ecr get-authorization-token --region us-east-1 --output text \
    --query authorizationData[].authorizationToken | base64 -d | cut -d: -f2

Примечание: мой ~ / .aws / config указывает другой регион по умолчанию, поэтому мне нужно было явно установить --region us-east-1.

Войдите в систему в интерактивном режиме (измените ############свой идентификатор учетной записи AWS):

docker login -u AWS https://############.dkr.ecr.us-east-1.amazonaws.com/
password: <paste the very long password from above>
email: <I left this blank>

Нажмите на изображение (при условии, что вы сделали изображение докера test):

docker tag test:latest ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
docker push ############.dkr.ecr.us-east-1.amazonaws.com/test:latest
The push refers to a repository [910732017890.dkr.ecr.us-east-1.amazonaws.com/test] (len: 1)
d5122f58a2e1: Pushed 
7bddbca3b908: Pushed 
latest: digest: sha256:bc0b521fd398bd1a2ef58a289dcb910334608723fd570e7bddb36eacd0060363 size: 4378

Попробуйте с:

eval $(aws ecr get-login --no-include-email | sed 's|https://||')

до толчка.

Обновить

Поскольку AWS CLI версии 2 - aws ecr get-loginустарел и правильный метод aws ecr get-login-password.

Поэтому правильный и обновленный ответ следующий: docker login -u AWS -p $(aws ecr get-login-password --region us-east-1) xxxxxxxx.dkr.ecr.us-east-1.amazonaws.com

Если это кому-нибудь поможет ...

Моя проблема заключалась в том, что мне пришлось использовать эту --profileопцию для аутентификации с правильным профилем из файла учетных данных.

Затем я пропустил --region [region_name]команду, которая также выдавала ошибку «без базовых учетных данных».

Решением для меня было изменение моей команды из этого:

aws ecr get-login

К этому:

aws --profile [profile_name] ecr get-login --region [region_name]

Пример:

aws --profile foo ecr get-login --region us-east-1

Надеюсь, что это помогает кому-то!

Существует известная ошибка в диспетчере учетных данных wincred в Windows. Удаление https: // из сгенерированной команды входа решает эту проблему.

docker login -u AWS -p <password> <aws_account_id>.dkr.ecr.<region>.amazonaws.com

вместо того

docker login -u AWS -p <password> https://<aws_account_id>.dkr.ecr.<region>.amazonaws.com

Смотрите также страницу устранения неполадок .

Я испытал ту же проблему.

Создание новых учетных данных AWS (ключей доступа) и перенастройка интерфейса командной строки AWS с новыми учетными данными позволили решить эту проблему.

Ранее aws ecr get-login --region us-east-1сгенерированная команда входа в Docker с недействительным URL-адресом реестра EC.

В Windows в PowerShell используйте:

Invoke-Expression $(aws ecr get-login --no-include-email)

У меня возникла эта проблема по другой причине: мне нужно было перейти в реестр, не связанный с моей учетной записью AWS (реестр ECR клиента). Клиент предоставил мне доступ на вкладке «Разрешения» для реестра, добавив мой идентификатор IAM (например, arn:aws:iam::{AWS ACCT #}:user/{Username}) в качестве принципала. Я попытался войти с обычными шагами:

$(aws ecr get-login --region us-west-2 --profile profilename)
docker push {Client AWS ACCT #}.dkr.ecr.us-west-1.amazonaws.com/imagename:latest

Что, конечно, привело к no basic auth credentials. Как выясняется , aws ecr get-loginрегистрирует вас в ECR для реестра, связанного с вашим логином , что имеет смысл задним числом. Решение состоит в том, чтобы указать, в aws ecr get-loginкакой реестр (ы) вы хотите войти.

$(aws ecr get-login --region us-west-2 --profile profilename --registry-ids {Client AWS ACCT #})

После этого docker pushработает просто отлично.

1. Убедитесь, что вы сначала создали реестр ECR.
   Затем, в соответствии с инструкциями команды ECR Push, вырежьте и вставьте следующие команды
2. Выполните команду docker login (eval в Mac / Linux пропускает вырезание и вставку)
   eval $(aws ecr get-login --region us-east-1)
   add --profile, если вы используете несколько учетных записей AWS
   eval $(aws ecr get-login --region us-east-1 --profile your-profile)
3. docker build -t image-name .
4. docker tag image-name:latest ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest
5. docker push ############.dkr.ecr.us-east-1.amazonaws.com/image-name:latest

В случае ошибки, убедитесь, что вы запустите все команды снова! Учетные данные, которые вы используете, aws ecr get-loginявляются временными и истекают.

В моем случае после запуска aws ecr get-login --no-include-email --region *****я просто скопировал вывод этой команды в виде docker login -u *** -p ************, и вы вставили его в подсказку. Толчок пошел вперед.

Документы AWS говорят вам выполнить следующую команду (для региона ap-southeast-2)

aws ecr get-login --region ap-southeast-2

Когда я столкнулся с этой проблемой, мне не было понятно, исходя из этих документов, что вам нужно ввести результат этой команды в терминал и выполнить его.

Исправление, которое работало для меня, было копировать результат в буфер обмена с

aws ecr get-login --region ap-southeast-2 | pbcopy

Вставьте результат в командную строку и выполните его

После запуска этой команды:

(aws ecr get-login --no-include-email --region us-west-2)

просто запустите команду docker login из вывода

docker login -u AWS -p epJ....

способ входа Docker в ECR

Эта ошибка обычно выдается, если сбой входа в систему ecr. Я использую систему Windows, и я использовал «Powershell» в режиме администратора, чтобы войти в систему, чтобы начать сначала.

Invoke-Expression $(aws ecr get-login --no-include-email)

Это должно вывести «Войти успешно».

Я столкнулся с той же самой проблемой, и ошибка, которую я сделал, использовала неправильный путь репо

например: docker push xxxxxxxxxxxxxx.dkr.ecr.us-east-1.amazonaws.com/jenkins:latest

В вышеупомянутом пути я совершил ошибку: "dkr.ecr.us-east-1.amazonaws.com"вместо "west". Я использовал " east". Как только я исправил свою ошибку, я смог успешно нажать на изображение.

Команда docker, предоставляемая aws-cli, не очень удобна ...

При использовании входа в Docker Docker сохранит пару сервер: ключ в вашей цепочке для ключей или в файле ~ / .docker / config.json.

Если он сохранит ключ при https://7272727.dkr.ecr.us-east-1.amazonaws.comпоиске ключа во время push, произойдет сбой, потому что docker будет искать сервер с именем 7272727.dkr.ecr.us-east-1.amazonaws.comnot https://7272727.dkr.ecr.us-east-1.amazonaws.com.

Используйте следующую команду для входа в систему:

eval $(aws ecr get-login --no-include-email --region us-east-1 --profile yourprofile | sed 's|https://||')

После того, как вы запустите команду, вы получите 'Login Succeeded'сообщение, и после этого у вас все
получится.

Существует очень простой способ передачи образов докеров в ECR: Amazon ECR Docker Credential Helper . Просто установите его в соответствии с предоставленным руководством, обновите ~/.docker/config.jsonего следующим образом:

{
    "credsStore": "ecr-login"
}

и вы сможете нажимать / тянуть свои изображения без docker login.

Я столкнулся с этой проблемой, а также работает на OSX. Я увидел ответ Оливера Зальцбурга и проверил мой ~ / .docker / config.json. Внутри него было несколько учетных данных авторизации от разных учетных записей AWS, которые у меня есть. Я удалил файл и после запуска get-login он снова заработал.

Убедитесь, что вы используете правильный регион aws ecr get-login, он должен совпадать с регионом, в котором создается ваш репозиторий.

У меня была проблема с несколькими учетными данными AWS; по умолчанию и dev. Так как я пытался развернуть в dev это сработало:

$(aws ecr get-login --no-include-email --region eu-west-1 --profile dev | sed 's|https://||')

FWIW, Debian 9, Docker версия 18.06.1-ce, сборка e68fc7a:

$(aws ecr get-login | sed 's| -e none | |g')

Если вы используете несколько профилей и вам нужно войти в профиль, который не является профилем по умолчанию, вам необходимо войти в систему с помощью этой команды:

$(AWS_PROFILE=<YOUR PROFILE> aws ecr get-login --no-include-email --region eu-west-1)

У меня работает следующая команда:

sudo $(aws ecr get-login --region us-east-1 --no-include-email)

И тогда я запускаю эти команды:

sudo docker tag e9ae3c220b23(image_id) aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app

sudo docker push aws_account_id.dkr.ecr.region.amazonaws.com/my-web-app

Мы также столкнулись с этой проблемой сегодня и перепробовали все, что упомянуто в этом посте (кроме генерации учетных данных AWS).

Мы, наконец, решили проблему, просто обновив Docker, и тогда сработало.

Проблема возникла с Docker 1.10.x и была решена с помощью Docker 1.11.x.

Надеюсь это поможет

Если вы изолируете Учетные записи AWS для целей CI / CD и имеете один репозиторий ECR, общий для нескольких учетных записей AWS, возможно, вам придется изменить ~/.docker/config.json вручную.

Допустим, у вас есть эти настройки:

1. ECR принадлежит идентификатору учетной записи AWS 00000000000000
2. Сервер CI принадлежит идентификатору учетной записи AWS 99999999999999

Если вы позвоните aws ecr get-login --region us-west-2 | bashв свой CI-сервер, Docker сгенерирует временные учетные данные в ~/.docker/config.json.

{
  "auths": {
    "https://99999999999999.dkr.ecr.us-west-2.amazonaws.com": {
      "auth": "long-token.."
    }
  }
}

Но вы хотите указать на учетную запись ECR, поэтому вам нужно изменить имя хоста.

{
  "auths": {
    "https://00000000000000.dkr.ecr.us-west-2.amazonaws.com": {
      "auth": "long-token.."
    }
  }
}

Обратите внимание, что эта ситуация зависит от того, как вы формируете пользователя / политику IAM для предоставления доступа к ECR.

Вы должны убедиться, что вы вошли в систему, используя правильные учетные данные. См. Официальное описание ошибки и проверки здесь.

http://docs.aws.amazon.com/AmazonECR/latest/userguide/common-errors-docker.html

Исправление "нет базовой аутентификации" описано в ссылке

aws ecr get-login --region us-west-1 --no-include-email

Эта команда дает мне правильную команду для входа в систему. Если вы не используете «--no-include-email», это вызовет еще одну ошибку. Выходные данные вышеупомянутой команды выглядят так: вход в докер -u AWS -p ********************** очень большой ******. Скопируйте это и выполните это. Теперь он покажет «Войти успешно». Теперь вы можете перенести свое изображение в ECR.

Убедитесь, что ваше правило AMI имеет разрешение для пользователя, которого вы пытались войти.