Docker@v2 не может отправить в ghcr (доступ запрещен)

Вопрос или проблема

Docker@v2 не может загрузить образ на ghcr.io. Вход в ghcr работает с тем же подключением службы. Та же пайплайн работает без проблем с подключением службы к Docker Hub. PAT, используемый в подключении службы ghcr, работает при загрузке из командной строки. Пытался загрузить в пакет без репозитория, пакет, подключенный к репозиторию, и в несколько организаций, включая одну, где я администратор. PAT имеет права доступа на запись:packages.

Вывод:

2024-11-06T07:18:53.5923641Z Push относится к репозиторию [ghcr.io/my-github-org/my-repo]
2024-11-06T07:18:53.6754212Z ead24dff829c: Подготовка
2024-11-06T07:18:53.6754669Z 5f70bf18a086: Подготовка
2024-11-06T07:18:53.6754950Z bff24fa5ba6d: Подготовка
2024-11-06T07:18:53.6755208Z 734661639d51: Подготовка
2024-11-06T07:18:53.6755464Z 008aac071916: Подготовка
2024-11-06T07:18:53.6755784Z 261abc8281b7: Подготовка
2024-11-06T07:18:53.6756033Z 7794e8d8212d: Подготовка
2024-11-06T07:18:53.6756282Z ceffe60ed721: Подготовка
2024-11-06T07:18:53.6756529Z 261abc8281b7: Ожидание
2024-11-06T07:18:53.6756777Z 7794e8d8212d: Ожидание
2024-11-06T07:18:53.6757020Z ceffe60ed721: Ожидание
2024-11-06T07:18:53.8064164Z отказано: отказано
2024-11-06T07:18:53.8071559Z
2024-11-06T07:18:53.8100848Z ##[error]отказано: отказано
2024-11-06T07:18:53.8205302Z ##[error]Процесс '/usr/bin/docker' завершился с кодом выхода 1
2024-11-06T07:18:53.8277688Z ##[section]Завершение: Загрузить образ

Yaml пайплайна:

# Docker
# Построить Docker образ
# https://docs.microsoft.com/azure/devops/pipelines/languages/docker

pr:
  branches:
    include:
      - feat/k8s-test-env

trigger:
  branches:
    include:
      - feat/k8s-test-env

resources:
  - repo: self

variables:
  tag: "$(Build.BuildId)"

stages:
  - stage: BuildandPush
    displayName: Построить образ и загрузить на ghcr.io
    jobs:
      - job: Build
        displayName: Построить
        pool:
          vmImage: ubuntu-latest
        steps:
          - task: Docker@2
            displayName: Построить образ
            inputs:
              command: build
              dockerfile: "**/Dockerfile"
              containerRegistry: ghcr-io
              repository: my-github-organization/my-repo
              tags: |
                test1$(tag)
          - task: Docker@2
            displayName: Загрузить образ
            inputs:
              command: push
              containerRegistry: ghcr-io
              repository: my-github-organization/my-repo
              tags: |
                test1-$(tag)

Мое подключение службы для ghcr:
azure service connection

Ответ или решение

Причины, по которым команда Docker@v2 не может выполнить команду push в репозиторий на ghcr.io, могут быть разнообразны. Несмотря на успешный вход в систему и корректное выполнение аналогичных операций с Docker Hub, в случае с GitHub Container Registry (GHCR) могут возникнуть определенные ограничения и нюансы. Давайте рассмотрим решение проблемы с точки зрения структурированного анализа, чтобы выявить возможные ключевые аспекты.

1. Проверка прав доступа

Ваша проблема может быть связана с недостаточными правами доступа, несмотря на наличие соответствующих прав на уровне патентованного маркера доступа (PAT). Убедитесь, что:

  • Ваш PAT имеет активные права write:packages (вы уже указали, что это так).
  • Проверьте, что у вашего аккаунта есть доступ к конкретному реpositиву, в который вы пытаетесь выполнить push. Вы можете иметь права на уровне организации, но в конкретном репозитории они могут отличаться.
  • Убедитесь, что контролируемая вами организация на GitHub допускает выполнение операций с пакетами из Azure DevOps.

2. Корректность конфигурации очень важна

Просмотрите вашу конфигурацию YAML для подключения к Docker. Убедитесь, что:

  • Переменные и параметры указаны правильно, например, имя реpositория (repository: my-github-organization/my-repo). Подтвердите, что вы не допустили опечаток в имени организации и репозитория.
  • В tags убедитесь, что формат соответствует требуемому шаблону. Иногда проблемы могут возникать из-за неправильно указанных тегов.

3. Проверка аутентификации и подключения

  • Убедитесь, что в вашей Azure DevOps service connection для GHCR указаны верные учетные данные и права доступа для устройства.
  • Попробуйте запустить команду push через командную строку, используя аналогичный PAT и параметры. Если команда с консоли срабатывает, то, скорее всего, проблема в самом процессе CI/CD.
  • Попробуйте использовать другой инструмент или метод аутентификации, чтобы понять, сохраняется ли ошибка.

4. Логи и вывод ошибок

  • Вывод ошибок, который вы привели (denied: denied), указывает на то, что доступ был запрещен. Это может означать, что GitHub не принимает ваш запрос. Проверьте логи для более глубокого анализа возможных причин, таких как временные ограничения доступа со стороны GitHub или проблемы с вашей учетной записью.

5. Настройка окружения

Если у вас есть возможность, попробуйте:

  • Переписать ваш паттерн использования Docker@2, убедившись, что используете один и тот же containerRegistry для обоих шагов, и что порядок выполнения шагов не влияет на доступность репозитория для записи.
  • Измените vmImage на ubuntu-20.04 вместо ubuntu-latest, чтобы исключить вероятность появления ошибок, связанных с версией окружения.

Заключение

Эти шаги должны помочь вам разобраться с проблемами доступа при использовании docker push в GitHub Container Registry. Если все вышеперечисленные проверки не привели к результату, возможно, стоит обратиться в службу поддержки GitHub или Azure DevOps для получения дополнительной помощи. Убедитесь, что все шаги выполнены последовательно и корректно, что должно помочь выявить причину ошибки и устранить ее.

Оцените материал
Добавить комментарий

Капча загружается...