Ошибка доступа при выполнении docker pull

На чтение 3 мин Опубликовано 07.01.2025

Вопрос или проблема

Я столкнулся с проблемой с Docker.

У меня есть виртуальная машина с podman-контейнером, в котором работает gitlab-runner. Мой контейнер gitlab-runner запускает новый контейнер Docker из моего внутреннего реестра, когда я выполняю CI.

Но если я подключаюсь к моему docker-контейнеру (только что созданному gitlab-runner), я не могу выполнить pull…

    [root@docker-container-started-by-gitlab /]# docker login -u $DOCKER_HUB_LOGIN -p $DOCKER_HUB_PASSWORD
ВНИМАНИЕ! Использование --password через CLI небезопасно. Используйте --password-stdin.
ВНИМАНИЕ! Ваш пароль будет сохранен в незашифрованном виде в /root/.docker/config.json.
Настройте помощника по учетным данным, чтобы убрать это предупреждение. Смотрите
https://docs.docker.com/engine/reference/commandline/login/#credentials-store
        
Вход выполнен успешно

[root@docker-container-started-by-gitlab /]# docker pull alpine
Используется тег по умолчанию: latest
Ответ с ошибкой от демона: {"message":"Запрещено"}

Моя конфигурация прокси такая же на моей ВМ и на моем docker-контейнере, запущенном gitlab. Я могу выполнить pull с моей ВМ, используя ту же учетную запись docker HUB:

[user@my-podman-vm:~]$ podman pull alpine
"alpine" разрешен как псевдоним (/etc/containers/registries.conf.d/000-shortnames.conf)
Пытаемся подтянуть docker.io/library/alpine:latest...
Получение подписей источника изображения
Копирование слоя 245043d9199c выполнено   | 
Копирование конфигурации 8a87ea05ce выполнено   | 
Запись манифеста в место назначения изображения
8a87ea05ce928fc576af504b9e838b12312274c4e39c7de784d30bc2226d0a99

У вас есть идеи?
Спасибо,

Ответ или решение

Когда вы сталкиваетесь с ошибкой «Forbidden» при попытке выполнить docker pull из контейнера Docker, созданного gitlab-runner, в то время как аналогичные действия через Podman на вашей виртуальной машине проходят успешно, это может указывать на ряд потенциальных причин. Рассмотрим несколько возможных решений и причин возникновения этой ошибки.

Проблемы с аутентификацией:
- Убедитесь, что ваши учетные данные, используемые в контейнере, созданы gitlab-runner, для подключения к Docker Hub, корректны. Возможно, ваш токен или пароль устарели или ввелись неправильно. Хотя вы упоминаете, что логин происходит успешно, все же убедитесь, что в /root/.docker/config.json содержатся правильные данные.
Прокси-настройки:
- Несмотря на то, что вы упомянули идентичность прокси-настроек на обеих средах, убедитесь, что контейнер, запущенный через gitlab-runner, действительно наследует все необходимые настройки из вашей виртуальной машины. Это может потребовать явного указания переменных окружения HTTP_PROXY и HTTPS_PROXY внутри контейнера.
Проблемы с конфигурацией сети и DNS:
- Проверьте настройки сети в контейнере Docker на предмет ограничений. Возможно, контейнеру не хватает разрешений или настроек маршрутизации для доступа к внешним ресурсам.
- Убедитесь, что DNS-настройки внутри контейнера правильно разрешают адреса, например docker.io. Проблемы с DNS могут возникать в инфраструктурах с особенностями конфигурации сети.
Ограничения прав доступа:
- Если ваша компания использует прокси-сервера или фаерволы, убедитесь, что у контейнера есть разрешение на доступ к необходимым ресурсам. Это может быть внешним ограничением, которое не зависит от Docker или Podman.
Конфигурация GitLab Runner:
- Проверьте конфигурацию GitLab Runner. Если он работает в изолированном режиме или с отсутствующими разрешениями на уровне контейнера, он может блокировать конкретные операции. Воспользуйтесь подробной проверкой .gitlab-ci.yml на наличие отсутствующих или некорректных конфигураций.

Если ни одно из предложенных решений не помогло, рекомендуется также обратиться в поддержку вашей внутренней сети или службы контейнерной платформы для устранения проблем на инфраструктурном уровне. Надеемся, что изложенные шаги помогут разобраться с вашей проблемой и восстановить нормальную работу CI/CD процессов.