将图像推送到 ECR,得到“Retrying in ... seconds”

我最近在 AWS ECR 中创建了一个新存储库,并且正在尝试推送图像。我正在复制/粘贴通过存储库页面上的“查看推送命令”按钮提供的说明。我将这些复制在这里以供参考:

  1. aws ecr get-login-password --region us-west-2 | docker login --username AWS --password-stdin 123456789.dkr.ecr.us-west-2.amazonaws.com

(“登录成功”)

  1. docker build -t myorg/myapp .

  2. docker tag myorg/myapp:latest 123456789.dkr.ecr.us-west-2.amazonaws.com/myorg/myapp:latest

  3. docker push 123456789.dkr.ecr.us-west-2.amazonaws.com/myorg/myapp:latest

但是,当我进入 docker push 步骤时,我看到:

> docker push 123456789.dkr.ecr.us-west-2.amazonaws.com/myorg/myapp:latest
The push refers to repository [123456789.dkr.ecr.us-west-2.amazonaws.com/myorg/myapp]

a53c8ed5f326: Retrying in 1 second 
78e16537476e: Retrying in 1 second 
b7e38d172e62: Retrying in 1 second 
f1ff72b2b1ca: Retrying in 1 second 
33b67aceeff0: Retrying in 1 second 
c3a550784113: Waiting 
83fc4b4db427: Waiting 
e8ade0d39f19: Waiting 
487d5f9ec63f: Waiting 
b24e42eb9639: Waiting 
9262398ff7bf: Waiting 
804aae047b71: Waiting 
5d33f5d87bf5: Waiting 
4e38024e7e09: Waiting
EOF

我想知道这是否与与此存储库关联的权限/策略有关。目前,此存储库没有附加任何语句。那是缺少的部分吗?如果是这样,该声明会是什么样子?我试过这个,但没有效果:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "AllowPutImage",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789:root"
      },
      "Action": "ecr:PutImage"
    }
  ]
}

奖励积分:我最终想在 CDK CodeBuildAction 中使用它。我遇到了与上面相同的错误,所以我检查我是否在我的本地终端中得到了相同的结果,我就是。因此,如果在 CDK CodeBuildAction 中使用的策略声明需要有所不同,这些细节也将不胜感激。

提前感谢您的建议和建议。

stack overflow Pushing an image to ECR, getting "Retrying in ... seconds"
原文答案
author avatar

接受的答案

事实证明这是一个缺失/错误配置的策略。通过添加具有 AmazonEC2ContainerRegistryPowerUser 托管策略的角色,我能够使其在 CodeBuild 中工作:

new CodeBuildAction({
  actionName: "ApplicationBuildAction",
  input: this.applicationSourceOutput,
  outputs: [this.applicationBuildOutput],
  project: new PipelineProject(this, "ApplicationBuildProject", {
      vpc: this.codeBuildVpc,
      securityGroups: [this.codeBuildSecurityGroup],
      environment: {
        buildImage: LinuxBuildImage.STANDARD_5_0,
        privileged: true,
      },
      environmentVariables: {
        ECR_REPO_URI: {
          value: ECR_REPO_URI,
        },
        ECR_REPO_NAME: {
          value: ECR_REPO_NAME,
        },
        AWS_REGION: {
          value: this.region,
        }
      },
      buildSpec: BuildSpec.fromObject({
        version: "0.2",
        phases: {
          pre_build: {
            commands: [
              "echo 'Logging into Amazon ECR...'",
              "aws ecr get-login-password --region $AWS_REGION | docker login --username AWS --password-stdin $ECR_REPO_URI",
              "COMMIT_HASH=$(echo "$CODEBUILD_RESOLVED_SOURCE_VERSION" | head -c 8)"
            ]
          },
          build: {
            commands: [
              "docker build -t $ECR_REPO_NAME:latest ."
            ]
          },
          post_build: {
            commands: [
              "docker tag $ECR_REPO_NAME:latest $ECR_REPO_URI/$ECR_REPO_NAME:latest",
              "docker tag $ECR_REPO_NAME:latest $ECR_REPO_URI/$ECR_REPO_NAME:$COMMIT_HASH",
              "docker push $ECR_REPO_URI/$ECR_REPO_NAME:latest",
              "docker push $ECR_REPO_URI/$ECR_REPO_NAME:$COMMIT_HASH",
            ]
          }
        }
      }),
      // * * ADDED THIS ROLE HERE * *
      role: new Role(this, "application-build-project-role", {
        assumedBy: new ServicePrincipal("codebuild.amazonaws.com"),
        managedPolicies: [ManagedPolicy.fromAwsManagedPolicyName("AmazonEC2ContainerRegistryPowerUser")]
      })
    }),
});

答案:

作者头像

尝试使用AWS和Docker CLI手动上传图像时,我也遇到了同样的问题。我能够通过进入ECR->存储库 - >权限来修复它,然后添加带有 principal:* 和以下操作的新策略语句:

"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:CompleteLayerUpload",
"ecr:GetDownloadUrlForLayer",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"

确保添加更多限制性校长。在这种情况下,我只是想看看权限是否是问题,并且可以肯定的是。

作者头像

问题是您的 iam 用户无权完全访问 ecr,因此将以下策略附加到您的 iam 用户。

follow photo for policy attachment

作者头像

当 ECR 中不存在存储库时,我遇到了这个问题——我认为推送会创建它,但事实并非如此。

在推送之前创建它可以解决问题。

作者头像

accepted answer 可以正确解决问题。但是,正如答案中提到的那样,允许 principal:* 是有风险的,并且可能会损害您的 ECR。

请务必添加特定委托人,即 IAM 用户/角色,以便仅允许这些用户/角色执行上述“操作”。可以在 Amazon ECR >> Repositories >> Select Required Repository >> Permissions >> Edit policy JSON 中添加以下 JSON 策略以快速解决此问题:

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<AccountNumber>:role/<RoleName>"
      },
      "Action": [
        "ecr:BatchCheckLayerAvailability",
        "ecr:BatchGetImage",
        "ecr:CompleteLayerUpload",
        "ecr:GetDownloadUrlForLayer",
        "ecr:InitiateLayerUpload",
        "ecr:PutImage",
        "ecr:UploadLayerPart"
      ]
    }
  ]
}
作者头像

对于遇到此问题的任何人,我的问题是在我的 AWS cli 中配置了错误的 AWS 配置文件/帐户。

运行 aws configure 并添加有权访问 ECR 存储库的帐户的密钥。

如果您有多个使用 cli 的 AWS 账户,请查看 this solution

作者头像

运行“docker push”时可能会看到相同的消息(循环中的“Retrying in ... seconds”),而无需先在 ECR 中创建相应的 repo(在您的示例中为“myorg/myapp”)。跑:

aws ecr create-repository --repository-name myorg/myapp --region us-west-2