Accéder à google conteneur de registre sans le gcloud client

J'ai un CoreOS docker hôte que je veux commencer l'exécution des conteneurs sur, mais lorsque j'essaie d'utiliser le panneau de commande pour récupérer l'image de google conteneur privé de registre (https://cloud.google.com/tools/container-registry/), j'ai un 403. J'ai fait quelques recherches, mais je ne suis pas sûr de la façon de joindre l'authentification (ou pour générer de l'utilisateur+pass bundle à utiliser avec le panneau de connexion de commande).

Personne n'a eu de chance en tirant à partir de google récipients privés? Je ne peux pas installer le gcloud commande à cause de coreos ne vient pas avec python, qui est une exigence

docker run -p 80:80 gcr.io/prj_name/image_name
Unable to find image 'gcr.io/prj_name/image_name:latest' locally
Pulling repository gcr.io/prj_name/image_name
FATA[0000] HTTP code: 403

Mise à jour: après l'obtention de réponses de @mattmoor et @Jesse:

La machine que je suis en tirant à partir de n'avoir devaccess

curl -H 'Metadata-Flavor: Google' http://metadata.google.internal./computeMetadata/v1/instance/service-accounts/default/scopes
https://www.googleapis.com/auth/bigquery
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/compute
https://www.googleapis.com/auth/datastore
----> https://www.googleapis.com/auth/devstorage.read_only
https://www.googleapis.com/auth/logging.admin
https://www.googleapis.com/auth/sqlservice.admin
https://www.googleapis.com/auth/taskqueue
https://www.googleapis.com/auth/userinfo.email

En outre, j'ai essayé d'utiliser le _token de la méthode d'identification

jenkins@riskjenkins:/home/andre$ ACCESS_TOKEN=$(curl -H 'Metadata-Flavor: Google' 'http://metadata.google.internal./computeMetadata/v1/instance/service-accounts/default/token' | cut -d'"' -f 4)
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   142  100   142    0     0  14686      0 --:--:-- --:--:-- --:--:-- 15777
jenkins@riskjenkins:/home/andre$ echo $ACCESS_TOKEN
**************(redacted, but looks valid)
jenkins@riskjenkins:/home/andre$ docker login -e [email protected] -u _token -p $ACCESS_TOKEN http://gcr.io
Login Succeeded
jenkins@riskjenkins:/home/andre$ docker run gcr.io/prj_name/image_name
Unable to find image 'gcr.io/prj_name/image_name:latest' locally
Pulling repository gcr.io/prj_name/image_name
FATA[0000] HTTP code: 403
InformationsquelleAutor Andre | 2015-03-27
  1. 46

    Google Conteneur de Registre schéma d'authentification est d'utiliser simplement:

    username: '_token'
password: {oauth access token}

    Sur Google Compute Engine, vous pouvez vous connecter sans gcloud avec:

    $ METADATA=http://metadata.google.internal./computeMetadata/v1
$ SVC_ACCT=$METADATA/instance/service-accounts/default
$ ACCESS_TOKEN=$(curl -H 'Metadata-Flavor: Google' $SVC_ACCT/token \
    | cut -d'"' -f 4)
$ docker login -e [email protected] -u '_token' -p $ACCESS_TOKEN https://gcr.io

    Mise à jour sur {asie,ue,us,b}.rme.io

    Pour accéder à un référentiel hébergé localisé dans un référentiel, vous devez vous connecter à la appropriée de nom d'hôte dans le ci-dessus docker login commande.

    Mise à jour sur des guillemets autour de _token

    De docker version 1.8, le panneau de connexion nécessite l'option-u pour être en qoutes ou commencer par une lettre.

    Quelques conseils de diagnostics...

    Vérifiez que vous avez le Stockage dans le Cloud portée par:

    $ curl -H 'Metadata-Flavor: Google' $SVC_ACCT/scopes
...
https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/devstorage.read_write
https://www.googleapis.com/auth/devstorage.read_only
...

    REMARQUE: "docker pull" exige "la valeur read-only", mais "docker" push " exige "read_write".

    De donner à ce robot accès à un seau dans un autre projet, il y a quelques étapes.

    Tout d'abord, trouver la VM compte de service (aka robot) à l'identité par le biais de:

    $ curl -H 'Metadata-Flavor: Google' $SVC_ACCT/email
[email protected]

    Ensuite, il y a trois listes de contrôle d'accès de mise à jour:

    1) Seau ACL (nécessaire pour les objets de la liste, etc)

    PROJECT_ID=correct-answer-42
[email protected]
gsutil acl ch -u $ROBOT:R gs://artifacts.$PROJECT_ID.appspot.com

    2) Seau ACL par Défaut (modèle pour les futurs #3)

    gsutil defacl ch -u $ROBOT:R gs://artifacts.$PROJECT_ID.appspot.com

    3) Objet Acl (nécessaire uniquement lorsque le seau est non-vide)

    gsutil -m acl ch -R -u $ROBOT:R gs://artifacts.$PROJECT_ID.appspot.com

    Partie de pourquoi ce n'est pas dans notre documentation officielle encore, c'est que nous voulons un meilleur haut niveau de l'histoire, mais tl;dr nous respectons GCS Acl.

    • Ça a l'air prometteur, je vais lui donner un coup demain
    • FWIW, nous avons besoin de la scm de la portée de lecture pour que cela fonctionne. Vous pouvez le vérifier avec: curl -H 'de Métadonnées-Saveur: Google' métadonnées.google.interne./computeMetadata/v1/instance/... /default/étendues
    • La CME de l'instance n'ont devstorage en lecture seule capacités, et bien que la connexion a réussi, j'ai été incapable de tirer de l'image. J'ai édité la question d'origine avec ma tente à la fois de vous et @Jesse suggestions. Laissez-moi savoir si vous avez d'autres suggestions
    • Il semble que vous avez "http ://gcr.io" pouvez-vous essayer https?
    • J'ai essayé de faire la connexion avec le protocole https, mais j'ai eu le même message d'erreur
    • Je viens de tester cela sur le coreos-bêta-633-1-0-v20150401 image sur GCE. Mis à part un saut de ligne que stackoverflow ajouté à mon copier/coller, il a travaillé pour moi. Je reçois un 403 avant la connexion, je me connecte, je puis tirer avec succès. Quelques choses à garder à l'esprit: 1) les jetons d'accès expiration 2) la machine virtuelle doit être dans le même projet (ou les Acl doit avoir été mis à jour en conséquence) n'hésitez pas à rejoindre [email protected] et je suis heureux de discuter de cela un peu plus de manière synchrone à obtenir ce résolues.
    • Merci Matt. Je vais contacter les gars, vous via e-mail
    • Matt. J'ai été en mesure de l'obtenir pour fonctionner. J'ai donné naissance à des machines sur un autre projet et de la tentative d'accès au projet à travers des Acl. Merci pour les détails-je me demandais si cela est n'importe où dans la documentation publique?
    • Ah, que de sens maintenant. Pas dans nos documents, mais nous respectons Google Cloud Storage Acl. Que la mise en forme de ces commentaires suce, je vais modifier ma réponse avec quelques instructions. 🙂
    • il a travaillé pour moi, mais ce jeton de connexion est de COURTE durée JETON, vous devez vous connecter pour chaque session.

    InformationsquelleAutor mattmoor
  2. 18

    Les réponses ici face à l'accès au panneau de l'intérieur de Google Compute Engine instance.

    Si vous souhaitez travailler avec Google Conteneur de la base de Registre sur une machine pas dans le Google Compute Engine (locale) à l'aide de la vanille menu fixe, vous pouvez suivez les instructions de Google.

    Les deux principales méthodes sont à l'aide d'un jeton d'accès ou un JSON fichier de clé.

    Noter que _token et _json_key sont les valeurs réelles de vous fournir le nom d'utilisateur (-u)

    Jeton D'Accès

    $ docker login -e [email protected] -u _token -p "$(gcloud auth print-access-token)" https://gcr.io

    JSON Fichier de Clé

    $ docker login -e [email protected] -u _json_key -p "$(cat keyfile.json)" https://gcr.io

    Pour créer un fichier de clé, vous pouvez suivre ces instructions:

    1. Ouvrir la page informations d'Identification.
    2. Pour configurer un nouveau compte de service, procédez de la manière suivante:
      • Cliquez sur Ajouter des informations d'identification > compte de Service.
      • Choisir de télécharger le compte de service publique/clé privée comme un standard de fichier P12, ou comme un fichier JSON qui peut être chargé par un API Google bibliothèque client.
      • Votre nouvelle paire clé publique/privée est générée et téléchargées sur votre ordinateur; il est la seule copie de cette clé. Vous êtes responsable pour les stocker en toute sécurité.

    Vous pouvez vue de Google, documentation sur la génération d'un fichier de clé ici.

    • cette réponse que vous avez fournie m'a donné un peu d'espoir que j'ai pu obtenir des choses de travail, après la vidange d'un jour ou plus bas de la vidange d'essayer de faire quelque chose d'aussi simple que de pousser une image jusqu'à la mise en pension, mais toujours pas de chance.
    • JE L'AI FAIT!!! Je pense qu'une partie du problème est que la gcr.io est si semblable à la grc.com Steve Gibson/Sécurité du site web. Probablement faute de frappe avais que de très nombreuses fois. Quand j'ai finalement obtenu le droit, le Jeton d'Accès moyen a fonctionné pour moi.
    InformationsquelleAutor anthonator
  3. 5

    Il y a deux façons:

    1. $ docker login -e [email protected] -u oauth2accesstoken -p "$(gcloud auth print-access-token)" https://gcr.io
    2. $ docker login -e [email protected] -u _json_key -p "$JSON_KEY" https://gcr.io

    Remarque: L'e-mail n'est pas utilisé, de sorte que vous pouvez mettre ce que vous voulez dedans.

    Changement gcr.io pour quel que soit votre domaine est indiqué dans votre Google Conteneur De Registre (par exemple eu.gcr.io).

    De l'Option (1) ne donne un jeton temporaire, de sorte que vous voudrez probablement l'option (2). Pour obtenir cette $JSON_KEY:

    1. Aller à Directeur de l'API > les informations d'Identification
    2. Cliquez sur "Créer des informations d'identification" > compte de Service de clé de:
      • Compte de Service: Nouveau compte de service
        • Nom: Tout ce que vous voulez, comme Docker Registry (read-only)
        • Rôle: le Stockage (en bas) > Objet de Stockage Spectateur
      • Type de clé: JSON
    3. Télécharger comme keyfile.json
    4. JSON_KEY=$(cat keyfile.json | tr '\n' ' ')
    5. Maintenant, vous pouvez l'utiliser.

    Une fois enregistré, vous pouvez simplement exécuter docker pull. Vous pouvez également copier la mise à jour ~/.dockercfg pour conserver les paramètres.

    • unknown shorthand flag: 'e' in -e See 'docker login --help'.
    InformationsquelleAutor Wernight
  4. 1

    Lorsque vous avez créé votre VM avez-vous de lui donner le nécessaire étendues afin d'être en mesure de lire à partir de la base de registre?

    gcloud instances de calcul créer une INSTANCE \
    --étendues https://www.googleapis.com/auth/devstorage.read_write

    Si vous n'avez donc aucune authentification n'est requise.

    InformationsquelleAutor Jesse
  5. 0

    Il y a un officiel Google Conteneur De Registre Plugin Auth publié. Vous êtes invités à l'essayer et de laisser un commentaire/signaler des problèmes.

    • Merci, je vais essayer. J'ai été en mesure de l'obtenir à un assez bon état, en se connectant à la fois le rme et rme points de terminaison avec les jetons d'accès. Pour une raison que j'nécessaires pour vous connecter à la fois
    • Êtes-vous à l'aide de Google Conteneur de Registre Plugin Auth avec Docker Étape de génération de plugin ou autre plugin? Je suis aussi un peu confus par votre déclaration de l'exploitation forestière à la fois le gcr gcr et les points de terminaison". Pouvez-vous préciser? Si vous utilisez le Panneau Étape de génération plugin avec GCR plugin auth, alors vous devez ajouter les informations d'identification fournies pour chaque Docker Étape de génération de commande.
    InformationsquelleAutor Wei
  6. -1

    J'ai développé un plugin jenkins qui permet à un esclave en cours d'exécution sur la CME de connexion de google de registre à l'aide de @mattmoor de la solution. Il pourrait être utile à d'autres. 🙂

    Il est disponible à l' https://github.com/Byclosure/gcr.io-login-plugin.

    • Merci de ne pas afficher le lien ne répond que des liens peuvent se casser
    InformationsquelleAutor Pedro Ribeiro