在过去的几天里,我一直在使用docker注册表API,并编写了一个小工具,用于确定其与Microsoft容器注册表(mcr.microsoft.com)的交互范围。我的最终目标是能够从 MCR 下载映像,而无需直接依赖 docker pull 或任何 docker 工具。
通读 Docker 注册表 API 的文档,特别是有关如何拉取层的部分,它指出 URL 是按/v2/<name>/blobs/<digest>构建的。然后,它提到了客户端应如何准备从此类 URL 获取重定向响应。
我一直在尝试拉取图像mcr.microsoft.com/windows/servercore:ltsc2019-amd64,但我似乎无法成功实现这一目标。
从 docker 来看,这似乎工作正常:
PS C:> docker pull mcr.microsoft.com/windows/servercore:ltsc2019-amd64 ltsc2019-amd64: Pulling from windows/servercore
65014b3c3121: Pull complete b16cfeeaf4b3: Pull complete Digest: sha256:481b0eb967cee61ce09dd81ece5effc5c327c170d11cc73c307c88a80017c9eb
Status: Downloaded newer image for mcr.microsoft.com/windows/servercore:ltsc2019-amd64
mcr.microsoft.com/windows/servercore:ltsc2019-amd64
但是,我无法使用 docker 注册表 API 直接访问此映像的各个 blob:
PS C:> (Invoke-RestMethod -Method Get -Uri "https://mcr.microsoft.com/v2/windows/servercore/manifests/ltsc2019-amd64").fsLayers
blobSum
-------
sha256:b16cfeeaf4b37af9fc146f7043ceb629c1bc50ace967227817e50e47f4a71529
sha256:65014b3c312172f10bd6701a063f9b5aaf9a916c2d2cb843d406a6f77ded3f8d
PS C:> Invoke-RestMethod -Method Get -Uri "https://mcr.microsoft.com/v2/windows/servercore/blobs/sha256:b16cfeeaf4b37af9fc146f7043ceb629c1bc50ace967227817e50e47f4a71529" Invoke-RestMethod : {"errors":[{"code":"BLOB_UNKNOWN","message":"blob unknown to
registry","detail":"sha256:b16cfeeaf4b37af9fc146f7043ceb629c1bc50ace967227817e50e47f4a71529"}]}
At line:1 char:1
+ Invoke-RestMethod -Method Get -Uri "https://mcr.microsoft.com/v2/wind ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-RestMethod], WebExc
eption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeRestMethodCommand
PS C:> Invoke-RestMethod -Method Get -Uri "https://mcr.microsoft.com/v2/windows/servercore/blobs/sha256:65014b3c312172f10bd6701a063f9b5aaf9a916c2d2cb843d406a6f77ded3f8d" Invoke-RestMethod : {"errors":[{"code":"BLOB_UNKNOWN","message":"blob unknown to
registry","detail":"sha256:65014b3c312172f10bd6701a063f9b5aaf9a916c2d2cb843d406a6f77ded3f8d"}]}
At line:1 char:1
+ Invoke-RestMethod -Method Get -Uri "https://mcr.microsoft.com/v2/wind ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (System.Net.HttpWebRequest:HttpWebRequest) [Invoke-RestMethod], WebExc
eption
+ FullyQualifiedErrorId : WebCmdletWebResponseException,Microsoft.PowerShell.Commands.InvokeRestMethodCommand
返回的错误似乎是"未找到"而不是"重定向"。docker pull 如何找出从哪里下载层的正确链接?
我尝试通读 docker 分发代码库,但我似乎无法拼凑出这个难题。从 https://github.com/docker/distribution/blob/master/registry/storage/paths.go 开始,有一些关于 blob 存储的提及,我相信这是我构建层下载路径的地方。但是,我不完全了解它是如何找出真正路径的,因为它只是尝试其中的一些,直到一个有效。
这里可能有什么问题?我做错了什么吗?我错过了什么吗?
如果你检查 docker 清单规范,它会说关于外部层: https://docs.docker.com/registry/spec/manifest-v2-2/
可以从远程位置拉取 application/vnd.docker.image.rootfs.foreign.diff.tar.gzip 类型的层,但绝不应推送它们。
这主要适用于通常与注册表外部分开托管的Windows基础层。目前 MCR 也是如此。如果查看映像的清单,则可以看到带有 URL 的图层。当服务器返回 404 时,应按照清单中的 URL 下载层 blob
"layers": [
{
"mediaType": "application/vnd.docker.image.rootfs.foreign.diff.tar.gzip",
"size": 1534685324,
"digest": "sha256:65014b3c312172f10bd6701a063f9b5aaf9a916c2d2cb843d406a6f77ded3f8d",
"urls": [
"https://go.microsoft.com/fwlink/?linkid=2041275"
]
}