Невозможно анонимно извлечь изображения из реестра Docker okd / openshift-origin, используя Docker Pull

Question

Используя okd / openshift-origin 3.11 (и предыдущие версии), мы не смогли заставить работать анонимные изображения.

Мы попытались добавить различные группы к роли registry-viewer, как указано в инструкциях из запроса на объединение , в который была добавлена ​​функция .

Мы пробовали:

oc policy add-role-to-user registry-viewer system:anonymous -n <project>
oc policy add-role-to-user registry-viewer system:unauthenticated -n <project>

При просмотре реестра в графическом интерфейсе политика доступа показывает Аноним: разрешить всем неаутентифицированным пользователям получать изображения

Тем не менее, это результат попытки потянуть:

docker pull docker-registry-default.$cluster/$project/$image:latest
Error response from daemon: Get https://docker-registry-default.$cluster/v2/$project/$image/manifests/latest: unauthorized: authentication required

Чего нам не хватает?

Answer 1

Если на клиентском компьютере есть файл учетных данных $HOME/.docker/config.json, не могли бы вы попытаться получить изображение после удаления файла учетных данных (или резервной копии)? Поскольку docker pull использует $HOME/.docker/config.json по умолчанию, это может вызвать непредвиденные проблемы с авторизацией, такие как аутентификация в качестве файла учетных данных. При удалении файла учетных данных докера (config.json) вы можете проверить, выполняется ли docker pull с помощью unauthenticated.