5

python3 以及https://docker-py.readthedocs.io/en/stable/

我只是好奇,当我登录到 ecr(通过 aws ecr get-login)时,我 PC 上的 docker 守护进程会记住令牌,即使重新启动 shell,我也可以登录到 ECR,直到令牌过期。我什至可以在 auths 键的 ~/.docker/config.json 文件中看到它

令人惊讶的是,通过 python docker SDK 登录:

ecr_client = boto3.client('ecr')
    token = ecr_client.get_authorization_token()
    username, password = base64.b64decode(token['authorizationData'][0]['authorizationToken']).decode().split(':')
    registry = token['authorizationData'][0]['proxyEndpoint']

    docker_client.login(
        username=username,
        password=password,
        registry=registry
    )

    client.pull(...)

让我的 docker 守护进程对登录尝试一无所知。当我尝试通过命令行提取相同的图像时 - 我收到错误“没有身份验证凭据”。更奇怪的是,当我通过命令行登录 ECR 时,我不再需要通过 python 脚本进行身份验证。

知道为什么会这样吗?

4

2 回答 2

1

我也遇到了同样的问题。虽然我没有解决方案,但我确实有一个让我感到满意的解决方法/替代方案。

我最终基本上通过 Python 在命令行上模拟了正在运行的命令。

import base64
import boto3
import docker
import subprocess32 as subprocess

docker_client = docker.from_env()

# this loads AWS access token and secret from env and returns an ECR client
ecr_client = boto3.client('ecr', region_name='your-region')


def login_docker_client_to_aws_ecr():
    token = ecr_client.get_authorization_token()
    username, password = base64.b64decode(token['authorizationData'][0]['authorizationToken']).decode().split(':')
    registry = token['authorizationData'][0]['proxyEndpoint']

    # loggin in via the docker sdk doesnt work so we're gonna go with this workaround
    command = 'docker login -u %s -p %s %s' % (username, password, registry)

    p = subprocess.Popen([command], stdout=subprocess.PIPE, shell=True, bufsize=1)
    for line in iter(p.stdout.readline, b''):
        print line
    p.communicate()  # close p.stdout, wait for the subprocess to exit

我尝试深入研究 docker 源代码以找出为什么会发生这种情况,但没有从中得到任何有用的东西:/

于 2019-05-16T21:08:32.963 回答
0

项目中有一个关于此的未解决问题,他们的一种解决方法对我有用 -在执行 Docker 登录时从注册表中docker-py剥离前导:https://

registry_url = token['authorizationData'][0]['proxyEndpoint'].replace("https://", "")
于 2020-08-18T22:14:52.393 回答