Как подключиться к AWS ECR с помощью python docker-py
При запуске из командной строки, чтобы извлечь из определенного реестра, я могу запустить эти команды:
dockerCommand=$("aws ecr get-login --profile profileName --region us-west-2")
$dockerCommand (which looks like docker login -u AWS -p ..longPassword.. -e none https://ACCTID.dkr.ecr.us-west-2.amazonaws.com
docker pull ACCTID.dkr.ecr.us-west-2.amazonaws.com/REPO/NAME:TAGNAME
Если я хочу другой реестр, я изменяю регион или profileName
Пробуя это с docker-py, у меня есть
import boto3
import docker
dockerClient = docker.from_env()
session = boto3.setup_default_session(profile_name='vzw')
client = session.client('ecr', region_name='us-west-2')
token = client.get_authorization_token(registryIds=[registryId])
username = 'AWS'
password = token['authorizationData'][0]['authorizationToken']
registry = token['authorizationData'][0]['proxyEndpoint']
regClient = dockerClient.login(username, password, registry)
но dockerClient отказывается от связи с:
неверное имя пользователя или пароль
Оттуда, как только это сработает, я захочу использовать Docker-клиент Pull/ Push для перемещения изображений между реестрами.
Это правильное направление или я должен пытаться реализовать это полностью с помощью сценариев оболочки? (Python был особенно ценен для вызовов boto, чтобы описать, что находится в каждом реестре)
3 ответа
Неверный логин
dockerClient отклоняет соединение с "неверным именем пользователя или паролем"
Подпись функции, которую вы вызываете для входа в систему:
def login(self, username, password=None, email=None, registry=None,
reauth=False, insecure_registry=False, dockercfg_path=None):
Обратите внимание на положение registry параметр. Это четвертый в списке. Итак, ваш зов:
regClient = dockerClient.login(username, password, registry)
Проходит ваш registry как email поскольку email это третий параметр. Предлагаем вам изменить что-то вроде:
regClient = dockerClient.login(username, password, registry=registry)
Питон или оболочка?
Это правильное направление или я должен пытаться реализовать это полностью с помощью сценариев оболочки? (Python был особенно ценен для вызовов boto, чтобы описать, что находится в каждом реестре)
Иди с Питоном.
Полный пример кода, который работает:
#!/usr/bin/env python3
import base64, docker, boto3
docker_client = docker.from_env(version='1.24')
ecr_client = boto3.client('ecr', region_name='eu-west-1')
token = ecr_client.get_authorization_token()
username, password = base64.b64decode(token['authorizationData'][0]['authorizationToken']).decode().split(':')
registry = token['authorizationData'][0]['proxyEndpoint']
docker_client.login(username, password, registry=registry)
И, конечно же, сначала вы должны настроить учетные данные AWS, например:
export AWS_ACCESS_KEY_ID=youraccesskey
export AWS_SECRET_ACCCESS_KEY=yoursecretaccesskey
Я столкнулся с той же проблемой, вы должны:
- декодировать из base64
- преобразовать из байта в строку
отдельный логин 'AWS'
password = (base64.b64decode(response['authorizationData'[0]authorizationToken'])).decode("utf-8").split(":")[-1]
Я обнаружил, что проще всего пройти
auth_config с именем пользователя / паролем при отправке изображения в ECR.
import boto3
import base64
import docker
sess = boto3.Session()
resp = sess.client('ecr').get_authorization_token()
token = resp['authorizationData'][0]['authorizationToken']
token = base64.b64decode(token).decode()
username, password = token.split(':')
auth_config = {'username': username, 'password': password}
# get local docker client
client = docker.from_env()
# build/tag image here....
# then override the docker client config by passing auth_config
client.image.push(<image name>, auth_config=auth_config)
Надеюсь, это кому-то поможет!
Есть открытая проблема в
docker-py проект об этом, и один из их обходных путей сработал для меня - удаление ведущего
https:// из реестра при выполнении входа в Docker:
registry_url = token['authorizationData'][0]['proxyEndpoint'].replace("https://", "")