瞭解實用的疑難排解步驟,解決您在 Artifact Registry 中管理容器映像檔時遇到的問題。
無法擷取圖片或部署至 Cloud de Confiance by S3NS 執行階段環境
請確認下列事項:
- 確認要推送的圖片完整路徑是否正確。路徑必須包含註冊主機名稱、 Cloud de Confiance by S3NS、專案 ID、存放區和映像檔。例如:
u-france-east1-docker.s3nsregistry.fr/my-project/my-repo/my-image:v1 - 請確認提取圖像的帳戶是否具備正確的權限,可從存放區讀取資料。如果您已停用服務帳戶的自動角色授予功能,則必須將 Artifact Registry 角色授予執行階段服務帳戶。
- 針對 Compute Engine 和 Google Kubernetes Engine 服務帳戶,您必須將「Artifact Registry Reader」角色 (
roles/artifactregistry.reader) 授予執行階段服務帳戶。 - 如果您使用的是 Docker 或其他第三方工具,則必須:
- 授予權限給與存放區互動的帳戶。
- 設定用戶端,以便向存放區進行驗證。
無法將映像檔推送至 Artifact Registry
建議您嘗試下列做法:
- 確認要推送的圖片完整路徑是否正確。路徑必須包含登錄主機名稱、 Cloud de Confiance by S3NS 專案 ID、存放區和映像檔。例如:
u-france-east1-docker.s3nsregistry.fr/my-project/my-repo/my-image:v1每個 Artifact Registry 存放區都是獨立的資源,因此您無法將映像檔推送至沒有存放區的路徑。例如,
u-france-east1-docker.s3nsregistry.fr/my-project/my-image:v1是無效的圖片路徑。詳情請參閱「存放區和映像檔名稱」。
- 請確認推送映像檔的帳戶是否具備寫入存放區的權限。如果您已停用自動授予服務帳戶角色,則必須將 Artifact Registry 角色授予執行階段服務帳戶。
- 針對 Compute Engine 和 Google Kubernetes Engine 服務帳戶,您必須將「Artifact Registry Writer」角色 (
roles/artifactregistry.writer) 授予執行階段服務帳戶。 - 如果 Artifact Registry 傳回訊息
The repository has enabled tag immutability,則表示已為存放區設定了標記不變性。您無法推送標記已用於存放區中同一個圖片的其他版本的圖片。請嘗試使用其他已儲存圖片版本未使用的標記,再次推送圖片。如要確認已為存放區設定不可變更的映像檔標記,請在 Cloud de Confiance 主控台的存放區清單中查看「不可變更的映像檔標記」欄,或執行下列指令:
gcloud artifacts repositories describe REPOSITORY \ --project=PROJECT-ID \ --location=LOCATION
ImagePullBackOff 和 ErrImagePull 訊息
訊息中出現 ImagePullBackOff 和 ErrImagePull 表示 GKE 無法從註冊資料庫中提取映像檔。