Container Registry è deprecato e programmato per l'arresto. A partire dal 15 maggio 2024, Artifact Registry ospita le immagini per il dominio gcr.io nei progetti senza precedente utilizzo di Container Registry. Dopo il 18 marzo 2025, Container Registry verrà arrestato.

Per iniziare a gestire i container su Google Cloud, utilizza Artifact Registry. Se utilizzi Container Registry, scopri come eseguire la transizione ad Artifact Registry per gestire i container su Google Cloud.

Per ulteriori informazioni sul ritiro e sull'interruzione del servizio, consulta la pagina relativa ai ritiramenti e le note di rilascio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Risoluzione dei problemi

Questa sezione spiega come risolvere i problemi comuni di Container Registry e Docker.

Progetti basati sul dominio

Se ricevi l'errore invalid reference format, un problema potrebbe essere che hai un progetto a livello di dominio.

Se il progetto è limitato al tuo dominio, l'ID progetto include il dominio e un due punti, ad esempio: example.com:my-project. Consulta la sezione Progetti basati su dominio per scoprire come utilizzare gli ID progetto che includono un dominio.

Errore: stato 405: `v1 Registry API is disabled.`

Se continui a riscontrare un errore come "L'API Registry v1 è disattivata" quando importi o esporti le immagini, assicurati che il nome dell'host, l'ID progetto, il nome dell'immagine e il tag o il digest siano scritti correttamente.

Per visualizzare i tag e il digest dell'immagine, esegui il seguente comando:

gcloud container images list-tags [HOSTNAME]/[PROJECT-ID]/[IMAGE]

Ad esempio:

gcloud container images list-tags gcr.io/my-project/my-image

Per ulteriori informazioni sull'elenco dei tag immagine e dei digest, consulta Gestire le immagini.

Problemi di autorizzazione

Le sezioni seguenti descrivono le soluzioni per problemi relativi a autorizzazioni specifiche. Assicurati sempre di disporre delle autorizzazioni necessarie per push o pull. Consulta la sezione Autorizzazioni e ruoli.

Problemi di autorizzazione relativi all'accesso uniforme a livello di bucket

Se hai attivato l'accesso uniforme a livello di bucket su un bucket di archiviazione utilizzato da Container Registry, potresti riscontrare problemi di accesso durante il push e il pull in Container Registry.

Per risolvere i problemi di accesso, assicurati di disporre delle autorizzazioni necessarie per eseguire push o pull. Queste autorizzazioni sono elencate in Autorizzazioni e ruoli.

Problemi di autorizzazione relativi alla configurazione di Docker sulla tua macchina locale

Se riscontri un errore permission denied, ad esempio il seguente:

FATA[0000] Post http://var/run/docker.sock/v1.17/images/gcr.io/container-engine-docs/example/push?tag=: dial unix /var/run/docker.sock: permission denied
ERROR: (gcloud.docker) A Docker command did not run successfully.
Tried to run: 'docker push gcr.io/container-engine-docs/example'
Exit code: 1

Potresti doverti aggiungere al gruppo di utenti docker.

Esegui il seguente comando nella shell o nella finestra del terminale:

  sudo usermod -a -G docker ${USER}

Riavvia il sistema dopo aver aggiunto te stesso al gruppo di utenti docker.

Problemi di autorizzazione durante la comunicazione con Container Registry

Se si verifica un errore di autorizzazione come il seguente:

Permission denied: Unable to create the repository, please check that you have access to do so

Verifica che la fatturazione sia abilitata per il tuo progetto.
Verifica il tuo accesso:
1. Assicurati di aver eseguito l'autenticazione per gcloud eseguendo il seguente comando:
```
gcloud init
```
2. Assicurati che Docker sia configurato per utilizzare gcloud come assistente alle credenziali di Container Registry eseguendo il seguente comando:
```
gcloud auth configure-docker
```
3. Verifica che docker-credential-gcloud possa essere eseguito:
```
docker-credential-gcloud list
```
  Dovresti vedere un oggetto JSON con il registry di destinazione come una delle chiavi. Ad esempio:
```
{
  "https://asia.gcr.io": "oauth2accesstoken",
  "https://eu.gcr.io": "oauth2accesstoken",
  "https://gcr.io": "oauth2accesstoken",
  "https://us.gcr.io": "oauth2accesstoken"
}
```
4. Poi, verifica di disporre dell'autorizzazione per scrivere in Cloud Storage nel progetto a cui stai eseguendo il push. In caso contrario, chiedi a un amministratore di concedere l'accesso al tuo utente e riprova.
5. Se il problema persiste dopo aver ottenuto l'autorizzazione corretta, è possibile che il token di accesso sia stato ottenuto senza uno di questi ambiti:
  - https://www.googleapis.com/auth/devstorage.read_write
  - https://www.googleapis.com/auth/devstorage.full_control
  Per verificare, ottieni prima il token di accesso. Questo valore varia da un'applicazione all'altra. Ad esempio, se utilizzi un token di accesso di un account di servizio predefinito di Compute Engine, puoi seguire le istruzioni riportate qui per ottenerlo.
  
  Una volta ottenuto il token di accesso, puoi utilizzare questo comando per esaminare gli ambiti utilizzati per ottenerlo:
```
curl -H "Authorization: Bearer <your access token>" https://www.googleapis.com/oauth2/v1/tokeninfo
```
  Se gli ambiti indicati non sono inclusi, risolvi il problema per assicurarti di includerli quando ottieni il token di accesso nel codice. Ad esempio, per i token generati specificamente per l'account di servizio predefinito sulla tua macchina virtuale Compute Engine, dovrai correggere l'impostazione dell'ambito per la macchina virtuale e ricrearla.

Problemi di autorizzazione relativi al push e al pull delle immagini

L'istanza VM che esegue il push o il pull delle immagini deve essere configurata correttamente con le autorizzazioni e gli ambiti di accesso IAM richiesti per accedere al bucket di archiviazione di Container Registry. Per informazioni sulle impostazioni richieste, consulta Utilizzare Container Registry con Google Cloud.

Errore ImagePullBackoff da Google Kubernetes Engine

GKE restituisce un errore ImagePullBackoff quando non è in grado di estrarre un'immagine da un registry. L'errore potrebbe verificarsi perché l'immagine non può essere trovata o perché i tuoi nodi non dispongono delle autorizzazioni per eseguire il pull dal registry. Per impostazione predefinita, i nodi GKE dispongono delle autorizzazioni per recuperare le immagini da Container Registry quando il registry si trova nello stesso progetto Google Cloud dei nodi.

La documentazione di GKE include i passaggi per identificare la causa principale e risolvere il problema.

Applicazione dei criteri dell'organizzazione

I vincoli dei criteri dell'organizzazione possono influire sull'utilizzo di Container Registry quando si applicano ai servizi utilizzati da Container Registry, inclusi i vincoli che richiedono l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK).

Errore di richiesta non valida durante l'invio di un'immagine

Quando l'API Cloud Storage è nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, non puoi inviare immagini a Container Registry se i bucket di archiviazione sottostanti non sono criptati con CMEK. Viene restituito il seguente messaggio:

unknown: Bad Request

Quando constraints/gcp.restrictCmekCryptoKeyProjects è configurato, i bucket di archiviazione devono essere criptati con una CryptoKey di un progetto, di una cartella o di un'organizzazione consentiti. I bucket esistenti non conformi devono essere configurati per utilizzare la chiave richiesta per impostazione predefinita.

Per criptare i bucket di archiviazione, consulta le istruzioni di Cloud Storage. Il nome del bucket per un host del registry ha uno dei seguenti formati:

artifacts.PROJECT-ID.appspot.com per le immagini archiviate sull'host gcr.io
STORAGE-REGION.artifacts.PROJECT-ID.appspot.com per le immagini memorizzate su asia.gcr.io, eu.gcr.io o us.gcr.io.

L'argomento Pub/Sub gcr non è stato creato automaticamente

Quando attivi l'API Container Registry in un progetto Google Cloud, Container Registry tenta di creare automaticamente un argomento Pub/Sub con l'ID argomento gcr utilizzando le chiavi di crittografia gestite da Google.

Quando l'API Pub/Sub è nell'elenco dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, gli argomenti devono essere criptati con CMEK. Le richieste di creazione di un argomento senza crittografia CMEK non andranno a buon fine.

Per creare l'argomento gcr con crittografia CMEK, consulta le istruzioni di Pub/Sub per la crittografia degli argomenti.

Limiti di quota

Se superi il limite di quota di Container Registry, potresti visualizzare messaggi di errore come questo:

Error: Status 429 trying to pull repository [...] "Quota Exceeded."

Per evitare di superare il limite di quota fisso, puoi:

Aumenta il numero di indirizzi IP che comunicano con Container Registry. Le quote si riferiscono a un indirizzo IP.
Aggiungi i tentativi di nuovo che introducono un ritardo. Ad esempio, puoi utilizzare il backoff esponenziale.

Endpoint del registry non valido con boot2docker

Se hai problemi a raggiungere Container Registry da un ambiente boot2docker:

docker push gcr.io/example/sample

Error response from daemon: invalid registry endpoint https://gcr.io/v0/:
  unable to ping registry endpoint https://gcr.io/v0/
v2 ping attempt failed with error: Get https://gcr.io/v2/:
  x509: certificate has expired or is not yet valid
v1 ping attempt failed with error: Get https://gcr.io/v1/_ping:
  x509: certificate has expired or is not yet valid.
If this private registry supports only HTTP or HTTPS with an unknown CA
certificate, please add `--insecure-registry gcr.io` to the daemon's
arguments. In the case of HTTPS, if you have access to the registry's CA
certificate, no need for the flag; simply place the CA certificate at
/etc/docker/certs.d/gcr.io/ca.crt

Potresti dover riavviare boot2docker:

boot2docker stop
boot2docker start

Errore relativo al push di un'immagine a livello di radice

Quando provi a eseguire il push di un'immagine del contenitore, l'operazione non riesce e viene visualizzato un messaggio che include:

Pushing to root-level images is disabled

Questo messaggio indica che hai taggato l'immagine con il nome host e l'immagine, ma non hai incluso l'ID progetto.

Tagga l'immagine utilizzando il formato corretto del percorso dell'immagine:

HOSTNAME/PROJECT-ID/IMAGE:TAG

Ad esempio: gcr.io/web-project/web-app:1.0.

Docker su Mac

Se riscontri problemi con Docker su Mac, potresti dover provare una soluzione alternativa. Gli errori possono includere operazioni push/pull di Docker non responsive o un errore di rete simile al seguente:

Post https://us.gcr.io/v2/[repo name]/blobs/uploads/: dial tcp xx.xxx.xx.xx:xxx: i/o timeout

Se si verificano questi errori, prova a eseguire i seguenti passaggi:

Esegui il comando docker-machine restart default nel terminale Mac per riavviare il daemon Docker.
Assicurati che l'opzione"Memorizza in modo sicuro gli accessi Docker nel Portachiavi macOS" non sia attiva nel menu Preferenze di Docker.
Assicurati di utilizzare la versione più recente di Docker.