LabEx
EntrarJunte-se

Como resolver o erro 'pull access denied'

DockerBeginner
Pratique Agora

Introdução

Docker é uma plataforma de containerização poderosa que simplifica a implantação e o gerenciamento de aplicações. No entanto, os usuários podem, por vezes, encontrar o erro 'pull access denied' ao tentar baixar (pull) imagens Docker. Este tutorial abrangente irá guiá-lo através da compreensão, solução de problemas e resolução deste problema comum do Docker.

Ao longo deste laboratório, você aprenderá como os registros de imagens Docker funcionam, por que os erros de acesso negado ocorrem e desenvolverá habilidades práticas para resolver problemas de autenticação. Ao final deste tutorial, você será capaz de lidar com confiança com problemas de acesso a imagens Docker em seu fluxo de trabalho de containerização.

Compreendendo os Registros Docker e o Download Básico de Imagens (Image Pulling)

Antes de explorarmos o erro "pull access denied", vamos entender os registros Docker e como o download de imagens funciona.

O que é um Registro Docker?

Um registro Docker (Docker registry) é um sistema de armazenamento para imagens Docker. Ele permite que você faça o push (upload) e o pull (download) de imagens de contêineres. O Docker Hub é o registro público padrão, mas existem muitos outros, incluindo registros privados que as organizações usam para armazenar imagens proprietárias.

Vamos primeiro verificar se o Docker está corretamente instalado em seu sistema. Abra um terminal e execute:

docker --version

Você deve ver uma saída semelhante a:

Docker version 20.10.21, build baeda1f

Baixando uma Imagem Pública do Docker Hub

Agora, vamos tentar baixar uma imagem pública simples do Docker Hub. A sintaxe básica para baixar imagens é:

docker pull [registry/][username/]repository[:tag]

Vamos baixar a imagem oficial do Alpine Linux, que é pequena e comumente usada:

docker pull alpine:latest

Você deve ver uma saída semelhante a:

latest: Pulling from library/alpine
c158987b0551: Pull complete
Digest: sha256:bc41182d7ef5ffc53a40b044e725193bc10142a1243f395ee852a8d9730fc2ad
Status: Downloaded newer image for alpine:latest
docker.io/library/alpine:latest

Isso confirma que você pode baixar imagens públicas com sucesso. Vamos verificar se a imagem foi baixada listando todas as suas imagens Docker:

docker images

Você deve ver a imagem alpine na lista:

REPOSITORY   TAG       IMAGE ID       CREATED        SIZE
alpine       latest    9c6f07244728   2 weeks ago    5.54MB

Convenções de Nomenclatura de Imagens Docker

Compreender as convenções de nomenclatura de imagens Docker é crucial para resolver problemas de acesso:

  • Registro (Registry): O nome do host onde o registro está localizado (o padrão é Docker Hub)
  • Nome de Usuário/Organização (Username/Organization): A conta que possui o repositório
  • Repositório (Repository): O nome da imagem
  • Tag: Uma versão específica da imagem (o padrão é "latest")

Por exemplo, em docker.io/nginx:1.21, o registro é docker.io, o repositório é nginx e a tag é 1.21.

Quando você não especifica um registro, o Docker assume que você está usando o Docker Hub. Quando você não especifica um nome de usuário ou organização, o Docker procura no namespace "library", que contém imagens oficiais.

Encontrando o Erro "Pull Access Denied"

Agora que você entende os conceitos básicos de download de imagens Docker, vamos explorar o erro "pull access denied". Este erro normalmente ocorre quando você tenta baixar uma imagem à qual você não tem permissão para acessar.

Criando um Cenário para Encontrar o Erro

Vamos tentar baixar uma imagem inexistente ou privada para deliberadamente acionar o erro "pull access denied". Tentaremos baixar uma imagem privada fictícia:

docker pull labex/private-repo:latest

Você deve ver uma mensagem de erro semelhante a:

Error response from daemon: pull access denied for labex/private-repo, repository does not exist or may require 'docker login': denied: requested access to the resource is denied

Este erro ocorre porque:

  1. O repositório não existe
  2. O repositório existe, mas é privado, e você não está autenticado
  3. Você está autenticado, mas não tem permissão para acessar este repositório

Compreendendo a Autenticação para Registros Docker

O Docker usa um sistema de autenticação simples para registros privados. Antes de baixar imagens privadas, você precisa se autenticar usando o comando docker login:

docker login [registry-url]

Se nenhuma URL de registro for fornecida, o Docker assume que você está fazendo login no Docker Hub.

Vamos tentar fazer login no Docker Hub (você pode usar sua própria conta do Docker Hub, se tiver uma, ou apenas ver o prompt e pressionar Ctrl+C para cancelar):

docker login

Você verá um prompt para seu nome de usuário e senha:

Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username:

Como não precisamos realmente fazer login para este exercício, você pode pressionar Ctrl+C para cancelar o processo de login.

Causas Comuns dos Erros "Pull Access Denied"

O erro "pull access denied" pode ocorrer por vários motivos:

  1. Nome do repositório incorreto: Você pode ter digitado o nome do repositório incorretamente
  2. Repositório não existe: O repositório que você está tentando acessar não existe
  3. Autenticação necessária: O repositório é privado e requer login
  4. Permissões insuficientes: Você está autenticado, mas não tem direitos de acesso
  5. Limitação de taxa (Rate limiting): O Docker Hub limita os downloads para usuários não autenticados

Verificando os Logs do Daemon Docker

Ao solucionar problemas de acesso, é frequentemente útil verificar os logs do daemon Docker:

sudo journalctl -u docker | tail -n 20

Isso mostra as últimas 20 linhas dos logs do sistema do Docker, que podem conter informações adicionais sobre o erro de acesso negado.

Resolvendo os Erros "Pull Access Denied"

Agora que entendemos o que causa os erros "pull access denied", vamos aprender como resolvê-los. Percorreremos várias soluções com base nas causas mais comuns.

Solução 1: Verifique o Nome e a Tag do Repositório

Uma das causas mais comuns de erros de acesso é simplesmente usar um nome de repositório ou tag incorretos. Sempre verifique o nome da sua imagem em busca de erros de digitação.

Vamos tentar baixar uma imagem válida com uma tag específica:

docker pull nginx:1.21.0

A saída deve mostrar um download bem-sucedido:

1.21.0: Pulling from library/nginx
a330b6cecb98: Pull complete
b847ebd0aed4: Pull complete
543e2db69aaf: Pull complete
... (mais linhas)
Digest: sha256:2f1cd90e00fe2a0aa8969938c6a4135443ac6c7e50d255a54b57ba1a21086ce3
Status: Downloaded newer image for nginx:1.21.0
docker.io/library/nginx:1.21.0

Solução 2: Autentique-se com o Registro

Se você estiver tentando acessar um repositório privado, precisará se autenticar primeiro:

docker login [registry-url]

Após a autenticação bem-sucedida, o Docker armazena as credenciais no arquivo de configuração em ~/.docker/config.json. Vamos verificar se este arquivo existe:

ls -la ~/.docker/

Se você fez login anteriormente, deverá ver o arquivo config.json listado.

Solução 3: Verifique os Limites de Taxa do Registro

O Docker Hub impõe limites de taxa nos downloads:

  • Usuários anônimos: 100 downloads a cada 6 horas por endereço IP
  • Usuários autenticados: 200 downloads a cada 6 horas por conta

Se você estiver atingindo os limites de taxa, autentique-se para aumentar seu limite:

docker login

Solução 4: Use uma URL de Registro Explícita

Às vezes, especificar a URL completa do registro pode ajudar a resolver problemas de acesso:

docker pull docker.io/library/ubuntu:20.04

Este formato explícito ajuda o Docker a identificar corretamente a qual registro se conectar.

Testando Seu Acesso Baixando Outra Imagem Pública

Vamos verificar se você ainda pode baixar imagens públicas baixando uma imagem diferente:

docker pull hello-world

Você deve ver a saída confirmando um download bem-sucedido:

Using default tag: latest
latest: Pulling from library/hello-world
2db29710123e: Pull complete
Digest: sha256:6e8b6f026e0b9c419ea0fd02d3905dd0952ad1feea67543f525c73a0a790fefb
Status: Downloaded newer image for hello-world:latest
docker.io/library/hello-world:latest

Agora, execute o contêiner hello-world para verificar se tudo está funcionando corretamente:

docker run hello-world

Você deve ver uma mensagem de boas-vindas do Docker:

Hello from Docker!
This message shows that your installation appears to be working correctly.
...

Lista de Verificação de Solução de Problemas

Ao encontrar erros "pull access denied", siga esta lista de verificação:

  1. Verifique se o nome e a tag da imagem estão corretos
  2. Verifique se o repositório existe (pesquise no Docker Hub)
  3. Autentique-se se o repositório for privado
  4. Verifique se há problemas de limitação de taxa
  5. Inspecione os logs do daemon Docker para obter mensagens de erro detalhadas
  6. Verifique a conectividade de rede com o registro

Trabalhando com Registros Privados

Em muitos cenários do mundo real, você precisará trabalhar com registros Docker privados. Esses registros exigem autenticação e gerenciamento cuidadoso de credenciais. Vamos aprender como trabalhar com eles de forma eficaz.

Tipos de Registros Privados

Existem várias opções de registro privado disponíveis:

  1. Repositórios Privados do Docker Hub: Repositórios privados no Docker Hub
  2. Docker Registry: Implementação de registro de código aberto do Docker
  3. Docker Trusted Registry (DTR): Parte do Docker Enterprise
  4. Registros de terceiros: Como AWS ECR, Google Container Registry, GitHub Container Registry, etc.

Configurando um Registro Local Simples para Teste

Para fins de aprendizado, vamos configurar um registro Docker local. Isso ajudará você a entender como os registros privados funcionam:

docker run -d -p 5000:5000 --name registry registry:2

Este comando inicia um contêiner de registro privado na porta 5000. Você deve ver uma saída de ID do contêiner se for bem-sucedido.

Enviando uma Imagem para Seu Registro Local

Vamos modificar uma imagem existente e enviá-la para nosso registro local:

  1. Primeiro, marque uma imagem existente com nosso endereço de registro local:
docker tag nginx:1.21.0 localhost:5000/my-nginx:v1
  1. Envie a imagem para o registro local:
docker push localhost:5000/my-nginx:v1

Você deve ver a saída mostrando o progresso do envio:

The push refers to repository [localhost:5000/my-nginx]
72a69066d2fe: Pushed
1e7cb45d18ab: Pushed
c8db6be2bb1a: Pushed
... (mais camadas)
v1: digest: sha256:... size: 1570
  1. Agora, vamos remover a imagem local e tentar baixá-la do nosso registro:
docker image rm localhost:5000/my-nginx:v1
docker pull localhost:5000/my-nginx:v1

Você deve ver a imagem sendo baixada com sucesso do seu registro local.

Trabalhando com Autenticação de Registro

Para registros privados de produção, você precisará lidar com a autenticação corretamente. Ao fazer login em um registro privado, o Docker armazena as credenciais em seu arquivo de configuração.

Para autenticar com um registro privado:

docker login [registry-url]

Após a autenticação, você pode baixar imagens normalmente:

docker pull [registry-url]/[repository]:[tag]

Por razões de segurança, você deve fazer logout quando terminar:

docker logout [registry-url]

Armazenando Credenciais de Registro com Segurança

Para sistemas automatizados, armazenar credenciais com segurança é importante. Você pode usar:

  1. Auxiliares de credenciais do Docker (Docker credential helpers)
  2. Variáveis de ambiente com docker login
  3. Segredos do Docker (no modo swarm)

Vamos verificar o armazenamento de credenciais atual:

cat ~/.docker/config.json | grep -v auth

Você deve ver detalhes de configuração sobre sua configuração do Docker.

Limpando

Vamos parar e remover nosso registro de teste:

docker stop registry
docker rm registry

Isso remove o contêiner de registro local que criamos para teste.

Melhores Práticas para Prevenir Problemas de Acesso

Agora que você aprendeu a resolver erros de "pull access denied" (acesso negado ao puxar), vamos explorar as melhores práticas para prevenir esses problemas no futuro.

Use Nomes Completos de Imagem

Sempre use nomes completos de imagem para evitar ambiguidades:

docker pull docker.io/library/ubuntu:20.04

Isso deixa claro qual registro (registry), repositório e tag você está tentando acessar.

Configure Credential Helpers

Os Docker credential helpers armazenam suas credenciais de registro de forma segura. Instale o helper apropriado para o seu sistema operacional:

Para Ubuntu, você pode usar o credential helper baseado em pass:

sudo apt-get update
sudo apt-get install -y pass

Em seguida, gere uma chave GPG (para fins de demonstração, você pode pressionar Enter para aceitar os padrões):

gpg --generate-key

Inicialize o pass com o ID da sua chave GPG (substitua pelo seu ID de chave real da saída anterior):

pass init "Your GPG Key ID"

Instale o Docker credential helper:

sudo apt-get install -y docker-credential-pass

Configure Configurações Padrão de Registro

Você pode configurar as configurações padrão de registro no seu arquivo de configuração do daemon Docker. Vamos criar uma configuração simples:

sudo mkdir -p /etc/docker
echo '{
  "registry-mirrors": ["https://registry-mirror.example.com"]
}' | sudo tee /etc/docker/daemon.json

Nota: Este é apenas um exemplo. Você substituiria o URL do mirror por um real, se necessário.

Use Docker Compose para Deployments Consistentes

O Docker Compose ajuda a garantir referências de imagem consistentes entre ambientes. Vamos criar um arquivo docker-compose.yml simples:

mkdir -p ~/project/compose-demo
cd ~/project/compose-demo

Agora crie um arquivo docker-compose.yml:

cat > docker-compose.yml << 'EOF'
version: '3'
services:
  web:
    image: nginx:1.21.0
    ports:
      - "8080:80"
  redis:
    image: redis:6.2
EOF

Primeiro, vamos garantir que o Docker Compose esteja instalado no seu sistema:

docker compose version

Se o Docker Compose não estiver instalado, você pode precisar instalá-lo. No Ubuntu, você pode instalá-lo usando:

sudo apt-get update
sudo apt-get install -y docker-compose-plugin

Com este arquivo, você pode iniciar ambos os serviços com um único comando:

docker compose up -d

Você deverá ver a saída mostrando os contêineres sendo criados:

Creating network "compose-demo_default" with the default driver
Creating compose-demo_web_1   ... done
Creating compose-demo_redis_1 ... done

Verifique se os serviços estão em execução:

docker compose ps

Você deverá ver ambos os serviços no estado "Up".

Limpe seu Ambiente Docker

Vamos limpar nosso ambiente parando e removendo os contêineres:

docker compose down
cd ~/project

Isso para e remove os contêineres que criamos com o Docker Compose.

Resumo das Melhores Práticas

  • Sempre use nomes completos de imagem
  • Autentique-se antes de puxar imagens privadas
  • Configure armazenamento seguro de credenciais
  • Use Docker Compose para deployments consistentes
  • Audite regularmente sua configuração Docker
  • Use digests de imagem para referências imutáveis
  • Implemente configurações de rede adequadas para acesso ao registro

Ao seguir estas melhores práticas, você minimizará os erros de "pull access denied" e criará um ambiente conteinerizado mais confiável.

Resumo

Neste laboratório, você aprendeu a entender, solucionar problemas e resolver o erro "pull access denied" no Docker. Agora você tem experiência prática com:

  • Compreensão dos registros Docker e dos fundamentos de download de imagens
  • Identificação das causas comuns dos erros "pull access denied"
  • Resolução de problemas de acesso por meio de autenticação e solução de problemas adequadas
  • Trabalho com registros privados, incluindo a configuração de um registro de teste local
  • Implementação de melhores práticas para evitar problemas de acesso no futuro

Essas habilidades são essenciais para uma implantação e gerenciamento de contêineres sem problemas em seu ambiente Docker. À medida que você continua trabalhando com o Docker, descobrirá que o gerenciamento adequado de acesso é um aspecto fundamental das operações de contêiner, especialmente em ambientes corporativos com registros privados.

Lembre-se das etapas principais para resolver problemas de acesso:

  1. Verifique o nome e a tag da imagem
  2. Verifique os requisitos de autenticação
  3. Revise os logs do daemon Docker
  4. Garanta a conectividade de rede adequada
  5. Aplique as melhores práticas para o gerenciamento de credenciais

Agora você tem o conhecimento para lidar com confiança com os desafios de acesso a imagens Docker em seu fluxo de trabalho de conteinerização.

Relacionados Docker Cursos
Docker para Iniciantes

Docker para Iniciantes

dockerdevops
Desafios Práticos de Docker

Desafios Práticos de Docker

dockerdevops
Laboratórios Práticos de Docker

Laboratórios Práticos de Docker

dockerdevops