Container Manager kann nicht auf GitLab Registry zugreifen

[avon]

Hallo!

Ich habe folgendes Problem: Ich möchte im Container Manager Docker-Images von der Registry einer GitLab-Instanz ziehen. Wenn ich die Registry unter "Registrierung" hinzufüge, bleibt die Anzeige leer und es kommt ein Fehlerdialog:



Die GitLab-Registry sollte eigentlich richtig funktionieren (ich habe von einem Linux-Rechner aus schon login, push und pull getestet und das funktioniert alles).

Auch kann ich aus dem Container Manager auf eine "normale" Docker Registry auf einem anderen Server zugreifen. Also auch auf der Seite scheint alles normal zu sein.

Hatte vielleicht schon mal jemand das Problem, oder zumindest einen Hinweis, wo ich eine detailliertere Fehlermeldung bekomme als dieser nichtssagende Fehler-Dialog?

Ich habe auch in der Konsole auf der Diskstation überprüft, dass das SSL-Zertifikat der Registry correct erkannt wird:

openssl s_client -showcerts -servername gitlab.some.url.de -connect gitlab.some.url.de:5050 > cacert.pem

Und auch da passt die Ausgabe.

Danke!

 

[maunzl]

Ich kann ebenfalls keine private GitLab Registry in den Container Manager einbinden. Ich gebe die Registry URL an, als Benutzernamen meinen GitLab-Benutzernamen und als Passwort ein "personal access token". Dann bekomme ich leider nur folgende Meldung:

"Fehler - Dieser Vorgang kann nciht ausgeführt werden. Möglicherweise ist die Netzwerkverbindung instabil oder das System ausgelastet. Bitte versuchen Sie es später erneut."

Leider finde ich keine detaillierten Logdateien und wie bei avon klappt der Zugriff von einer Linux-Shell aus problemlos...

 

[ctrlaltdelete]

Habt ihr schon ein Ticket bei Synology aufgemacht?

 

[avon]

Habt ihr schon ein Ticket bei Synology aufgemacht?

Ich habe eben ein Ticket erstellt und auch den Log des Container Managers mitgeschickt (leider ist der nicht in lesbarer Form). Einen Link zum Thread habe ich auch mitgeschickt, vielleicht antwortet der Support dann gleich hier, ansonsten halte ich euch auf dem Laufenden.

 

[avon]

Antwort des Synology Supports:

Sehr geehrter Kunde,

vielen Dank, dass Sie den Technischen Support von Synology kontaktieren.

Gerne würde ich Ihnen bezüglich Ihres Anliegens weiterhelfen.
Leider unterstützen wir keine Dritthersteller-Pakete in unserem Support sondern bieten diese nur auf unseren Systemen an.

An der Stelle bitte ich Sie, sich einmal direkt an den Entwickler Docker/ Container-Manager zu wenden.

Vielen Dank für Ihr Verständnis.

Ich habe nun einen Thread im Docker Forum erstellt. Mal schauen ob es da ein Lösung gibt.

 

[Yippie]

Moment Mal, der Hersteller des Container Managers ist doch Synology, oder hab ich da was falsch verstanden?
Deshalb müssen die doch Wissen was der Manager kann und welche Registries angefragt werden/können.

 

[mayo007]

Naja nicht wirklich. Ist halt nen normales Docker im Unterbau. Sieht nur eben anders aus.

 

[Ulfhednir]

Mal mit Portainer ausprobiert?

 

[avon]

Dachte ich auch, aber im Paketmanager steht tatsächlich:

 

[avon]

Mal mit Portainer ausprobiert?

Ich möchte halt die bereits vorhandene GitLab Registry nutzen. Ob Portainer funktioniert weiß ich nicht, aber dockerhub und eine "normale" Docker Registry funktionieren ja.

 

[Ulfhednir]

Ich habe dich schon verstanden. Die Frage war, ob du mal über Portainer ein Deployment versucht hast. GitLab lässt sich dort konfigurieren.

 

[haydibe]

Docker erwartet, dass eine Registry über eine sichere Verbindung erreichbar ist (http+Zertifikat ausgestellt von einer vertrauten CA). Für Registries verwendet Docker nicht cacerts vom OS, sondern benötigt das CA-Zertifikat im Unterverzeichnis des Docker-Konfig Verzeichnisses "certs.d/{DOMAIN oder IP:}/ca.crt". Bei einer normalen Linux-Distribution wäre es bspw. /etc/docker/certs.d/meine.tolle.domain/ca.crt. Wichtig, wenn der Port nicht 443 ist, dann muss das Verzeichnis den Port mit enthalten. Ich bin gerade zu faul den Pfad vom Docker-Konfig Verzeichnis unter Synology herauszusuchen, aber er wurde in der Vergangenheit schon mehrfach in Posts geteilt - sollte also mit der Suche findbar sein.

Im Container Manager kann man beim Hinzufügen einer Registry den Haken "Trust self-signed Certificate" setzen. Schon mal versucht den Haken zu setzen und zu schauen, ob es damit geht?

Keine Ahnung was der Containre Manger dann tatsächlich tut, aber vermutlich den öffentlichen Teil des Zertifikats von der Registry ziehen und in dem oben erwähnten Verzeichnis ablegen - oder in der docker.json (bei einer normalen Linux-Distribution /etc/docker/daemon.json den Host als insecure Registry eintragen. Letzteres wäre übrigens auch nötig, wenn die Registry nur über HTTP zu erreichen wäre.

Wenn der Trust self-signed Certificate Haken nicht hilft, dann ist das im Grund ein Fehler des Container Managers, da er sein Docker nicht richtig für dich konfiguriert. Wenn man ein Management Werkzeug bereitstellt, dass die direkte Interaktion mit der Docker Engine kapselt, dann sollen sie es doch bitte auch richtig machen.

 

[haydibe]

Ich hab die Forumssuche jetzt doch mal betätigt und den Pfade für das Docker-Konfig Verzeichnis herausgesucht:

/var/packages/ContainerManager/etc/

In dem Verzeichnis existiert bei mir ein leeres cert Verzeichnis. Kann gut sein, dass Synology hier aus cert.d abweichend cert gemacht hat.

Evtl. muss der Container Manager nach dem Hinzufügen des CA-Zertifikats neu gestartet werden.

 

[Benares]

Grad mal bei mir geschaut, also bei mir geht's.



In den Einstellungen steht folgendes:



und beim 2. Punkt folgendes:


Ich hab da nie was geändert.

 

[avon]

Docker Hub funktioniert ja bei mir auch problemlos. Auch eine reguläre Docker Registry funktioniert (übrigens mit dem identischen Wildcard-Zertifikat!)

Auch das setzen des Hakens für selbst-signierte Zertifikate bringt keine Änderung.

Noch eine Info aus dem Docker-Forums-Thread:

Auch wenn Synology offenbar seit Jahren das Gegenteil behauptet: Nicht Docker Inc. sondern Synology ist der Entwickler des Container Managers. Er basiert auf einem von Synology erstellten Fork von Docker und einem von Synology entwickelten Überbau. Deshalb gibt es auch - im Gegensatz zu allen anderen von Docker unterstützen Plattformen - kein Repo von Docker für Synology

 

[Benares]

Docker Hub funktioniert ja bei mir auch problemlos

Häh? Was denn nun? Liest sich in #1 anders.

 

[avon]

Häh? Was denn nun? Liest sich in #1 anders.

Ich hab nirgends etwas von Docker Hub geschrieben...

 

[avon]

Neue Erkenntnis: Es liegt DEFINITIV am Container Manager und nicht an dem darunter laufenden Docker: über ssh kann ich auf dem NAS problemlos "docker login" und "docker pull" ausführen. Und das von GitLab gepullte Image wird auch im Container Manager angezeigt (ist also die selbe Docker-Instanz)