群晖docker在代理后（你懂的）仍无法拉去镜像

zhuabafish

如题，系统是DSM7.2 U5，群晖网关设置如下，IPMI管理口和10G口（默认网关）均指向10.0.0.2（openwrt），已设置IPV4访问优先，且关闭了OP的ipv6相关设置



目前在局域网内的其他客户端，在网关手动指向10.0.0.2（openwrt）后均能正常访问hub.docker.com / registry.hub.docker.com，唯独群晖拉取注册表/更新镜像均失败



通过ssh连接群晖后，使用docker pull 或者 docker login命令均会提示如下（docker pull不演示，报错同docker login）：


请各位大佬不吝赐教，暂不考虑配置镜像源的方法解决，希望可以直接拉取官方库

shadow404

同群晖没问题……建议检查群晖是否已经正确连上op科技，dns不要指定op看看

J.9h0st

我遇到的问题更奇怪，我是虚拟机装的黑群7.1.1，然后主机不用魔法可以直接访问hub.docker.com，但是黑群docker获取不了注册表，但是可以ssh拉取镜像。

哆啦咪

J.9h0st 发表于 2024-4-21 11:25
我遇到的问题更奇怪，我是虚拟机装的黑群7.1.1，然后主机不用魔法可以直接访问hub.docker.com，但是黑群doc ...

这是正常的。白群晖也是这样。

zhuabafish

shadow404 发表于 2024-4-21 11:24
同群晖没问题……建议检查群晖是否已经正确连上op科技，dns不要指定op看看
...

换了DNS，目前还是拉不到，但能够确定是连上了科技的，因为下载器那边如果给代理，地址都会变

zhuabafish

J.9h0st 发表于 2024-4-21 11:25
我遇到的问题更奇怪，我是虚拟机装的黑群7.1.1，然后主机不用魔法可以直接访问hub.docker.com，但是黑群doc ...

我ssh和直接都拉不到

Anderson997

去你0.2看看docker点io到底走的啥

zhuabafish

Anderson997 发表于 2024-4-21 12:01
去你0.2看看docker点io到底走的啥

走的代理无误，我甚至给他全局也是同样的结果

tnnd

用群晖自带的下载,下一个油罐视频试试

GTXhuanjue

J.9h0st 发表于 2024-4-21 11:25
我遇到的问题更奇怪，我是虚拟机装的黑群7.1.1，然后主机不用魔法可以直接访问hub.docker.com，但是黑群doc ...

7.1的获取不了正常，因为这个地址被block了除非你爬高点，7.2默认改成了registry.hub.docker.com，这个地址在Container Manages界面可以正常拉取注册表。

monkeylab

群晖里瞅瞅返回啥？

1. curl -I https://registry-1.docker.io/v2/

复制代码

zhuabafish

monkeylab 发表于 2024-4-21 18:29
群晖里瞅瞅返回啥？

输入了，没返回东西，卡住了

monkeylab

zhuabafish 发表于 2024-4-21 19:05
输入了，没返回东西，卡住了

放行docker.io试试，让它直连，感觉就是你提子不行。

zhuabafish

monkeylab 发表于 2024-4-21 19:17
放行docker.io试试，让它直连，感觉就是你提子不行。

已规则
返回的curl: (28) SSL connection timeout
但我电脑能连上这个网址

zhuabafish

monkeylab 发表于 2024-4-21 19:17
放行docker.io试试，让它直连，感觉就是你提子不行。

Windows访问返回以下代码

1. {
   
2.     "errors": [
   
3.         {
   
4.             "code": "UNAUTHORIZED",
   
5.             "message": "authentication required",
   
6.             "detail": null
   
7.         }
   
8.     ]
   
9. }

复制代码

treedom

我的问题是op架设不通，电脑代理却通。不明所以非技术人员看不懂啊。

monkeylab

zhuabafish 发表于 2024-4-21 20:32
Windows访问返回以下代码

这个返回信息是正常的，网络正常、ssl证书正常、服务器也在线能正常响应，
回到原点了，得检查群晖的网络、证书，按理说7.2不应该有证书问题啊，群晖不过openwrt直连路由再试一下？

lovest

lz用的分流吗？我直接给拉了docker的规则。
DOMAIN,d1q6f0aelx0por.cloudfront.net
DOMAIN,d2wy8f7a9ursnm.cloudfront.net
DOMAIN,d36jcksde1wxzq.cloudfront.net
DOMAIN-SUFFIX,compose-spec.io
DOMAIN-SUFFIX,docker.com
DOMAIN-SUFFIX,docker.io
DOMAIN-SUFFIX,dockerhub.com

docker的也就这么几条，如果不是分流规则，手动加下也应该ok。

zhuabafish

monkeylab 发表于 2024-4-21 20:47
这个返回信息是正常的，网络正常、ssl证书正常、服务器也在线能正常响应，
回到原点了，得检查群晖的网络 ...

那应该就是证书问题了，我这个是黑群晖，我不确定是不是这个原因，直连的话是确定不通的

zhuabafish

lovest 发表于 2024-4-21 21:07
lz用的分流吗？我直接给拉了docker的规则。
DOMAIN,d1q6f0aelx0por.cloudfront.net
DOMAIN,d2wy8f7a9ursnm. ...

我用的ssrp，规则是直接加域名的那种，你这个是openclash吗

zhuabafish

monkeylab 发表于 2024-4-21 18:29
群晖里瞅瞅返回啥？

直连返回

1. HTTP/1.1 401 Unauthorized
   
2. content-type: application/json
   
3. docker-distribution-api-version: registry/2.0
   
4. www-authenticate: Bearer realm="https://auth.docker.io/token",service="registry.docker.io"
   
5. date: Sun, 21 Apr 2024 13:29:26 GMT
   
6. content-length: 87
   
7. strict-transport-security: max-age=31536000
   

复制代码

alieshex

Linux的docker代理我记得是得给那个守护进程设置代理配置，挂系统代理好像是因为用户不同不生效的

monkeylab

zhuabafish 发表于 2024-4-21 21:30
直连返回

返回信息是对的……网络和群晖都没问题，你的提子配置或者说openwrt有问题。
openwrt做群晖网关的时候，docker.io设置直连放行都连不上这就很不对劲，根本就没直连上。

zhuabafish

alieshex 发表于 2024-4-21 21:38
Linux的docker代理我记得是得给那个守护进程设置代理配置，挂系统代理好像是因为用户不同不生效的 ...

原来如此，请问大佬这个如何配置呢

zhuabafish

monkeylab 发表于 2024-4-21 21:41
返回信息是对的……网络和群晖都没问题，你的提子配置或者说openwrt有问题。
openwrt做群晖网关的时候，d ...

节点我换过不同运营商的，应该不是这个问题
根据你楼上那位的说法，我怀疑他的猜测很有可能性，但我不会配置

monkeylab

zhuabafish 发表于 2024-4-21 22:03
节点我换过不同运营商的，应该不是这个问题
根据你楼上那位的说法，我怀疑他的猜测很有可能性，但我不会 ...

你不是在openwrt上配置的透明代理么？透明的话群晖上除了网关和DNS别的什么都不需要配置，curl也不在docker里，host都连不上docker更连不上了。

zhuabafish

monkeylab 发表于 2024-4-21 22:08
你不是在openwrt上配置的透明代理么？透明的话群晖上除了网关和DNS别的什么都不需要配置，curl也不在dock ...

确实配置了，ssrp默认就开启了透明代理，不知道怎么关

chen222gou

直接从主路由上全局代理 全部端口都直接走代理 我好像没遇到拉取不到的情况

英雄哥

要拉镜像的时候就开全局嘛，这样总可以代理了吧。拉完镜像再改回规则

lovest

zhuabafish 发表于 2024-4-21 21:25
我用的ssrp，规则是直接加域名的那种，你这个是openclash吗

ssrp太久没用了，这个是docker的连接域名，BM7的clash库里找的。我现在用debian跑的singbox用这个规则也可以。
我记得ssrp有强制走节点的设置吧？在访问控制里，支持的域名格式对照着写下就好了吧？