skopeo copy 默认不读取 docker 凭据,需显式传 –src-creds/–dest-creds 或 –authfile;inspect 不显示 layers 且默认 digest 为伪造值,需 –raw + jq 解析;delete 依赖 registry 是否启用 delete 方法及权限;跨 registry 复制须注意 manifest 格式、平台兼容性与缓存偏差。
skopeo copy 复制镜像时提示 “access denied” 或 “unauthorized”
根本原因不是权限没开,而是 skopeo copy 默认不读取 Docker daemon 的凭据(比如 ~/.docker/config.json),也不自动继承 docker login 的状态。它只认自己解析到的 registry 认证信息。
- 如果目标仓库需要登录(如私有 Harbor、Quay、ECR),必须显式传入
--src-creds或--dest-creds,格式为user:password;ECR 还得先用aws ecr get-login-password拿 Token - 源是 Docker Hub 且用了 2FA,不能直接用账号密码——得用
docker login生成的~/.docker/config.json,再通过--authfile指定该文件路径 - 复制时加
--debug能看到实际发往 registry 的Authorization请求头,比猜快得多
skopeo inspect 看不到镜像 layers 或 digest 不匹配
skopeo inspect 默认只查 manifest,不拉取 layer blob。所谓 “看不到 layers”,其实是它压根不展示 layer 列表——这是设计使然,不是 bug。
- 要确认镜像真实 digest,必须加
--raw输出原始 manifest,然后用jq提取.digest字段;不加会显示 “fake” digest(基于 manifest 内容算的 sha256) - 如果 registry 返回的是 schema v1(老镜像),
skopeo inspect可能解析出错或字段缺失;加--insecure-policy并配合--tls-verify=false可绕过校验,但别在生产环境这么干 - 想看 layer 大小和 diffid?不行。
skopeo不提供这个能力。真要分析 layer,得skopeo copy到本地dir:或oci:后手动解压blobs/
skopeo delete 删除失败:405 Method Not Allowed 或 401
skopeo delete 不是所有 registry 都支持,且依赖 registry 的 API 实现细节。很多私有 registry(包括默认配置的 Harbor)根本禁用 DELETE 方法。
- 先确认 registry 是否开启删除功能:Harbor 要在
harbor.yml开trivy: enabled不管用,得改registry.config里的storage.delete.enabled: true,并重启服务 - 错误
405 Method Not Allowed= registry 拒绝 DELETE 请求;401 Unauthorized= 凭据没传对,注意--creds必须是能删镜像的账号(普通 pull 权限不够) - 删除的是 tag,不是 digest。删了 tag 后,如果没其他 tag 引用同一 digest,registry 可能自动 GC,也可能不——这取决于它的垃圾回收策略,
skopeo不控制也不报告
跨 registry 类型复制时的压缩与架构陷阱
从 Docker Hub 拉一个 amd64 镜像,推到本地 oci: 目录,再推到 Quay,结果运行时报 “exec format Error”——大概率是 skopeo copy 在中间环节丢掉了平台信息或用了不兼容的 manifest 格式。
- 默认行为:
skopeo copy尽量保持源 manifest 类型(v2 schema1/v2 schema2),但某些目标(如dir:)只存 schema2,可能隐式转换,丢失历史 layer 兼容性 - 指定
--format=v2s2强制用 schema2;若需多架构,必须用--all(否则只复制当前主机匹配的 platform) - 从
docker-daemon:复制时特别危险:Docker daemon 可能已缓存旧 manifest,skopeo拿到的是本地视图,不是 registry 上的最新版——建议一律用docker://前缀直连 registry
真正麻烦的不是命令怎么写,是每个 registry 对 manifest 解析、认证传递、DELETE 支持、platform 标识的实现差异。别信文档,用 --debug 看请求,用 --insecure-policy 测通路,再决定要不要切方案。