使用 Amazon ECR 时通过 Docker 命令纠正错误

如果运行 docker pull 命令的本地磁盘已满，那么对本地文件计算的 SHA-1 哈希值可能与 Amazon ECR 计算的 SHA-1 哈希值不同。确保本地磁盘有足够的剩余空间可存储所提取的 Docker 镜像。为腾出空间存储新镜像，可以删除旧镜像。使用 docker images 命令可查看所有已下载到本地的 Docker 镜像的列表及这些镜像的大小。

调用 Amazon ECR 存储库需要 Internet 连接正常。验证网络设置，然后验证其他工具和应用程序是否可以访问 Internet 上的资源。如果在私有子网中对 Amazon EC2 实例运行 docker pull，请验证该子网是否具有连接至 Internet 的路由。可使用网络地址转换 (NAT) 服务器或托管的 NAT 网关。

目前，对 Amazon ECR 存储库的调用还要求通过您的公司防火墙访问 Amazon Simple Storage Service (Amazon S3)。如果贵企业或组织使用的是允许服务终端节点的防火墙软件或 NAT 设备，请确保当前区域的 Amazon S3 服务终端节点在允许范围内。

如果您通过 HTTP 代理使用 Docker，可以对 Docker 进行相应的代理设置。有关更多信息，请参阅 Docker 文档中的 HTTP 代理。

在使用低于 1.10 的 Docker 版本时，有少数情况会出现此错误。请将您的 Docker 客户端升级至 1.10 或更高版本。

如前文对 Filesystem verification failed 消息的讨论中所述，磁盘已满或网络问题可能会导致一个或多个层无法下载。请遵循上述建议确保您的文件系统未满，并且您在网络中有对 Amazon S3 的访问权限。

身份验证请求与特定的区域相关联，不能跨区域使用。例如，如果您从美国西部 (俄勒冈) 获得授权令牌，不能使用它对您在美国东部 (弗吉尼亚北部) 的存储库进行身份验证。要解决此问题，请确保您已从存储库所在的同一区域检索了身份验证令牌。有关更多信息，请参阅 私有注册表身份验证。

您没有必要的权限来推送到存储库。有关更多信息，请参阅 私有存储库策略。

对于使用 GetAuthorizationToken 操作获取的令牌，默认授权令牌有效期为 12 小时。

某些版本的适用于 Windows 的 Docker 使用名为 wincred 的凭证管理器，但它无法正确处理由 aws ecr get-login-password 生成的 Docker 登录命令 (有关更多信息，请参阅 https://github.com/docker/docker/issues/22910)。可以运行作为输出的 Docker 登录命令，但如果尝试推送或提取镜像，这些命令会失败。修复这个错误的方法是，对于从 aws ecr get-login-password 输出的 Docker 登录命令，删除其注册表参数中的 https:// 方案。如下所示为不带 HTTPS 方案的 Docker 登录命令示例。

docker login -u AWS -p <password> <aws_account_id>.dkr.ecr.<region>.amazonaws.com