Nexus Docker Registry - 匿名拉取失败

这个功能是在Nexus 3.6中添加的。根据文档：

1. 在“安全性”>“领域”下，启用“Docker Bearer Token Realm”
2. 在存储库配置中取消选中“强制基本身份验证”

Nexus给我带来了很多麻烦，直到我找到一个相当晦涩的sonatype post，指出不要更改匿名领域。
所以我遵循以下步骤使其正常工作：（在Nexus 3.19.1至3.38.1中测试通过）

0. 与@andrewdotn的回答相同（在“安全性>领域”部分启用Docker Bearer Token领域）

1. 为本地授权领域启用匿名访问（如上述链接所述）

2. 创建docker（代理）存储库（在此示例中代理hub.docker.com）

3.1. 启用HTTP/HTTPS端点（根据您是否使用SSL到nexus或使用反向代理而定）

3.2. 启用"允许匿名Docker拉取（需要Docker Bearer Token Realm）"

3.3. 将"https://registry-1.docker.io"输入为"远程存储库的位置"（适用于docker-hub）

3.4. 设置"Docker Index"以使用Docker Hub Index（也称为"使用Docker Hub"）

3.5. 保存

0. 确保您的匿名用户有权读取新存储库（默认anon-role将允许读取更多内容，但应已允许anon pull）

4.1.（可选的）如果您希望尽可能限制匿名用户（即：仅允许docker pull），则创建一个角色"nx-docker_read"（或类似角色），并将其赋予"nx-repository-view-docker--read" *。（这将允许组中的任何用户从允许anon pull的任何docker存储库中拉取图像，但不能在Web UI上看到任何内容）

4.2.（如果您完成了4.1）现在只需更改anon用户的组为您的新角色（在我的示例中为"nx-docker_read"），并将其从"nx-anonymous"中删除 => anon用户无法再在Web UI上浏览nexus，但仍然可以拉取图像。

Docker Registry API需要进行身份验证才能访问仓库，即使是拉取操作，Nexus 3也是如此。Dockerhub始终需要访问令牌，即使是用于拉取操作。但是，你可以匿名从dockerhub中拉取的原因是它使用了一个令牌服务器，该服务器会自动向匿名用户提供访问令牌。目前在Nexus 3.0.1中，这种机制不可用。也许它将被实现(https://issues.sonatype.org/browse/NEXUS-10813)。因此，在Nexus 3中，当前需登录后方可拉取镜像(如果你的权限设置为这种方式，则允许使用匿名用户)。