Skip to content

docker

  • in docker
  • 3 min read

ubuntu无法拉docker镜像问题处理

ubuntu24

几次尝试:

  1. 第一次报错信息如下:

yeshen in ~ λ sudo docker pull budtmo/docker-android:emulator_9.0 Error response from daemon: Get "https://registry-1.docker.io/v2/": read tcp 10.249.51.62:53240->98.85.153.80:443: read: connection reset by peer

参考这个问答 https://stackoverflow.com/a/60224720/8305531

dig registry-1.docker.io +short
sudo vim  /etc/hosts

增加一行配置:3.94.224.37 registry-1.docker.io

  1. 报错信息变了,变成如下

yeshen in ~ λ docker pull budtmo/docker-android:emulator_9.0 Error response from daemon: Head "https://registry-1.docker.io/v2/budtmo/docker-android/manifests/emulator_9.0": Get "https://auth.docker.io/token?account=xxx&scope=repository%3Abudtmo%2Fdocker-android%3Apull&service=registry.docker.io": read tcp 10.249.51.62:40916->98.85.153.80:443: read: connection reset by peer

dig auth.docker.io +short
sudo vim  /etc/hosts

增加一行配置:3.94.224.37 auth.docker.io

  1. ok了
yeshen in ~ λ  docker pull budtmo/docker-android:emulator_9.0
emulator_9.0: Pulling from budtmo/docker-android
32f112e3802c: Pull complete 
fd0320870767: Pull complete 
925dd4312eba: Pull complete 
a631c95f4102: Pull complete 
4f4fb700ef54: Pull complete 
9e03ab21c06c: Pull complete 
cedb1a91467d: Pull complete 
a7e5b4ee501c: Pull complete 
5611da61254c: Pull complete 
96c174eaf3cf: Pull complete 
eda8c3879a49: Pull complete 
a1d0aa39e0aa: Pull complete 
e8b559d6233a: Pull complete 
94e4b2ac8c29: Pull complete 
83d204066bc6: Pull complete 
45e889d79f06: Pull complete 
8becf497a696: Pull complete 
142471240580: Pull complete 
6c36f43ca238: Pull complete 
77e34cc9b342: Pull complete 
6d2d0b59e62a: Pull complete 
486f942bc895: Pull complete 
104f2cab59f8: Pull complete 
19a38a23cdc8: Pull complete 
e9a752c6462b: Pull complete 
6f259ed1c92a: Pull complete 
Digest: sha256:9eab37ade5b13b59494043e7720216358515459fe7e11c9e4d75bc3f1707dc9b
Status: Downloaded newer image for budtmo/docker-android:emulator_9.0
docker.io/budtmo/docker-android:emulator_9.0

原因分析:

  1. DNS 污染/劫持
  2. 当执行 docker pull 时,客户端会向 DNS 服务器查询 registry-1.docker.io 的 IP 地址。
  3. 如果本地 DNS 服务器(或网络中的中间设备)返回了错误的 IP 地址(例如被污染的地址),Docker 客户端会尝试连接到一个无效的服务器。

  4. 目标服务器可能直接拒绝连接或重置(connection reset by peer),导致拉取失败。

  5. 修改 hosts 为何有效?

  6. 修改 hosts 文件是手动将域名 registry-1.docker.io 绑定到正确的 IP 地址,绕过了 DNS 查询步骤。
  7. 这证明原始 DNS 解析结果有问题,而直接指定 IP 后连接成功,进一步确认是 DNS 问题。

解决方案:

1. 永久修复 DNS 问题

  • 更换公共 DNS 服务(推荐): ```bash # 临时测试(Linux/Mac) sudo echo "nameserver 8.8.8.8" >> /etc/resolv.conf

    # 永久生效(根据系统配置网络) # 例如 Ubuntu:修改 /etc/systemd/resolved.conf 或 netplan 配置 `` 推荐 DNS 服务器: -8.8.8.8(Google DNS) -1.1.1.1(Cloudflare DNS) -208.67.222.222`(OpenDNS)

  • 刷新 DNS 缓存: ```bash # Linux sudo systemd-resolve --flush-caches

    # MacOS sudo killall -HUP mDNSResponder

    # Windows ipconfig /flushdns ```

2. 检查 hosts 文件
  • 确保 hosts 中指定的 IP 是 Docker Hub 的最新有效 IP(IP 可能变化): bash # 获取 registry-1.docker.io 的最新 IP nslookup registry-1.docker.io 8.8.8.8 将输出中的正确 IP 写入 /etc/hosts(Linux/Mac)或 C:\Windows\System32\drivers\etc\hosts(Windows): 54.192.130.39 registry-1.docker.io
3. 检查网络环境
  • 关闭 VPN/代理:某些 VPN 或代理可能导致 TLS 连接被重置。
  • 防火墙规则:确保允许出站 443 端口(HTTPS)。
  • 企业网络限制:联系 IT 部门确认是否拦截了 Docker Hub。
4. 配置 Docker 使用 HTTP 代理

如果问题由中间网络设备引起,可通过代理访问: bash # 编辑 Docker 服务配置 sudo mkdir -p /etc/systemd/system/docker.service.d sudo nano /etc/systemd/system/docker.service.d/http-proxy.conf 添加: ini [Service] Environment="HTTP_PROXY=http://proxy-ip:port" Environment="HTTPS_PROXY=http://proxy-ip:port" 重启 Docker: bash sudo systemctl daemon-reload sudo systemctl restart docker

总结

  • 根本原因:DNS 污染/劫持导致 registry-1.docker.io 解析到错误 IP,触发连接重置。
  • 解决优先级
    更换 DNS → 检查 hosts → 关闭代理 → 配置 HTTP 代理
    建议优先使用公共 DNS(如 8.8.8.8),这是最稳定的解决方案。