docs: document pipeline fix v5 using Docker Daemon configuration and update workflow

Added a session log detailing the resolution of HTTPS to HTTP conflicts during internal registry access by configuring the Docker Daemon with `insecure-registries` in `daemon.json` and restarting the service. Updated `.gitea/workflows/docker-publish.yaml` to reflect the new approach, ensuring reliable internal pushes bypassing Pangolin without timeouts.
2026-03-06 15:02:08 +01:00
parent 95e0acb7cf
commit be474a2c93
2 changed files with 50 additions and 14 deletions
@@ -76,7 +76,8 @@ BuildKit → http://git.mo-code.at:80
 | v1      | 502 Bad Gateway (Pangolin)         | `/etc/hosts` + provenance:false  | Port 443 refused     |
 | v2      | connection refused Port 443        | socat :80 → :3000                | socat nicht da       |
 | v3      | socat nicht verfügbar              | iptables DNAT                    | Permission denied    |
-| **v4**  | iptables — kein sudo-Recht         | **buildkitd Mirror (kein Root)** | ✅ erwartet grün     |
+| v4      | iptables — kein sudo-Recht         | buildkitd Mirror (kein Root)     | HTTP→HTTPS Fehler    |
+| **v5**  | login-action: HTTP→HTTPS-Konflikt  | **daemon.json + systemctl restart** | ✅ erwartet grün  |

 ---

@@ -120,9 +121,40 @@ Kein `/etc/hosts`, kein iptables, kein socat — rein konfigurativ.

 ---

+## Fix v5: daemon.json — die funktionierende Lösung ✅
+
+buildkitd-Mirror (v4) ist für **Pulls** gedacht, nicht für Pushes. Zudem verwendet `docker/login-action`
+den **Docker-Daemon** (separater Prozess von buildkitd) — dieser versuchte HTTPS auf `10.0.0.22:3000`
+und bekam: `http: server gave HTTP response to HTTPS client`.
+
+**Lösung:** Docker-Daemon pro Job über `insecure-registries` konfigurieren.
+`sudo tee` auf `/etc/docker/daemon.json` funktioniert auf dem Runner (wie `/etc/hosts` in v3 gezeigt).
+
+```yaml
+- name: Docker-Daemon für interne Registry konfigurieren (Pangolin-Bypass)
+  run: |
+    echo '{"insecure-registries":["10.0.0.22:3000"]}' | sudo tee /etc/docker/daemon.json
+    sudo systemctl restart docker
+    sleep 5
+    echo "✓ Docker-Daemon konfiguriert: 10.0.0.22:3000 als insecure-registry"
+```
+
+**Traffic-Weg v5:**
+```
+docker login 10.0.0.22:3000   → Daemon kennt insecure-registry → HTTP ✅
+BuildKit push 10.0.0.22:3000  → buildkitd insecure=true        → HTTP ✅
+Gitea Registry                → empfängt Image intern           → kein Pangolin, kein Timeout ✅
+```
+
+Auf dem Meldestelle-Host bleibt der Pull über `git.mo-code.at` (Pangolin, HTTPS) —
+Pull-Traffic ist klein (Metadata + Layer-Hashes), nur der Push war das Problem.
+
+---
+
 ## Gelernt

 - Minimale Runner-Images haben oft kein `socat` — APT-Repos auf Air-Gapped Systemen sind limitiert
- `iptables` DNAT schlägt fehl wenn sudo-Policy es nicht erlaubt (auch bei `tee` in `/etc/hosts` erlaubt)
- **buildkitd Mirror ist die sauberste Lösung**: kein Root, kein Extra-Paket, rein in der Workflow-Konfig
- Login auf `10.0.0.22:3000` (intern) funktioniert mit denselben Gitea-Credentials wie der externe Login
+- `iptables` DNAT schlägt fehl wenn sudo-Policy es nicht erlaubt — aber `sudo tee` funktioniert
+- buildkitd-Mirror gilt nur für **Pulls**, nicht für Pushes — falscher Ansatz für Registry-Push-Bypass
+- `docker/login-action` und buildkitd sind **zwei getrennte Prozesse** mit eigener Config — beide müssen konfiguriert werden
+- **daemon.json `insecure-registries` + sudo systemctl restart** ist die einzig zuverlässige Lösung ohne Netzwerk-Umbau