Earthly项目中使用双--push标志推送镜像到本地ctlptl注册表的故障分析

问题背景

在使用Earthly构建工具与本地ctlptl注册表集成的过程中，开发者发现了一个关于镜像推送的异常行为。当同时使用两个--push标志时（一个在CLI命令中，另一个在目标SAVE IMAGE指令中），系统无法成功将镜像推送到本地ctlptl注册表。

故障现象

具体表现为以下两种情况的对比：

1. 双--push标志场景
   执行命令：
   earthly -i --push +publish-local --IMAGE_NAME=127.0.0.1:5005/cam-test:tilt
   配合Earthfile中的：
   SAVE IMAGE --push $IMAGE_NAME
   会导致推送失败，错误信息显示无法连接到注册表或找不到指定的blob。

2. 单--push标志场景
   无论是仅在CLI命令中使用--push，还是仅在SAVE IMAGE指令中使用--push，都能成功推送镜像到本地注册表。

技术分析

根本原因

经过深入分析，这个问题与Earthly的安全机制有关。本地ctlptl注册表通常使用HTTP协议而非HTTPS，而Earthly在默认情况下会强制执行安全校验。当使用双--push标志时，安全校验机制会被触发两次，导致连接被拒绝。

解决方案

正确的做法是在SAVE IMAGE指令中同时使用--insecure和--push参数：
SAVE IMAGE --insecure --push $IMAGE_NAME

为什么单标志能工作

当只使用一个--push标志时：

• 如果只在CLI命令中使用，Earthly会以相对宽松的安全策略执行推送
• 如果只在SAVE IMAGE中使用，推送操作只被触发一次

而双标志组合意外触发了Earthly的严格安全模式，导致对非安全注册表的访问被拒绝。

最佳实践建议

1. 对于本地开发环境，建议始终在SAVE IMAGE指令中添加--insecure标志
2. 避免在CLI和Earthfile中重复使用--push标志
3. 生产环境推送时，应确保注册表使用HTTPS并配置正确的证书
4. 对于不同的注册表类型（本地/远程），建议采用不同的Earthly配置方案

总结

这个案例展示了Earthly安全机制在实际应用中的一个特殊情况。理解工具的安全策略和行为模式对于构建稳定的CI/CD流程至关重要。开发者在使用Earthly与本地注册表集成时，应当特别注意安全相关的参数配置。