Docker-GitHub Actions Runner与本地Registry网络通信问题解决方案

问题背景

在使用myoung34/docker-github-actions-runner项目时，用户尝试在自托管环境中实现以下架构：

• 同一主机上运行GitHub Actions Runner容器和Docker Registry容器
• 两者共享同一个Docker网络（proxy网络）
• 通过GitHub Actions工作流构建镜像并推送到本地Registry

虽然从宿主机直接操作（如docker login/push）一切正常，但在GitHub Actions工作流中，docker/login-action显示登录成功，后续的docker/build-push-action却始终无法完成镜像推送，报错显示连接被拒绝。

技术分析

网络架构特点

1. 容器间通信机制：当Runner容器和Registry容器共享同一自定义网络时，理论上应该能通过容器名称直接通信
2. Docker-in-Docker场景：Runner容器内部执行docker命令时，实际使用的是宿主机的Docker引擎（通过挂载/var/run/docker.sock实现）
3. Buildx的特殊性：docker/build-push-action默认使用Buildx构建工具，其网络栈与常规docker命令存在差异

问题根源

经过深入排查，发现核心问题在于：

• Buildx创建的构建容器未自动加入宿主机的自定义网络
• 当使用localhost作为Registry地址时，Buildx容器内部无法解析到宿主机的Registry服务
• 虽然基础docker命令（如login）可以工作，但Buildx的推送阶段会创建新的临时容器，这些容器无法访问Registry

解决方案比较

尝试过的方案

1. 网络别名方式：通过container_name或network_alias访问Registry容器
2. 域名解析配置：尝试在宿主机上配置域名解析
3. 禁用认证：排除认证环节的干扰
4. Buildx附加解析配置：参考社区方案添加解析配置

最终有效方案

采用最基础的Docker CLI命令替代高级Action：

steps:
  - name: Build Docker Image
    run: docker build -t $IMAGE_NAME .
    
  - name: Tag for Registry
    run: docker tag $IMAGE_NAME $REGISTRY/$IMAGE_NAME
    
  - name: Login to Registry
    run: echo "$PASSWORD" | docker login $REGISTRY -u $USERNAME --password-stdin
    
  - name: Push to Registry
    run: docker push $REGISTRY/$IMAGE_NAME

技术建议

1. 网络规划：对于自托管环境，建议为Registry服务分配独立域名，并通过反向代理暴露服务
2. Buildx限制认知：需要了解Buildx在跨容器通信时的特殊行为
3. 安全考量：即使在内网环境，也应保持Registry的认证机制，可采用更简单的访问控制方式
4. 性能优化：对于频繁构建的场景，可考虑配置Registry缓存代理，减少外网拉取开销

经验总结

在容器化CI/CD环境中，网络通信问题往往源于以下几个方面：

• 容器间网络隔离导致的不可见性
• Docker-in-Docker场景下的网络栈差异
• 构建工具（如Buildx）的隐式容器创建行为

通过本例可以看出，有时回归基础命令反而能获得更好的可控性。对于复杂场景，建议分阶段验证：先确保基础命令可行，再尝试集成到自动化流程中。