GitHub Actions上传镜像到私有仓库的核心是登录→构建→推送,关键在于通过Secrets安全配置REGISTRY_USERNAME、REGISTRY_PASSWORD和REGISTRY_URL,并使用docker/login-action与build-push-action完成认证与推送,需确保网络可达、权限正确及镜像命名含完整registry前缀。
GitHub Actions 上传镜像到私有镜像仓库,核心是:登录私有仓库 → 构建镜像 → 推送镜像。关键在于正确配置认证、避免暴露凭据、适配私有仓库地址和端口。
不能把账号密码硬编码在 workflow 文件里。推荐用 GitHub Secrets 存储敏感信息:
harbor.example.com 或带端口的 registry.internal:5000)docker login 会失败。以推送镜像到 harbor.example.com/myproject/app 为例,典型步骤如下:
docker/login-action 登录私有仓库(支持 username/password 或 token)docker/build-push-action 构建并直接推送,指定 push: true 和 tags
${{ secrets.REGISTRY_URL }}/myproject/app:${{ github.sha }}
示例片段:
steps: - name: Login to private registry uses: docker/login-action@v3 with: registry: ${{ secrets.REGISTRY_URL }} username: ${{ secrets.REGISTRY_USERNAME }} password: ${{ secrets.REGISTRY_PASSWORD }}<ul><li>name: Build and pushuses: docker/build-push-action@v5with:context: .push: truetags: |${{ secrets.REGISTRY_URL }}/myproject/app:${{ github.sha }}${{ secrets.REGISTRY_URL }}/myproject/app:latestcache-from: type=ghacache-to: type=gha,mode=max
遇到推送失败时,优先检查以下几点:
REGISTRY_USERNAME 在目标项目(如 Harbor 的 project)中有 push 权限docker 组中如果需要按分支/标签推送到不同 namespace,可用变量动态生成 tag:
${{ github.head_ref || github.ref_name }} 区分 dev/staging/prod 分支v1.2.3)额外打 semantic version 标签if 条件控制是否推送 latest,避免覆盖不稳定版本