Docker Hub führt ab 1. April eine Richtlinie ein, die Downloads für nicht authentifizierte Nutzer auf 10 pro Stunde/IP begrenzt

 (docs.docker.com)
6 Punkte von GN⁺ 2025-02-22 | 7 Kommentare | Auf WhatsApp teilen
  • Ab dem 1. April 2025 können Pro-, Team- und Business-Abonnenten im Rahmen des Fair-Use-Prinzips unbegrenzt pullen
  • Für nicht authentifizierte Nutzer und Docker-Personal-Nutzer gelten strengere Limits
    • Nicht authentifizierte Nutzer: 10 Pulls pro Stunde (pro IPv4-Adresse oder IPv6-/64-Subnetz)
    • Authentifizierte Nutzer mit kostenlosem Konto (Personal): 100 Pulls pro Stunde
  • Fair Use
    • Docker Hub kann übermäßige Datenübertragung, die Rate von Image-Pulls und die gespeicherte Datenmenge begrenzen
    • Wenn zur Aufrechterhaltung der Servicequalität eine übermäßige Nutzung erkannt wird, können Einschränkungen angewendet oder zusätzliche Gebühren erhoben werden

Missbrauchslimits

  • Docker Hub setzt Missbrauchslimits, um Anwendungen und Infrastruktur zu schützen.
  • Diese Limits gelten für alle Hub-Anfragen, einschließlich Webseiten, API und Image-Pulls.
  • Die Limits gelten pro IPv4-Adresse oder IPv6-/64-Subnetz und ändern sich im Laufe der Zeit abhängig von Last und anderen Faktoren, liegen jedoch in einer Größenordnung von Tausenden Anfragen pro Minute.
  • Die Missbrauchslimits gelten für alle Nutzer unabhängig von der Kontoebene in gleicher Weise.
  • Pull-Rate-Limits und Missbrauchslimits lassen sich anhand der Fehlercodes unterscheiden. Das Missbrauchslimit gibt die Antwort 429 Too Many Requests zurück, während das Pull-Limit eine längere Fehlermeldung mit einem Link zur Dokumentation zurückgibt.

Verwandte Beiträge

7 Kommentare

 
wyatt216 2025-02-23

(Änderung)

  • Nicht angemeldet: 10/1h
  • Angemeldet (kostenloses Konto): 100/1h

(Bisher)

  • Nicht angemeldet: 100/6h
  • Angemeldet (kostenloses Konto): 200/6h

Meiner persönlichen Einschätzung nach
scheint es auch darum zu gehen, Nutzer zur Erstellung eines Docker-Kontos zu bewegen,
da ich meine, mich zu erinnern, dass es in einigen Versionen auch welche gab, die während der Docker-Installation eine Anmeldung erzwangen.
 
wyatt216 2025-02-24

Ah, die Docker-Version hier ist Docker Desktop.
 
iolothebard 2025-02-23

Dann werden Docker-Registry-Proxy-&-Cache-Lösungen wohl unverzichtbar.
 
nemorize 2025-02-23

Dass es bisher überhaupt keine Begrenzung gab, ist fast noch erstaunlicher ... aber 10 pro Stunde sind trotzdem viel zu wenig.
Besonders schade ist, dass docker-compose-Setups, die auf mehr als 10 Images verweisen, ohne Authentifizierung praktisch nicht mehr nutzbar sein werden. (Zum Beispiel verweist Supabase auf insgesamt 12 Images.)
 
wyatt216 2025-02-23

Soweit ich mich erinnere, galten bisher

  • nicht eingeloggt: 100/6h
  • eingeloggt (kostenloses Konto): 200/6h

als Beschränkung.
 
nemorize 2025-02-23

Aha? Es gab also ursprünglich auch schon eine Begrenzung, haha.

Weniger schade wäre es wohl gewesen, wenn man statt 10/1h nur etwa auf 60/6h oder 30/3h begrenzt hätte; wie in einem anderen Kommentar erwähnt, scheint der Zweck, zur Kontoerstellung zu bewegen, ziemlich groß zu sein...
 
GN⁺ 2025-02-22
Hacker-News-Kommentare

  • Ich kann die Anspruchshaltung in diesem Thread kaum glauben. Die Leute scheinen zu denken, Bandbreite würde auf Bäumen wachsen.

    • Für den privaten Gebrauch kann die Nutzung von Docker zu Lern- oder Hobbyzwecken, sofern man nicht in einem Apartmentturm lebt, als Marketingkosten betrachtet werden.
    • Wenn man die Registry im Büro kommerziell nutzt, sollte man dafür bezahlen, die Abhängigkeiten am Laufen zu halten.
    • So wie Kraftwerke Strom nicht kostenlos bereitstellen, sollte man auch nicht erwarten, dass ein kommerzielles Unternehmen Container gratis anbietet.

  • Das schichtbasierte Caching-System von OCI-Images ist bei der Bandbreiteneffizienz sehr schlecht.

    • Änderungen an unteren Layern machen obere Layer ungültig.
    • Mit einer Caching-Strategie wie bei nix oder bazel könnte es schneller sein, einen Git-SHA zu senden und das Image auf der anderen Seite zu bauen.

  • Ich hoste OSS-Images und es gab keine Ankündigung zu den Änderungen.

    • Wenn der Zugriff eingeschränkt wird, verschwinden die Vorteile und Anreize für die Projekte, die die Verbreitung von Docker und Docker Hub vorangetrieben haben.
    • Die Nutzer kennen und aus ihnen Wert ziehen zu wollen, ist ihr gutes Recht, wirkt aber nicht wie ein Handeln in gutem Glauben.

  • Es gab Versuche, dem Docker-Client eine Option zum „Überschreiben der Standard-Registry“ hinzuzufügen.

    • Upstream hat das blockiert.
    • Ein Fork nur für diese kleine Funktion ist seit Langem verzögert.

  • Es gibt etwas an Docker, das ich nicht verstehe.

    • Basis-Images haben ihren Nutzen als vertrauenswürdige Quelle.
    • Wenn man ein PaaS nutzt, sollte man Docker-Images hochladen sowie speichern und verteilen können.
    • Ich verstehe nicht, warum ich dafür bezahlen sollte, Docker-Images zu hosten.

  • Nachteilig für Privatnutzer und Open Source.

    • Einige Lösungsvorschläge für Menschen, die auf Docker Hub angewiesen sind:
      • Ein Pull-through-Mirror mit Google Artifact Registry einrichten
      • Eine private Pull-through-Image-Registry für private Images einrichten
      • Sich bei Docker auf die IP-Allowlist setzen lassen
      • Einen transparenten Docker-Hub-Mirror einrichten

  • Die GitHub-Kultur ist durch Dinge wie CI ein wenig verrückt geworden.

    • Wenn ein Projekt die Serverkosten nicht tragen kann, ist es besser, lokale Shell-Skripte und Pre-commit-Hooks zu verwenden.

  • Nicht gut für GitHub Actions.

    • PRs könnten fehlschlagen, und es ist schwierig, Docker-Anmeldedaten im Workflow zu unterstützen.

  • Während der GHA-Einrichtung auf AWS ECR Gallery umgestiegen.

    • Im Blogpost ausführlich beschrieben.

  • Es gibt Lösungen, die man im Netzwerk einrichten kann.

    • Man könnte sie auch öffentlich einrichten und teilen.