让 AI 帮你使用轩辕镜像？ · 展开查看说明 · 点击收起说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

轩辕镜像支持拉取私有镜像吗？

本文适用于：

• 需要拉取 GHCR、GCR、Docker Hub 等上游仓库的私有镜像
• 已有 GitHub PAT（如 read:packages）或上游账号凭证，想通过轩辕专属域加速拉取
• 不确定是否应对轩辕专属域执行 docker login 并填入上游 PAT
• 国内 Harbor / Docker 环境无法稳定直连 ghcr.io 等源站

⚠️ 结论（请先读）

轩辕镜像目前仅支持各大镜像仓库的公开镜像拉取，暂不支持私有镜像。无论免费版、专业版还是企业版，均无法通过轩辕专属域拉取需要上游账户鉴权的私有镜像。

✅ 轩辕镜像能做什么

对 Docker Hub、GCR、GHCR、K8s 官方仓库等已公开的镜像，专业版可通过专属域名加速拉取。例如 GHCR 公开镜像：ghcr.io/org/image:tag→***-ghcr.xuanyuan.run/org/image:tag。支持的源站范围见支持的镜像仓库。

私有镜像在上游 Registry 侧需要用户账户凭证（如 GitHub PAT、Docker Hub 令牌等）才能完成鉴权。轩辕镜像不会、也无法将你在客户端填写的上游 PAT 或 Authorization 信息透传给 ghcr.io 等源站——这既涉及账号安全与隐私，也超出当前产品设计范围。

1️⃣ GHCR 私有镜像：常见误解

不少用户会尝试下列无效流程——仅供对照，请勿当作官方用法：

# 对轩辕 GHCR 专属域登录，并填入 GitHub PAT
docker login ***-ghcr.xuanyuan.run -u <GitHub用户名> -p <PAT>

# 期望拉取私有 Package
docker pull ***-ghcr.xuanyuan.run/myorg/private-image:tag

对轩辕专属域的 docker login 仅用于轩辕侧拉取身份校验与流量计费，与向 ghcr.io 提交 GitHub 凭证不是同一回事。即使你持有具备 read:packages 权限的 PAT，也无法通过轩辕代理完成 GHCR 私有镜像拉取。

2️⃣ 为什么不支持私有镜像？

上游鉴权独立：私有镜像的访问权限由 GitHub、Google、Docker 等源站判定，轩辕代理链路不承载用户上游凭证
账号安全：透传 PAT / Token 会扩大凭证暴露面，与平台安全策略不符
产品定位：轩辕镜像提供的是公开镜像的拉取加速，不是替代 Harbor、GHCR 的私有 Registry 服务（参见不支持 push）

3️⃣ 私有镜像可以怎么做？

方案 A：直连上游 Registry（网络可达时）

在能访问 ghcr.io 的环境直接 docker login ghcr.io 并使用 PAT 拉取，再按需 docker save / load 或推送到内网 Harbor。离线迁移步骤见docker save / load 迁镜像。

方案 B：经 Harbor 等私有仓库代理缓存（推荐团队场景）

在 Harbor 中配置 ghcr.io 为 Proxy Cache，由 Harbor 持有上游凭证并缓存镜像；内网节点从 Harbor 拉取，无需每台机器直连 GHCR。若 Harbor 中已有对应公开副本，后续可再通过轩辕加速拉取公开路径。

方案 C：CI 在可出网节点拉取后分发

在 GitHub Actions、云主机等能访问 GHCR 的流水线中完成私有镜像拉取与制品导出，再分发至目标环境部署。

4️⃣ 常见追问

专业版 / 企业版能否拉取 GHCR 私有镜像？

不能。版本差异体现在镜像源范围、专属域名、稳定性与流量等公开镜像拉取体验上，均不包含私有镜像代理能力。对比见版本功能对比。

拉私有镜像报 401 / UNAUTHORIZED，是账号问题吗？

通过轩辕专属域拉取私有镜像时，401 通常表示该路径不支持私有鉴权，而非轩辕账号密码填错。若拉取的是公开镜像仍遇 401，再按401 认证失败排查轩辕侧登录与凭证。

未来会支持私有镜像吗？

当前暂无公开时间表。若产品能力有更新，会在官网公告与文档中单独说明。

💡小结：轩辕镜像加速的是公开镜像拉取；GHCR、GCR、Docker Hub 等私有镜像请在上游或 Harbor 等私有仓库完成鉴权，勿向轩辕专属域填入 GitHub PAT 期望透传。公开 GHCR 镜像的专属域用法见支持的镜像仓库。

你可能还会遇到：

本文由「轩辕镜像」维护
轩辕镜像 | Docker 镜像高效稳定拉取服务
内容基于轩辕镜像真实用户使用与实测整理