Всем привет!
Начинаем неделю с поста для тех, кто любит делать траблешутинг, собирать грабельки и учиться на ошибках 😌
Есть решение под названием Prisma Cloud Compute Edition (защита хостов и контейнеров), о котором мы неоднократно писали в наших постах. Недавно мы столкнулись со следующей проблемой: система не сканирует образы в RedHat OpenShift Internal Registry (версия OS 4.4/4.5).
Выглядело это примерно так: подключение к реестру выполняется, в логах модулей защиты фигурирует ошибка об использовании недоверенных сертификатов (хотя untrusted registries были разрешены), а в консоли все образы зеленые (хотя бы глазу было приятно).
Пример сообщения об ошибке:
Failed to pull image openshift/apicurito-ui:1.5, error Error initializing source
docker://image-registry.openshift-registry.svc:5000/openshift/apicurito-ui:1.5: error pinging
docker registry image-registry.openshift-registry.svc:5000: Get
https://image-registry.openshift-registry.svc:5000/v2/: x509: certificate signed by unknown
authority
Выявленную проблему удалось решить следующим образом (отдельное спасибо вендору):
1. Сгенерировать в консоли управления (Console) новый YAML-файл для модуля защиты (Defender)
2. Внести следующие правки в конфигурацию вручную:
🍡 Раздел volumeMounts:
Начинаем неделю с поста для тех, кто любит делать траблешутинг, собирать грабельки и учиться на ошибках 😌
Есть решение под названием Prisma Cloud Compute Edition (защита хостов и контейнеров), о котором мы неоднократно писали в наших постах. Недавно мы столкнулись со следующей проблемой: система не сканирует образы в RedHat OpenShift Internal Registry (версия OS 4.4/4.5).
Выглядело это примерно так: подключение к реестру выполняется, в логах модулей защиты фигурирует ошибка об использовании недоверенных сертификатов (хотя untrusted registries были разрешены), а в консоли все образы зеленые (хотя бы глазу было приятно).
Пример сообщения об ошибке:
Failed to pull image openshift/apicurito-ui:1.5, error Error initializing source
docker://image-registry.openshift-registry.svc:5000/openshift/apicurito-ui:1.5: error pinging
docker registry image-registry.openshift-registry.svc:5000: Get
https://image-registry.openshift-registry.svc:5000/v2/: x509: certificate signed by unknown
authority
Выявленную проблему удалось решить следующим образом (отдельное спасибо вендору):
1. Сгенерировать в консоли управления (Console) новый YAML-файл для модуля защиты (Defender)
2. Внести следующие правки в конфигурацию вручную:
🍡 Раздел volumeMounts:
- name: registry-scan🍡 Раздел volumes:
mountPath: /etc/docker/certs.d
- name: registry-scan2
mountPath: /etc/containers/certs.d
- name: registry-scanПосле этого сканирование выполняется успешно и уязвимости в образах отображаются в консоли управления.
hostPath:
path: /etc/docker/certs.d
type: ''
- name: registry-scan2
hostPath:
path: /etc/containers/certs.d
type: ''