Prisma Cloud Compute 注册表扫描错误 - x509:Openshift 4.x 上的未知机构签署的证书
4037
Created On 06/17/21 22:26 PM - Last Modified 12/27/24 06:52 AM
Symptom
- 什么是注册表?
Prisma Cloud 可以扫描公共和私有注册表上的公共和私有存储库中的容器镜像。
注册表是用于存储和分发容器镜像的系统。最著名的公共注册表是 Docker Hub,尽管也有来自亚马逊、谷歌和其他公司的注册表。组织还可以设置自己的内部私有注册表。Prisma Cloud 可以扫描所有这些类型的注册表上的容器镜像。
有关注册表的更多信息请参见这里。
- 配置注册表的位置:控制台(UI)防御者>漏洞>图像>注册表设置>添加注册表并填写信息。
3.为什么要对注册表进行扫描:
识别和预防整个应用程序生命周期中的漏洞,同时确定云原生环境的风险优先级。将漏洞管理集成到任何 CI 流程中,同时持续监视、识别和预防环境中所有主机、映像和功能的风险。Prisma Cloud 将漏洞检测与始终保持最新的威胁源和有关运行时部署的知识相结合,以专门针对您的环境确定风险优先级。
有关注册表扫描的更多信息,请点击此处。
注册表扫描失败并显示以下错误消息:
警报消息: :
Environment
- PANW v. 21.04.412
部署 - 本地 - 环境:
Compute 的版本号(如果是SaaS,请提供控制台路径):21.04.421 - 环境:Openshift v 4.6
Docker 版本:操作系统使用 CRIO 而不是 Docker。
主机操作系统版本:CoreOS Red Hat Enterprise Linux CoreOS 47.83.202104161442-0(Ootpa)操作系统版本 4.7
编排器版本:CRIO
Cause
- To debug further check the defender logs here:
2. Defender.log location: :
OUTPUT from the defender.log file:Failed to pull image testimage:latest, error Error initializing source docker://registry.example.com:9305/testimage:latest: error pinging docker registry registry.example.com:9305: Get "https://registry.example.com:9305/v2/": x509: certificate signed by unknown
3. Reason why it failed on CRIO(Container Run) (Openshift 4.x):
What is CRIO?
中国国际广播电台-O is an implementation of the Kubernetes 中国国际广播电台 (Container Runtime Interface) to enable using OCI (Open Container Initiative) compatible runtimes. It is a lightweight alternative to using Docker as the runtime for kubernetes. ... It is a lightweight alternative to using Docker, Moby or rkt as the runtime for Kubernetes.
For more information 这里.
原因 1 和 2 都应适用于部署防御者的 HOST。
原因1:
当 HOST 找不到目录名/etc/conainters/certs.d/ 下的以下 3 个文件时,会发生错误/
- 私钥
- 主机证书
- CA链
Resolution
解决方案 1
- 在 OS 4.x 主机上创建目录“/etc/containers/certs.d”
- 使用以下方式创建新的子目录例如“ 1182419.registry.com :9305”
- 从 /etc/containers/certs.d 目录复制并粘贴 3 个文件:
- 私钥
- 主机证书
- CA链
- 到新子目录“ 1182419.registry.com :9305”
然后从 UI 再次启动“注册表扫描”,即可解决问题。
解决方案 2
保存并退出上述文件并运行以下命令: