Prisma Cloud Compute : Failed to pull image from Registry for Scanning with Error message 'Error processing tar file(exit status 1): operation not allowed'

Prisma Cloud Compute : Failed to pull image from Registry for Scanning with Error message 'Error processing tar file(exit status 1): operation not allowed'

8501
Created On 01/27/23 05:24 AM - Last Modified 07/29/25 14:57 PM


Symptom


  • Prisma Cloud Compute : Failed to pull image from Registry for Scanning with Error message 'Error processing tar file(exit status 1): operation not allowed'
Bild
  • Defender Logs zeigt auch andere Fehler an, z. B. "Fehler beim Festschreiben des fertigen Bilds: Fehler beim Hinzufügen einer Ebene mit Blob".
ERRO YYYY-MM-DDT Failed to pull image: Error committing the finished image: error adding layer with blob "<SHA-ID of image>": Error processing tar file(exit status 1): operation not permitted


Environment


  • Prisma Cloud Berechnen

Cause


  • Defender wird nicht als privilegiert ausgeführt

Resolution


  1. Aktivieren Sie "Defender als privilegiert ausführen" während der Defender-Bereitstellung.
  2. Stellen Sie den Defender erneut bereit.
Bild
 

Additional Information


  • Sie können auch versuchen, SELinux auf dem Host und die Option "Defenders mit SELinux Policybereitstellen" während der Defender-Bereitstellung zu aktivieren.
  • Aktualisieren Sie in einer OpenShift-Umgebung Ihre SCC (An SCC ist eine OpenShift-Ressource, die einen Pod auf eine Gruppe von Ressourcen beschränkt und der Kubernetes-Sicherheitskontextressource ähnelt), um unsere SCC From-Helm-Diagramme (nicht privilegiert) zu verwenden.
Hinweis : Die Standard-OpenShift-Pods SCC und -Container verwenden die eingeschränkten SCC, hier sind einige SCC Typen zusammen mit einer kurzen Kurzbeschreibung über sie:
  • Eingeschränkt: Eingeschränkt verweigert den Zugriff auf alle Hostfunktionen und erfordert, dass Pods mit einem , und SELinux-Kontext UIDausgeführt werden, die dem Namespace zugewiesen sind. Dies ist die restriktivste SCC und wird standardmäßig für authentifizierte Benutzer verwendet.
  • hostaccess: hostaccess ermöglicht den Zugriff auf alle Host-Namespaces, erfordert jedoch die Ausführung von Pods mit einem und SELinux-Kontext UID , die dem Namespace zugewiesen sind. WARNING: Dies SCC ermöglicht dem Host den Zugriff auf Namespaces, Dateisysteme und PIDS. Es sollte nur von vertrauenswürdigen Pods verwendet werden. Gewähren Sie mit Vorsicht.
  • Privilegiert: privilegiert ermöglicht den Zugriff auf alle privilegierten und Host-Funktionen und die Möglichkeit, als jeder Benutzer, jede Gruppe, jede fsGroup und mit jedem SELinux-Kontext auszuführen. WARNING: Dies ist am entspanntesten SCC und sollte nur für die Clusterverwaltung verwendet werden. Gewähren Sie mit Vorsicht.
Referenz : https://cloud.redhat.com/blog/managing-sccs-in-openshift

Vorschlag : Testen Sie, welche Berechtigungsstufe für Ihre OpenShift-Umgebung am besten geeignet ist, und wenden Sie sich bei Fragen an den RedHat Support.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGbLCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language