Prisma Cloud Calcul : Impossible d'extraire l'image du registre pour l'analyse avec le message d'erreur 'Erreur lors du traitement du fichier tar (exit status 1): opération non autorisée'

Prisma Cloud Calcul : Impossible d'extraire l'image du registre pour l'analyse avec le message d'erreur 'Erreur lors du traitement du fichier tar (exit status 1): opération non autorisée'

8435
Created On 01/27/23 05:24 AM - Last Modified 07/29/25 14:57 PM


Symptom


  • Prisma Cloud Calcul : Impossible d'extraire l'image du registre pour l'analyse avec le message d'erreur 'Erreur lors du traitement du fichier tar (exit status 1): opération non autorisée'
image
  • Les journaux de Defender afficheront également d'autres erreurs telles que « Erreur lors de la validation de l'image terminée : erreur lors de l'ajout d'un calque avec un objet blob ».
ERRO YYYY-MM-DDT Failed to pull image: Error committing the finished image: error adding layer with blob "<SHA-ID of image>": Error processing tar file(exit status 1): operation not permitted


Environment


  • Prisma Cloud Calculer

Cause


  • Defender ne fonctionne pas en tant que privilégié

Resolution


  1. Activez « Exécuter les défenseurs en tant que privilégié » pendant le déploiement du défenseur.
  2. Redéployez le défenseur.
image
 

Additional Information


  • Vous pouvez également essayer d'activer SELinux sur l'hôte et l'option « Déployer les défenseurs avec SELinux Policy» pendant le déploiement de Defender.
  • Dans un environnement OpenShift, mettez à jour votre SCC (An SCC est une ressource OpenShift qui restreint un espace à un groupe de ressources et est similaire à la ressource de contexte de sécurité Kubernetes) pour utiliser nos SCC graphiques de barre à partir (non privilégié).
Remarque : Les pods et conteneurs OpenShift SCC par défaut utiliseront le Restricted SCC, voici quelques SCC types ainsi qu’un bref résumé à leur sujet :
  • Restreint : restreint refuse l’accès à toutes les fonctionnalités de l’hôte et exige que les pods soient exécutés avec un UIDcontexte , et SELinux alloués à l’espace de noms. C’est le plus restrictif SCC et il est utilisé par défaut pour les utilisateurs authentifiés
  • hostaccess : hostaccess permet d’accéder à tous les espaces de noms d’hôte, mais nécessite toujours que les pods soient exécutés avec un contexte SELinux et SELinux UID alloués à l’espace de noms. WARNING: permet à l’hôte SCC d’accéder aux espaces de noms, aux systèmes de fichiers et PIDSà . Il ne doit être utilisé que par des pods de confiance. Accorder avec prudence.
  • Privileged : privileged permet d’accéder à toutes les fonctionnalités privilégiées et hôtes et de s’exécuter comme n’importe quel utilisateur, n’importe quel groupe, n’importe quel fsGroup, et avec n’importe quel contexte SELinux. WARNING: c’est le plus détendu SCC et ne doit être utilisé que pour l’administration du cluster. Accorder avec prudence.
Référence : https://cloud.redhat.com/blog/managing-sccs-in-openshift

Suggestion : Testez le niveau d’autorisation qui convient le mieux à votre environnement OpenShift et contactez le support RedHat pour toute question à ce sujet.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGbLCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language