Aparece el error "x509: certificado firmado por una autoridad desconocida" al analizar la imagen del Registro en Prisma Cloud

Aparece el error "x509: certificado firmado por una autoridad desconocida" al analizar la imagen del Registro en Prisma Cloud

13627
Created On 04/25/22 09:28 AM - Last Modified 03/02/23 03:59 AM


Symptom


  • Siguiente error visto al escanear una imagen del registro:
Failed to pull image xxxxxxxreg/xxxxxxx:v1.0.0, error Error initializing source docker://registry.xxxxx/xxxxx/xxxxxxx:v1.0.0: error pinging docker registry registry.xxxxx: Get "https://urldefense.com/v3/__https://registry.xxxxx/v2/__;!!Gt_FR42WkD9csi9Y!NYhH91g2nYoQOfa3jNTZVtUdvAwu-vt30mQ2XXiY-cvy0sjkmol_xx8S-U0uKSRnm_zIxg$ ": x509: certificate signed by unknown authority

Environment


  • Prisma Cloud Edición Compute Enterprise
  • Prisma Cloud Computación autohospedada
  • Tiempo de ejecución en contenedor
  • CRI-O
Nota : / etc/containerd/certs.d/ se ha agregado en la versión Kepler a los almacenes de certificados de confianza predeterminados que el Defender puede obtener los certificados para las conexiones de escaneo del Registro. Sin embargo, es necesario montar estas ubicaciones en el pod/contenedor cuando se utiliza container defender.

Cause


  • Proceso no ha detectado Prisma Cloud la ruta de acceso del certificado.
  • Cuando se utiliza Containerd Runtime, la ruta predeterminada para el certificado de registro es /etc/containerd.
  • Prisma Cloud Compute aún no ha podido detectar el certificado de registro en /etc/containerd.
  • Hasta 22.01.xxx Prisma Cloud Compute solo admite /etc/containers/certs.d/$REGISTRY_NAME/ o /etc/docker/certs.d/$REGISTRY_NAME/

Resolution


  • Cree un directorio en el nodo Defender como se muestra a continuación:
/etc/containers/certs.d/$REGISTRY_NAME/ or /etc/docker/certs.d/$REGISTRY_NAME/
  • Nota: desde Kepler (22.06+), se admite una carpeta más:
/etc/containerd/certs.d/$REGISTRY_NAME/
  • Coloque el certificado dentro de la carpeta $REGISTRY_NAME .
  • El nombre del certificado no importa, siempre y cuando el certificado esté presente en la carpeta del Registro.
  • Para el defensor del contenedor, modifique el archivo yaml del conjunto de demonios del contenedor para montar la carpeta. Este es el ejemplo:
    • Comando:
      kubectl edit ds -n twistlock twistlock-defender-ds
    • En "volumeMounts:" añadir:
                 - name: registry-scan
             mountPath: /etc/docker/certs.d
           - name: registry-scan2
             mountPath: /etc/containers/certs.d
           - name: registry-scan3
             mountPath: /etc/containerd/certs.d
    • En "volúmenes:" añádase:
             - name: registry-scan
         hostPath:
           path: /etc/docker/certs.d
           type: ''
       - name: registry-scan2
         hostPath:
           path: /etc/containers/certs.d
           type: ''
       - name: registry-scan3
         hostPath:
           path: /etc/containerd/certs.d
           type: ''

NOTE : A partir de ahora, los pasos anteriores son la única solución aplicable disponible para este problema.

Additional Information


Configuración del análisis del Registro
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oNgjCAE&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language