Aparece el error "x509: certificado firmado por una autoridad desconocida" al analizar la imagen del Registro en Prisma Cloud
13627
Created On 04/25/22 09:28 AM - Last Modified 03/02/23 03:59 AM
Symptom
- Siguiente error visto al escanear una imagen del registro:
Failed to pull image xxxxxxxreg/xxxxxxx:v1.0.0, error Error initializing source docker://registry.xxxxx/xxxxx/xxxxxxx:v1.0.0: error pinging docker registry registry.xxxxx: Get "https://urldefense.com/v3/__https://registry.xxxxx/v2/__;!!Gt_FR42WkD9csi9Y!NYhH91g2nYoQOfa3jNTZVtUdvAwu-vt30mQ2XXiY-cvy0sjkmol_xx8S-U0uKSRnm_zIxg$ ": x509: certificate signed by unknown authority
Environment
- Prisma Cloud Edición Compute Enterprise
- Prisma Cloud Computación autohospedada
- Tiempo de ejecución en contenedor
- CRI-O
Cause
- Proceso no ha detectado Prisma Cloud la ruta de acceso del certificado.
- Cuando se utiliza Containerd Runtime, la ruta predeterminada para el certificado de registro es /etc/containerd.
- Prisma Cloud Compute aún no ha podido detectar el certificado de registro en /etc/containerd.
- Hasta 22.01.xxx Prisma Cloud Compute solo admite /etc/containers/certs.d/$REGISTRY_NAME/ o /etc/docker/certs.d/$REGISTRY_NAME/
Resolution
- Cree un directorio en el nodo Defender como se muestra a continuación:
/etc/containers/certs.d/$REGISTRY_NAME/ or /etc/docker/certs.d/$REGISTRY_NAME/
- Nota: desde Kepler (22.06+), se admite una carpeta más:
/etc/containerd/certs.d/$REGISTRY_NAME/
- Coloque el certificado dentro de la carpeta $REGISTRY_NAME .
- El nombre del certificado no importa, siempre y cuando el certificado esté presente en la carpeta del Registro.
- Para el defensor del contenedor, modifique el archivo yaml del conjunto de demonios del contenedor para montar la carpeta. Este es el ejemplo:
- Comando:
kubectl edit ds -n twistlock twistlock-defender-ds
- En "volumeMounts:" añadir:
- name: registry-scan mountPath: /etc/docker/certs.d - name: registry-scan2 mountPath: /etc/containers/certs.d - name: registry-scan3 mountPath: /etc/containerd/certs.d
- En "volúmenes:" añádase:
- name: registry-scan hostPath: path: /etc/docker/certs.d type: '' - name: registry-scan2 hostPath: path: /etc/containers/certs.d type: '' - name: registry-scan3 hostPath: path: /etc/containerd/certs.d type: ''
- Comando:
NOTE : A partir de ahora, los pasos anteriores son la única solución aplicable disponible para este problema.
Additional Information
Configuración del análisis del Registro