Рейтинг:0

Внесение URL-адресов в белый список для исключения в двоичной авторизации

флаг pe

Я тестирую свои политики бинарной авторизации и добавляю запись об исключении, чтобы разрешить нгинкс .

Ниже приведены записи, которые я пробовал, добавляя их в раздел «Изображения, не подпадающие под действие политики».

реестр.hub.docker.com/library/nginx*
реестр.hub.docker.com/library/nginx.latest
docker.io/библиотека/nginx*

но он не работает с ошибкой ниже

 $ kubectl run httpd-server --image=nginx --restart=Never -l app=httpd-server --port 80
 Ошибка сервера (VIOLATES_POLICY): веб-перехватчик допуска «imagepolicywebhook.image-policy.k8s.io» отклонил запрос: Image nginx отклонен правилом допуска по умолчанию для авторизации двоичных файлов. Запрещено правилом допуска always_deny

Если я отключу двоичную авторизацию и установлю пакет nginx, он показывает, что для получения изображения используется следующий репозиторий.

   изображение: docker.io/library/nginx:последнее

Эта запись уже есть в изображениях, не подпадающих под действие политики, но загрузка по-прежнему заблокирована. Совместное использование определения политики в соответствии с запросом.

введите описание изображения здесь

Какие-либо предложения ?

Ismael Clemente Aguirre avatar
флаг ye
Можете ли вы поделиться файлом конфигурации YAML для вашей политики?
флаг pe
Поделился изображением определения политики
Рейтинг:1
флаг ye

Я успешно воспроизвел вашу среду, и все работает так, как должно быть. Я настроил свою политику, как на картинке. окружающая среда воспроизведена

И я смог создать развертывание без каких-либо проблем. Я несколько раз пытался переключаться между вариантами, но в итоге не нашел проблемы.

Убедитесь, что вы используете кластер с бинарная авторизация включена.

Чтобы убедиться, что Двоичная авторизация включена для кластера, сделайте следующее:

1 Откройте страницу GKE в облачной консоли.

2 В разделе Кластеры Kubernetes найдите свой кластер.

3 Убедитесь, что в разделе «Безопасность» для параметра «Двоичная авторизация» установлено значение «Включено».

Кроме того, важно убедиться, что кластер, в котором вы выполняете свои команды, является тем же кластером, в котором вы устанавливаете определенные правила.

Перед созданием развертывания обязательно используйте:

кластеры контейнеров gcloud get-credentials ИМЯ [--internal-ip] [--region=REGION | --zone=ЗОНА, -z ЗОНА] [GCLOUD_WIDE_FLAG ¦]

Чтобы получить учетные данные для кластера, который вам нужно использовать.

флаг pe
Спасибо большое за Ваш ответ . Двоичная авторизация включена в кластере, но конкретное правило кластера было для другого кластера.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.