NeuVector对接Harbor无法启动镜像扫描

于 2024-07-16 22:30:21 发布
阅读量794 收藏 14
点赞数 20
分类专栏: 云原生安全 文章标签: 云原生 容器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012141129/article/details/140477932
版权

NeuVector对接Harbor无法启动镜像扫描

背景

当今IT,云原生势如破竹,我司在公有云上大面积部署了云原生k8s平台。俗话说,有业务的地方,一定有业务安全问题。本着安全与业务同等重要的态度,我司开始展开容器安全的规划,并逐步推进。

为实现全生命周期的容器安全,我司集成了容器安全产品NeuVector,并在流水线阶段使用NeuVector容器安全产品集成了在用的Harbor镜像仓库。所有Harbor中的镜像都要经过NeuVector扫描并修复高危漏洞后才能使用。

问题描述

任何项目,从来没有一帆风顺~
项目启动后,一切顺利,进度按照计划进行,不出问题的话,后面一定会出现各种“疑难杂症“…
在对接Harbor镜像仓库时,还是出现了问题。我们在NeuVector上配置好Harbor后,点击NeuVector上的【Start Scan】,它不搭理我,不搭理我,搭理我,理我,我…
点击扫描,没任何反应

问题分析

“你若无视于我,我便诗意回应,犹如花儿对着春风,悄然绽放。”
虽然它不搭理我,但奈何为了项目顺利进行,我得搭理它并伺候好它。

第一次尝试

点击编辑按钮,然后点击右上角的Test Setting
在这里插入图片描述
在这里插入图片描述
Nice,如上图,有报错。401 unauthorized,就是没权限的意思喽。

第二次尝试

NeuVector上现在用的是机器人账户对接的Harbor,换一个正常用户试试看呢?
在这里插入图片描述
更换用户后(此处用的是ADFS集成的用户,其实用harbor本地创建的常规用户亦可),测试正常。

思考

  1. 刚开始不行,用的是harbor的机器人账户。
  2. 后来可以了,用的是ADFS账户(harbor常规本地账号亦可)。
  3. 肯定跟账户的类型有关系?

Google大法

参考:
https://github.com/goharbor/harbor/issues/13573#issuecomment-742166619
https://github.com/goharbor/harbor/issues/20173#issuecomment-2066312010
在这里插入图片描述
已经有大佬在Github上讨论过这个问题了,【/v2/_catalog】不支持Token令牌的方式。而harbor的机器人账户用的就是令牌的方式,如下图:
在这里插入图片描述
这也就是为什么使用harbor的机器人账户对接不行,而更换成ADFS账户(azure的ldap)或者harbor的本地常规账户就可以了。

解决办法

其实到这里,前面已经有解决办法了。NeuVector对接Harbor的时候,不要使用机器人账户对接,请使用常规账户对接。

我就是天使
关注
  • 20
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Containerd对接Harbor拉取与上传镜像
m0_47116305的博客
06-28 5841
Containerd对接Harbor拉取与上传镜像
记录一次harbor镜像扫描和更新
友人A的博客
08-05 2067
前提:已经部署好harbor(192.168.14.16),项目名称:harbor 1、在harbor服务器拉取centos源镜像 [root@localhost ~]# docker pull centos Using default tag: latest latest: Pulling from library/centos 8ba884070f61: Pull complete D...
Harbor集成Clair镜像安全扫描原理探知
arnolan的博客
10-22 4780
上一篇文章中我们简单了解了Harbor集成Clair的安装方案及内网模式下CVE漏洞数据的手动导入功能。本篇文章,我们再梳理下漏洞扫描的具体原理和实现。 关于clair Clair是CoreOS 2016年发布的一款开源容器漏洞扫描工具。该工具可以交叉检查Docker镜像的操作系统以及上面安装的任何包是否与任何已知不安全的包版本相匹配。漏洞是从特定操作系统的通用漏洞披露(CVE)数据库获取。 通...
Harbor 漏洞镜像扫描部署
R0ot
10-14 1242
docker tag SOURCE_IMAGE[:TAG] 192.168.91.128/tomcat/REPOSITORY[:TAG] #镜像标记。docker push 192.168.91.128/tomcat/REPOSITORY[:TAG] #推送项目。先vim /etc/docker/daemon.json文件黏贴下面文件进去、wq保存。添加漏扫、认证地址为安装scanner的地址、之后点击测试连接、添加即可。打包镜像推送到harbor上,先登陆harbor上面创建项目。harbor下载安装。
Harbor集成Clair镜像安全扫描并手动导入漏洞数据
arnolan的博客
10-21 5776
通过这篇文章,你会了解到: harbor启停方法 clair镜像扫描原理 harbor数据库(MySQL)一览 clair数据库(PostgreSql)一览 harbor手动导入漏洞数据方法 背景 先说明下背景和版本 公司内网使用(无Internet)Harbor:V1.5.0,没有Clair,没有启用https。 需求:开启使用Clair进行镜像安全扫描。 PS:harbor介绍及安装可以...
Harbor 启用镜像扫描功能方法
随笔记录-分享&记忆
10-31 2572
Harbor Github地址,里面也有各种安装说明 A demo environment with the latest Harbor stable build installed. For additional information please refer to this page. 账号信息:admin/Harbor12345 Harbor 启用镜像扫描功能方法:在安装时增加 --w...
Harbor同步迁移镜像
weixin_45112997的博客
11-29 978
Harbor同步迁移镜像
harbor传输镜像_harbor无法上传镜像解决
weixin_35132022的博客
01-14 770
报错:[root@bogon harbor]# docker login 192.168.43.65:5000Username (admin):Password:Login Succeeded[root@bogon harbor]# docker push 192.168.43.65/library/nginx:latestThe push refers to a repository [192....
harbor镜像扫描原理
看驴生豪迈,不过从头再来
05-21 1114
@TOC[] harbor仓库中的镜像扫描这个功能,看似很高大上,其实等你了解了它的底层原理与流程,你就会发现就是做了那么一件事而已,用通俗的一句话概括,就是找到每个镜像文件系统中已经安装的软件包与版本,然后跟官方系统公布的信息比对,官方已经给出了在哪个系统版本上哪个软件版本有哪些漏洞,比如Debian 7系统上,nginx 1.12.1有哪些CVE漏洞,通过对逐个安装的软件包比对,就能知道当前这...
Harbor私有镜像仓库部署包
03-15
解压得到部署harbor私有镜像仓库所需的docker-ce、docker-compose、harbor包...使用docker-compose命令启动harbor镜像仓库的容器 5.本地windows浏览器访问配置 白屏创建项目空间,客户端docker push和docker pull测试。
Harbor-麒麟v10-arm架构镜像
04-17
在国产麒麟系统arm架构服务器上需要部署Harbor的可以试一下
Harbor2.6.0 最新版私有镜像仓库
09-03
Harbor2.6.0 最新版私有镜像仓库
详解基于Harbor搭建Docker私有镜像仓库
09-30
主要介绍了详解基于Harbor搭建Docker私有镜像仓库,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
harbor镜像仓库维护手册
02-11
在使用 Harbor 过程中,可能会遇到一些常见的问题,例如 Harbor 无法访问、镜像无法删除等问题。这些问题可以通过检查 Harbor 的日志、配置文件等来解决。 Harbor 镜像仓库维护手册提供了 Harbor启动、停止、...
云原生网络CNI】容器网络接口CNI的使用和管理
weixin_39372311的博客
07-16 1317
容器网络接口(CNI, Container Network Interface)是一个为容器提供网络连接的标准。它定义了一组规范,描述了容器如何通过插件与不同的网络实现进行交互。CNI的目标是简化容器化应用的网络配置和管理,使其能够在各种网络环境中高效运行。
云原生】Prometheus整合Alertmanager告警规则使用详解
congge
07-14 4167
Prometheus整合Alertmanager配置告警规则使用详解
技术速递|Let’s Learn .NET Aspire – 开始您的云原生之旅!
最新发布
MicrosoftReactor的博客
07-16 957
作者:James Montemagno排版:Alan Wang是我们全球性的直播学习活动。在过去 3 年里,来自世界各地的开发人员与团队成员一起学习最新的 .NET 技术,并参加现场研讨会学习如何使用它!最重要的是,Let’s Learn .NET 活动在全球各地以当地时区和语言举办。我们将开始本系列的下一篇,“Let’s Learn .NET Aspire”,您将在其中了解使用 .NET 构建可观察、生产就绪、分布式应用程序的全新云就绪技术栈。
云原生CI/CD工具GitOps】GitOps工作流程和工具链
weixin_39372311的博客
07-16 1093
GitOps是一种基于Git的持续部署方法,通过将基础设施和应用程序的声明性描述存储在Git仓库中,并使用Git作为单一事实源来管理和部署应用程序和基础设施。GitOps的核心思想是将操作和开发的结合,使得基础设施和应用程序的管理和更新能够通过Git的版本控制系统进行。
nerdctl可以拉取harbor镜像但是kubelet无法拉取镜像
04-30
nerdctl是一个轻量级容器运行时,它可以通过轻松的命令行交互方式管理容器镜像等资源。nerdctl可以拉取Harbor镜像的原因是,Harbor是一个开源的企业级容器镜像仓库,支持镜像管理、存储、分发和安全扫描等功能。用户在Harbor中上传的镜像可以被nerdctl所识别和拉取。 但是,当使用kubelet管理系统中的容器时,却无法拉取镜像。kubelet是Kubernetes中的工作节点(Node)上运行的主要组件之一,它在节点上运行Pod,并管理这些Pod的生命周期。kubelet使用的镜像仓库通常是Docker Hub或私有镜像仓库等。如果kubelet无法拉取镜像,则可能是与镜像仓库认证有关或者kubelet没有权限访问仓库。此外,kubelet也需要确保网络连接的可靠性,如果网络不可用,则kubelet无法拉取镜像。 因此,如果用户在使用kubelet时遇到了无法拉取镜像的问题,可以先检查kubelet的配置和权限是否正确,以及网络连接是否可靠。如果以上情况都已排除,那么还可以尝试使用类似nerdctl的工具来拉取镜像,以验证镜像仓库本身是否存在问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值