NeuVector对接Harbor无法启动镜像扫描
背景
当今IT,云原生势如破竹,我司在公有云上大面积部署了云原生k8s平台。俗话说,有业务的地方,一定有业务安全问题。本着安全与业务同等重要的态度,我司开始展开容器安全的规划,并逐步推进。
为实现全生命周期的容器安全,我司集成了容器安全产品NeuVector,并在流水线阶段使用NeuVector容器安全产品集成了在用的Harbor镜像仓库。所有Harbor中的镜像都要经过NeuVector扫描并修复高危漏洞后才能使用。
问题描述
任何项目,从来没有一帆风顺~
项目启动后,一切顺利,进度按照计划进行,不出问题的话,后面一定会出现各种“疑难杂症“…
在对接Harbor镜像仓库时,还是出现了问题。我们在NeuVector上配置好Harbor后,点击NeuVector上的【Start Scan】,它不搭理我,不搭理我,搭理我,理我,我…
问题分析
“你若无视于我,我便诗意回应,犹如花儿对着春风,悄然绽放。”
虽然它不搭理我,但奈何为了项目顺利进行,我得搭理它并伺候好它。
第一次尝试
点击编辑按钮,然后点击右上角的Test Setting
Nice,如上图,有报错。401 unauthorized,就是没权限的意思喽。
第二次尝试
NeuVector上现在用的是机器人账户对接的Harbor,换一个正常用户试试看呢?
更换用户后(此处用的是ADFS集成的用户,其实用harbor本地创建的常规用户亦可),测试正常。
思考
- 刚开始不行,用的是harbor的机器人账户。
- 后来可以了,用的是ADFS账户(harbor常规本地账号亦可)。
- 肯定跟账户的类型有关系?
Google大法
参考:
https://github.com/goharbor/harbor/issues/13573#issuecomment-742166619
https://github.com/goharbor/harbor/issues/20173#issuecomment-2066312010
已经有大佬在Github上讨论过这个问题了,【/v2/_catalog】不支持Token令牌的方式。而harbor的机器人账户用的就是令牌的方式,如下图:
这也就是为什么使用harbor的机器人账户对接不行,而更换成ADFS账户(azure的ldap)或者harbor的本地常规账户就可以了。
解决办法
其实到这里,前面已经有解决办法了。NeuVector对接Harbor的时候,不要使用机器人账户对接,请使用常规账户对接。
版权归原作者 我就是天使 所有, 如有侵权,请联系我们删除。