クライアントにバイナリ認証をPOCとして紹介しようとしていました。展開中に、次のエラー メッセージで失敗します。
ポッド "hello-app-6589454ddd-wlkbg" は禁止されています: イメージ ポリシー webhook バックエンドが 1 つ以上のイメージを拒否しました: us-central1.staging-cluster のクラスター アドミッション ルールによって拒否されました。アテスターによって拒否されました。イメージ gcr.io//hello-app:e1479a4 はプロジェクトによって拒否されました//attestors/vulnz-attestor: アテスターは、タグによってデプロイされたイメージを証明できません
サイトに記載されているすべての手順を順守しました。
たとえば、以下のコマンドを使用して完全に認証を強制するなど、画像を繰り返し検証しました。
gcloud alpha container binauthz attestations sign-and-create --project "projectxyz" --artifact-url "gcr.io/projectxyz/hello-app@sha256:82f1887cf5e1ff80ee67f4a820703130b7d533f43fe4b7a2b6b32ec430ddd699" --attestor "vulnz-attestor" --attestor-project "projectxyz" --keyversion "1" --keyversion-key "vulnz-signer" --keyversion-location "us-central1" --keyversion-keyring "binauthz" --keyversion-project "projectxyz"
次のようにエラーをスローします。
エラー: (gcloud.alpha.container.binauthz.attestations.sign-and-create) プロジェクト [プロジェクト xyz] のリソースは競合の対象です: オカレンス ID "c5f03cc3-3829-44cc-ae38-2b2b3967ba61" はプロジェクトに既に存在します「projectxyz」
だから私が確認したとき、私は証明が存在することを発見しました:
gcloud beta container binauthz attestations list --artifact-url "gcr.io/projectxyz/hello-app@sha256:82f1887cf5e1ff80ee67f4a820703130b7d533f43fe4b7a2b6b32ec430ddd699" --attestor "vulnz-attestor" --attestor-project "projectxyz" --format json | jq '.[0].kind' \
> | grep 'ATTESTATION'
"ATTESTATION"
スクリーンショットは次のとおりです。
フィードバックをお願いします。
前もって感謝します。