Security 二进制授权-部署失败-被鉴证人拒绝。鉴证人无法对GKE中的图像进行鉴证_Security_Kubernetes_Google Kubernetes Engine_Google Cloud Kms

Security 二进制授权-部署失败-被鉴证人拒绝。鉴证人无法对GKE中的图像进行鉴证

security kubernetes

Security 二进制授权-部署失败-被鉴证人拒绝。鉴证人无法对GKE中的图像进行鉴证,security,kubernetes,google-kubernetes-engine,google-cloud-kms,Security,Kubernetes,Google Kubernetes Engine,Google Cloud Kms,我试图以POC的形式向我的客户展示二进制授权。在部署过程中，它将失败，并显示以下错误消息： pods“hello-app-6589454dd-wlkbg”被禁止：映像策略webhook后端拒绝一个或多个映像：由us-central1.staging-cluster的群集允许规则拒绝。被证明人否认。Image gcr.io//hello app:e1479a4被项目拒绝//证明人/vulnz证明人：证明人无法证明由标记部署的映像我已遵守网站中提到的所有步骤我已经多次验证了图像的一些情况，例如使

我试图以POC的形式向我的客户展示二进制授权。在部署过程中，它将失败，并显示以下错误消息：

pods“hello-app-6589454dd-wlkbg”被禁止：映像策略webhook后端拒绝一个或多个映像：由us-central1.staging-cluster的群集允许规则拒绝。被证明人否认。Image gcr.io//hello app:e1479a4被项目拒绝//证明人/vulnz证明人：证明人无法证明由标记部署的映像

我已遵守网站中提到的所有步骤

我已经多次验证了图像的一些情况，例如使用下面的命令强制完全进行认证：

gcloud alpha container binauthz attestations sign-and-create   --project "projectxyz"  --artifact-url "gcr.io/projectxyz/hello-app@sha256:82f1887cf5e1ff80ee67f4a820703130b7d533f43fe4b7a2b6b32ec430ddd699"   --attestor "vulnz-attestor"   --attestor-project "projectxyz"   --keyversion "1"   --keyversion-key "vulnz-signer"   --keyversion-location "us-central1"   --keyversion-keyring "binauthz"   --keyversion-project "projectxyz"

它抛出的错误如下：

错误：（gcloud.alpha.container.binauthz.detections.sign and create）项目[project xyz]中的资源发生冲突：项目“projectxyz”中已存在事件ID“c5f03cc3-3829-44cc-ae38-2b2b3967ba61”

因此，当我核实时，我发现了证明：

gcloud beta container binauthz attestations list       --artifact-url "gcr.io/projectxyz/hello-app@sha256:82f1887cf5e1ff80ee67f4a820703130b7d533f43fe4b7a2b6b32ec430ddd699"       --attestor "vulnz-attestor"       --attestor-project "projectxyz"       --format json  | jq '.[0].kind' \
>       | grep 'ATTESTATION'
"ATTESTATION"

以下是屏幕截图：

有什么反馈吗

提前感谢。

感谢您尝试二进制授权。我刚刚更新了，你可能会觉得有用

一路上我注意到了几件事：

。。。被项目/鉴证人/vulnz鉴证人拒绝：

在

项目

和

见证人

之间应该有一个项目ID，如：

projects/my-project/attestors/vulnz-attestor

同样，您的gcr.io链接应该包含相同的项目ID，例如：

gcr.io//hello app:e1479a4

应该是

gcr.io/my-project/hello-app:e1479a4

如果您遵循教程，它可能会要求您设置一个变量，如

$PROJECT\u ID

，但您可能意外地将其取消设置或在其他终端会话中运行该命令。

感谢您尝试二进制授权。我刚刚更新了，你可能会觉得有用

一路上我注意到了几件事：

。。。被项目/鉴证人/vulnz鉴证人拒绝：

在

项目

和

见证人

之间应该有一个项目ID，如：

projects/my-project/attestors/vulnz-attestor

同样，您的gcr.io链接应该包含相同的项目ID，例如：

gcr.io//hello app:e1479a4

应该是

gcr.io/my-project/hello-app:e1479a4

如果您遵循教程，它可能会要求您设置一个变量，如

$PROJECT\u ID

，但您可能意外地将其取消设置或在不同的终端会话中运行该命令。

在指向解决了另一个存储库问题之后，但在此之前您遇到了问题，原因可能很多。如果您遇到相同的问题，请提供错误消息。

在指向另一个已解决的存储库问题之后，但在此之前您遇到了问题，原因可能很多。如果您遇到同样的问题，请提供错误消息。

非常感谢您的反馈。为了掩盖这个项目，我错误地让这个项目没有注释。这个问题已经解决，因为云构建服务帐户有权限问题，我已经按照您推荐的链接解决了这个问题。顺便说一下，在这个过程中，我遇到了一个奇怪的问题，云构建无法接受更新的文件，所以我删除了触发器并重新创建了它。它没有解决，所以我指向另一个存储库，最后它成功了。你知道将来如何解决这个问题吗？非常感谢你的反馈。为了掩盖这个项目，我错误地让这个项目没有注释。这个问题已经解决，因为云构建服务帐户有权限问题，我已经按照您推荐的链接解决了这个问题。顺便说一下，在这个过程中，我遇到了一个奇怪的问题，云构建无法接受更新的文件，所以我删除了触发器并重新创建了它。它没有解决，所以我指向另一个存储库，最后它成功了。你知道将来如何解决这个问题吗？