二进制授权-部署失败-被Attestor拒绝。Attestor无法证明GKE中的图像

Question

我试图以POC的身份向我的客户展示二进制授权。在部署过程中，它在以下错误消息中失败：

豆荚"hello-app-6589454ddd-wlkbg“被禁止:图像策略web钩子后端拒绝一个或多个映像:我们被集群接纳规则拒绝--集中式1阶段-集群。被阿泰斯特拒绝了。Image gcr.io//hello-app:e1479a4被projects//attestors/vulnz- Attestor拒绝:Attestor无法验证标记部署的映像

我已经遵守了网站中提到的所有步骤。

我已经反复验证了图像很少发生，例如使用下面的命令，以强制充分作出证明：

gcloud alpha container binauthz attestations sign-and-create   --project "projectxyz"  --artifact-url "gcr.io/projectxyz/hello-app@sha256:82f1887cf5e1ff80ee67f4a820703130b7d533f43fe4b7a2b6b32ec430ddd699"   --attestor "vulnz-attestor"   --attestor-project "projectxyz"   --keyversion "1"   --keyversion-key "vulnz-signer"   --keyversion-location "us-central1"   --keyversion-keyring "binauthz"   --keyversion-project "projectxyz"

它会引发错误，因为：

错误:项目xyz中的(gcloud.alpha.container.binauthz.attestations.sign-and-create)资源是冲突的主题:项目"projectxyz“中已经存在”c5f03cc3-3829-44cc-ae38-2b2b39ba61“。

所以，当我核实的时候，我发现存在着这样的问题：

gcloud beta container binauthz attestations list       --artifact-url "gcr.io/projectxyz/hello-app@sha256:82f1887cf5e1ff80ee67f4a820703130b7d533f43fe4b7a2b6b32ec430ddd699"       --attestor "vulnz-attestor"       --attestor-project "projectxyz"       --format json  | jq '.[0].kind' \
>       | grep 'ATTESTATION'
"ATTESTATION"

以下是屏幕截图：

​

​

​

​

​

​

有什么反馈吗？

提前谢谢。

Answer 1

感谢您尝试二进制授权。我刚刚更新了二进制授权解决方案，您可能会发现这很有帮助。

在这过程中我注意到了一些事情：

..。被projects//attestors/vulnz-attestor拒绝：

在projects和attestors之间应该有一个项目ID，例如：

projects/my-project/attestors/vulnz-attestor

同样，您的gcr.io链接应该包含相同的项目ID，例如：

gcr.io//hello-app:e1479a4

应该是

gcr.io/my-project/hello-app:e1479a4

如果您遵循一个教程，它可能会要求您设置一个像$PROJECT_ID这样的变量，但是您可能意外地取消了它，或者在不同的终端会话中运行了命令。

Answer 2

指出另一个存储库问题解决后，但在此之前，您有问题，可能有许多原因。如果您有同样的问题，请使用错误信息接触支座。