Проблема с сертификатом Jfrog Xray - PullRequest
0 голосов
/ 08 мая 2020

Сводка: Xray helm chart нуждается в возможности получить специальный сертификат, используемый для Artifactory, и применить этот сертификат к контейнеру маршрутизатора.

Подробно: мы успешно установили Artifactory через helm. После установки мы настроили TLS для веб-приложения Artifactory с помощью специального сертификата. При попытке развернуть Xray через штурвал контейнер маршрутизатора модуля сервера xray постоянно не может подключиться к Artifactory с сообщением об ошибке

Ошибка: Get https: // [url отредактировано] / access / api / v1 / system / ping: x509: сертификат, подписанный неизвестным органом

Кажется, нет никакого способа передать секрет, который бы содержал настраиваемый сертификат. Похоже, что на данный момент единственный вариант - настроить диаграмму руля для установки сертификата в контейнер, но это выведет нас из строя, если синхронизировать c с Jfrog для получения обновлений базы данных уязвимостей или любых других обновлений рентгеновского запроса от Jfrog .

Изменить - у кого-то такая же проблема . Может ли тогда Xray даже делать то, что мы пытаемся сделать?

Обновление от поддержки Jfrog:

Что касается запроса о добавлении / импорте цепочки сертификатов CA в Xray, у нас уже есть Jira для этого, и наша команда в настоящее время работает над этим. В качестве обходного пути я бы попросил вас смонтировать настраиваемый том с сертификатом ssl. Затем запустите команду, чтобы импортировать сертификат ssl в файл cacerts из контейнера инициализации. Решение: создайте конфигурационную карту Kubernetes и добавьте root и подчиненный ЦС, а затем смонтируйте его на xray-сервере в / usr / local / share / ca-Certificates. Затем я вхожу на сервер и выполняю docker exe c -it -u root на сервере xray (поскольку контейнер работает как пользователь, не root), а затем запускаю команду update-ca -сертификаты для импорта сертификатов ЦС. Как только вы это сделаете, Xray сможет поговорить с Artifactory. Недостатком этого обходного пути будет необходимость выполнять указанные выше шаги каждый раз при перезапуске контейнера.

...