Bug 52127 - Локальный регистратор: нет доступа к локальному контейнеру Nginx
Summary: Локальный регистратор: нет доступа к локальному контейнеру Nginx
Status: NEW
Alias: None
Product: Branch p10
Classification: Unclassified
Component: podsec (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: kaf@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-11-20 21:12 MSK by Evgeny Shesteperov
Modified: 2024-11-20 21:12 MSK (History)
0 users

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Evgeny Shesteperov 2024-11-20 21:12:45 MSK 
Версия

-   podsec-1.0.10-alt7

Шаги воспроизведения

Настройка проводилась согласно сценарию с локальным регистром по Вики:
https://www.altlinux.org/Rootless_kubernetes

    [imagemaker]$ podman pull --tls-verify docker.io/library/nginx:1.14.2

    [imagemaker]$ podman tag docker.io/library/nginx:1.14.2 registry.local/nginx

    [imagemaker]$ podman push --tls-verify=false --sign-by=imagemaker@test.ru registry.local/nginx
    # cat > deploy.yaml << 'EOF'
    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: nginx-deployment
    spec:
      selector:
        matchLabels:
          app: nginx
      replicas: 2
      template:
        metadata:
          labels:
            app: nginx
        spec:
          containers:
          - name: nginx
            image: registry.local/nginx
            ports:
            - containerPort: 80
    ---
    apiVersion: v1
    kind: Service
    metadata:
      name: nginx
      labels:
        app: nginx
    spec:
      type: NodePort
      ports:
      - port: 80
        targetPort: 80
      selector:
        app: nginx
    EOF

    [master]# export PATH="/usr/libexec/podsec/u7s/bin/:${PATH}" && kubectl apply -f deploy.yaml

    [master]# kubectl get service nginx -o jsonpath='{.spec.ports[0].nodePort}'

    [worker]# echo -e "admin\nadmin" | passwd u7s-admin

    [worker]# ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -o IdentitiesOnly=yes u7s-admin@localhost

    [u7s-admin]$ curl $(hostname -i):<<nginx_port>>

Ожидаемый результат: Получен доступ к контейнеру.

Фактический результат: Тест с помощью curl не проходит.

В P11 не воспроизводится.