Description
Lors du déploiement de Kyverno sur l'environnement Sandbox, plusieurs ressources tentent de pull une image Bitnami sur le registry GHCR, ce qui provoque un ImagePullBackOff (l'image n'existant pas sur ce registry).
Ressources impactées :
Jobs de nettoyage : kyverno-cleanup-admission-reports -> tente de pull ghcr.io/bitnami/kubectl:1.28.5
kyverno-cleanup-cluster-admission-reports -> tente de pull ghcr.io/bitnami/kubectl:1.28.5
Hooks :
sandbox-dso-kyverno-hook-post-upgrade -> tente de pull ghcr.io/bitnami/kubectl:1.28.5
Cause identifiée
L'utilisation de la directive global.image.registry réglée sur ghcr.io (via Vault) écrase le registry par défaut de toutes les images du chart, y compris celles de Bitnami qui ne sont pas hébergées là-bas.
Question
Quelle est la recommandation Cloud Pi Native pour corriger cet override sans casser le pull des images natives Kyverno (qui elles sont bien sur GHCR) ? Faut-il forcer un miroir Harbor ou modifier les sources spécifiquement dans le values.yaml ?
Etapes de reproduction
1. Déployer le chart Helm Kyverno (v3.1.4).
2. Constater que les ressources de nettoyage et de hook tentent de puller ghcr.io/bitnami/kubectl:1.28.5.
3. L'image n'existant pas sur GHCR, le pod reste en ImagePullBackOff.
Captures d'écran
Logs
- Pour le Hook
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal Scheduled 60m default-scheduler Successfully assigned dso-kyverno/sandbox-dso-kyverno-hook-post-upgrade-8gjjq to socle
Warning Failed 59m (x6 over 60m) kubelet Error: ImagePullBackOff
Normal Pulling 59m (x4 over 60m) kubelet Pulling image "ghcr.io/bitnami/kubectl:1.28.5"
Warning Failed 59m (x4 over 60m) kubelet Failed to pull image "ghcr.io/bitnami/kubectl:1.28.5": failed to pull and unpack image "ghcr.io/bitnami/kubectl:1.28.5": failed to resolve image: failed to authorize: failed to fetch anonymous token: unexpected status from GET request to https://ghcr.io/token?scope=repository%3Abitnami%2Fkubectl%3Apull&service=ghcr.io: 403 Forbidden
Warning Failed 59m (x4 over 60m) kubelet Error: ErrImagePull
Normal BackOff 25s (x265 over 60m) kubelet Back-off pulling image "ghcr.io/bitnami/kubectl:1.28.5"
- Pour les Jobs de nettoyage
Events:
Type Reason Age From Message
---- ------ ---- ---- -------
Normal BackOff 2m58s (x440 over 102m) kubelet Back-off pulling image "ghcr.io/bitnami/kubectl:1.28.5"
Navigateurs
No response
OS
No response
Version de la console impactée
No response
Définition du fini
Description
Lors du déploiement de Kyverno sur l'environnement Sandbox, plusieurs ressources tentent de pull une image Bitnami sur le registry GHCR, ce qui provoque un ImagePullBackOff (l'image n'existant pas sur ce registry).
Ressources impactées :
Jobs de nettoyage : kyverno-cleanup-admission-reports -> tente de pull ghcr.io/bitnami/kubectl:1.28.5
kyverno-cleanup-cluster-admission-reports -> tente de pull ghcr.io/bitnami/kubectl:1.28.5
Hooks :
sandbox-dso-kyverno-hook-post-upgrade -> tente de pull ghcr.io/bitnami/kubectl:1.28.5
Cause identifiée
L'utilisation de la directive global.image.registry réglée sur ghcr.io (via Vault) écrase le registry par défaut de toutes les images du chart, y compris celles de Bitnami qui ne sont pas hébergées là-bas.
Question
Quelle est la recommandation Cloud Pi Native pour corriger cet override sans casser le pull des images natives Kyverno (qui elles sont bien sur GHCR) ? Faut-il forcer un miroir Harbor ou modifier les sources spécifiquement dans le values.yaml ?
Etapes de reproduction
1. Déployer le chart Helm Kyverno (v3.1.4). 2. Constater que les ressources de nettoyage et de hook tentent de puller ghcr.io/bitnami/kubectl:1.28.5. 3. L'image n'existant pas sur GHCR, le pod reste en ImagePullBackOff.Captures d'écran
Logs
Events: Type Reason Age From Message ---- ------ ---- ---- ------- Normal BackOff 2m58s (x440 over 102m) kubelet Back-off pulling image "ghcr.io/bitnami/kubectl:1.28.5"Navigateurs
No response
OS
No response
Version de la console impactée
No response
Définition du fini