8.20. Conteneurs
Les images de conteneurs signées avec une clé Beta GPG ne peuvent pas être extraites
Actuellement, lorsque vous essayez d'extraire des images de conteneurs RHEL 9 Beta, podman s'arrête avec le message d'erreur : Error: Source image rejected: None of the signatures were accepted. Les images ne peuvent pas être extraites car les versions actuelles sont configurées pour ne pas faire confiance aux clés GPG de RHEL Beta par défaut.
Comme solution de contournement, assurez-vous que la clé GPG Red Hat Beta est stockée sur votre système local et mettez à jour l'étendue de confiance existante avec la commande podman image trust set pour l'espace de noms beta approprié.
Si vous n'avez pas la clé GPG Beta stockée localement, vous pouvez l'obtenir en exécutant la commande suivante :
sudo wget -O /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta https://www.redhat.com/security/data/f21541eb.txt
Pour ajouter la clé GPG Beta en tant que clé de confiance à votre espace de noms, utilisez l'une des commandes suivantes :
sudo podman image trust set -f /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta registry.access.redhat.com/namespaceet
sudo podman image trust set -f /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-beta registry.redhat.io/namespaceRemplacer namespace par ubi9-beta ou rhel9-beta.
Podman ne parvient pas à extraire un conteneur "X509 : certificat signé par une autorité inconnue"
Si vous disposez de votre propre registre interne signé par notre propre certificat d'autorité de certification, vous devez importer le certificat sur votre machine hôte. Sinon, une erreur se produit :
x509: certificate signed by unknown authority
Importez les certificats d'autorité de certification sur votre hôte :
# cd /etc/pki/ca-trust/source/anchors/ [anchors]# curl -O <your_certificate>.crt [anchors]# update-ca-trust
Vous pouvez ensuite extraire des images de conteneurs du registre interne.
L'exécution de systemd dans une ancienne image de conteneur ne fonctionne pas
L'exécution de systemd dans une ancienne image de conteneur, par exemple, centos:7, ne fonctionne pas :
$ podman run --rm -ti centos:7 /usr/lib/systemd/systemd Storing signatures Failed to mount cgroup at /sys/fs/cgroup/systemd: Operation not permitted [!!!!!!] Failed to mount API filesystems, freezing.
Pour contourner ce problème, utilisez les commandes suivantes :
# mkdir /sys/fs/cgroup/systemd # mount none -t cgroup -o none,name=systemd /sys/fs/cgroup/systemd # podman run --runtime /usr/bin/crun --annotation=run.oci.systemd.force_cgroup_v1=/sys/fs/cgroup --rm -ti centos:7 /usr/lib/systemd/systemd
(JIRA:RHELPLAN-96940)
podman system connection add et podman image scp échoue
Podman utilise des hachages SHA-1 pour l'échange de clés RSA. La connexion SSH normale entre les machines utilisant des clés RSA fonctionne, mais les commandes podman system connection add et podman image scp ne fonctionnent pas avec les mêmes clés RSA, car les hachages SHA-1 ne sont pas acceptés pour l'échange de clés sur RHEL 9 :
$ podman system connection add --identity ~/.ssh/id_rsa test_connection $REMOTE_SSH_MACHINE Error: failed to connect: ssh: handshake failed: ssh: unable to authenticate, attempted methods [none publickey], no supported methods remain
Pour contourner ce problème, utilisez les clés ED25519 :
Se connecter à la machine distante :
$ ssh -i ~/.ssh/id_ed25519 $REMOTE_SSH_MACHINE
Enregistrement de la destination ssh pour le service Podman :
$ podman system connection add --identity ~/.ssh/id_ed25519 test_connection $REMOTE_SSH_MACHINE
Vérifiez que la destination ssh a été enregistrée :
$ podman system connection list
Notez qu'avec la publication de l'avis RHBA-2022:5951, le problème a été corrigé.
(JIRA:RHELPLAN-121180)
