Всем трям! Кто-нибудь работал со связкой werf + harbor +

trivy ? Во время сборки образа выходит ошибка "PROJECTPOLICYVIOLATION: current image with "Pending" status of vulnerability scanning". Потому что сканер не успевает отработать, а werf не делает ретрай. Может у него есть таймуты или ретраи?

скан происходит секунд за 4-5 навскидку. т.е. повторный запуск команды решает вопрос

Использовал такую связку когда изучал werf на прошлой неделе. Проблем не возникало. Может потому что у меня инфраструктура ненагружена

у меня harbor Без нагрузки. проектов в k8s мало, даже каждую минуту никто не тянет образа постоянно. т.е. идея что накинуть ему больше мощности для првоерки?

да и docker-образ около 100-150Мб. Может вляиет...

У меня 2 ядра и 1.5гб памяти. Но диск очень быстрый

Авессалом
куда еще быстрее? 😊

ну примерно в 8 раз быстрее по iops 😂 PM1725b

такая же ерунда будет, если деплоить quay с включенным clair, хотя кажется у quay были рычажки для пропуска сканирования в определённых неймспейсах.

как в итоге решили кейс? просто отключили проверку?

да, в итоге отказался от использования clair, увы. tl;dr ни quay, ни clair не раскатываются иначе, как "монолитом" (это отвратительно).

так вот как будто бы простой ретрай в werf тут бы помог

Мы посмотрим. Скорее всего добавим retry в ближайших версиях.

здесь я так понимаю нужен ретрай или таймаут на pull. Ведь если я верно понял что werf во время сборки и формирования final-образа делает сразу после push команду pull видимо сверяя чексуммы или еще что. Потому что простой docker push без werf работает прекрасно в связке с harbot + trivy

Нет, после выполнения пуша образ обычно не пулится, у вас скорее всего используется --repo и --final-repo. На этой неделе попробуем добраться до этой истории и покрыть сценарий с настроенным сканированием уязвимостей в harbor.

да испольхуется именно логика с final чтобы держать отдельный каталог для образов которые нужны только кубера без кеша

В ближайшем релизе приедет retry для harbor. Не забудьте выставить WERF_REPO_CONTAINER_REGISTRY=harbor / WERF_FINAL_REPO_CONTAINER_REGISTRY=harbor, если адрес вашего registry не попадает под регулярку ^harbor\..*. https://github.com/werf/werf/pull/6123