Prisma Cloud 计算:断开连接的情报流
7590
Created On 11/11/19 23:37 PM - Last Modified 03/02/23 03:09 AM
Symptom
Twistlock 情报流 (IS ) 是一个实时源,其中包含来自商业提供商、Twistlock Labs 和开源社区的漏洞数据和威胁情报。 Twistlock 通过使用此数据检测漏洞和运行时异常来保护您的容器。
安装 Twistlock 时,控制台会自动配置为连接到 intelligence.twistlock.com 以下载更新。 从控制台到IS是单向的;控制台始终启动到的出站连接IS. 这IS永远不会连接到客户的环境中。
一旦建立连接,IS使用一个HTTPkeep alive 与控制台保持持久通道。 这IS每天更新几次。 每次IS更新后,控制台会通过持久通道收到通知,并立即下载新数据。 但是,在某些情况下,连接到IS流可能会被中间网络设备阻止,例如“透明”代理或路由器出口过滤器。 在这种情况下,以下步骤可以帮助识别问题。
Environment
- 软件即服务
- 自托管版本 21.04 及以上
Cause
请查看文章的分辨率。
Resolution
排除与 Intelligence Stream 的连接故障
以下测试可以帮助隔离问题:
步骤1:
从运行控制台的主机:
$ curl https://intelligence.twistlock.com/api/v1/_ping
这应该返回一个简单的“OK " 消息,如果你成功连接到它。 如果你得到的不是“OK ",有些东西阻碍了流量,您可能需要配置代理服务器才能访问它。 如果你得到一个“OK ",继续第 2 步。
第2步:
从此主机上的容器内尝试相同的测试。 它可以是任何具有 curl 可用的容器。
$ docker run -ti morello/motoools
/ # curl https://intelligence.twistlock.com/api/v1/_ping
OK
此步骤将有助于确定 Docker 网络中是否存在任何需要添加的问题(例如缺少代理)。 如果出站访问需要代理,请参阅后面的扭锁HTTP代理人
第 3 步:
从 Twistlock 控制台中测试连接性。 这是最接近实际正常操作的测试,因为它遵循更新过程本身使用的相同流程:
$ docker exec -ti twistlock_console /bin/sh
/usr/源/app # $ wget -qO- https://intelligence.twistlock.com/api/v1/_ping
OK
“OK " 是来自有效连接的响应。 如果您收到除OK返回,代理无法通过控制台访问或不允许来自它的请求。
您还可以验证设置是否已正确添加到容器中:
$出口| grep PROXY