Prisma Cloud Compute: Verbindung zur Konsolenadresse nicht möglich

Prisma Cloud Compute: Verbindung zur Konsolenadresse nicht möglich

21875
Created On 11/18/19 17:51 PM - Last Modified 12/20/23 17:03 PM


Symptom


Je nach Setup müssen Sie möglicherweise einen Eintrag für die DNS Verwendung in einer Multi-Cloud-Konfiguration konfigurieren oder eine IP Adresse aus der Dropdownliste auswählen. Beachten Sie, dass bei Auswahl einer Adresse und Änderungen an der IP Konsole die Kommunikation zwischen Defender und Console unterbrochen IP wird. Daher wird empfohlen, stattdessen Namen zu DNS verwenden.

Environment


  • Saas
  • Selbst gehostet 19.11 oder höher

Resolution


Auswählen des Konsolennamens für die Defender-Bereitstellung

Wählen Sie den Namen aus, den Defenders für den Zugriff auf die Konsole verwendet.

Stellen Sie bei der Installation von Defender mit dem von der Konsole generierten Curl-Befehl sicher, dass es einen Hostnamen (oder eine IP Adresse) enthält, den Ihr Host auflösen kann.

Wechseln Sie zur Seite Verwalten > Defenders > Deploy in der Konsole.

Die Dropdown-Liste oben (a. Wählen Sie den Namen aus, den Clients und Defenders für den Zugriff auf diese Konsole verwenden) wählt den Hostnamen aus, der im automatisch generierten Curl-Befehl verwendet wird.

Versuchen Sie, den Hostnamen der Konsole vom Host, auf dem Sie Defender installieren möchten, anzupingen. Wenn sie eine Fehlermeldung erhalten, müssen Sie den Hostnamen der Konsole beheben.
 
Ping cto-dev-console.c.cto-sandbox-internping:
unbekannter Host cto-dev-console.c.cto-sandbox-intern



Zertifikatsfehler unter Verwalten > Defender > Namen, können Sie optional einen alternativen Antragstellernamen hinzufügen, den die Verteidiger zum Herstellen einer Verbindung mit der Konsole verwenden können. Dieser Name wird auch auf Die Registerkarte Daemonset bereitstellen angewendet und muss hinzugefügt werden, wenn das Daemonset einen anderen Namen verwendet / IP zum Herstellen einer Verbindung. Andernfalls kann ein Zertifikatsfehler auftreten.


Defender wird ordnungsgemäß installiert, aber das Konsolendashboard listet es nicht auf.

Wenn Defender ohne Probleme installiert wird, die Konsole diese jedoch nicht in > Defenders verwalten > Verwaltenauflistet, kann Defender keine Verbindung mit der Konsole herstellen. Standardmäßig ist Defender für die Kommunikation mit der Konsole an Port 8084 konfiguriert. Wenn Port 8084 geschlossen ist, kann Defender nicht mit der Konsole kommunizieren.

Stellen Sie sicher, dass Port 8084 auf dem Hostcomputer der Konsole geöffnet ist. Führen Sie auf dem Hostcomputer von Defender den folgenden Befehl aus, um sicherzustellen, dass eine Verbindung hergestellt werden kann:

$udo lsof -i
defender 2196 root 15u IPv4 31535 0t0 TCP
cto-dev-coreos.internal:37562->cto-dev-console.internal:8084 ( ESTABLISHED )
 
Wenn Port 8084 geöffnet ist und Defender immer noch keine Verbindung mit der Konsole herstellen kann, kann das Problem sein, dass Ihr Load Balancer für die Beendigung konfiguriert SSL ist. Sie können dies überprüfen, indem Sie eine Verbindung mit dem Knoten herstellen, auf dem Defender ausgeführt wird, und dann /var/lib/twistlock/logs/defenderüberprüfen.log auf eine Meldung wie:
 
http: TLS Handshake-Fehler vom 10.10.1.1:8084: Remotefehler: tls: schlechtes Zertifikat

Beheben Sie das Problem, indem Sie den Lastenausgleich auf das Übergeben festlegen oder sicherstellen, dass sich das Zertifikat auf allen drei Stufen der Lastenausgleichsverbindung befindet (Console > Load Balancer > Defender).
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNWXCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language