Prisma Cloud Proceso: No se puede conectar a la dirección de la consola

Prisma Cloud Proceso: No se puede conectar a la dirección de la consola

21867
Created On 11/18/19 17:51 PM - Last Modified 12/20/23 17:03 PM


Symptom


Dependiendo de la configuración, es posible que deba configurar una DNS entrada para su uso en una configuración de varias nubes o elegir una dirección de la lista IP desplegable. Tenga en cuenta que si selecciona una IP dirección y cambia la dirección de la IP consola, se interrumpirá la comunicación entre Defender y consola. Por lo tanto, le recomendamos que DNS usara nombres en su lugar.

Environment


  • Saas
  • Autohospedado 19.11 o posterior

Resolution


Elección del nombre de la consola para la implementación de Defender

Elija el nombre que usan los defensores para acceder a la consola.

Al instalar Defender mediante el comando curl generado por Console, asegúrese de que contiene un nombre de host (o IP dirección) que el host puede resolver.

Vaya a la página Administrar defensores > > implementar en consola.

La lista desplegable en la parte superior (a. Elija el nombre que usan los clientes y defenders para acceder a esta consola) selecciona el nombre de host que se usa en el comando curl generado automáticamente.

Intente hacer ping en el nombre de host de la consola desde el host donde desea instalar Defender. Si recibe un error, debe corregir el nombre de host de console.
 
$ ping cto-dev-console.c.cto-sandbox-internal
ping: host desconocido cto-dev-console.c.cto-sandbox-internal

Error de certificado

En Administrar > Defender > nombres, puede agregar opcionalmente un nombre alternativo de asunto que los defensores pueden usar para conectarse a la consola. Este nombre también se aplica a la pestaña Implementar Daemonset y debe agregarse si Daemonset usa un nombre / IP para conectarse diferente. Si no lo hace, puede producirse un error en el certificado.


Defender se instala correctamente, pero el panel de consola no lo enumera.

Si Defender se instala sin ningún problema, pero Consola no lo muestra en Administrar > Defenders > Administrary, a continuación, Defender no puede conectarse a la consola. De forma predeterminada, Defender está configurado para comunicarse con console en el puerto 8084. Si el puerto 8084 está cerrado, Defender no puede comunicarse con la consola.

Compruebe que el puerto 8084 del equipo host de la consola esté abierto. En el equipo host de Defender, ejecute el siguiente comando para comprobar que se puede establecer una conexión:

$ sudo lsof -i
defender 2196 raíz 15u IPv4 31535 0t0 TCP
cto-dev-coreos.internal:37562->cto-dev-console.internal:8084 ( ESTABLISHED )
 
Si el puerto 8084 está abierto y Defender sigue sin poder conectarse a la consola, el problema podría ser que el equilibrador de carga está configurado para SSL la terminación. Puede comprobarlo conectándose al nodo que ejecuta Defender y, a continuación, comprobando /var/lib/twistlock/logs/defender.log para un mensaje como:
 
http: TLS error de apretón de manos de 10.10.1.1:8084: error remoto: tls: certificado incorrecto

Resuelva el problema estableciendo el equilibrador de carga en pass-through o asegurándose de que el certificado se encuentra en las tres etapas de la conexión equilibrada de carga (Consola > Load Balancer > Defender).
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNWXCA4&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language