Prisma Cloud Calcul : Impossible de se connecter à l’adresse de la console

Prisma Cloud Calcul : Impossible de se connecter à l’adresse de la console

21867
Created On 11/18/19 17:51 PM - Last Modified 12/20/23 17:03 PM


Symptom


Selon votre configuration, vous devrez peut-être configurer DNS une entrée pour une utilisation dans une configuration multi-cloud, ou choisir une adresse à partir de la liste de IP drop-down. Notez que si vous sélectionnez une IP adresse et que l’adresse de la console IP change, la communication entre Defender et Console sera interrompue. Par conséquent, nous vous avons recommandé d’utiliser des DNS noms à la place.

Environment


  • Saas
  • Auto-hébergé 19.11 ou version ultérieure

Resolution


Choisir le nom de la console pour le déploiement Defender

Choisissez le nom que les défenseurs utilisent pour accéder à la console.

Lors de l’installation de Defender à l’aide de la commande de boucle générée par console, assurez-vous qu’elle contient un nom IP d’hôte (ou une adresse) que votre hôte peut résoudre.

Rendez-vous sur la page Manage > Defenders > déployer dans console.

La liste de drop down en haut (a. Choisissez le nom que les clients et les défenseurs utilisent pour accéder à cette console) sélectionne le nom d’hôte qui est utilisé dans la commande de boucle générée automatiquement.

Essayez de pinger le nom d’hôte de la console à partir de l’hôte où vous souhaitez installer Defender. Si vous obtenez une erreur, vous devez corriger le nom d’hôte de la console.
 
$ ping cto-dev-console.c.cto-sandbox-ping
interne: hôte inconnu cto-dev-console.c.cto-sandbox-interne

Erreur de

certificat sous gérer > defender > noms,vous pouvez en option ajouter un nom alternatif de sujet que les défenseurs peuvent utiliser pour se connecter à la console. Ce nom est également appliqué à Deploy Daemonset Tab et doit être ajouté si le Daemonset utilise un nom différent / IP pour se connecter. Le défaut de le faire peut entraîner une erreur de certificat.


Defender s’installe correctement, mais le tableau de bord de la console ne l’énumère pas.

Si Defender installe sans aucun problème, mais console ne l’énumère pas dans Manage > Defenders > Manage , alorsDefender ne peut pas se connecter à console. Par défaut, Defender est configuré pour communiquer avec console sur le port 8084. Si le port 8084 est fermé, Defender ne peut pas communiquer avec console.

Vérifiez que le port 8084 de la machine hôte de la console est ouvert. Sur la machine hôte de Defender, exécutez la commande suivante pour vérifier qu’une connexion peut être établie :

$ sudo lsof -i
defender 2196 root 15u IPv4 31535 0t0 TCP
cto-dev-coreos.internal:37562->cto-dev-console.internal:8084 ( ESTABLISHED )
 
Si le port 8084 est ouvert et que Defender ne peut toujours pas se connecter à console, le problème pourrait être que votre balanceur de charge est configuré pour la SSL résiliation. Vous pouvez vérifier cela en vous connectant au nœud qui exécute Defender, puis en vérifiant /var/lib/twistlock/logs/defender.log pour un message tel que:
 
http: TLS erreur de poignée de main du 10.10.1.1:8084: erreur à distance: tls: mauvais certificat

Résoudre le problème en fixant l' équilibreur de charge à passer, ou en s’assurant que le certificat est sur les trois étapes de la connexion équilibrée de charge (Console > Charge Balancer > Defender).
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNWXCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language