Prisma Cloud Berechnen: Fehler beim Erstellen von Pods "twistlock-defender-ds-" ist verboten: Validierung gegen Pod-Sicherheit policynicht möglich. Privilegierte Container sind nicht zulässig
10978
Created On 11/18/19 18:09 PM - Last Modified 12/20/23 17:50 PM
Symptom
Wenn RBAC in Ihrem Cluster aktiviert ist, wird möglicherweise der folgende Fehler angezeigt, wenn Sie versuchen, ein Defender DaemonSet zu erstellen.
Fehler beim Erstellen: Pods "twistlock-defender-ds-" ist verboten: nicht in der Lage, gegen jede Pod-Sicherheit zu policy validieren.
Environment
- Saas
- Selbst gehostet 19.11 oder höher
Resolution
Wenn dieser Fehler auftritt, müssen Sie eine Rolle und RoleBinding erstellen, damit Defender mit den erforderlichen Berechtigungen ausgeführt werden kann. Erstellen Sie eine Rolle und RoleBinding für den Twistlock-Namespace. Sie können das folgende Beispiel Role und RoleBinding verwenden:
Rolle
apiVersion: rbac.authorization.k8s.io/v1
Art:
Rollenmetadaten:
Name: twistlock-role
namespace: twistlock
rules:
- apiGroups:
- extensions
resourceNames:
- privileged
resources: -
podsecuritypolicies
verbs:
- use
Art:
Rollenmetadaten:
Name: twistlock-role
namespace: twistlock
rules:
- apiGroups:
- extensions
resourceNames:
- privileged
resources: -
podsecuritypolicies
verbs:
- use
RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
Art: RoleBinding
metadaten:
name: twistlock-rolebinding
namespace: twistlock
roleRef:
apiGroup: rbac.authorization.k8s.io
art: Role
name: twistlock-role
subjects:
- kind: ServiceAccount
name: twistlock-service
namespace: twistlock
Art: RoleBinding
metadaten:
name: twistlock-rolebinding
namespace: twistlock
roleRef:
apiGroup: rbac.authorization.k8s.io
art: Role
name: twistlock-role
subjects:
- kind: ServiceAccount
name: twistlock-service
namespace: twistlock