Prisma Cloud Computar: Error al crear pods "twistlock-defender-ds-" está prohibido: no se puede validar contra ninguna seguridad policyde pod. No se permiten contenedores privilegiados
10978
Created On 11/18/19 18:09 PM - Last Modified 12/20/23 17:50 PM
Symptom
Si RBAC está habilitado en el clúster, es posible que obtenga el siguiente error al intentar crear un DaemonSet de Defender.
Creación de errores: pods "twistlock-defender-ds-" está prohibido: no se puede validar contra ninguna seguridad de policy pod.
Environment
- Saas
- Autohospedado 19.11 o posterior
Resolution
Si recibe este error, debe crear un Rol y RoleBinding para que Defender pueda ejecutarse con los privilegios que necesita. Cree un Role y RoleBinding para el espacio de nombres twistlock. Puede utilizar el ejemplo siguiente Role y RoleBinding:
Role
apiVersion: rbac.authorization.k8s.io/v1
tipo: Metadatos de
rol:
nombre: espacio de nombres twistlock-role:
reglas
twistlock: -
apiGroups:
- extensiones
resourceNames:
- recursos
privilegiados: -
podsecuritypolicies
verbos:
- use - use
tipo: Metadatos de
rol:
nombre: espacio de nombres twistlock-role:
reglas
twistlock: -
apiGroups:
- extensiones
resourceNames:
- recursos
privilegiados: -
podsecuritypolicies
verbos:
- use - use
RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
tipo: Metadatos rolebinding:
nombre: espacio de nombres twistlock-rolebinding:
twistlock
roleRef:
apiGroup: rbac.authorization.k8s.io
tipo: Nombre del
rol: sujetos de rol twistlock:
-
kind: ServiceAccount
name: twistlock-service
namespace: twistlock
tipo: Metadatos rolebinding:
nombre: espacio de nombres twistlock-rolebinding:
twistlock
roleRef:
apiGroup: rbac.authorization.k8s.io
tipo: Nombre del
rol: sujetos de rol twistlock:
-
kind: ServiceAccount
name: twistlock-service
namespace: twistlock