Prisma Cloud Calcul : L’erreur lors de la création des pods « twistlock-defender-ds- » est interdite : impossible de valider par rapport à la sécurité policydes pods. Les conteneurs privilégiés ne sont pas autorisés
10978
Created On 11/18/19 18:09 PM - Last Modified 12/20/23 17:50 PM
Symptom
Si RBAC elle est activée dans votre cluster, vous pouvez obtenir l’erreur suivante lorsque vous essayez de créer un Defender DaemonSet.
Création d’erreurs: pods « twistlock-defender-ds- » est interdit: impossible de valider contre toute sécurité pod policy .
Environment
- Saas
- Auto-hébergé 19.11 ou version ultérieure
Resolution
Si vous obtenez cette erreur, alors vous devez créer un rôle et rolebinding afin que Defender puisse exécuter avec les privilèges dont il a besoin. Créez un rôle et un rolebinding pour l’espace de nom twistlock. Vous pouvez utiliser l’exemple suivant Rôle et RoleBinding:
Rôle
apiVersion: rbac.authorization.k8s.io/v1
type:
Métadonnées de rôle:
nom: twistlock-role
namespace: twistlock
rules:
- apiGroups:
- extensions
resourceNames:
- ressources privilégiées: -
podsecuritypolicies
verbes:
- utiliser
type:
Métadonnées de rôle:
nom: twistlock-role
namespace: twistlock
rules:
- apiGroups:
- extensions
resourceNames:
- ressources privilégiées: -
podsecuritypolicies
verbes:
- utiliser
RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
métadonnées:
nom: twistlock-rolebinding
namespace:
twistlock roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Nom du
rôle: twistlock-role
subjects:
- kind: ServiceAccount
name: twistlock-service
namespace: twistlock
kind: RoleBinding
métadonnées:
nom: twistlock-rolebinding
namespace:
twistlock roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Nom du
rôle: twistlock-role
subjects:
- kind: ServiceAccount
name: twistlock-service
namespace: twistlock