Prisma Cloud 计算:禁止创建 pod“twistlock-defender-ds-”时出错:无法针对任何 pod 安全性进行验证policy. 不允许使用特权容器
10986
Created On 11/18/19 18:09 PM - Last Modified 12/20/23 17:50 PM
Symptom
如果RBAC在您的集群中启用,您可能会在尝试创建 Defender DaemonSet 时遇到以下错误。
创建错误:pods“twistlock-defender-ds-”被禁止:无法针对任何 pod 安全性进行验证policy.
Environment
- 软件即服务
- 自托管 19.11 或更高版本
Resolution
如果出现此错误,则必须创建 Role 和 RoleBinding,以便 Defender 可以使用所需的权限运行。 为扭锁命名空间创建角色和角色绑定。 您可以使用以下示例 Role 和 RoleBinding:
角色
api版本:rbac.authorization.k8s.io/v1
种类:角色
元数据:
名称:扭锁角色
命名空间:扭锁
规则:
- apiGroups:
- 扩展
资源名称:
- 特权
资源:
- pod 安全策略
动词:
- 使用
种类:角色
元数据:
名称:扭锁角色
命名空间:扭锁
规则:
- apiGroups:
- 扩展
资源名称:
- 特权
资源:
- pod 安全策略
动词:
- 使用
角色绑定
api版本:rbac.authorization.k8s.io/v1
种类:角色绑定
元数据:
名称:twistlock-rolebinding
命名空间:扭锁
角色参考:
apiGroup: rbac.authorization.k8s.io
种类:角色
名称:扭锁角色
科目:
- 种类:ServiceAccount
名称:扭锁服务
命名空间:扭锁
种类:角色绑定
元数据:
名称:twistlock-rolebinding
命名空间:扭锁
角色参考:
apiGroup: rbac.authorization.k8s.io
种类:角色
名称:扭锁角色
科目:
- 种类:ServiceAccount
名称:扭锁服务
命名空间:扭锁