Zugangssteuerung OPA für private GKE Cluster
1432
Created On 02/10/22 18:37 PM - Last Modified 01/23/26 18:41 PM
Symptom
Alle Bereitstellungen schlugen fehl, nachdem die Zugangssteuerung von Prisma Console angewendet OPA wurde.
Environment
- Privater GKE Cluster, Alle Versionen
- Prisma Cloud Compute SaaS und selbst gehostete Version über 21.04
Cause
Defender kann den Cluster aufgrund fehlender firewall Regel nicht erreichen.
Resolution
- Überprüfen Sie die Portnummer, die vom Defender im Cluster mit diesem Befehl verwendet wird.
kubectl describe svc defender -n twistlock
- Gehe zum GKE Konto,
VPC Network >> Firewall
- Suchen Sie den richtigen Eintrag mit Ihrem Clusternamen
<<Cluster-name-master>
- Nachdem Sie den richtigen Eintrag aus der Firewall Liste ausgewählt haben, klicken Sie auf diesen Eintrag und klicken Sie auf Bearbeiten
- Nachdem Sie auf Bearbeiten geklickt haben, scrollen Sie nach unten zum Abschnitt Ports und Protokoll und fügen Sie den richtigen Port in der Spalte tcp hinzu Nehmen Sie die Portnummer aus Schritt 1 (z. B. 9998)
- Bitte speichern Sie die Einstellungen.
- Stellen Sie nach dem Speichern der Einstellungen die OPA Zugangssteuerung (Webhook überprüfen) im privaten GKE Cluster bereit.
- Bereitstellen eines privilegierten Pods mit dieser Konfiguration zum Testen
apiVersion: v1 kind: Pod metadata: name: nginx labels: app: nginx spec: containers: - name: nginx image: nginx ports: - containerPort: 80 securityContext: privileged: true
- Bitte loggen Sie sich in die Prisma-Konsole ein und überprüfen Sie
Compute>>Events>>Admission Audit
Sie sollten ein Zulassungsaudit für den spezifischen privaten Cluster erhalten.
Additional Information
In diesem Dokument finden Sie Open Policy Agent -
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/access_control/open_policy_agent.html