Control de OPA admisión para clúster privado GKE
1432
Created On 02/10/22 18:37 PM - Last Modified 01/23/26 18:41 PM
Symptom
Todas las implementaciones fallaron después de aplicar OPA el control de admisión desde Prisma Console.
Environment
- Clúster privado GKE , Todas las versiones
- Prisma Cloud Compute SaaS y la versión autohospedada anterior a 21.04
Cause
El defensor no puede llegar al clúster debido a la falta firewall de regla.
Resolution
- Compruebe el número de puerto utilizado por el defensor en el clúster mediante este comando
kubectl describe svc defender -n twistlock
- Ir a la GKE cuenta,
VPC Network >> Firewall
- Busque la entrada correcta, que tiene el nombre del clúster
<<Cluster-name-master>
- Después de seleccionar la entrada correcta de Firewall la lista, haga clic en esa entrada y haga clic en editar
- Después de hacer clic en editar, desplácese hacia abajo hasta la sección puertos y protocolo y agregue el puerto correcto en la columna tcp Tome el número de puerto del paso 1 (por ejemplo, 9998)
- Guarde la configuración.
- Después de guardar la configuración, implemente el control de admisión (validación del webhook) en el OPA clúster privado GKE .
- Implementar un pod privilegiado con esta configuración para realizar pruebas
apiVersion: v1 kind: Pod metadata: name: nginx labels: app: nginx spec: containers: - name: nginx image: nginx ports: - containerPort: 80 securityContext: privileged: true
- Inicie sesión en la consola de Prisma y compruebe
Compute>>Events>>Admission Audit
Debe recibir una auditoría de admisión para el clúster privado específico
Additional Information
Consulte este documento para Open Policy Agent -
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/access_control/open_policy_agent.html