アドミッション コントロールOPAプライベート用GKE集まる

アドミッション コントロールOPAプライベート用GKE集まる

1432
Created On 02/10/22 18:37 PM - Last Modified 01/23/26 18:41 PM


Symptom


適用後にすべての展開が失敗していたOPAPrisma Console からのアドミッション コントロール。

Environment


  • プライベートGKEクラスタ、すべてのバージョン
  • Prisma Cloud 21.04 以降のコンピューティング SaaS および自己ホスト型バージョン

Cause


行方不明のため、Defender がクラスターに到達できませんfirewallルール。

Resolution


  1. このコマンドを使用して、クラスター内の防御側が使用するポート番号を確認します
    kubectl describe svc defender -n twistlock

    画像.png
  2. に行くGKEアカウント、
    VPC Network >> Firewall
  3. クラスター名を持つ正しいエントリを見つけます
    <<Cluster-name-master>

    画像.png
  4. から正しいエントリを選択した後、Firewallリストで、そのエントリをクリックし、[編集] をクリックします画像.png
  5. 編集をクリックした後、ポートとプロトコルのセクションまで下にスクロールし、tcp 列に正しいポートを追加します ステップ 1 のポート番号を取得します (例: 9998)画像.png
  6. 設定を保存してください。
  7. 設定を保存したら、OPA非公開でのアドミッション コントロール (Webhook の検証)GKE集まる。
  8. テスト用にこの構成を使用して特権ポッドをデプロイします
    apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 80
    securityContext:
      privileged: true
  9. Prisma コンソールにログインして確認してください
    Compute>>Events>>Admission Audit

    特定のプライベート クラスタのアドミッション監査を受け取る必要があります画像.png

Additional Information


オープンについてはこちらのドキュメントを参照してくださいPolicyエージェント -
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/access_control/open_policy_agent.html
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NBVCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language