准入控制OPA对于私人GKE簇

准入控制OPA对于私人GKE簇

759
Created On 02/10/22 18:37 PM - Last Modified 09/29/25 18:42 PM


Symptom


申请后所有部署均失败OPAPrisma 控制台的准入控制。

Environment


  • 私人的GKE集群,所有版本
  • Prisma Cloud 计算 SaaS 和自托管版本 21.04 以上

Cause


由于丢失,防御者无法到达集群firewall规则。

Resolution


  1. 使用此命令查看集群中防御者使用的端口号
    kubectl describe svc defender -n twistlock

    图片.png
  2. 去GKE帐户,
    VPC Network >> Firewall
  3. 找到正确的条目,其中包含您的集群名称
    <<Cluster-name-master>

    图片.png
  4. 从中选择正确的条目后Firewall列表,单击该条目并单击编辑图片.png
  5. 单击编辑后,向下滚动到端口和协议部分并在 tcp 列中添加正确的端口从步骤 1 中获取端口号(例如 9998)图片.png
  6. 请保存设置。
  7. 保存设置后,部署OPA私有中的准入控制(验证 webhook)GKE簇。
  8. 使用此配置部署特权 pod 进行测试
    apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 80
    securityContext:
      privileged: true
  9. 请登录 Prisma 控制台并检查
    Compute>>Events>>Admission Audit

    您应该收到针对特定私有集群的准入审核图片.png

Additional Information


请参考此文件打开Policy代理人 -
https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/access_control/open_policy_agent.html
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NBVCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language