Prisma Cloud Berechnen: OpenShift-Knoten, die mit der Blockregel in den Status "NotReady" übergehen Policy

Prisma Cloud Berechnen: OpenShift-Knoten, die mit der Blockregel in den Status "NotReady" übergehen Policy

11301
Created On 04/04/23 02:33 AM - Last Modified 02/18/26 03:38 AM


Symptom


  • OpenShift-Knoten, die mit der Blockregel in den Status "NotReady" übergehen Policy

Bild.png

Environment


  • Prisma Cloud Compute (selbst gehostet und SaaS)
  • OpenShift

Cause


Containerlaufzeit (CRIO)
 
  • Wenn die mit einer Blockierungsregel angewendet oder entfernt wird, kann ein Neustart der Container-Laufzeitumgebung (CRIO) erfolgen, da die Verteidiger im Bereich die *runc*-Binärdatei auf den Knoten, auf denen sie bereitgestellt werden, austauschen, um die Policy Laufzeitkonfiguration neu zu laden
  • Es kann einige Minuten dauern, bis CRIO die Dienste (und Kublet) nach dem Neuladen der Konfiguration neu gestartet werden
  • Während dieser Zeit kann der Knoten in den Status "NotReady" wechseln, wenn CRIO Kubelet nicht verfügbar ist
  • In der Zwischenzeit kann der Worker-Knoten keine Workloads ausführen bzw. planen, bis er wieder in den Status "Bereit" zurückkehrt
  • Der NotReady-Status wird erwartet, wenn Prisma Cloud runc swap in den folgenden Szenarien ausgeführt wird:
  1. Defender Stopp
  2. Verteidiger-Start
  3. Die erste Sperrregel wird hinzugefügt.
  4. Die letzte Blockierungsregel wird entfernt
  5. Defender-Upgrade (da es einen Neustart des Defenders verursacht)

Wichtig zu beachten
 
  • Dieser NotReady-Zustand wird in der CRIO Laufzeitumgebung aufgrund der Einschränkung mit OpenShift beim Abfangen der Aufrufe von runc bemerkt ONLY
  • Dies ist das aktuelle Design mit CRIO Runtime

Resolution


  • A Möglicherweise ist ein Neustart der CRIO Laufzeit erforderlich
  • Da der Zustandsübergang "NotReady" in bestimmten Szenarien erfolgt, kann dieses Problem vermieden werden, indem die folgenden Änderungen nicht vorgenommen werden:
  1. Hinzufügen der ersten Blockierungsregel
  2. Entfernen der letzten Blockierungsregel
  3. Neustarten / Aktualisieren von Defender
  4. Umschalten der Option "Secret Injection"

Problemumgehung
  • Erstellen Sie eine Dummy-Blockregel im Policy und wenden Sie sie auf den Cluster an, um die Knoten einmal in den Status "NotReady" zu versetzen.
  • Nehmen Sie nach Bedarf die erforderlichen Änderungen in den Policy Regeln vor
Referenz : Sperrregel

Additional Information


Blockieren von Regelrichtlinien

Dazu gehört Folgendes:
  • Verteidigen => Compliance => Vertrauenswürdige Bilder - jede Blockierungsregel
  • Verteidigen => Compliance => Container und Images => Bereitgestellt – eine beliebige Blockierungsregel
  • Defend => Compliance => Hosts => Hosts - eine beliebige Blockierungsregel
  • Defend => Access => Secrets - jede Regel, die vorhanden ist
  • Abwehr => Schwachstellen => Images => bereitgestellt
  • Jede Regel, die eine blockierende Wirkung hat
  • Jede Regel hat eine CVE Reihe von Ausnahmen mit einem Blockeffekt
  • Jede Regel hat eine tag Reihe von Ausnahmen mit einem Blockeffekt
  • Jede Regel hat einen Blockierschwellenwert
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1DdCAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language