Prisma Cloud Compute : OpenShift ノードがブロック ルールで「NotReady」状態に移行する Policy
10138
Created On 04/04/23 02:33 AM - Last Modified 04/07/23 07:38 AM
Symptom
ブロック ルールが設定されている OpenShift ノードが「NotReady」状態に移行する Policy
Environment
- Prisma Cloud コンピューティング (セルフホストおよび SaaS)
- OpenShift
Cause
コンテナ ランタイム (CRIO )
- ときPolicyブロック ルールが適用または削除された場合、コンテナ ランタイム (CRIO ) 再起動が発生する可能性があります。これは、スコープ内の Defender がデプロイされているノードで *runc* バイナリをスワップして、ランタイム構成をリロードするためです。
- 数分かかる場合があります。CRIO (および Kublet) 構成の再読み込み後に再起動するサービス
- この間、ノードは次の場合に「NotReady」状態に切り替わる場合があります。CRIOまたは Kubelet が利用できない
- 一方、ワーカー ノードは、準備完了状態に戻るまで、ワークロードを実行/スケジュールできません。
- NotReady 状態が想定されるのは次の場合です。Prisma Cloud次のシナリオで runc swap を実行します。
- ディフェンダーストップ
- ディフェンダースタート
- 最初のブロック ルールが追加されました
- 最後のブロック ルールが削除されました
- Defender のアップグレード (Defender の再起動が発生するため)
注意事項
- この NotReady 状態が通知されますONLYとともにCRIO実行時環境runc の呼び出しをインターセプトする際の OpenShift の制限のため
- これが現在のデザインですCRIOランタイム
Resolution
- A の再起動CRIOランタイムが必要な場合があります
- 「NotReady」状態遷移は特定のシナリオで発生するため、次の変更を控えることでこの問題を回避できます。
- 最初のブロック ルールの追加
- 最後のブロック ルールの削除
- Defenderの再起動/アップグレード
- シークレット インジェクション オプションの切り替え
回避策
- でダミーのブロック ルールを作成します。Policyそれをクラスタに適用して、ノードを「NotReady」状態に一度遷移させます。
- これを投稿し、必要な変更を加えますPolicy必要に応じたルール
Additional Information
ブロック ルール ポリシー
これには以下が含まれます。
- Defend => Compliance => Trusted images - 任意のブロック ルール
- Defend => Compliance => Containers and images => Deployed - 任意のブロック ルール
- Defend => Compliance => Hosts => Hosts - 任意のブロック ルール
- Defend => Access => Secrets - 存在するすべてのルール
- 防御 => 脆弱性 => イメージ => デプロイ済み
- ブロック効果のあるルール
- どのルールにもCVEブロック効果のある例外に設定する
- どのルールにもtagブロック効果のある例外に設定する
- どのルールにもブロックしきい値があります