Prisma Cloud 计算:OpenShift 节点转换为“未就绪”状态,其中包含块规则 Policy
10142
Created On 04/04/23 02:33 AM - Last Modified 04/07/23 07:38 AM
Symptom
OpenShift 节点转换为“NotReady”状态,其中包含块规则 Policy
Environment
- Prisma Cloud 计算(自托管和 SaaS)
- 开班
Cause
容器运行时(CRIO )
- 当。。。的时候Policy应用或删除阻止规则时,容器运行时(CRIO ) 可能会发生重启,因为范围内的防御者交换部署它们的节点上的 *runc* 二进制文件以重新加载运行时配置
- 可能需要几分钟CRIO(和 Kublet)服务在重新加载配置后重新启动
- 在此期间,Node 可能会切换到“NotReady”状态CRIO或者 Kubelet 不可用
- 同时,工作节点在返回就绪状态之前无法运行/调度工作负载
- 预计 NotReady 状态时Prisma Cloud在以下场景中执行 runc swap:
- 后卫停止
- 后卫开始
- 添加第一个阻止规则
- 最后一条屏蔽规则被移除
- Defender 升级(因为它会导致 Defender 重启)
需要注意的重要事项
- 注意到此 NotReady 状态ONLY与CRIO运行环境由于 OpenShift 在拦截对 runc 的调用方面存在限制
- 这是当前的设计CRIO运行
Resolution
- A 重新启动CRIO可能需要运行时
- 由于在某些情况下会发生“NotReady”状态转换,因此可以通过避免进行以下更改来避免此问题:
- 添加第一条阻止规则
- 删除最后一个阻止规则
- 重启/升级 Defender
- 切换秘密注入选项
解决方法
- 在中创建一个虚拟块规则Policy并将其应用于集群以将节点转换为“NotReady”状态一次。
- 发布这个,进行必要的更改Policy根据需要制定规则
Additional Information
阻止规则策略
这包括以下内容:
- Defend => Compliance => Trusted images - 任何阻止规则
- Defend => Compliance => Containers and images => Deployed - 任何阻止规则
- Defend => Compliance => Hosts => Hosts - 任何阻止规则
- Defend => Access => Secrets - 任何存在的规则
- Defend => Vulnerabilities => Images => Deployed
- 任何具有阻止效果的规则
- 任何规则都有一个CVE设置具有块效应的异常
- 任何规则都有一个tag设置具有块效应的异常
- 任何规则都有阻止阈值