Defender 未包含在基于帐户的集合中ID错误日志“无法获取云元数据:从 IMDSv1 获取失败”

Defender 未包含在基于帐户的集合中ID错误日志“无法获取云元数据:从 IMDSv1 获取失败”

7746
Created On 12/07/22 08:35 AM - Last Modified 03/28/23 06:52 AM


Symptom


  • 基于账户定义的集合ID如下:
收藏.png
  • 但是,找不到标有预期收藏标签的 Defender:

主持人。PNG

Environment


  • Prisma Cloud 计算

Cause


  • 后卫使用IMDSv1API由...提供AWS确定AWS帐户ID当前运行的主机。
  • 这API需要 defender 连接到 169.254.169.254。
  • 如果防守者无法到达IP, 将无法取回账号ID,Defender 日志中出现以下错误:
ERRO 2022-09-07T11:04:27.872 defender.go:239 Failed to fetch cloud metadata: fetch from IMDSv1 failed: Get "http://169.254.169.254/latest/dynamic/instance-identity/document": dial tcp 169.254.169.254:80: connect: network is unreachable

 

Resolution


  • 确保 Defender 连接到IP169.254.169.254 端口 80
  • 如果 Defender 在以下位置配置了代理管理 > 系统 > 代理
    • 确保代理可以访问IP169.254.169.254 端口 80 ,或
    • 添加IP169.254.169.254 变成“没有代理”列表让防御者在制作时直接连接IMDSv1API
屏幕截图 2022-12-07 在 4.22.00PM .png
  • 如果 Defender 未配置代理,请检查您的设置Firewall, 安全组和路由表来解决主机和端口 80 上的 169.254.169.254 之间的网络问题。
 
  • 去测试IMDSv1API ,您可以使用以下命令:
curl -vvv --noproxy '*'  http://169.254.169.254/latest/dynamic/instance-identity/document
预期输出:

输出.png

  • 修复Defender与169.254.169.254之间的网络问题后,重启Defender即可调用IMDSv1API再次获取云元数据。

Additional Information


  • 按照设计,Defender 每次启动时只会获取一次云元数据。
  • 当它无法获取云元数据时,它不会重试。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sa4CCAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language