GCP에서 자동 방어를 배포할 때 패치 작업이 더 이상 활성화되지 않음 메시지
2843
Created On 09/15/22 18:13 PM - Last Modified 01/03/25 05:11 AM
Symptom
- GCP에서 자동 방어를 배포할 때( 관리 > 방어자 > 배포 > 호스트 자동 방어 ) 고객이 " 패치 작업이 더 이상 활성화되지 않음 "을 나타내는 방어자 설치 실패 오류를 받을 수 있습니다.
Environment
- 프리즈마 클라우드 컴퓨팅
- 디펜더 배포
- 호스트 자동 방어
- 디펜더 배포
- 구글 클라우드 플랫폼
필수 조건:
- 호스트 자동 방어를 사용하면 Google Cloud 계정의 가상 머신/인스턴스에 호스트 방어자를 자동으로 배포할 수 있습니다. 여기에는 GCP Compute Engine 인스턴스가 포함됩니다.
- 설치에는 OS 패치 관리 서비스가 사용되는데, 이는 호스트 방어자를 배포하는 보다 광범위한 VM 관리자 서비스의 일부입니다.
- Prisma Cloud는 아래에 표시된 대로 임시로 생성된 스토리지 버킷에 저장된 설치 스크립트 정보와 호스트 디펜더를 배포할 인스턴스 목록을 사용하여 OS 패치 작업을 생성합니다.
Cause
- OS 패치 관리 및 VM 관리자 구성 세부 정보 누락
- 서비스 계정 사용자 임시 버킷을 만들고 삭제할 수 있는 적절한 권한이 없습니다.
Resolution
- OS 패치 관리를 사용하려면 VM 호스트가 패키지 업데이트나 패치에 액세스할 수 있어야 합니다.
- OS 패치 관리에서는 패키지 업데이트나 패치를 호스팅하거나 유지 하지 않습니다.
- OS 패치 관리 기능 사용하려면 OS Config API를 셋업하다 하고 OS Config Agent를 설치해야 합니다. 자세한 지침은 VM Manager 설정을 참조하세요.
- 일부 시나리오에서는 VM 업데이트에 액세스할 수 없을 수 있습니다. 이러한 시나리오에서는 업데이트나 패치에 액세스할 수 있도록 추가 권한을 완료해야 합니다.
- 특히, GCE 메타데이터에서 OSconfig=enabled를 확인하세요.
Additional Information
요약하자면, VM Manager를 자동 또는 수동으로 활성화하면 다음과 같은 셋업 수행됩니다.
- Google Cloud 프로젝트에서는 OS Config 서비스 API 와 Container Analysis API가 활성화되어 있습니다.
- 선택한 각 VM 에서 실행되는 OS Config Agent는 필요한 인스턴스 메타데이터 값을 설정하여 활성화됩니다. 참고: OS Config 는 대부분의 VM에 사전 설치되어 있지만 인스턴스 메타데이터가 설정될 때까지 활성화되지 않습니다.
- OS Config 서비스는 사용자 환경에서 패치 관리를 가능하게 하는 반면, OS Config Agent는 각 운영 체제에 대한 업데이트하다 메커니즘을 사용하여 패치를 적용합니다.