在 GCP 中部署 Auto-Defend 时,修补作业不再有效消息
2845
Created On 09/15/22 18:13 PM - Last Modified 01/03/25 05:13 AM
Symptom
- 在 GCP 中部署 Auto Defend(管理 > Defenders > 部署 > 主机 Auto-Defend )时,客户可能会收到失败的防御者安装错误,指示“修补作业不再有效”
Environment
- Prisma 云计算
- 部署 Defender
- 自动防御主机
- 部署 Defender
- 谷歌云平台
先决条件:
- 主机自动防御可让您在 Google Cloud 帐户中的虚拟机/实例上自动部署主机防御者。这涵盖 GCP Compute Engine 实例。
- 安装使用OS Patch Management服务,它是更广泛的VM Manager服务的一部分,用于部署主机防御者。
- Prisma Cloud 使用存储在临时创建的存储桶中的安装脚本信息和要部署主机防御者的实例列表创建一个操作系统修补作业,如下所示:
Cause
- 操作系统补丁管理和VM管理器配置缺少详细信息
- 服务帐户用户没有足够的权限来创建和删除临时存储桶。
Resolution
- 要使用OS Patch Management , VM主机必须有权访问软件包更新或补丁。
- OS Patch Management不托管或维护包更新或补丁。
- 要使用OS 补丁管理功能,必须设置OS Config API并安装OS Config Agent 。有关详细说明,请参阅设置VM Manager 。
- 在某些情况下,您的VM可能无法访问更新。在这些情况下,必须完成额外的权限才能允许访问更新或补丁。
- 具体来说,确保 GCE 元数据中的OSconfig=enabled 。
Additional Information
总之,当您启用VM管理器时(无论是自动还是手动),都会进行以下设置:
- Google Cloud 项目上启用了OS Config 服务 API和容器分析 API 。
- 通过设置所需的实例元数据值,可激活在每个选定VM上运行的OS Config Agent 。注意:大多数 VM 上都预安装了OS Config ,但只有在设置实例元数据后才会激活。
- OS Config服务能够在您的环境中启用补丁管理,而OS Config Agent 则使用每个操作系统的更新机制来应用补丁。