集群防御规则可拦截状态异常排查

当集群防御规则的可拦截状态为异常或正常待确认时,该集群防御规则无法对访问该集群的异常流量进行告警或者拦截。本文介绍如何处理集群防御规则的可拦截状态为异常或正常待确认的问题。

前提条件

已为该集群创建了防御规则。创建防御规则的具体操作,请参见创建防御规则

背景信息

集群防御规则的正常运行依赖于云安全中心的AliNet插件(AliNet插件主要用于网络连接拦截、DNS拦截、暴力破解拦截),只有AliNet插件已安装且在线,集群防御规则才能正常运行。使用容器防火墙功能前,请确保集群节点的系统内核版本在AliNet插件支持的系统内核版本范围内。详细信息,请参见支持的操作系统版本

操作步骤

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择防护配置 > 容器防护 > 容器防火墙

  3. 容器防火墙页面,单击防护管理页签。

  4. 防护管理页签下的集群列表中,定位到防御规则的可拦截状态为异常正常待确认的集群,针对不同的异常状态按照以下方案进行处理。

    • 异常

      集群防御规则的可拦截状态异常时,会导致防御状态开关关闭,云安全中心无法为该集群提供防火墙服务。

      您可以单击异常右侧的查看展开防护插件状态面板,在防护插件状态面板上,查看AliNet插件的安装状态在线状态。AliNet插件的安装状态在线状态的异常,会导致集群防御规则的可拦截状态发生异常。请按照以下方案处理AliNet插件的安装状态在线状态的异常:

      • 如果防护插件状态面板的安装状态列显示某个集群节点未安装AliNet插件,或者在线状态列显示某个集群节点的AliNet插件不在线,您可以尝试为该集群重新开启恶意网络行为防御功能来解决。关于如何开启恶意网络行为防御,请参见主动防御

      • 如果已为该集群开启了恶意网络行为防御功能,但防护插件状态面板的安装状态列仍然显示该集群节点为未安装AliNet插件,则可能是该集群节点的操作系统内核不支持安装AliNet插件。支持安装AliNet插件的集群节点的操作系统内核版本,请参见支持的操作系统版本

        您也可以登录集群执行以下命令,查看AliNet插件的安装日志。如果集群节点操作系统的内核不支持安装AliNet插件,则安装日志中会有install,driver file not exist的提示。

        cat /usr/local/aegis/PythonLoader/data/AliNet_config.log 
    • 正常待确认

      集群防御规则的可拦截状态正常待确认时,表明您已处理了导致集群防御规则的可拦截状态异常的问题,但还需要您确认该集群的所有防御规则是否存在问题(如防御规则的启用状态是否开启、防御规则优先级顺序是否合理等)。

      在确保集群的所有防御规则无误后,在集群防御规则的可拦截状态列,单击正常待确认右侧的恢复,即可将该集群防御规则的可拦截状态恢复为正常状态。恢复