Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo solucionar problemas de un escenario en el que se producen errores en los azure-defender-publisher pods daemonSet y, después, se reinicia después de habilitar el perfil de Defender para Microsoft Azure Kubernetes Service (AKS).
Requisitos previos
Síntomas
Considere el caso siguiente:
- Usa el complemento de Azure Policy para AKS.
- Habilitará el perfil de Defender para AKS según la recomendación de Azure Advisor .
En este escenario, los azure-defender-publisher pods daemonSet se reinician continuamente.
Causa
Este problema puede deberse a problemas de autenticación o a una configuración incorrecta.
Solución alternativa
Para deshabilitar el perfil de Azure Defender, siga estos pasos:
Para obtener el token de acceso de la cuenta, ejecute el siguiente comando az account get-access-token :
az account get-access-token --query 'accessToken' --output tsvNota:
Guarde el token de acceso de la salida para usarlo para los comandos de los pasos siguientes. El token de acceso es una cadena codificada que puede superar los 2000 caracteres.
Para determinar si el perfil de Azure Defender está habilitado en el clúster, invoque el siguiente método GET de la API REST mediante la ejecución del siguiente comando curl. Reemplace el
<access-token>marcador de posición delAuthorizationencabezado por el token de acceso del paso anterior y, a continuación, reemplace los marcadores de posición en el URI que representan el GUID de suscripción de Azure, el nombre del grupo de recursos y el nombre del clúster:curl -X GET \ -H "Authorization: Bearer <access-token>" \ -H "Content-Type: application/json" \ https://management.azure.com/subscriptions/<subscription-guid>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerService/managedClusters/<cluster-name>?api-version=2020-04-01Si el perfil de Azure Defender está habilitado en el clúster, el comando devuelve la salida JSON similar al fragmento de código siguiente:
"securityProfile": { "azureDefender": { "enabled": true, "logAnalyticsWorkspaceResourceId": "/subscriptions/<subscription-guid>/resourceGroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/DefaultWorkspace-<guid>-<region>" }Quite el perfil de Azure Defender invocando el siguiente método PUT de la API REST mediante el comando curl. Este comando es similar al comando anterior, excepto que se especifica
-X PUTen lugar de para la solicitud de-X GETmétodo y se especifica un-dparámetro para pasar datos a la solicitud. Los reemplazos de valor de marcador de posición necesarios son idénticos al comando anterior.curl -X PUT \ -H "Authorization: Bearer <access-token>" \ -H 'Content-Type: application/json' \ -d '{"location": "northeurope", "properties": {"securityProfile": {"azureDefender": {"enabled": false }}}}' \ https://management.azure.com/subscriptions/<subscription-guid>/resourceGroups/<resource-group-name>/providers/Microsoft.ContainerService/managedClusters/<cluster-name>?api-version=2020-04-01Si el comando se ejecuta según lo previsto, el resultado muestra el clúster en el
Updatingestado y el perfil de Azure Defender está deshabilitado.{ "id": "", "location": "northeurope", "name": "<cluster-name>", "type: "Microsoft.ContainerService/ManagedClusters", "properties": { "provisioningState": "Updating", "powerState": { "code": "Running" }, ... }, "securityProfile": { "azureDefender": { "enabled": false } } }
Después de deshabilitar el perfil de Azure Defender, compruebe si los azure-defender-publisher pods daemonSet continúan su ciclo anterior de errores y reinicios.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.