为CCE集群配置HSS防护操作失败,怎么办?
问题1:在CCE界面安装HSS并开启防护时,显示防护异常,并报错“internal program error”怎么办?
问题原因:CCE集群版本过低会导致安装agent失败(例如CCE集群版本为V1.15)。
解决方案:通过yaml创建deamonset来手动安装HSS。
问题2:在CCE界面安装HSS并开启防护时,显示防护异常,并报错“Failed to access the CCE API”怎么办?
问题原因:CCE集群版本过低会导致安装agent失败。V1.19.16以后的CCE集群版本才支持委托账号,低于此版本的集群需要用单节点方式安装。
解决方案:请确保CCE集群节点不低于V1.19.16。
问题3:在CCE界面安装HSS并开启防护时,显示防护异常,并报错“NO_AGENCY_ACCOUNT”怎么办?
问题原因:属于偶发现象,一般不会出现,可能调用IAM时,由于涉及的服务比较多,会存在某些服务临时接口调不通的情况。
解决方案:再次重新安装。
问题4:CCE集群的节点上安装agent时,存在部分安装agent失败的现象
问题原因:CCE集群中的节点可能缺少路由,HSS调用不了metadata导致。
- 是否可以ping通URL。
curl -k http://169.xxx.xxx.254/openstack/latest/meta_data.json
- 执行以下命令,排查节点是否存在路由信息。
ip route
如果不存在路由信息,则需要增加路由信息。图1 示例(存在路由信息)
- 执行以下命令,看是否阻拦URL的输出,存在的话需要删除阻拦。
iptables -nvL | grep 169.xxx.xxx.254
问题5:在HSS界面安装Agent并开启防护,是否同时可以在CCE界面开启防护?
无需重复安装,两种方式二选一即可。在HSS界面开通防护后,不需要在CCE界面开通防护了。
- 如果想在CCE界面安装,需要在HSS界面先卸载Agent,再在CCE界面安装并开启防护。
- 如果已经在CCE界面安装并开启HSS防护,在HSS界面中会显示Agent在线,但关闭防护置灰,想关闭防护的话需要在CCE界面操作。
问题6:在CCE界面安装Agent并开启防护失败,并报错“HSS.0008,系统内部错误”怎么办?
问题原因:HSS域名配置不正确
解决方案:检查域名是否正确,如不正确,请重新配置。
问题7:在CCE界面开启Agent防护失败,提示“当前用户未授予安全服务权限,安全服务开启失败,请联系管理员为本账号添加安全服务权限”
问题原因:权限较低会导致某些容器集群功能不能使用。
解决方案:将该账号提权至高风险权限(即te_admin权限)。
问题8:从HSS界面进行CCE集群的容器安装与配置时,HSS界面报错“访问CCE接口失败”怎么办。
问题原因:HSS调用接口时的调用权限和提权权限不够。
解决方案:CCE集成HSS防护,HSS需要调用cce clusterrole接口创建集群角色,以及调用clusterrolebinding接口绑定HSS委托账号。
问题9:从CCE界面安装HSS并开启防护,显示防护异常,并报错“Add_cluster_role_failed”怎么办?
问题原因:HSS调用接口时的调用权限和提权权限不够。
解决方案:需要CCE侧运维人员定位,授予HSS的调用权限和提权权限。
问题10:新建CCE集群已开启MAOS特性,并自动安装hostguard和开启防护,但防护功能无法正常运行。
问题原因:域名配置不正确。
解决方案:如需帮助,请寻找运维人员协助解决。