AWS ALB Gesundheitscheck zu einem Palo Alto Firewall fehlschlägt
Symptom
- AWS ALB Wenn die Konfiguration zum Überwachen von Palo Alto für die Zustandsprüfung konfiguriert ist, wird die Instanz als fehlerhaft angezeigt.
- Beispieleinrichtung:
Environment
- Firewall: PA VM (Alle Serien)
- Cloud: AWS
- Cloud: AWS Load Balancer
Cause
- Beachten Sie, dass immer dann, wenn ein Palo Alto Firewall mit einem Load Balancer verwendet werden muss, die Schnittstellen ausgetauscht werden müssen. D.h. Eth0 wird firewall es Eth1/1 sein und Eth1 wird die Management-Schnittstelle sein.
- Der Application Load Balancer untersucht nun eth1/1 der firewall .
- Mehrere Ursachen:
LB IP b) nicht unter zulässigen IPs enthalten
sind c) Falsche URL Pfad- oder Erfolgscodes für LB
Resolution
Es gibt 2 Möglichkeiten, eine erfolgreiche Gesundheitssonde zu erreichen.
A] Konfigurieren des Pfads als "/" in der Zielgruppe (Muss den Erfolgscode in der Zielgruppe ändern)
Konfigurieren Sie den Pfad in der Zielgruppe als "/".
Konfigurieren Sie ein Verwaltungsprofil, das "http" zulässt, und hängen Sie es an die Schnittstelle eth1/1 auf dem firewallan.
Um das Hinzufügen von zulässigen IP (Load Balancer's) im Verwaltungsprofil weiter einzuschränken IP.
Wie finde ich die Adresse von IP Application Load Balancer?
( 1) DER PRÄSIDENT. - Herr Präsident, Öffnen Sie die EC2-Konsole.
( 2 )DER PRÄSIDENT. - Nach der Wählen Sie unter Lastenausgleich aus dem Navigationsbereich Load Balancer aus.
3. Wählen Sie den Load Balancer aus, für den Sie Adressen finden IP .
4. Kopieren Sie auf der Registerkarte Beschreibung den Namen.
5. Wählen Sie unter Netzwerk & Sicherheit im Navigationsbereich Netzwerkschnittstellen aus.
( 6 ) DIE MITGLIEDSTAATEN SIND DER AUFFASSUNG, Fügen Sie den Load Balancer-Namen, den Sie in Schritt 4 kopiert haben, in das Suchfeld ein. Die gefilterten Ergebnisse zeigen alle elastischen Netzwerkschnittstellen, die dem Load Balancer zugeordnet sind.
7. Für jede der Elastic Network-Schnittstellen in den gefilterten Ergebnissen:
Wählen Sie die Elastic Network-Schnittstelle aus.
Wählen Sie die Registerkarte Details aus.
Suchen Sie die Schnittstelle, die eine IP Adresse für primäres privates IPv4 IPenthält. Dies ist die primäre private IP Adresse der Elastic Network-Schnittstelle.
Fügen Sie das Verwaltungsprofil an eth1/1 an.
- Da der in der Zielgruppe erwähnte Pfad "/",
Da der zurückgegebene Code 302 ist und der Standarderfolgscode in AWS der Zielgruppe 200 ist. Daher werden die Ziele immer noch ungesund sein.
Sie müssen also den Erfolgscode in der Zielgruppe von 200 auf 302 ändern.
- Diese Änderungen sollten die Ziele als gesund erhalten.
B] Konfigurieren Sie den Pfad als "/php/login.php" in der Zielgruppe. PAN-OS Verwenden Sie ab den Versionen 10.1.9, 10.2.4, 11.0.0 "/unauth/php/health.php" als bevorzugten Prüfendpunkt.
Pfad:
Erfolgscodes:
Das Ziel sollte gesund sein: