AWS ALB Gesundheitscheck zu einem Palo Alto Firewall fehlschlägt

AWS ALB Gesundheitscheck zu einem Palo Alto Firewall fehlschlägt

47106
Created On 02/13/20 15:22 PM - Last Modified 04/22/24 20:13 PM


Symptom


  • AWS ALB Wenn die Konfiguration zum Überwachen von Palo Alto für die Zustandsprüfung konfiguriert ist, wird die Instanz als fehlerhaft angezeigt.
  • Beispieleinrichtung:

 

Environment


  • Firewall: PA VM (Alle Serien)
  • Cloud: AWS
  • Cloud: AWS Load Balancer

Cause


  • Beachten Sie, dass immer dann, wenn ein Palo Alto Firewall mit einem Load Balancer verwendet werden muss, die Schnittstellen ausgetauscht werden müssen. D.h. Eth0 wird firewall es Eth1/1 sein und Eth1 wird die Management-Schnittstelle sein.
https://docs.paloaltonetworks.com/ vm-series /9-0/ vm-series -deployment/set-up-the- vm-series - firewall -on-aws/deploy-the- vm-series firewall -on-aws/use-the- vm-series firewall -cli-to-swap-the-management-interface.html
  • Der Application Load Balancer untersucht nun eth1/1 der firewall .
  • Mehrere Ursachen:
a) Keine Mgmt-Profile, die an die Schnittstelle
LB IP b) nicht unter zulässigen IPs enthalten
sind c) Falsche URL Pfad- oder Erfolgscodes für LB

 

Resolution


Es gibt 2 Möglichkeiten, eine erfolgreiche Gesundheitssonde zu erreichen.
A] Konfigurieren des Pfads als "/" in der Zielgruppe (Muss den Erfolgscode in der Zielgruppe ändern)

  1. Konfigurieren Sie den Pfad in der Zielgruppe als "/".

  2. Konfigurieren Sie ein Verwaltungsprofil, das "http" zulässt, und hängen Sie es an die Schnittstelle eth1/1 auf dem firewallan.

  3. Um das Hinzufügen von zulässigen IP (Load Balancer's) im Verwaltungsprofil weiter einzuschränken IP.

  4. Wie finde ich die Adresse von IP Application Load Balancer?
    ( 1) DER PRÄSIDENT. - Herr Präsident, Öffnen Sie die EC2-Konsole.
    ( 2 )DER PRÄSIDENT. - Nach der Wählen Sie unter Lastenausgleich aus dem Navigationsbereich Load Balancer aus.
    3. Wählen Sie den Load Balancer aus, für den Sie Adressen finden IP .
    4. Kopieren Sie auf der Registerkarte Beschreibung den Namen.
    5. Wählen Sie unter Netzwerk & Sicherheit im Navigationsbereich Netzwerkschnittstellen aus.
    ( 6 ) DIE MITGLIEDSTAATEN SIND DER AUFFASSUNG, Fügen Sie den Load Balancer-Namen, den Sie in Schritt 4 kopiert haben, in das Suchfeld ein. Die gefilterten Ergebnisse zeigen alle elastischen Netzwerkschnittstellen, die dem Load Balancer zugeordnet sind.
    7. Für jede der Elastic Network-Schnittstellen in den gefilterten Ergebnissen:
    Wählen Sie die Elastic Network-Schnittstelle aus.
    Wählen Sie die Registerkarte Details aus.
    Suchen Sie die Schnittstelle, die eine IP Adresse für primäres privates IPv4 IPenthält. Dies ist die primäre private IP Adresse der Elastic Network-Schnittstelle.
     

  5. Fügen Sie das Verwaltungsprofil an eth1/1 an.

  6. Da der in der Zielgruppe erwähnte Pfad "/",
Gemäß der Zielgruppe wird die Sonde ein HTTP auf Port 80 sein und der angegebene Pfad ist "/", der Antwortcode, den die firewall Antwort zurückgibt, ist 302.

  • Da der zurückgegebene Code 302 ist und der Standarderfolgscode in AWS der Zielgruppe 200 ist. Daher werden die Ziele immer noch ungesund sein.

  • Sie müssen also den Erfolgscode in der Zielgruppe von 200 auf 302 ändern.

 

 

  • Diese Änderungen sollten die Ziele als gesund erhalten.


B] Konfigurieren Sie den Pfad als "/php/login.php" in der Zielgruppe. PAN-OS Verwenden Sie ab den Versionen 10.1.9, 10.2.4, 11.0.0 "/unauth/php/health.php" als bevorzugten Prüfendpunkt.

Die einzige Änderung wäre hier der Pfad und der Statuscode in der Zielgruppe.
 

Pfad:

                
        Erfolgscodes:


Das Ziel sollte gesund sein:

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POfaCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language