AWS ALB Falla chequeo sanitario a un Palo Alto Firewall

AWS ALB Falla chequeo sanitario a un Palo Alto Firewall

47112
Created On 02/13/20 15:22 PM - Last Modified 04/22/24 20:13 PM


Symptom


  • AWS ALB cuando se configura para supervisar Palo Alto para la comprobación de estado muestra la instancia como en mal estado.
  • Configuración de muestra:

 

Environment


  • Firewall: PA VM (Todas las series)
  • Nube: AWS
  • Nube: AWS Equilibradores de carga

Cause


  • Tenga en cuenta que siempre que un Palo Alto Firewall necesite ser utilizado con un Balanceador de carga las interfaces necesitan ser intercambiadas. es decir, Eth0 será firewall 's Eth1/1 y Eth1 será la interfaz de administración.
https://docs.paloaltonetworks.com/ vm-series /9-0/ vm-series -deployment/set-up-the- vm-series - firewall -on-aws/deploy-the- vm-series - firewall -on-aws/use-the- vm-series - firewall -cli-to-swap-the-management-interface.html
  • El equilibrador de carga de aplicaciones ahora sondeará el eth1/1 del firewall archivo .
  • Múltiples causas:
a) No hay perfiles mgmt conectados a la interfaz
b) LB IP no incluidos bajo ips permitidas
c) Ruta incorrecta o códigos de URL éxito para LB

 

Resolution


Hay 2 maneras de lograr una sonda de salud exitosa.
A] Configurar la ruta de acceso como "/" en el grupo de destino (tendrá que cambiar el código de éxito en el grupo Destino)

  1. Configure la ruta como "/" en el grupo de destino.

  2. Configure un perfil de administración que permita "http" y adjúntelo a la interfaz eth1/1 en el firewall.

  3. Para restringir aún más la adición permitida IP (Load Balancer's IP) en el perfil de administración.

  4. ¿Cómo encontrar la dirección de IP Application Load Balancer?
    1. Abra la consola de EC2.
    2. En Equilibrio de carga, elija Balanceadores de carga en el panel de navegación.
    3. Seleccione el equilibrador de carga para el que está buscando IP direcciones.
    4. En la pestaña Descripción, copie el Nombre.
    5. En Red & Seguridad, elija Interfaces de red en el panel de navegación.
    6. Pegue el nombre del equilibrador de carga que copió en el paso 4 en el cuadro de búsqueda. Los resultados filtrados muestran todas las interfaces de red elásticas asociadas con el equilibrador de carga.
    7. Para cada una de las interfaces de red elásticas de los resultados filtrados:
    Seleccione la interfaz de red elástica.
    Elija la pestaña Detalles.
    Busque la interfaz que contiene una IP dirección para IPv4 IPprivado primario. Esta es la dirección privada IP principal de la interfaz de red elástica.
     

  5. Adjunte el perfil de gestión a eth1/1.

  6. Dado que la ruta mencionada en el grupo Objetivo es "/",
Según el grupo de destino, la sonda estará HTTP en el puerto 80 y la ruta mencionada es "/", el código de respuesta que devuelve será firewall 302.

  • Dado que el código devuelto es 302 y el código de éxito predeterminado en AWS el grupo objetivo es 200. Por lo tanto, los objetivos seguirán siendo insalubres.

  • Por lo tanto, debe cambiar el código de éxito de 200 a 302 en el grupo de destino.

 

 

  • Estos cambios deben hacer que los objetivos sean tan saludables.


B] Configure la ruta como "/php/login.php" en el grupo de destino. A partir de las versiones 10.1.9, 10.2.4, 11.0.0, use "/unauth/php/health.php" como el extremo de PAN-OS sondeo preferido

El único cambio aquí sería la ruta y el código de estado en el grupo de destino.
 

Camino:

                
        Códigos de éxito:


El objetivo debe ser saludable:

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POfaCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language