AWS ALB Bilan de santé à un Palo Alto Firewall échoue
Symptom
- AWS ALB lorsqu’il est configuré pour surveiller Palo Alto pour le bilan de santé montre l’instance comme malsaine.
- Configuration de l’échantillon :
Environment
- Firewall: PA VM (Toutes les séries)
- Nuage: AWS
- Cloud : AWS Équilibrer la charge
Cause
- Notez que chaque fois qu’un Palo Alto Firewall doit être utilisé avec un balanceur de charge, les interfaces doivent être échangées. c’est-à-dire Eth0 sera firewall 's Eth1/1 et Eth1 sera l’interface de gestion.
- L' équilibreur de charge d’application va maintenant sonder eth1/1 de la firewall .
- Causes multiples :
b) LB IP non inclus dans les ADRESSES
IP autorisées c) Codes URL de chemin ou de réussite incorrects pour LB
Resolution
Il y a 2 façons de réussir une sonde de santé.
A] Configurer le chemin comme « / » dans le groupe cible (devra modifier le code de réussite dans le groupe Cible)
Configurez le chemin comme « / » dans le groupe cible.
Configurez un profil de gestion autorisant « http » et attachez-le à l’interface eth1/1 sur le firewallfichier .
Pour restreindre l’ajout autorisé IP (Load Balancer) IPdans le profil de gestion.
Comment trouver l’adresse de IP l’Application Load Balancer ?
1. Ouvrez la console EC2.
2. Sous l’équilibrage de charge, choisissez des équilibristes de charge de la vitre de navigation.
3. Sélectionnez l'équilibreur de charge pour lequel vous recherchez IP des adresses.
4. Sur l’onglet Description, copiez le nom.
5. Sous Network & Security, choisissez les interfaces réseau à partir du volet navigation.
6. Coller le nom de l' équilibreur de charge que vous avez copié à l’étape 4 dans la boîte de recherche. Les résultats filtrés montrent toutes les interfaces réseau élastiques associées à l' équilibreur de charge.
7. Pour chacune des interfaces réseau élastiques dans les résultats filtrés :
Sélectionnez l’interface réseau élastique.
Choisissez l’onglet Détails.
Recherchez l’interface qui contient une IP adresse pour IPv4 IPprivé principal. Il s’agit de l’adresse privée IP principale de l’interface réseau Elastic.
Joindre le profil de gestion à eth1/1.
- Étant donné que le chemin mentionné dans le groupe Cible est « / »,
Étant donné que le code renvoyé est 302 et que le code de réussite par défaut dans AWS le groupe cible est 200. Par conséquent, les objectifs seront encore malsains.
Donc, vous devez changer le code de réussite de 200 à 302 dans le groupe cible.
- Ces changements devraient rendre les objectifs aussi sains.
B] Configurez le chemin comme « /php/login.php » dans le groupe cible. PAN-OS À partir des versions 10.1.9, 10.2.4, 11.0.0, utilisez « /unauth/php/health.php » comme point de terminaison de sondage préféré
Chemin:
Codes de réussite :
L’objectif doit être sain :