AWS ALB Bilan de santé à un Palo Alto Firewall échoue

AWS ALB Bilan de santé à un Palo Alto Firewall échoue

47114
Created On 02/13/20 15:22 PM - Last Modified 04/22/24 20:13 PM


Symptom


  • AWS ALB lorsqu’il est configuré pour surveiller Palo Alto pour le bilan de santé montre l’instance comme malsaine.
  • Configuration de l’échantillon :

 

Environment


  • Firewall: PA VM (Toutes les séries)
  • Nuage: AWS
  • Cloud : AWS Équilibrer la charge

Cause


  • Notez que chaque fois qu’un Palo Alto Firewall doit être utilisé avec un balanceur de charge, les interfaces doivent être échangées. c’est-à-dire Eth0 sera firewall 's Eth1/1 et Eth1 sera l’interface de gestion.
https://docs.paloaltonetworks.com/ vm-series /9-0/ vm-series -déploiement/set-up-the- vm-series firewall - -on-aws/deploy-the- vm-series - firewall -on-aws/use-the- vm-series - firewall -cli-to-swap-the-management-interface.html
  • L' équilibreur de charge d’application va maintenant sonder eth1/1 de la firewall .
  • Causes multiples :
a) Aucun profil Mgmt attaché à l’interface
b) LB IP non inclus dans les ADRESSES
IP autorisées c) Codes URL de chemin ou de réussite incorrects pour LB

 

Resolution


Il y a 2 façons de réussir une sonde de santé.
A] Configurer le chemin comme « / » dans le groupe cible (devra modifier le code de réussite dans le groupe Cible)

  1. Configurez le chemin comme « / » dans le groupe cible.

  2. Configurez un profil de gestion autorisant « http » et attachez-le à l’interface eth1/1 sur le firewallfichier .

  3. Pour restreindre l’ajout autorisé IP (Load Balancer) IPdans le profil de gestion.

  4. Comment trouver l’adresse de IP l’Application Load Balancer ?
    1. Ouvrez la console EC2.
    2. Sous l’équilibrage de charge, choisissez des équilibristes de charge de la vitre de navigation.
    3. Sélectionnez l'équilibreur de charge pour lequel vous recherchez IP des adresses.
    4. Sur l’onglet Description, copiez le nom.
    5. Sous Network & Security, choisissez les interfaces réseau à partir du volet navigation.
    6. Coller le nom de l' équilibreur de charge que vous avez copié à l’étape 4 dans la boîte de recherche. Les résultats filtrés montrent toutes les interfaces réseau élastiques associées à l' équilibreur de charge.
    7. Pour chacune des interfaces réseau élastiques dans les résultats filtrés :
    Sélectionnez l’interface réseau élastique.
    Choisissez l’onglet Détails.
    Recherchez l’interface qui contient une IP adresse pour IPv4 IPprivé principal. Il s’agit de l’adresse privée IP principale de l’interface réseau Elastic.
     

  5. Joindre le profil de gestion à eth1/1.

  6. Étant donné que le chemin mentionné dans le groupe Cible est « / »,
Selon le groupe cible, la sonde sera un HTTP sur le port 80 et le chemin mentionné est « / », le code de réponse que les firewall retours seront 302.

  • Étant donné que le code renvoyé est 302 et que le code de réussite par défaut dans AWS le groupe cible est 200. Par conséquent, les objectifs seront encore malsains.

  • Donc, vous devez changer le code de réussite de 200 à 302 dans le groupe cible.

 

 

  • Ces changements devraient rendre les objectifs aussi sains.


B] Configurez le chemin comme « /php/login.php » dans le groupe cible. PAN-OS À partir des versions 10.1.9, 10.2.4, 11.0.0, utilisez « /unauth/php/health.php » comme point de terminaison de sondage préféré

Le seul changement ici serait le chemin d’accès et le code d’état dans le groupe cible.
 

Chemin:

                
        Codes de réussite :


L’objectif doit être sain :

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POfaCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language