AWS ALB パロアルトへのヘルスチェックFirewall失敗する
Symptom
- AWS ALB ヘルスチェックのためにパロアルトを監視するように構成されている場合、インスタンスが異常であると表示されます。
- サンプル設定:
Environment
- Firewall:PA VM (全シリーズ)
- 雲: AWS
- 雲:AWSロードバランサー
Cause
- パロアルトFirewallロード バランサで使用する必要があり、インターフェースを交換する必要があります。つまり、Eth0 はfirewallの Eth1/1 と Eth1 が管理インターフェイスになります。
- Application Load Balancer は、firewall .
- 複数の原因:
b)LB IP許可された IP に含まれない
c) 不正解URLのパスまたは成功コード LB
Resolution
正常性プローブを成功させるには 2 つの方法があります。
A ] ターゲット グループでパスを「/」として構成します (ターゲット グループの成功コードを変更する必要があります)。
対象グループにパスを「/」として設定します。
「http」を許可する管理プロファイルを設定し、それをインターフェイス eth1/1 に接続します。firewall .
さらに追加を制限するにはIP(ロードバランサーのIP) 管理プロファイルで。
Application Load Balancer の検索方法IP住所?
1. EC2 コンソールを開きます。
2. [ロード バランシング] で、ナビゲーション ペインから [ロード バランサー] を選択します。
3. 探しているロード バランサーを選択しますIPのアドレス。
4. [説明] タブで、名前をコピーします。
5. [Network & Security] の下で、ナビゲーション ペインから [Network Interfaces] を選択します。
6. 手順 4 でコピーしたロード バランサー名を検索ボックスに貼り付けます。 フィルタリングされた結果には、ロード バランサーに関連付けられているすべての Elastic Network Interface が表示されます。
7。 フィルタリングされた結果の Elastic Network Interface ごとに、次のようにします。
エラスティック ネットワーク インターフェイスを選択します。
[詳細] タブを選択します。
を含むインターフェイスを見つけますIPプライマリ プライベート IPv4 のアドレスIP. これはプライマリープライベートですIPElastic Network Interface のアドレス。
管理プロファイルを eth1/1 にアタッチします。
- 対象グループに記載されているパスは「/」なので、
返されるコードは 302 であり、デフォルトの成功コードはAWS対象人数は200人。 したがって、ターゲットはまだ不健康です。
そのため、ターゲット グループの成功コードを 200 から 302 に変更する必要があります。
- これらの変更により、ターゲットが正常になるはずです。
B] パスを「 /php/login.php 」をターゲットグループに。で始まりますPAN-OSバージョン 10.1.9、10.2.4、11.0.0 では、" /unauth/php/health.php " 優先プローブ エンドポイントとして
道 :
成功コード:
ターゲットは正常である必要があります。