AWS ALB 到帕洛阿尔托进行健康检查Firewall失败
47110
Created On 02/13/20 15:22 PM - Last Modified 04/22/24 20:13 PM
Symptom
- AWS ALB 当配置为监视 Palo Alto 以进行健康检查时,会将实例显示为不健康。
- 示例设置:
Environment
- Firewall:PA VM (全系列)
- 云: AWS
- 云:AWS负载均衡器
Cause
- 请注意,每当 Palo AltoFirewall需要与负载平衡器一起使用,需要交换接口。即 Eth0 将是firewall的 Eth1/1 和 Eth1 将是管理接口。
https://docs.paloaltonetworks.com/vm-series /9-0/vm-series -部署/设置-vm-series -firewall -on-aws/部署-vm-series -firewall -on-aws/使用-vm-series -firewall -cli-to-swap-the-management-interface.html
- Application Load balancer 现在将探测 eth1/1firewall .
- 多种原因:
a) 没有管理配置文件附加到接口
二)LB IP未包含在允许的 IP 中
c) 不正确URL的路径或成功代码 LB
二)LB IP未包含在允许的 IP 中
c) 不正确URL的路径或成功代码 LB
Resolution
有两种方法可以实现成功的健康探测。
A ] 在目标组中配置路径为“/”(将不得不更改目标组中的成功代码)
在目标组中配置路径为“/”。
配置允许“http”的管理配置文件并将其附加到接口 eth1/1 上firewall.
限制进一步添加允许IP(负载均衡器的IP) 在管理配置文件中。
如何查找 Application Load Balancer 的IP地址?
1. 打开 EC2 控制台。
2. 在负载平衡下,从导航窗格中选择负载平衡器。
3. 选择您要查找的负载均衡器IP地址。
4. 在描述选项卡上,复制名称。
5. 在网络和安全下,从导航窗格中选择网络接口。
6. 将您在第 4 步中复制的负载均衡器名称粘贴到搜索框中。 筛选结果显示与负载均衡器关联的所有弹性网络接口。
7. 对于筛选结果中的每个弹性网络接口:
选择弹性网络接口。
选择详细信息选项卡。
找到包含一个的接口IP主要私有 IPv4 地址IP. 这是主要的私人IP弹性网络接口的地址。
将管理配置文件附加到 eth1/1。
- 由于Target group中提到的路径是“/”,
根据目标组,探测将是HTTP在端口 80 上,提到的路径是“/”,响应代码是firewall回报将是302。
由于返回的代码是 302 并且默认的成功代码在AWS目标群体是 200。 因此,目标仍然是不健康的。
因此,您需要将目标组中的成功代码从 200 更改为 302。
- 这些更改应该使目标保持健康。
B] 配置路径为“ /php/登录.php ” 在目标群体中。从...开始PAN-OS版本 10.1.9、10.2.4、11.0.0,使用“ /unauth/php/health.php " 作为首选的探测端点
小路 :
成功代码:
目标应该是健康的: