マルチテナントを含む構成ファイル Prisma access を にインポートする方法 panorama
Objective
以下の両方が該当する場合、古い構成から Panorama 新しいものに構成をインポートする場合に必要な追加 Panorama の手順がいくつかあります。
- Panoramaは、 Prisma Access マルチテナントが有効になっている状態で管理するために使用されます。
- Prisma Accessには、1 つ以上のサブテナントに「モバイル ユーザー」の構成が含まれます。
ここには2つのシナリオがあります。
- 古い場合 panorama は、Eval から Prod への移行のような新しいものに置き換える必要があります。
- 古い障害が panorama 発生した障害復旧の場合は、新しい障害がプロビジョニングされます。
Environment
- Panorama 9.1.x 以上を実行
- Cloud services プラグイン 1.7.x 以上。
- Prisma Accessは、1 つ以上のサブテナントに対して構成された「モバイル ユーザー」を使用して、ライセンスを取得し、マルチテナント構成を実行します。
マルチテナンシーが有効になっている場合、これらの手順は不要 NOT です。
Procedure
基本的な初期手順に従って、新しい panorama ネットワーク接続を開始します。
必要なアップグレードを実行して、新しいバージョン panorama が同じ PanOS バージョンと同じクラウド サービス プラグインにまったく同じであることを確認します。
ライセンスを移行し、新しい panorama ライセンスが古いライセンスと正しい/同じであることを確認します。
Prisma Accessライセンスの転送または更新
検証エラー 1 を修正するには、次の手順に従ってください
。 新しい panorama では、アップデートサーバーからライセンスを取得し、プラグインがインストールされ、 OTP 検証がすでに処理cloud_service準備を整えます。
2. 本番 Panorama アプライアンスが完全に新しい場合は、古いアプライアンスから設定をエクスポート panorama し(まだ行っていない場合)、新しいアプライアンスにインポートします Panorama 。
3. 保存された構成を読み込みます。 この段階でローカルコミットまたはコミット検証を行う場合、config にサブテナント用のモバイルオンボーディングがある場合、エラーが少ないことがわかります。
4. コミット エラーを回避するには、すべてのサブテナントのモバイル ユーザー オンボーディング構成を削除し、[モバイル ユーザー テンプレート] の [グローバル保護ポータルとゲートウェイの構成] を削除 Prisma Access します。
(グローバル保護関連の構成のエラーでコミット検証が失敗する場合は、追加情報セクションを確認してください)
5. モバイル ユーザーのオンボーディング構成は Panorama Cloud services 、> >構成 >選択する各テナント >モバイル ユーザー>下部の削除をクリックして削除する
必要があります。6. コミットを再度検証し、検証エラーがないことを確認します。 (モバイルユーザー/グローバルプロテクト設定に関する検証エラーがある場合は、先に進まないでください)
7. ローカル コミットを実行する前に、デバッグ md5sum_cacheクリア" を実行してください panorama CLI 。
8. ローカルコミットを 9 に panorama
します。 コミットが成功したら、もう一度 config をロードし、 でローカル コミットを再実行 panorama します。 この手順は、削除されたモバイル ユーザーの構成を取り戻すために必要です。
10. 正気チェックを実行して、設定 Prisma access が古いアプライアンスの設定と類似しているか、または必要に応じて類似していることを確認します。
これで panorama 、クラウド ファイアウォールに構成をプッシュする準備ができました。
Additional Information
いくつかの注意点:
手順 4: 主な目的は、すべてのモバイル ユーザーの構成を削除して GlobalProtect Panorama 、エラーを回避することです。 何らかの理由で、これは行われていない場合は、以下の手順に従ってください。- [構成] からモバイル ユーザーのオンボーディング構成 Cloud services >を削除する構成>設定を使用してテナント MU を選択し>モバイル ユーザーを構成を削除します。 (この手順が完了したことを確認します)
- その場合は、それぞれのテンプレートとテンプレート スタックを手動で選択し、残りのポータルまたはゲートウェイ設定を削除します。
- 関連するエラーでコミット検証 GlobalProtect が失敗しても、構成が で使用できない場合は GUI 、手動でさらに手順を実行する必要があります。 このような検証エラーのスニペットを次に示します。
Validation Error: devices -> localhost.localdomain -> template-stack -> mu-stk-tenant1 -> config -> localhost.localdomain -> network -> tunnel -> global-protect-gateway -> GlobalProtect_External_Gateway-N -> local-address is missing 'interface'
- 現在の候補構成.xml ファイルを新しい panorama .
- ファイルを編集し、問題のある設定を見つけて削除します。 この場合、構成は "GlobalProtect_External_Gateway- " N に関連していました。
- この例では、エラーを修正するために、次の設定パラメータを削除する必要があります。
<global-protect-portal/>
<global-protect-gateway/>
</global-protect>
</entry>
</vsys>
<network>
<tunnel>
<global-protect-gateway>
<entry name="GlobalProtect_External_Gateway-N">
<local-address>
<ip/>
</local-address>
<client>
<exclude-video-traffic>
<applications/>
<enabled>no</enabled>
</exclude-video-traffic>
</client>
<ipsec>
<third-party-client>
<enable>no</enable>
</third-party-client>
</ipsec>
<ip-pool/>
</entry>
</global-protect-gateway>
</tunnel>宛先
<global-protect-portal/>
<global-protect-gateway/>
</global-protect>
</entry>
</vsys>
<network>
<tunnel>
<global-protect-gateway/>
</tunnel>
- このファイルの名前を変更し、再度インポート panorama して検証を実行してください。
- 検証エラーがない場合は、コミットを実行する前に、上記の手順 6 に進みます。
注:上記のエラーは一例であり、他のエラーも存在する可能性があります。 Prisma 以外の検証エラーについては、エラーに基づくトラブルシューティングを続行するか、サポートに連絡してガイダンスを確認してください。
たとえば、検証エラーが on GlobalProtect prem を対象とするテンプレートに対して構成されている場合 firewall 、この記事の手順は適用されません。