GCP VM Informationsquelle schlägt mit Fehler fehl ' GCE-ERROR : gce-unauthorized : Unzureichende Berechtigung'
7581
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM Informationsquellen werden auf VM- Serie mit typ Google Compute Engine GCP firewall konfiguriert.
- Nach einigen Systemwartung (Snapshot / Wiederherstellung) erforderlich, um die Verwaltung und Untrust Schnittstellen für die auf Google Cloud zu firewall tauschen.
- Dies hat zu VM einem Fehler bei Informationsquellen mit Einem Fehler führen:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission
Verbindungsstatus sinkt:
> show vm-monitor source all Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443) Status : not-conn:idle
mp-useridd.log
Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed for vm-info-source v7-panfwp Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient Permission pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed
Systemprotokoll:
vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error no connection is available to Google Cloud.
Environment
- Plattform: VM- Serie auf GCP
- PAN-OS / Plugin-Version: Beeine
- Bereitstellung: Neu/Bestehend
Cause
- PAN-OS Konfigurationsproblem unter "Device > VM Information Sources > ID Project". Könnte GCP Project Name (Großbuchstabe) verwenden.
- Oder das Dienstkonto, das der Instanz zugeordnet PA-VM ist, verfügt nicht über ausreichende IAM Berechtigungen.
- Obwohl das Dienstkonto ursprünglich mit ausreichenden Berechtigungen konfiguriert wurde. Wenn die Instance jedoch PA-VM in Der Google Cloud Snapshotted ist und die Instanz wiederhergestellt wird, kann dies dazu führen, dass zugehörige Berechtigungen gelöscht IAM werden.
- Um dieses Problem zu bestätigen, überprüfen Sie debug-Protokolle von PAN-OS root shell:
Syntax:# /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' '' 0
Beispiel:# /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' '' 0 GCE-ERROR: gce-unauthorised : Insufficient Permission
für die Ausführung der Konfiguration:
<vm-info-source> <entry name="v7-panfw-vm"> <Google-Compute-Engine> <service-auth-type> <service-in-gce/> </service-auth-type> <project-id>V7I-Sub-Project</project-id> <zone-name>northamerica-northeast1-a</zone-name> <disabled>no</disabled> </Google-Compute-Engine> </entry> </vm-info-source>
Resolution
- Ersetzen Sie 'Device > Information Sources > VM Project ID' Konfiguration auf der firewall durch eine erwartete ProjectID (Kleinbuchstaben). Sie können Ihr Google-Projekt ID in Ihrer API Google-Konsolefinden, zur API Google-Konsole gehen, Ihr Projekt aus der Dropdown-Auswahl auswählen und dann finden Sie das Projekt ID im Bildschirm "Startseite".
- Hinzufügen einer Schreibfunktion für Computemodul IAM zum Dienstkonto, das einer Instanz zugeordnet ist.
- Eine Instanz kann nur über ein Dienstkonto verfügen, und das Dienstkonto muss im selben Projekt wie die Instanz erstellt worden sein.