GCP VM Informationsquelle schlägt mit Fehler fehl ' GCE-ERROR : gce-unauthorized : Unzureichende Berechtigung'

GCP VM Informationsquelle schlägt mit Fehler fehl ' GCE-ERROR : gce-unauthorized : Unzureichende Berechtigung'

7581
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • VM Informationsquellen werden auf VM- Serie mit typ Google Compute Engine GCP firewall konfiguriert.
  • Nach einigen Systemwartung (Snapshot / Wiederherstellung) erforderlich, um die Verwaltung und Untrust Schnittstellen für die auf Google Cloud zu firewall tauschen.
  • Dies hat zu VM einem Fehler bei Informationsquellen mit Einem Fehler führen:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission

Verbindungsstatus sinkt:
    > show vm-monitor source all
Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443)
Status : not-conn:idle



    mp-useridd.log
    Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed 
for vm-info-source v7-panfwp
Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient
Permission
pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed


    Systemprotokoll:
    vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error 
no connection is available to Google Cloud.

    Environment


    • Plattform: VM- Serie auf GCP
    • PAN-OS / Plugin-Version: Beeine
    • Bereitstellung: Neu/Bestehend

    Cause


    • PAN-OS Konfigurationsproblem unter "Device > VM Information Sources > ID Project". Könnte GCP Project Name (Großbuchstabe) verwenden.
    • Oder das Dienstkonto, das der Instanz zugeordnet PA-VM ist, verfügt nicht über ausreichende IAM Berechtigungen.
    • Obwohl das Dienstkonto ursprünglich mit ausreichenden Berechtigungen konfiguriert wurde. Wenn die Instance jedoch PA-VM in Der Google Cloud Snapshotted ist und die Instanz wiederhergestellt wird, kann dies dazu führen, dass zugehörige Berechtigungen gelöscht IAM werden.
    • Um dieses Problem zu bestätigen, überprüfen Sie debug-Protokolle von PAN-OS root shell:

      Syntax:
      # /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' ''   0


      Beispiel:
      # /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' ''   0
GCE-ERROR: gce-unauthorised : Insufficient Permission
    für die Ausführung der Konfiguration:
    <vm-info-source>
<entry name="v7-panfw-vm">
<Google-Compute-Engine>
<service-auth-type>
<service-in-gce/>
</service-auth-type>
<project-id>V7I-Sub-Project</project-id>
<zone-name>northamerica-northeast1-a</zone-name>
<disabled>no</disabled>
</Google-Compute-Engine>
</entry>
</vm-info-source>

     

    Resolution


    1. Ersetzen Sie 'Device > Information Sources > VM Project ID' Konfiguration auf der firewall durch eine erwartete ProjectID (Kleinbuchstaben). Sie können Ihr Google-Projekt ID in Ihrer API Google-Konsolefinden, zur API Google-Konsole gehen, Ihr Projekt aus der Dropdown-Auswahl auswählen und dann finden Sie das Projekt ID im Bildschirm "Startseite".
    2. Hinzufügen einer Schreibfunktion für Computemodul IAM zum Dienstkonto, das einer Instanz zugeordnet ist.
    3. Eine Instanz kann nur über ein Dienstkonto verfügen, und das Dienstkonto muss im selben Projekt wie die Instanz erstellt worden sein.
       
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UnSCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language