GCP VM Fuente de información falla con error ' GCE-ERROR : gce-unuthorised : Insuficiente permiso'

GCP VM Fuente de información falla con error ' GCE-ERROR : gce-unuthorised : Insuficiente permiso'

7579
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • VM Fuentes de información se configuran en VM- serie con el tipo Google Compute GCP firewall Engine.
  • Después de un poco de mantenimiento del sistema (instantánea / restauración) necesario para intercambiar las interfaces de administración y desconfianza para firewall el en Google Cloud.
  • Esto ha causa VM el error de fuentes de información con el error:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission

El estado de la conexión disminuye:
    > show vm-monitor source all
Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443)
Status : not-conn:idle



    mp\useridd.log
    Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed 
for vm-info-source v7-panfwp
Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient
Permission
pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed


    Registro del sistema:
    vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error 
no connection is available to Google Cloud.

    Environment


    • Plataforma: VM- Serie en GCP
    • PAN-OS / Versión del plugin: Cualquier
    • Implementación: Nuevo/Existente

    Cause


    • PAN-OS en 'Fuentes de información de > dispositivo VM > ID proyecto'. Podría estar usando GCP Nombre del proyecto (mayúsculas).
    • O bien, la cuenta de servicio asociada a PA-VM la instancia no tiene suficientes IAM permisos.
    • Aunque, la cuenta de servicio se configuró con permisos suficientes inicialmente. Sin embargo, cuando PA-VM la instancia se instantánea en Google Cloud y se restaura la instancia puede provocar la eliminación de los IAM permisos asociados.
    • Para confirmar este problema, compruebe los registros de depuración del PAN-OS shell raíz:

      Sintaxis:
      # /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' ''   0


      Ejemplo:
      # /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' ''   0
GCE-ERROR: gce-unauthorised : Insufficient Permission
    para la configuración en ejecución:
    <vm-info-source>
<entry name="v7-panfw-vm">
<Google-Compute-Engine>
<service-auth-type>
<service-in-gce/>
</service-auth-type>
<project-id>V7I-Sub-Project</project-id>
<zone-name>northamerica-northeast1-a</zone-name>
<disabled>no</disabled>
</Google-Compute-Engine>
</entry>
</vm-info-source>

     

    Resolution


    1. Reemplace 'Device > Information Sources > VM Project ID' configuration on the firewall with a expected projectID (minúsculas). Puedes encontrar tu Proyecto de Google ID en tu API consola de Google,ir a la API consola de Google, elegir tu proyecto en el selector desplegable y, a continuación, encontrarás el proyecto ID en la pantalla "Inicio".
    2. Agregue el rol de solo lectura de Compute Engine a la cuenta de servicio asociado a una IAM instancia.
    3. Una instancia solo puede tener una cuenta de servicio y la cuenta de servicio debe haberse creado en el mismo proyecto que la instancia.
       
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UnSCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language