GCP VM Fuente de información falla con error ' GCE-ERROR : gce-unuthorised : Insuficiente permiso'
7579
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM Fuentes de información se configuran en VM- serie con el tipo Google Compute GCP firewall Engine.
- Después de un poco de mantenimiento del sistema (instantánea / restauración) necesario para intercambiar las interfaces de administración y desconfianza para firewall el en Google Cloud.
- Esto ha causa VM el error de fuentes de información con el error:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission
El estado de la conexión disminuye:
> show vm-monitor source all Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443) Status : not-conn:idle
mp\useridd.log
Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed for vm-info-source v7-panfwp Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient Permission pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed
Registro del sistema:
vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error no connection is available to Google Cloud.
Environment
- Plataforma: VM- Serie en GCP
- PAN-OS / Versión del plugin: Cualquier
- Implementación: Nuevo/Existente
Cause
- PAN-OS en 'Fuentes de información de > dispositivo VM > ID proyecto'. Podría estar usando GCP Nombre del proyecto (mayúsculas).
- O bien, la cuenta de servicio asociada a PA-VM la instancia no tiene suficientes IAM permisos.
- Aunque, la cuenta de servicio se configuró con permisos suficientes inicialmente. Sin embargo, cuando PA-VM la instancia se instantánea en Google Cloud y se restaura la instancia puede provocar la eliminación de los IAM permisos asociados.
- Para confirmar este problema, compruebe los registros de depuración del PAN-OS shell raíz:
Sintaxis:# /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' '' 0
Ejemplo:# /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' '' 0 GCE-ERROR: gce-unauthorised : Insufficient Permission
para la configuración en ejecución:
<vm-info-source> <entry name="v7-panfw-vm"> <Google-Compute-Engine> <service-auth-type> <service-in-gce/> </service-auth-type> <project-id>V7I-Sub-Project</project-id> <zone-name>northamerica-northeast1-a</zone-name> <disabled>no</disabled> </Google-Compute-Engine> </entry> </vm-info-source>
Resolution
- Reemplace 'Device > Information Sources > VM Project ID' configuration on the firewall with a expected projectID (minúsculas). Puedes encontrar tu Proyecto de Google ID en tu API consola de Google,ir a la API consola de Google, elegir tu proyecto en el selector desplegable y, a continuación, encontrarás el proyecto ID en la pantalla "Inicio".
- Agregue el rol de solo lectura de Compute Engine a la cuenta de servicio asociado a una IAM instancia.
- Una instancia solo puede tener una cuenta de servicio y la cuenta de servicio debe haberse creado en el mismo proyecto que la instancia.