GCP VM Source d’information échoue par GCE-ERROR erreur ' : gce-non autorisé : Autorisation insuffisante'
7593
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM Sources d’information est configurée VM- sur série avec le type Google GCP firewall Compute Engine.
- Après une certaine maintenance du système (instantané / restauration) nécessaire pour échanger les interfaces de gestion et de non-confiance pour firewall le sur Google Cloud.
- Cela a provoque VM l’échec des sources d’information par erreur:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission
L’état de connexion diminue :
> show vm-monitor source all Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443) Status : not-conn:idle
mp\useridd.log
Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed for vm-info-source v7-panfwp Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient Permission pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed
Journal du système:
vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error no connection is available to Google Cloud.
Environment
- Plate-forme: VM- Série sur GCP
- PAN-OS / Plugin Version: Tout
- Déploiement : Nouveau/Existant
Cause
- PAN-OS problème de configuration sous 'Device > VM Information Sources > Project ID '. Peut-être en GCP utilisant le nom du projet (majuscase).
- Ou, compte de service associé à PA-VM l’instance n’a pas suffisamment IAM d’autorisations.
- Bien que, compte de service a été configuré avec suffisamment d’autorisations initialement. Toutefois, lorsque PA-VM l’instance est instantanée sur Google Cloud et que l’instance est restaurée, les IAM autorisations associées peuvent être supprimées.
- Pour confirmer ce problème, vérifiez les journaux de débogage de la PAN-OS coquille racine :
Syntaxe:# /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' '' 0
Exemple:# /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' '' 0 GCE-ERROR: gce-unauthorised : Insufficient Permission
pour la configuration en cours d’exécution :
<vm-info-source> <entry name="v7-panfw-vm"> <Google-Compute-Engine> <service-auth-type> <service-in-gce/> </service-auth-type> <project-id>V7I-Sub-Project</project-id> <zone-name>northamerica-northeast1-a</zone-name> <disabled>no</disabled> </Google-Compute-Engine> </entry> </vm-info-source>
Resolution
- Remplacer 'Device > Information Sources > VM Project ID' configuration sur firewall le avec un projectID attenduID (lowercase). Vous pouvez trouver votre projet Google ID dans votre API console Google,aller sur la console Google, choisir votre projet à partir API du sélecteur drop-down, puis vous trouverez le projet ID dans l’écran « Accueil ».
- Ajouter le rôle de lecture uniquement du moteur de calcul à IAM l’associé de compte de service à une instance.
- Une instance ne peut avoir qu’un seul compte de service, et le compte de service doit avoir été créé dans le même projet que l’instance.