GCP VM Source d’information échoue par GCE-ERROR erreur ' : gce-non autorisé : Autorisation insuffisante'

GCP VM Source d’information échoue par GCE-ERROR erreur ' : gce-non autorisé : Autorisation insuffisante'

7593
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM


Symptom


  • VM Sources d’information est configurée VM- sur série avec le type Google GCP firewall Compute Engine.
  • Après une certaine maintenance du système (instantané / restauration) nécessaire pour échanger les interfaces de gestion et de non-confiance pour firewall le sur Google Cloud.
  • Cela a provoque VM l’échec des sources d’information par erreur:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission

L’état de connexion diminue :
    > show vm-monitor source all
Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443)
Status : not-conn:idle



    mp\useridd.log
    Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed 
for vm-info-source v7-panfwp
Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient
Permission
pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed


    Journal du système:
    vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error 
no connection is available to Google Cloud.

    Environment


    • Plate-forme: VM- Série sur GCP
    • PAN-OS / Plugin Version: Tout
    • Déploiement : Nouveau/Existant

    Cause


    • PAN-OS problème de configuration sous 'Device > VM Information Sources > Project ID '. Peut-être en GCP utilisant le nom du projet (majuscase).
    • Ou, compte de service associé à PA-VM l’instance n’a pas suffisamment IAM d’autorisations.
    • Bien que, compte de service a été configuré avec suffisamment d’autorisations initialement. Toutefois, lorsque PA-VM l’instance est instantanée sur Google Cloud et que l’instance est restaurée, les IAM autorisations associées peuvent être supprimées.
    • Pour confirmer ce problème, vérifiez les journaux de débogage de la PAN-OS coquille racine :

      Syntaxe:
      # /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' ''   0


      Exemple:
      # /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' ''   0
GCE-ERROR: gce-unauthorised : Insufficient Permission
    pour la configuration en cours d’exécution :
    <vm-info-source>
<entry name="v7-panfw-vm">
<Google-Compute-Engine>
<service-auth-type>
<service-in-gce/>
</service-auth-type>
<project-id>V7I-Sub-Project</project-id>
<zone-name>northamerica-northeast1-a</zone-name>
<disabled>no</disabled>
</Google-Compute-Engine>
</entry>
</vm-info-source>

     

    Resolution


    1. Remplacer 'Device > Information Sources > VM Project ID' configuration sur firewall le avec un projectID attenduID (lowercase). Vous pouvez trouver votre projet Google ID dans votre API console Google,aller sur la console Google, choisir votre projet à partir API du sélecteur drop-down, puis vous trouverez le projet ID dans l’écran « Accueil ».
    2. Ajouter le rôle de lecture uniquement du moteur de calcul à IAM l’associé de compte de service à une instance.
    3. Une instance ne peut avoir qu’un seul compte de service, et le compte de service doit avoir été créé dans le même projet que l’instance.
       
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UnSCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language