GCP VM 情報ソースがエラーで失敗する ' GCE-ERROR : gce-unpermission : 権限が不十分です'
7573
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM 情報源は、 VM- GCP firewall タイプが Google コンピューティング エンジンのシリーズで構成されます。
- Google Cloud 上の管理および信頼されていないインターフェイスを交換するために必要なシステムメンテナンス(スナップショット/復元)の後 firewall 。
- これにより、 VM エラーが発生して情報ソースが失敗します。
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission
接続状態の低下:
> show vm-monitor source all Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443) Status : not-conn:idle
mp\ユーザー idd.log
Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed for vm-info-source v7-panfwp Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient Permission pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed
システム ログ:
vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error no connection is available to Google Cloud.
Environment
- プラットフォーム: VM- シリーズオン GCP
- PAN-OS / プラグインバージョン: 任意
- 展開: 新規/既存
Cause
- PAN-OS 「デバイス> VM 情報ソース>プロジェクト」の下の設定の問題 ID 。 GCPプロジェクト名 (大文字) を使用している可能性があります。
- または、インスタンスに関連付けられているサービス アカウント PA-VM に十分な IAM アクセス許可がありません。
- ただし、サービス アカウントは、最初は十分なアクセス許可で構成されていました。 ただし、 PA-VM インスタンスが Google Cloud でスナップショットを作成され、インスタンスが復元されると、関連する IAM アクセス許可が削除される可能性があります。
- この問題を確認するには、root シェルのデバッグログを確認 PAN-OS
します: 構文:# /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' '' 0
例:# /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' '' 0 GCE-ERROR: gce-unauthorised : Insufficient Permission
実行コンフィギュレーションの場合:
<vm-info-source> <entry name="v7-panfw-vm"> <Google-Compute-Engine> <service-auth-type> <service-in-gce/> </service-auth-type> <project-id>V7I-Sub-Project</project-id> <zone-name>northamerica-northeast1-a</zone-name> <disabled>no</disabled> </Google-Compute-Engine> </entry> </vm-info-source>
Resolution
- 'デバイス > VM 情報ソース>プロジェクト IDの構成を firewall 予期した プロジェクト ID (小文字)に置き換えます。 Google コンソールで Google プロジェクトを見つけ ID 、Google コンソールに移動し API API 、ドロップダウン セレクターからプロジェクトを選択すると、 そのプロジェクト ID が [ホーム] 画面に表示されます。
- サービス アカウントに コンピューティング エンジンの読み取り専用 IAM ロールを追加して、インスタンスに関連付けます。
- インスタンスは 1 つのサービス アカウントのみを持ち、サービス アカウントはインスタンスと同じプロジェクト内に作成されている必要があります。