GCP VM 信息源以错误失败 GCE-ERROR ': 未经授权的 gce : 未授权的许可不足'
7604
Created On 07/12/20 18:31 PM - Last Modified 03/26/21 18:29 PM
Symptom
- VM 信息源配置在 VM- GCP firewall 系列与类型谷歌计算引擎。
- 经过一些系统维护(快照/恢复)需要交换管理和不信任界面 firewall 的谷歌云。
- 这会导致 VM 信息源故障与错误:
vm-info-source v7-panfw-gcp(vsys1): failed to connected to GCE, status GCE-ERROR: gce-unauthorised : Insufficient Permission
连接状态下降:
> show vm-monitor source all Source: v7-panfw-gcp (vsys: vsys1, Host: www.googleapis.com/443) Status : not-conn:idle
mp_使用.log
Error: pan_vm_gce_source_proc(pan_vm_info_src_gce.c:1542): pan_vm_info_source_parse_n_proc_updates failed for vm-info-source v7-panfwp Error: pan_vm_gce_source_parse_updates(pan_vm_info_src_gce.c:1358): GCE-ERROR: gce-unauthorised : Insufficient Permission pan_vm_gce_source_parse_n_proc_updates(pan_vm_info_src_gce.c:831): pan_vm_gce_source_parse_updates failed
系统日志:
vm-info-source GCP Engine(vsys1): failed to connected to GCE, status GCE-ERROR: gce-communication-error no connection is available to Google Cloud.
Environment
- 平台: VM- 系列 GCP
- PAN-OS /插件版本:任何
- 部署:新/现有
Cause
- PAN-OS "设备> VM 信息源>项目 ID "下的配置问题。 可能正在使用 GCP 项目名称(大写)。
- 或者,与实例关联的服务帐户 PA-VM 没有足够的 IAM 权限。
- 虽然,服务帐户最初配置了足够的权限。 但是,当 PA-VM 实例在 Google 云上快照并恢复实例时可能会导致相关 IAM 权限被删除。
- 要确认此问题,请检查根壳的诊断日志 PAN-OS :
语法:# /usr/local/bin/pan_gce_vmmonitor.py '<vm-info-source name>' '<gcp-zone-name>' '' 0
示例:# /usr/local/bin/pan_gce_vmmonitor.py 'v7i-sub-project' 'northamerica-northeast1-a' '' 0 GCE-ERROR: gce-unauthorised : Insufficient Permission
用于运行配置:
<vm-info-source> <entry name="v7-panfw-vm"> <Google-Compute-Engine> <service-auth-type> <service-in-gce/> </service-auth-type> <project-id>V7I-Sub-Project</project-id> <zone-name>northamerica-northeast1-a</zone-name> <disabled>no</disabled> </Google-Compute-Engine> </entry> </vm-info-source>
Resolution
- 将"设备> VM 信息源>项目ID"配置 firewall 替换为预期的项目ID(小写字母)。 你可以在你的 ID 谷歌 API 控制台找到你的谷歌项目,去谷歌 API 控制台,从下拉式选择器选择你的项目,然后你会发现 该项目 ID 在"主页"屏幕。
- 将 计算引擎仅读 IAM 角色添加到服务帐户关联实例中。
- 实例只能有一个服务帐户,服务帐户必须与实例在同一项目中创建。