Azure VM 不会在HA故障转移

Azure VM 不会在HA故障转移

24979
Created On 02/19/21 08:19 AM - Last Modified 10/25/25 17:18 PM


Symptom


  • 每当为高可用性触发故障转移时VM使用 Floating 部署在 Microsoft Azure 上的集群IP地址设置为接口的辅助地址,一个或多个浮动IP地址不会转向新的 ActiveVM设备。
  • 在故障转移前后,新活动服务器上的 pan_vm_plugin.log 文件firewall表明HTTP PUT对 Azure 的请求(用于附加NIC) 失败,响应代码为 403:
vm_ha_state_trans INFO: : Probe result for detaching NIC: paloalto1-untrust is : {u'status': u'Succeeded'}
vm_ha_state_trans INFO: : DEBUG: Sending attach command for NIC : paloalto2-untrust
vm_ha_state_trans INFO: : Instance running in region 'westus'
vm_ha_state_trans INFO: : URL for put request: https://management.azure.com//subscriptions/<sanitized string>/resourceGroups
                          /paloaltonetworks/providers/Microsoft.Network/networkInterfaces/paloalto2-untrust?api-version=2019-11-01
vm_ha_state_trans INFO: : Put Request Failed: 403

Environment


  • VM Azure 上的防火墙。
  • HA主动-被动配置。
  • 任何PAN-OS.
  • 两个实例都在同一个资源组下
  • 漂浮的IP地址被分配为辅助第 3 层地址firewall活动设备上的接口

Cause


这是由与防火墙关联的 Azure 服务主体的授权级别引起的问题。
该帐户没有足够的权限来执行请求的转移操作。

Resolution


请确保我们关联的服务主体帐户被分配了 '贡献者' 下的作用IAMMicrosoft Azure 的设置。
这将为firewall要求IP转账成功。

Additional Information


pan_vm_plugin.log 文件可以通过登录来检查firewallCLI并运行:
less mp-log pan_vm_plugin.log
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCwICAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language