Floating IP wird nach HA Ausfall(Aktiv/Passiv) nicht zur Peer-Firewall verschoben.

• The floating IP address stayed with the active firewall after failover.

• When an HA Failover occurs, pan_vm_plugin.log reports "Moving Secondary IP failed - Not able to get Peer's VNIC attachments"

  > less mp-log pan_vm_plugin.log
  -0600 vm_ha_state_trans INFO: Authenticate and retrieve an instance principal token
  -0600 vm_ha_state_trans INFO: Connection Error: HTTPSConnectionPool(host='auth.us-phoenix-1.oraclecloud.com', port=443):
  Max retries exceeded with url: /v1/x509 (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fa5b5c6a5c0>: 
  Failed to establish a new connection: [Errno 110] Connection timed out',))
  -0600 vm_ha_state_trans INFO: : Moving Secondary IP failed - Not able to get Peer's VNIC attachments. Err: ConnError

• Der Status wird möglicherweise nicht mit der Peer-OCI-Instanz-ID aktualisiert:

> show system state | match instance

ha.app.peer.platform: { 'eni': [ ], 'instance-id': NULL, }
peer.cfg.general.max-fibinstance: 0xff

• PA VM
• PAN-OS
• Privater und öffentlicher Cloud-Bereich

• Das Problem hing mit einer falschen DNS Auflösung zusammen, die Probleme beim Abrufen von OCI-Metadaten verursachte und zu einem falschen Ausfall Verhalten führte.
• Insbesondere wird die DNS Auflösung durch einen Proxy am Management Port (Management-Port, MGT Port) blockiert.

1. Überprüfen Sie, ob ein Knoten die Verbindung des Management Port (Management-Port, MGT Port) zur Oraclecloud-URL oder zur zugehörigen IP-Adresse blockiert, beispielsweise im obigen Beispiel aus pan_vm_plugin.log: https://auth.us-phoenix-1.oraclecloud.com/v1/x509
2. Entfernen Sie die Proxyserveradresse für den Management Port (Management-Port, MGT Port) unter Gerät > Setup > Dienste
3. Starten Sie die VM neu
4. Um einen korrekten Übergang sicherzustellen, wurde ein Ausfall -Test durchgeführt.
   
   

Konfigurieren Sie Active/Passive HA auf OCI