La IP flotante no se mueve al firewall del mismo nivel después de una conmutación por error de HA (activa/pasiva).

La IP flotante no se mueve al firewall del mismo nivel después de una conmutación por error de HA (activa/pasiva).

5807
Created On 01/24/25 15:19 PM - Last Modified 10/25/25 17:25 PM


Symptom


  • The floating IP address stayed with the active firewall after failover.
  • When an HA Failover occurs, pan_vm_plugin.log reports "Moving Secondary IP failed - Not able to get Peer's VNIC attachments" 
    > less mp-log pan_vm_plugin.log
-0600 vm_ha_state_trans INFO: Authenticate and retrieve an instance principal token
-0600 vm_ha_state_trans INFO: Connection Error: HTTPSConnectionPool(host='auth.us-phoenix-1.oraclecloud.com', port=443):
Max retries exceeded with url: /v1/x509 (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fa5b5c6a5c0>: 
Failed to establish a new connection: [Errno 110] Connection timed out',))
-0600 vm_ha_state_trans INFO: : Moving Secondary IP failed - Not able to get Peer's VNIC attachments. Err: ConnError
  • Es posible que el estado del sistema no se actualice con el ID de la instancia OCI del par:
> show system state | match instance

ha.app.peer.platform: { 'eni': [ ], 'instance-id': NULL, }
peer.cfg.general.max-fibinstance: 0xff

Environment


  • PA VM
  • PAN-OS
  • Espacio de nube pública y privada

Cause


  • El problema estaba relacionado con una resolución de DNS incorrecta que causaba problemas con la recuperación de metadatos de OCI, lo que generaba un comportamiento de conmutación por error incorrecto.
  • En concreto, la resolución de DNS está bloqueada por un proxy en el management port (puerto de gestión - MGT port).

Resolution


  1. Verifique si algún nodo bloquea la conexión del management port (puerto de gestión - MGT port) a la URL de Oraclecloud o la dirección IP relacionada, por ejemplo, en el ejemplo anterior de pan_vm_plugin.log: https://auth.us-phoenix-1.oraclecloud.com/v1/x509
  2. Elimine la dirección del servidor proxy para el management port (puerto de gestión - MGT port) desde Dispositivo > Configuración > Servicios
  3. Reiniciar la VM
  4. Se realizó una prueba de conmutación por error para garantizar una transición correcta.

Additional Information


Configurar HA activa/pasiva en OCI
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000PR6TCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language