L'adresse IP flottante ne se déplace pas vers le pare-feu homologue après le basculement HA (actif/passif).

• The floating IP address stayed with the active firewall after failover.

• When an HA Failover occurs, pan_vm_plugin.log reports "Moving Secondary IP failed - Not able to get Peer's VNIC attachments"

  > less mp-log pan_vm_plugin.log
  -0600 vm_ha_state_trans INFO: Authenticate and retrieve an instance principal token
  -0600 vm_ha_state_trans INFO: Connection Error: HTTPSConnectionPool(host='auth.us-phoenix-1.oraclecloud.com', port=443):
  Max retries exceeded with url: /v1/x509 (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fa5b5c6a5c0>: 
  Failed to establish a new connection: [Errno 110] Connection timed out',))
  -0600 vm_ha_state_trans INFO: : Moving Secondary IP failed - Not able to get Peer's VNIC attachments. Err: ConnError

• état du système peut ne pas être mis à jour avec l'ID d'instance OCI homologue :

> show system state | match instance

ha.app.peer.platform: { 'eni': [ ], 'instance-id': NULL, }
peer.cfg.general.max-fibinstance: 0xff

• PA- VM
• PAN-OS
• Espace cloud privé et public

• Le problème était lié à une résolution DNS incorrecte provoquant des problèmes de récupération des métadonnées OCI, entraînant un comportement de basculement incorrect.
• Plus précisément, la résolution DNS est bloquée par un proxy sur le port de gestion.

1. Vérifiez si un nœud bloque la connexion du port de gestion à l'URL Oraclecloud ou à l'adresse IP associée, par exemple dans l'exemple ci-dessus de pan_vm_plugin.log : https://auth.us-phoenix-1.oraclecloud.com/v1/x509
2. Supprimez l'adresse du serveur proxy pour le port de gestion depuis Appareil > Configuration > Services
3. Redémarrer la VM
4. Un test de basculement a été effectué pour garantir une transition correcte.
   
   

Configurer la HA active/passive sur OCI