HAフェイルオーバー(アクティブ/パッシブ) 後にフローティング IP がピア ファイアウォールに移動されません。

• The floating IP address stayed with the active firewall after failover.

• When an HA Failover occurs, pan_vm_plugin.log reports "Moving Secondary IP failed - Not able to get Peer's VNIC attachments"

  > less mp-log pan_vm_plugin.log
  -0600 vm_ha_state_trans INFO: Authenticate and retrieve an instance principal token
  -0600 vm_ha_state_trans INFO: Connection Error: HTTPSConnectionPool(host='auth.us-phoenix-1.oraclecloud.com', port=443):
  Max retries exceeded with url: /v1/x509 (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fa5b5c6a5c0>: 
  Failed to establish a new connection: [Errno 110] Connection timed out',))
  -0600 vm_ha_state_trans INFO: : Moving Secondary IP failed - Not able to get Peer's VNIC attachments. Err: ConnError

• システム状態はピア OCI インスタンス ID で更新されない可能性があります:

> show system state | match instance

ha.app.peer.platform: { 'eni': [ ], 'instance-id': NULL, }
peer.cfg.general.max-fibinstance: 0xff

• PA VM
• PAN-OS
• プライベートおよびパブリッククラウドスペース

• この問題は、 DNS解決が正しくないことに関連しており、OCI メタデータの取得に問題が発生し、フェイルオーバーの動作が不正確になります。
• 具体的には、management port ( 管理ポート - MGT port)上のプロキシによってDNS解決がブロックされています。

1. Oraclecloud URL または関連 IP アドレスへのmanagement port ( 管理ポート - MGT port)接続をブロックしているノードがないか確認します (上記の pan_vm_plugin.log の例では次のようになります)。https: //auth.us-phoenix-1.oraclecloud.com/v1/x509
2. デバイス > セットアップ > サービスからmanagement port ( 管理ポート - MGT port)のプロキシサーバーアドレスを削除します。
3. VMを再起動する
4. 正しい移行を確実に行うためにフェイルオーバーテストを実行しました。
   
   

OCIでアクティブ/パッシブHAを構成する