HA 페일오버(Active/Passive) 후, 플로팅 IP가 피어 방화벽으로 이동하지 않습니다.
5807
Created On 01/24/25 15:19 PM - Last Modified 10/25/25 17:25 PM
Symptom
-
The floating IP address stayed with the active firewall after failover.
- When an HA Failover occurs, pan_vm_plugin.log reports "Moving Secondary IP failed - Not able to get Peer's VNIC attachments"
> less mp-log pan_vm_plugin.log -0600 vm_ha_state_trans INFO: Authenticate and retrieve an instance principal token -0600 vm_ha_state_trans INFO: Connection Error: HTTPSConnectionPool(host='auth.us-phoenix-1.oraclecloud.com', port=443): Max retries exceeded with url: /v1/x509 (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7fa5b5c6a5c0>: Failed to establish a new connection: [Errno 110] Connection timed out',)) -0600 vm_ha_state_trans INFO: : Moving Secondary IP failed - Not able to get Peer's VNIC attachments. Err: ConnError
- 시스템 상태 피어 OCI 인스턴스 ID로 업데이트되지 않을 수 있습니다.
> show system state | match instance
ha.app.peer.platform: { 'eni': [ ], 'instance-id': NULL, }
peer.cfg.general.max-fibinstance: 0xffEnvironment
- PA- VM
- PAN-OS
- 프라이빗 및 퍼블릭 클라우드 공간
Cause
- 이 문제는 잘못된 DNS 확인으로 인해 OCI 메타데이터 검색에 문제가 발생하여 잘못된 페일오버 동작이 발생하는 것과 관련이 있습니다.
- 구체적으로, DNS 확인은 Management Port (관리 포트 - MGT 포트) 의 프록시에 의해 차단됩니다.
Resolution
- 예를 들어, 위의 pan_vm_plugin.log에서 볼 수 있듯이 Oraclecloud url 또는 관련 IP 주소에 대한 Management Port (관리 포트 - MGT 포트) 연결을 차단하는 노드가 있는지 확인하세요: https://auth.us-phoenix-1.oraclecloud.com/v1/x509
- 장치 > 설정 > 서비스 에서 Management Port (관리 포트 - MGT 포트) 에 대한 프록시 서버 주소를 제거합니다.
- VM 을 재부팅하세요
- 올바른 전환을 보장하기 위해 페일오버 테스트를 수행했습니다.
Additional Information