Cómo solucionar problemas de conexión gRPC entre el firewall y ACE Application Cloud Engine/Content Cloud
43918
Created On 04/03/23 22:40 PM - Last Modified 01/07/25 11:37 AM
Objective
Cómo solucionar problemas de fallas de conexión entre Firewall MP/DP y ACE Application Cloud Engine/Content Cloud.
Environment
- Cortafuegos de Palo Alto
- PAN-OS 10.1 y superior.
- Motor de nube de App-ID (ACE)
- Content Cloud (administrador de archivos)
Procedure
- Check that a device certificate is valid and present on the FW.
show device-certificate status - Check that the SaaS Security Inline license is present and Valid.
request license info - Compruebe que la ruta de servicio de Servicios de datos esté configurada correctamente. (El valor predeterminado es administración)
- Verifique si el cortafuegos ascendente permite las aplicación paloalto-ace, paloalto-ace-kcs y OCSP (para la validación de certificado ).
- Asegúrese de que el motor de nube App-ID esté habilitado en el Firewall (está habilitado de forma valor predeterminado en el FW).
- Troubleshoot the connection between Firewall Management Plane (MP) and App-ID Cloud Engine (ACE):
- Check the cloud connection status to the Firewall MP.
show cloud-appid connection-to-cloud- Nota: Además del estado de la conexión, esta salida ayudará a guiar la resolución de problemas al indicar si el problema es el certificado del dispositivo o la licencia faltante, como se explica aquí .
- Check the network connection between the Firewall Data Services service route, source IP, and the ACE server, destination FQDN:
traceroute host kcs.ace.tpcloud.paloaltonetworks.com- Nota: Este comando es válido en caso de que se utilice Management como ruta de servicio de Data Services y kcs.ace.tpcloud.paloaltonetworks.com sea el FQDN del servidor ACE que se encuentra en la salida de 5.a. De lo contrario, agregue source al comando seguido de la Dirección IP de la interfaz del plano de datos utilizada como ruta de servicio.
- Check if connection is established on port 443 between the Firewall and the ACE server:
show netstat numeric-hosts yes numeric-ports yes | match 34.120.110.215- Donde 34.120.110.215 sería la Dirección IP del servidor ACE resuelta por el servidor DNS en B
- Check Firewall system logs related to this MP connection:
show log system subtype equal app-cloud-engine direction equal backward - As last resort and if needing to restart the connection between FW MP and ACE server use:
debug cloud-appid reset connection-to-cloud
- Check the cloud connection status to the Firewall MP.
- Troubleshoot the connection between Firewall Data Plane (DP) and Content Cloud (filemanager):
- Check the cloud connection status to the Firewall DP.
show ctd-agent status security-client- Nota: en la sección " Security Client Ace ", la conexión a la nube debe mostrarse conectada y el estado del pool debe mostrarse Listo (2) .
- Check the network connection between the Firewall Data Services service route, source IP, and the Content Cloud (filemanager) server, destination FQDN:
traceroute host ace.hawkeye.services-edge.paloaltonetworks.com- Nota: Este comando es válido en caso de que se utilice Management como ruta de servicio de Data Services y ace.hawkeye.services-edge.paloaltonetworks.com sea el FQDN del servidor de Content Cloud que se encuentra en el resultado de 6.a. De lo contrario, agregue source al comando seguido de la Dirección IP de la interfaz del plano de datos utilizada como ruta de servicio y el FQDN adecuado según su región.
- Check if connection is established on port 443 between the Firewall and the Content Cloud (filemanager) server:
show netstat numeric-hosts yes numeric-ports yes | match 34.111.222.75- Donde 34.11.222.75 sería la Dirección IP del servidor Content Cloud resuelta por el servidor DNS en 6. B
- Check Firewall system logs related to this DP connection:
show log system subtype equal ctd-agent-connection direction equal backward - As last resort and if needing to restart the connection between FW DP and Content Cloud server use the following CLI with great caution knowing that it is very disruptive as it also affects other Firewall's inline cloud analysis services (IOT, enterprise DLP, advanced URL filtering).
debug software restart process ctd-agent- Nota: Reiniciar ctd-agent restablecerá la conexión entre Firewall DP y el servidor de Content Cloud.
- Check the cloud connection status to the Firewall DP.
Additional Information
Prepárese para implementar APP-ID Cloud Engine
Solución de problemas de APP-ID Cloud Engine
The Firewall maintains two connections to the cloud: One connection from Firewall MP to ACE server and another connection from Firewall DP to Content Cloud server.
Below is an example of the output of a good connection between FW and ACE.
> show ctd-agent status security-client
Security Client Ace(1)
Current cloud server: ace.hawkeye.services-edge.paloaltonetworks.com:443
Cloud connection: connected
Config:
Number of gRPC connections: 2, Number of workers: 5
Debug level: 2, Insecure connection: false, Cert valid: true, Key valid: true, CA count: 383
Maximum number of workers: 10
Maximum number of sessions a worker should process before reconnect: 1024
Maximum number of messages per worker: 0
Skip cert verify: false
Grpc Connection Status:
State Ready (3), last err <nil>
Pool state: Ready (2)
last update: 2023-04-10 11:29:18.888023715 -0700 PDT m=+330284.693222939
last connection retry: 2023-04-10 09:27:50.049422541 -0700 PDT m=+322995.854622294
last pool close: 2023-04-10 09:27:32.141236266 -0700 PDT m=+322977.946435573
26 Aug 24 (Vijay) - Article updated with correction (OCSP R-003933)