Comment résoudre les problèmes de connexion gRPC entre le pare-feu et ACE Application Cloud Engine/Content Cloud

• Pare-feu Palo Alto
• PAN-OS 10.1 et supérieur.
• Moteur Cloud App-ID (ACE)
• Content Cloud (gestionnaire de fichiers)

1. Check that a device certificate is valid and present on the FW.

   show device-certificate status

2. Check that the SaaS Security Inline license is present and Valid.

   request license info

3. Vérifiez que l' itinéraire de service Data Services est correctement configuré. (La valeur par défaut est la gestion)
4. Vérifiez si le pare-feu en amont autorise les application paloalto-ace, paloalto-ace-kcs et OCSP (pour la validation du certificat ).
5. Assurez-vous que le moteur cloud App-ID est activé sur le pare-feu (il est activé par par défaut sur le pare-feu).
6. Troubleshoot the connection between Firewall Management Plane (MP) and App-ID Cloud Engine (ACE):
   1. Check the cloud connection status to the Firewall MP.

      show cloud-appid connection-to-cloud   

      1. Remarque : en plus de l' état de la connexion, cette sortie vous aidera à guider votre dépannage en indiquant si le problème est le certificat de appareil ou la licence manquante comme expliqué ici .
   2. Check the network connection between the Firewall Data Services service route, source IP, and the ACE server, destination FQDN:

      traceroute host kcs.ace.tpcloud.paloaltonetworks.com

      1. Remarque : cette commande est valide si Management est utilisé comme itinéraire de service Data Services et que kcs.ace.tpcloud.paloaltonetworks.com est le FQDN du serveur ACE trouvé dans la sortie de 5.a. Sinon, ajoutez la source à la commande suivie de l' adresse IP de l' interface du plan de données utilisée comme itinéraire de service.
   3. Check if connection is established on port 443 between the Firewall and the ACE server:

       show netstat numeric-hosts yes numeric-ports yes | match 34.120.110.215

      1. Où 34.120.110.215 serait l' adresse IP du serveur ACE résolue par le serveur DNS dans 5. B
   4. Check Firewall system logs related to this MP connection:

      show log system subtype equal app-cloud-engine direction equal backward

   5. As last resort and if needing to restart the connection between FW MP and ACE server use:

      debug cloud-appid reset connection-to-cloud

7. Troubleshoot the connection between Firewall Data Plane (DP) and Content Cloud (filemanager):
   1. Check the cloud connection status to the Firewall DP.

      show ctd-agent status security-client

      1. Remarque : sous la section « Security Client Ace », la connexion au cloud doit indiquer qu'elle est connectée et état du pool doit indiquer qu'elle est prête (2) .
   2. Check the network connection between the Firewall Data Services service route, source IP, and the Content Cloud (filemanager) server, destination FQDN:

      traceroute host ace.hawkeye.services-edge.paloaltonetworks.com

      1. Remarque : cette commande est valide si Management est utilisé comme itinéraire de service Data Services et que ace.hawkeye.services-edge.paloaltonetworks.com est le FQDN du serveur Content Cloud trouvé dans la sortie de 6.a. Sinon, ajoutez la source à la commande suivie de l' adresse IP de l' interface du plan de données utilisée comme itinéraire de service et du FQDN complet approprié en fonction de votre région.
   3. Check if connection is established on port 443 between the Firewall and the Content Cloud (filemanager) server:

       show netstat numeric-hosts yes numeric-ports yes | match 34.111.222.75

      1. Où 34.11.222.75 serait l' adresse IP du serveur Content Cloud résolue par le serveur DNS dans 6. B
   4. Check Firewall system logs related to this DP connection:

      show log system subtype equal ctd-agent-connection direction equal backward

   5. As last resort and if needing to restart the connection between FW DP and Content Cloud server use the following CLI with great caution knowing that it is very disruptive as it also affects other Firewall's inline cloud analysis services (IOT, enterprise DLP, advanced URL filtering).

      debug software restart process ctd-agent

      1. Remarque : le redémarrage de ctd-agent réinitialisera la connexion entre Firewall DP et le serveur Content Cloud.

> show ctd-agent status security-client

Security Client Ace(1)
        Current cloud server:   ace.hawkeye.services-edge.paloaltonetworks.com:443
        Cloud connection:       connected
        Config:
                Number of gRPC connections: 2, Number of workers: 5
                Debug level: 2, Insecure connection: false, Cert valid: true, Key valid: true, CA count: 383
                Maximum number of workers: 10
                Maximum number of sessions a worker should process before reconnect: 1024
                Maximum number of messages per worker: 0
                Skip cert verify: false
        Grpc Connection Status:
                State Ready (3), last err <nil>
                Pool state: Ready (2)
                     last update: 2023-04-10 11:29:18.888023715 -0700 PDT m=+330284.693222939
                     last connection retry: 2023-04-10 09:27:50.049422541 -0700 PDT m=+322995.854622294
                     last pool close: 2023-04-10 09:27:32.141236266 -0700 PDT m=+322977.946435573