ファイアウォールと ACE Application Cloud Engine/Content Cloud 間の gRPC 接続障害のトラブルシューティング方法

• パロアルトファイアウォール
• PAN-OS 10.1 以上。
• App-ID クラウド エンジン (ACE)
• コンテンツクラウド（ファイルマネージャー）

1. Check that a device certificate is valid and present on the FW.

   show device-certificate status

2. Check that the SaaS Security Inline license is present and Valid.

   request license info

3. データ サービスサービス ルートが正しく構成されていることを確認します。(デフォルトは管理です)
4. アップストリームファイアウォールがアプリケーションpaloalto-ace、paloalto-ace-kcs、およびOCSP (証明書検証用) を許可しているかどうかを確認します。
5. ファイアウォールでApp-ID クラウド エンジンが有効になっていることを確認します (FW ではデフォルトで有効になっています)。
6. Troubleshoot the connection between Firewall Management Plane (MP) and App-ID Cloud Engine (ACE):
   1. Check the cloud connection status to the Firewall MP.

      show cloud-appid connection-to-cloud   

      1. 注: 接続ステータスに加えて、この出力は、 ここで説明されているように、問題がデバイス証明書のかライセンスの不足なのかを示すことで、トラブルシューティングに役立ちます。
   2. Check the network connection between the Firewall Data Services service route, source IP, and the ACE server, destination FQDN:

      traceroute host kcs.ace.tpcloud.paloaltonetworks.com

      1. 注: このコマンドは、Management がデータ サービスのサービス ルートとして使用されており、kcs.ace.tpcloud.paloaltonetworks.com が 5.a の出力で見つかった ACE サーバーのFQDNである場合に有効です。それ以外の場合は、コマンドに source を追加し、その後にサービス ルートとして使用されるデータプレーンインターフェイスのIPアドレスを追加します。
   3. Check if connection is established on port 443 between the Firewall and the ACE server:

       show netstat numeric-hosts yes numeric-ports yes | match 34.120.110.215

      1. ここで、34.120.110.215は、 BでDNSサーバーによって解決されたACEサーバーのIPアドレスになります。
   4. Check Firewall system logs related to this MP connection:

      show log system subtype equal app-cloud-engine direction equal backward

   5. As last resort and if needing to restart the connection between FW MP and ACE server use:

      debug cloud-appid reset connection-to-cloud

7. Troubleshoot the connection between Firewall Data Plane (DP) and Content Cloud (filemanager):
   1. Check the cloud connection status to the Firewall DP.

      show ctd-agent status security-client

      1. 注: 「 Security Client Ace 」セクションでは、クラウド接続が接続済みと表示され、プールの状態が準備完了 (2)と表示されます。
   2. Check the network connection between the Firewall Data Services service route, source IP, and the Content Cloud (filemanager) server, destination FQDN:

      traceroute host ace.hawkeye.services-edge.paloaltonetworks.com

      1. 注: このコマンドは、Management がデータ サービスのサービス ルートとして使用されており、ace.hawkeye.services-edge.paloaltonetworks.com が 6.a の出力で見つかったコンテンツ クラウド サーバーのFQDNである場合に有効です。それ以外の場合は、コマンドに source を追加し、その後にサービス ルートとして使用されるデータプレーンインターフェイスのIPアドレスと、リージョンに応じた適切なFQDN を追加します。
   3. Check if connection is established on port 443 between the Firewall and the Content Cloud (filemanager) server:

       show netstat numeric-hosts yes numeric-ports yes | match 34.111.222.75

      1. ここで、34.11.222.75は、 BでDNSサーバーによって解決されたContent CloudサーバーのIPアドレスになります。
   4. Check Firewall system logs related to this DP connection:

      show log system subtype equal ctd-agent-connection direction equal backward

   5. As last resort and if needing to restart the connection between FW DP and Content Cloud server use the following CLI with great caution knowing that it is very disruptive as it also affects other Firewall's inline cloud analysis services (IOT, enterprise DLP, advanced URL filtering).

      debug software restart process ctd-agent

      1. 注意: ctd-agent を再起動すると、Firewall DP と Content Cloud サーバー間の接続がリセットされます。

> show ctd-agent status security-client

Security Client Ace(1)
        Current cloud server:   ace.hawkeye.services-edge.paloaltonetworks.com:443
        Cloud connection:       connected
        Config:
                Number of gRPC connections: 2, Number of workers: 5
                Debug level: 2, Insecure connection: false, Cert valid: true, Key valid: true, CA count: 383
                Maximum number of workers: 10
                Maximum number of sessions a worker should process before reconnect: 1024
                Maximum number of messages per worker: 0
                Skip cert verify: false
        Grpc Connection Status:
                State Ready (3), last err <nil>
                Pool state: Ready (2)
                     last update: 2023-04-10 11:29:18.888023715 -0700 PDT m=+330284.693222939
                     last connection retry: 2023-04-10 09:27:50.049422541 -0700 PDT m=+322995.854622294
                     last pool close: 2023-04-10 09:27:32.141236266 -0700 PDT m=+322977.946435573