Firewall과 ACE Application Cloud Engine/Content Cloud 간 gRPC 연결 실패 문제를 해결하는 방법

Firewall과 ACE Application Cloud Engine/Content Cloud 간 gRPC 연결 실패 문제를 해결하는 방법

62128
Created On 04/03/23 22:40 PM - Last Modified 11/10/25 16:46 PM


Objective


Firewall MP/DP와 ACE Application Cloud Engine/Content Cloud 사이의 연결 실패 문제를 해결하는 방법입니다.

Environment


  • 팔로 알토 방화벽
  • PAN-OS 10.1 이상.
  • App-ID 클라우드 엔진(ACE)
  • 콘텐츠 클라우드(파일 관리자)

Procedure


  1. Check that a device certificate is valid and present on the FW. 
    show device-certificate status
  2. Check that the SaaS Security Inline license is present and Valid. 
    request license info
  3. Data Services 서비스 경로(service route) 제대로 구성되었는지 확인하세요. (기본값은 management)
  4. 업스트림 방화벽 paloalto-ace, paloalto-ace-kcs 및 OCSP ( 인증 검증용) 애플리케이션 허용하는지 확인합니다.
  5. 방화벽에서 App-ID 클라우드 엔진이 활성화되어 있는지 확인하세요(FW에서는 디폴트 으로 활성화되어 있습니다).
  6. Troubleshoot the connection between Firewall Management Plane (MP) and App-ID Cloud Engine (ACE):
    1. Check the cloud connection status to the Firewall MP. 
      show cloud-appid connection-to-cloud
      1. 참고: 이 출력은 연결 상태 뿐만 아니라 문제가 디바이스 인증 때문인지 아니면 여기 설명된 대로 누락된 라이선스 때문인지를 나타내어 문제 해결을 안내합니다.
    2. Check the network connection between the Firewall Data Services service route, source IP, and the ACE server, destination FQDN: 
      traceroute host kcs.ace.tpcloud.paloaltonetworks.com
      1. 참고: 이 명령은 Management가 Data Services 서비스 경로(service route) 로 사용되고 kcs.ace.tpcloud.paloaltonetworks.com이 5.a의 출력에서 ​​발견된 ACE 서버의 FQDN 인 경우에 유효합니다. 그렇지 않은 경우 명령에 source를 추가한 다음 서비스 경로(service route) 로 사용된 데이터플레인 인터페이스 의 IP 주소 추가합니다.
    3. Check if connection is established on port 443 between the Firewall and the ACE server: 
       show netstat numeric-hosts yes numeric-ports yes | match 34.120.110.215
      1. 여기서 34.120.110.215는 B 의 DNS 서버에서 확인된 ACE 서버의 IP 주소 입니다.
    4. Check Firewall system logs related to this MP connection: 
      show log system subtype equal app-cloud-engine direction equal backward
    5. As last resort and if needing to restart the connection between FW MP and ACE server use: 
      debug cloud-appid reset connection-to-cloud
  7. Troubleshoot the connection between Firewall Data Plane (DP) and Content Cloud (filemanager):
    1. Check the cloud connection status to the Firewall DP. 
      show ctd-agent status security-client
      1. 참고: " Security Client Ace " 섹션에서 클라우드 연결이 연결됨으로 표시되어야 하고 풀 상태 준비(2)로 표시되어야 합니다.
    2. Check the network connection between the Firewall Data Services service route, source IP, and the Content Cloud (filemanager) server, destination FQDN: 
      traceroute host ace.hawkeye.services-edge.paloaltonetworks.com
      1. 참고: 이 명령은 Management가 Data Services 서비스 경로(service route) 로 사용되고 ace.hawkeye.services-edge.paloaltonetworks.com이 6.a의 출력에서 ​​발견된 Content Cloud 서버의 FQDN 인 경우에 유효합니다. 그렇지 않은 경우 명령에 source를 추가한 다음 서비스 경로(service route) 로 사용된 데이터플레인 인터페이스 의 IP 주소 와 지역에 따라 적절한 FQDN 추가합니다.
    3. Check if connection is established on port 443 between the Firewall and the Content Cloud (filemanager) server: 
       show netstat numeric-hosts yes numeric-ports yes | match 34.111.222.75
      1. 여기서 34.11.222.75는 B 의 DNS 서버에서 확인되는 Content Cloud 서버의 IP 주소 입니다.
    4. Check Firewall system logs related to this DP connection: 
      show log system subtype equal ctd-agent-connection direction equal backward
    5. As last resort and if needing to restart the connection between FW DP and Content Cloud server use the following CLI with great caution knowing that it is very disruptive as it also affects other Firewall's inline cloud analysis services (IOT, enterprise DLP, advanced URL filtering). 
      debug software restart process ctd-agent
      1. 참고: ctd-agent를 다시 시작하면 Firewall DP와 Content Cloud 서버 간의 연결이 재설정됩니다.

Additional Information


APP-ID 클라우드 엔진 배포 준비
APP-ID 클라우드 엔진 문제 해결

The Firewall maintains two connections to the cloud: One connection from Firewall MP to ACE server and another connection from Firewall DP to Content Cloud server.
Below is an example of the output of a good connection between FW and ACE. 
> show ctd-agent status security-client

Security Client Ace(1)
        Current cloud server:   ace.hawkeye.services-edge.paloaltonetworks.com:443
        Cloud connection:       connected
        Config:
                Number of gRPC connections: 2, Number of workers: 5
                Debug level: 2, Insecure connection: false, Cert valid: true, Key valid: true, CA count: 383
                Maximum number of workers: 10
                Maximum number of sessions a worker should process before reconnect: 1024
                Maximum number of messages per worker: 0
                Skip cert verify: false
        Grpc Connection Status:
                State Ready (3), last err <nil>
                Pool state: Ready (2)
                     last update: 2023-04-10 11:29:18.888023715 -0700 PDT m=+330284.693222939
                     last connection retry: 2023-04-10 09:27:50.049422541 -0700 PDT m=+322995.854622294
                     last pool close: 2023-04-10 09:27:32.141236266 -0700 PDT m=+322977.946435573
26 Aug 24 (Vijay) - Article updated with correction (OCSP R-003933)
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000g1DOCAY&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language