El error "Error al obtener el token de acceso de Azure" aparece en los registros de complementos cuando las direcciones IP flotantes en uno firewall en Azure no se mueven al secundario firewall después de la conmutación por error

El error "Error al obtener el token de acceso de Azure" aparece en los registros de complementos cuando las direcciones IP flotantes en uno firewall en Azure no se mueven al secundario firewall después de la conmutación por error

17106
Created On 01/20/23 20:48 PM - Last Modified 06/02/23 19:45 PM


Symptom


Cuando se configuran dos VM firewalls en la configuración activa/pasiva de alta disponibilidad para HA el movimiento secundarioIP , las direcciones IP secundarias no se mueven al dispositivo pasivo desde el dispositivo activo aunque HA el cambio de estado se realice correctamente

Environment


  • Dos VM firewalls con las mismas versiones, versiones de plugins y todas las PAN-OS licencias por igual
  • El problema tiene lugar en cualquier PAN-OS versión
  • Ambos firewalls deben estar en configuración activa/pasiva HA

Cause


Debe asegurarse de que el rol adecuado IAM se asigna a la entidad de servicio correcta y que App el registro se realiza para la suscripción correcta dentro de Azure y se asigna a la entidad de servicio correcta NIC. Los siguientes errores aparecen en vm_plugin.log durante este tipo de problema como se indica a continuación:

2022-12-05 02:43:13.144 -0800 vm_ha_state_trans INFO: : Error al recuperar la respuesta del extremo del administrador de recursos

2022-12-05 02:43:13.145 -0800 vm_ha_state_trans INFO: : Error al obtener el token de acceso de Azure

2022-12-05 02:43:17.343 -0800 vm_ha_state_trans INFO: : vm_mode: 6

2022-12-05 02:43:17.538 -0800 vm_ha_state_trans INFO: : Plataforma identificada como AZR

2022-12-05 02:43:17.739 -0800 vm_ha_state_trans INFO: : vm_get_ht_perf_opt llamado

2022-12-05 02:43:17.766 -0800 vm_ha_state_trans INFO: : Recuento de syst: 4

2022-12-05 02:43:17.767 -0800 vm_ha_state_trans INFO: : cloud_setting AZR llamado

2022-12-05 02:43:17.947 -0800 vm_ha_state_trans INFO: : vm_ha_trans AZR llamado

2022-12-05 02:43:17.947 -0800 vm_ha_state_trans INFO: : resource_mgr_endpoint éxito

2022-12-05 02:43:18.019 -0800 vm_ha_state_trans INFO: : Excepción detectada en pycurl_request: (77, 'error al configurar las ubicaciones de verificación del certificado:\n Archivo CA: /opt/pancfg/mgmt/plugins/appdata/cacert.pem\n CApath: ninguno'), código de error: 0

2022-12-05 02:43:18.019 -0800 vm_ha_state_trans INFO: : set_endpoint_URL no pudo encontrar URL la respuesta, err: AZR el objeto 'NoneType' no tiene atributo '__getitem__'

Resolution


  • Asegúrese de que la asignación de roles se realiza correctamente para la entidad de servicio correcta en Azure y App el registro debe realizarse correctamente
  • Los clientes deben asignar al menos el rol de "Colaborador"
  • Las asignaciones de roles deben realizarse para la suscripción correcta y deben asignarse a la suscripción correctaNIC. https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal 
  • Interactúe con Azure si es necesario para comprobar la asignación de roles en el extremo de Azure TAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGQ3CAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language