L’erreur « Impossible d’obtenir le jeton d’accès Azure » s’affiche dans les journaux de plug-in lorsque les adresses IP flottantes sur une firewall dans Azure ne passent pas au secondaire firewall après le basculement

L’erreur « Impossible d’obtenir le jeton d’accès Azure » s’affiche dans les journaux de plug-in lorsque les adresses IP flottantes sur une firewall dans Azure ne passent pas au secondaire firewall après le basculement

17056
Created On 01/20/23 20:48 PM - Last Modified 06/02/23 19:45 PM


Symptom


Lorsque deux VM pare-feu sont configurés en configuration active/passive haute disponibilité dans HA pour le déplacement secondaireIP , les adresses IP secondaires ne se déplacent pas vers le périphérique passif à partir de l’appareil actif, même si HA le changement d’état a eu lieu avec succès

Environment


  • Deux VM pare-feu avec les mêmes versions, les versions de plugin et toutes les PAN-OS licences
  • Le problème se produit sur n’importe quelle PAN-OS version
  • Les deux pare-feu doivent être en configuration active/passive HA

Cause


Il faut s’assurer que le rôle approprié IAM est attribué au bon principal de service et que l’inscription est effectuée pour le bon abonnement dans Azure et attribué App au bon NIC. Les erreurs suivantes apparaissent dans vm_plugin.log lors de ce type de problème comme ci-dessous:

2022-12-05 02:43:13.144 -0800 vm_ha_state_trans INFO: : Impossible de récupérer la réponse du point de terminaison du gestionnaire de ressources

2022-12-05 02:43:13.145 -0800 vm_ha_state_trans INFO: : Impossible d’obtenir le jeton d’accès Azure

2022-12-05 02:43:17.343 -0800 vm_ha_state_trans INFO: : vm_mode: 6

2022-12-05 02:43:17.538 -0800 vm_ha_state_trans INFO: : Plateforme identifiée comme AZR

2022-12-05 02:43:17.739 -0800 vm_ha_state_trans INFO: : vm_get_ht_perf_opt appelé

2022-12-05 02:43:17.766 -0800 vm_ha_state_trans INFO: : Nombre de systèmes: 4

2022-12-05 02:43:17.767 -0800 vm_ha_state_trans INFO: : cloud_setting AZR appelé

2022-12-05 02:43:17.947 -0800 vm_ha_state_trans INFO: : vm_ha_trans AZR appelé

2022-12-05 02:43:17.947 -0800 vm_ha_state_trans INFO: : resource_mgr_endpoint succès

2022-12-05 02:43:18.019 -0800 vm_ha_state_trans INFO: : Exception prise dans pycurl_request : (77, 'error setting certificate verify locations:\n CAfile: /opt/pancfg/mgmt/plugins/appdata/cacert.pem\n CApath: none'), code d'erreur: 0

2022-12-05 02:43:18.019 -0800 vm_ha_state_trans INFO: : set_endpoint_URL n'a pas pu trouver URL à partir de la réponse, err: AZR L'objet 'NoneType' n'a pas d'attribut '__getitem__'

Resolution


  • Assurez-vous que l’attribution de rôle est effectuée correctement pour le principal de service correct dans Azure et App que l’inscription doit être effectuée correctement
  • Les clients doivent donner au moins le rôle de « contributeur »
  • Les attributions de rôles doivent être effectuées pour le bon abonnement et doivent être affectées au bon NIC. https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal 
  • Engager Azure si nécessaire pour vérifier l’attribution de rôle sur la fin Azure TAC
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGQ3CAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language