当一个浮动 IP 出现在插件日志中时,“无法获取 Azure 访问令牌”错误firewall在 Azure 中不要移动到辅助firewall故障转移后
Symptom
当两个VM防火墙配置在高可用性主动/被动配置中HA对于中学-IP移动,辅助 IP 不会从主动设备移动到被动设备,即使HA状态改变成功发生
Environment
- 二VM具有相同的防火墙PAN-OS版本、插件版本和所有类似的许可证
- 问题发生在任何PAN-OS版本
- 两个防火墙都应该处于主动/被动状态HA配置
Cause
需要确保适当的IAM角色被分配给正确的服务主体,并且App在 Azure 中为正确的订阅完成注册并分配给正确的NIC. 在出现此类问题时,vm_plugin.log 中会出现以下错误:
2022-12-05 02:43:13.144 -0800 vm_ha_state_transINFO ::无法从资源管理器端点检索响应
2022-12-05 02:43:13.145 -0800 vm_ha_state_transINFO : : 无法获取 Azure 访问令牌
2022-12-05 02:43:17.343 -0800 vm_ha_state_transINFO ::vm_mode:6
2022-12-05 02:43:17.538 -0800 vm_ha_state_transINFO : : 平台标识为 AZR
2022-12-05 02:43:17.739 -0800 vm_ha_state_transINFO :: vm_get_ht_perf_opt 调用
2022-12-05 02:43:17.766 -0800 vm_ha_state_transINFO ::系统计数:4
2022-12-05 02:43:17.767 -0800 vm_ha_state_transINFO : :AZR cloud_setting 调用
2022-12-05 02:43:17.947 -0800 vm_ha_state_transINFO : :AZR vm_ha_trans 调用
2022-12-05 02:43:17.947 -0800 vm_ha_state_transINFO :: resource_mgr_endpoint 成功
2022-12-05 02:43:18.019 -0800 vm_ha_state_transINFO : : pycurl_request 中捕获的异常:(77,'错误设置证书验证位置:\n CAfile:/opt/pancfg/mgmt/plugins/appdata/cacert.pem\n CApath:无'),错误代码:0
2022-12-05 02:43:18.019 -0800 vm_ha_state_transINFO : :AZR set_endpoint_URL 找不到URL从响应中,错误:“NoneType”对象没有属性“__getitem__”
Resolution
- 确保为 Azure 中的正确服务主体正确完成角色分配,并且App应妥善登记
- 客户应至少给予“贡献者”角色
- 应该为正确的订阅完成角色分配,并且应该分配给正确的NIC. https://learn.microsoft.com/en-us/azure/active-directory/develop/howto-create-service-principal-portal
- 参与 AzureTAC如果有必要在 Azure 端验证角色分配