Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
LB Zustandsprüfungen mit Verwaltungsprofil unter Verwendung SSH... - Knowledge Base - Palo Alto Networks

LB Zustandsprüfungen mit Verwaltungsprofil unter Verwendung SSH von Ursachen MGMT , die höher als erwartet CPU sind

29275
Created On 05/04/21 00:40 AM - Last Modified 02/07/24 04:37 AM


Symptom


Kunden verfügen nicht immer über "ständig aktive" Endpunkte, auf denen sie Integritätsprüfungen ausführen können. In diesen Szenarien kann Series auf die Zustandsprüfungen reagieren, die von den Load Balancern stammen, VM-an die sie angeschlossen ist.
In Cloud-Bereitstellungen, die einen Load Balancer zur Verarbeitung von Zustandsprüfungen verwenden, können wir das Verwaltungsprofil auf der Schnittstelle (oder dem Loopback) mit entweder SSH oder HTTPaktivieren.

Wenn der Load Balancer /22 als Zustandsprüfung verwendet TCPund VM-die Serie auf Zustandsprüfungen reagieren muss, steigt die VM-Serie MGMT CPU Spitzen (40-100 %) Dies kann dazu führen, dass der firewall nicht mehr reagiert.

Environment


VM-Reihe Antworten auf Zustandsprüfungen

  • In diesen Szenarien VM-reagiert die Serie auf die Zustandsprüfungen
  • Managementprofilfunktion auf VM-Serienschnittstellen kann für die Reaktion auf HCs genutzt werden
  • Die Zieladresse IP bei Health Checks gibt vor, wo das Verwaltungsprofil hinzugefügt wird:
    • Primäre IP Adresse der Schnittstelle, die mit dem Load Balancer verbunden ist
      • Erstellen eines Verwaltungsprofils auf der Schnittstelle, die mit dem Load Balancer verbunden ist
    • Adresse der Weiterleitungsregel IP
      • Erstellen einer Loopbackschnittstelle auf der Schnittstelle, die mit dem Load Balancer verbunden ist, und Hinzufügen eines Verwaltungsprofils auf der Loopbackschnittstelle

Cause


Es kommt einfach vor, dass einige Load Balancer wie Health Checks mehrere Prober verwenden, wie GCP hier erwähnt.
https://cloud.google.com/load-balancing/docs/health-check-concepts#multiple-probers

Vielleicht könnte mit der Änderung von Intervall und Timeout die Anzahl der Sonden auf mgmt-Ebene von 5 auf 15 Verbindungen reduziert werden, aber dies belastet immer noch die Ressourcen der mgmt-Ebene. As SSH startet interne Shells für jede Verbindungsanforderung. HTTP hat für die Verwaltungsebene nicht den gleichen Overhead wie SSH Verbindungen.
 

Resolution


Es wird davon abgeraten, tcp/22 für Zustandsprüfungen zu verwenden und mit /php/login.php für Load Balancer-Zustandsprüfungstests als bewährte Methode zu verwenden HTTP .
Wird für Zustandsprüfungen verwendet HTTP , um die Auslastung der Verwaltungsebene zu reduzieren.

GCP als Beispiel mit IP Bereichen für Netzwerkintegritätsprüfungstests LB , die den IPzulässigen IP Adressen für MGMT Schnittstellenprofil hinzugefügt wurden
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
  • 169.254.169.254/32

Additional Information


Übersicht über Zustandsprüfungen
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,266
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM4KCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language