Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
LB Comprobaciones de estado con el perfil de administración med... - Knowledge Base - Palo Alto Networks

LB Comprobaciones de estado con el perfil de administración mediante SSH causas de utilización MGMT superior a la esperada CPU

29273
Created On 05/04/21 00:40 AM - Last Modified 02/07/24 04:37 AM


Symptom


Los clientes no siempre tienen extremos "siempre activos" para ejecutar comprobaciones de estado. En esos escenarios, VM-Series puede responder a las comprobaciones de estado procedentes de los equilibradores de carga a los que está asociada.
En implementaciones en la nube que utilizan un equilibrador de carga para gestionar las comprobaciones de estado, podemos habilitar el perfil de administración en la interfaz (o bucle invertido) con o SSH HTTP.

Si el equilibrador de carga utiliza TCP/22 como comprobación de estado y VM-Series necesita responder a las comprobaciones de estado, los picos de VM-la serie MGMT CPU (40-100%) Esto puede hacer que el firewall no responda.

Environment


VM-Serie que responde a las comprobaciones de estado

  • En estos escenarios, VM-Series responderá a las comprobaciones de estado
  • La función de perfil de administración en VM-las interfaces de serie se puede aprovechar para responder a HC
  • La dirección de destino IP en las comprobaciones de mantenimiento determina dónde se agrega el perfil de administración:
    • Dirección principal IP de la interfaz conectada al equilibrador de carga
      • Crear un perfil de administración en la interfaz adjunta al equilibrador de carga
    • Dirección de la regla IP de reenvío
      • Crear una interfaz de bucle invertido en la interfaz adjunta al equilibrador de carga y agregar un perfil de administración en la interfaz de bucle invertido

Cause


Simplemente sucede que algunos equilibradores de carga, como las comprobaciones de estado, usan varios sondeadores como GCP se menciona aquí.
https://cloud.google.com/load-balancing/docs/health-check-concepts#multiple-probers

Tal vez con la modificación del intervalo y el tiempo de espera podría reducir el número de sondas al plano de administración de 5 a 15 conexiones, pero esto todavía afecta los recursos del plano de administración. As SSH lanza shells internos para cada solicitud de conexión. HTTP no tiene la misma sobrecarga para el plano de administración que SSH las conexiones.
 

Resolution


Desaconseje el uso de tcp/22 para comprobaciones de estado y su uso HTTP con /php/login.php para sondeos de comprobación de estado del equilibrador de carga como práctica recomendada.
Se utiliza HTTP para comprobaciones de estado para reducir el uso del plano de administración.

GCP como ejemplo con IP rangos para sondeos IPde comprobación de estado de la red LB origen se agregaron a direcciones permitidas IP para MGMT el perfil de interfaz
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
  • 169.254.169.254/32

Additional Information


Información general sobre las comprobaciones de estado
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,266
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM4KCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language