Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
LB Vérifications de l’état avec profil de gestion à l’aide de c... - Knowledge Base - Palo Alto Networks

LB Vérifications de l’état avec profil de gestion à l’aide de causes MGMT d’utilisation SSH plus élevée que prévu CPU

29277
Created On 05/04/21 00:40 AM - Last Modified 02/07/24 04:37 AM


Symptom


Les clients ne disposent pas toujours de points de terminaison « toujours actifs » sur lesquels exécuter des vérifications de l’état. Dans ces scénarios, VM-Series peut répondre aux vérifications de l’état provenant des équilibreurs de charge auxquels elle est attachée.
Dans les déploiements cloud utilisant un équilibreur de charge pour gérer les vérifications de l’état, nous pouvons activer le profil de gestion sur l’interface (ou le bouclage) avec SSH ou HTTP.

Si l’équilibreur de charge utilise TCP/22 comme vérification de l’état et VM-que Series doit répondre aux vérifications de l’état, la VM-série MGMT CPU augmente (40-100%) Cela peut rendre les firewall personnes insensibles.

Environment


VM-Série Réponses aux bilans de santé

  • Dans ces scénarios, VM-Series répondra aux vérifications de l’état
  • La fonctionnalité de profil de gestion sur VM-les interfaces Series peut être exploitée pour répondre aux HC
  • L’adresse de destination sur les vérifications de l’état indique où le profil de IP gestion est ajouté :
    • Adresse principale IP de l’interface attachée à l’équilibreur de charge
      • Créer un profil de gestion sur l’interface attachée à l’équilibreur de charge
    • Adresse de la règle IP de transfert
      • Créer une interface de bouclage sur l’interface attachée à l’équilibreur de charge et ajouter un profil de gestion sur l’interface de bouclage

Cause


Il se trouve que certains équilibreurs de charge comme les vérifications de santé utilisent plusieurs sondes comme GCP mentionné ici.
https://cloud.google.com/load-balancing/docs/health-check-concepts#multiple-probers

Peut-être qu’avec la modification de l’intervalle et du délai d’attente, le nombre de sondes au plan mgmt pourrait être réduit de 5 à 15 connexions, mais cela a toujours un impact sur les ressources du plan mgmt. As SSH lance des shells internes pour chaque demande de connexion. HTTP n’a pas la même surcharge pour Management Plane que SSH les connexions.
 

Resolution


Déconseillez d’utiliser tcp/22 pour les vérifications de l’état et de l’utiliser avec /php/login.php pour les sondes de vérification de l’état de l’équilibreur de HTTP charge comme meilleure pratique.
À utiliser HTTP pour les vérifications de l'état afin de réduire l'utilisation du plan de gestion.

GCP à titre d'exemple avec IP des plages pour les sondes de vérification de l'état du réseau LB source IPde l'ajoutée aux adresses autorisées IP pour MGMT le profil d'interface
  • 35.191.0.0/16
  • 209.85.152.0/22
  • 209.85.204.0/22
  • 169.254.169.254/32

Additional Information


Vue d’ensemble des bilans de santé
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 240,201
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oM4KCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language