Oracle Cloud OCI でフェイルオーバー後、フローティング IP が新しいアクティブ ファイアウォールに関連付けられない
3633
Created On 04/10/24 08:55 AM - Last Modified 01/10/25 20:28 PM
Symptom
- Oracle CloudでホストされるPalo Alto VMファイアウォール
- フェイルオーバーが実行されました
- フェイルオーバー後にトラフィックの問題が発生
Environment
- OCI 上の Palo Alto VMファイアウォール
- アクティブ/パッシブ高可用性
Cause
- ファイアウォール上に設定されたDNSサーバーは、同じファイアウォールのデータプレーンを介してアクセスできます。
- フェイルオーバー後、アクティブ FW 上のプラグインは、トラフィックを処理するためにフローティング IP を自身に関連付けるためにDNS を解決する必要があります。
- ただし、 DNSサーバーが同じFWのデータプレーンを介して到達可能な場合、アクティブFWはデータプレーントラフィックを処理する前にフローティングIPを関連付ける必要があるため、 DNSを解決できません。
Resolution
- ファイアウォールに設定されているDNSサーバーが、同じ FW のデータプレーンを使用せずに、管理インターフェイス経由でアクセス可能であることを確認します。