Considérations relatives à l’itinéraire de service sur les pare-feu hébergés dans le cloud public configurés dans Actif/Passif HA.

Considérations relatives à l’itinéraire de service sur les pare-feu hébergés dans le cloud public configurés dans Actif/Passif HA.

9053
Created On 03/16/23 18:49 PM - Last Modified 06/07/23 19:50 PM


Symptom


 
  • Les adresses IP flottantes ne se déplaceront pas entre vos pare-feu hébergés dans le cloud public.
  • A Service Route est configuré pour le trafic pour DNS l’interface de gestion, et cet itinéraire utilise ou est traduit en l’une des adresses IP flottantes susmentionnées.

Environment


 
  • Les pare-feu hébergés sur une plate-forme de cloud public sont configurés pour être en actif / passif HA et pour, via le plug-in de série VM-(Palo Alto Networks, Inc., 2023), déplacer les adresses IP flottantes en cas de basculement.
  • Les pare-feu ont une route de service qui oblige le Firewall en question à utiliser une interface de plan de données (très probablement l’interface d’approbation, interne ou privée) pour sourcer DNS le trafic du plan de gestion.
  • PAN-OS est configuré pour utiliser l’une des adresses IP flottantes susmentionnées pour ladite route statique, de l’une des deux manières suivantes :
    • DNS le trafic provenant d’une interface doit être directement acheminé vers le DNS, ou
    • DNS trafic provenant d’une interface à traduire via un SNAT Policy (Palo Alto Networks, Inc., 2023), puis acheminé vers le DNS avec l’adresse source changée en .IP

Cause


 
  • En cas de basculement, le plug-in Series sur le VM-futur actif appelle la plate-forme cloud afin de détacher la configuration secondaire IP de l’homologue actuellement actif et de l’attacher à l’homologue actif avant qu’il ne passe à l’état API actif Firewall (Palo Alto Networks, Inc., 2023).
  • Pour ce faire, le to-be-Active Firewall demande d’abord à la DNS pour résoudre le IP pour lesdites APIentrées mises en cache ne seront pas utilisées.
  • L'itinéraire de service configuré acheminera le trafic (directement ou via un ) vers un SNAT Policysystème flottant IP, mais cela échouera car le flottant n'est pas attaché au to-be-Active Firewall IP en premier lieu.


Resolution


 
  • N’utilisez pas Service Routes pour , ou pour DNStout autre élément susceptible d’entraver le flux de trafic de gestion vers les API des fournisseurs de cloud.
  • Si un itinéraire de service doit absolument être utilisé, configurez-le de sorte que le trafic de gestion vers les API du fournisseur de cloud ne soit pas acheminé via un IP.

Additional Information


 

Références

Palo Alto Networks, Inc. (2023, 02 13). La source NAT. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/networking/nat/source-nat-and-destination-nat/source-nat

Palo Alto Networks, Inc. (2023, 02 15). Configurez Actif/Passif HA sur Azure. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/vm-series/11-0/vm-series-deployment/set-up-the-vm-series--on-azurefirewall/configure-activepassive-ha-for-vm-series--on-azurefirewall

Palo Alto Networks, Inc. (2023, 03 13). VM-Plugin de série et Panorama Plugins. Palo Alto Networks TechDocs. https://docs.paloaltonetworks.com/panorama/10-2/panorama-admin/panorama-plugins/plugins-types
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sb5fCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language