アクティブ/パッシブで構成されたパブリック クラウドでホストされるファイアウォールのサービス ルートに関する考慮事項HA.

• フローティング IP は、パブリック クラウドでホストされているファイアウォール間を移動しません。
• A サービスルートが構成されていますDNS管理インターフェイスのトラフィックであり、このルートはある時点で前述のフローティング IP の 1 つを利用するか、それに変換されます。

• パブリック クラウド プラットフォームでホストされているファイアウォールは、アクティブ/パッシブになるように構成されていますHAそして、経由でVM-シリーズ プラグイン (Palo Alto Networks, Inc.、 2023)、フェイルオーバーの際にフローティング IP を移動します。
• ファイアウォールには、原因となるサービス ルートがあります。Firewall問題の dataplane インターフェイス (ほとんどの場合、Trust、Internal、または Private インターフェイス) を使用してソースにDNS管理プレーンのトラフィック。
• PAN-OS 次の 2 つの方法のいずれかで、前述の静的ルートに前述のフローティング IP のいずれかを使用するように構成されています。
  • DNS インターフェイスから発信されたトラフィックが、DNS 、 また
  • DNS を介して変換されるインターフェイスから発信されたトラフィックSNAT Policy(Palo Alto Networks, Inc.、 2023) にルーティングされ、DNS送信元アドレスをフローティングに変更IP.

• フェイルオーバーの場合、VM- to-be-Active の Series プラグインFirewallクラウド プラットフォームのAPIセカンダリを切り離すためにIP構成を現在アクティブなピアから取得し、アクティブ状態に移行する前にアクティブになるピアに接続します (Palo Alto Networks, Inc.、 2023年）。
• そうするために、to-be-ActiveFirewall最初に要求するDNS解決するためにIP言ったAPI;キャッシュされたエントリは使用されません。
• 構成されたサービス ルートは、トラフィックをルーティングします (直接またはSNAT Policy) フローティングにIP、しかし、これは失敗します。Firewall浮きがないIPそもそもそれに付属しています。

• サービス ルートを使用しないでください。DNS 、またはクラウド プロバイダー API への管理トラフィックのフローを妨げる可能性のあるその他のもの。
• サービス ルートを絶対に使用する必要がある場合は、クラウド プロバイダー API への管理トラフィックがフローティング経由でルーティングされないように構成します。IP .

参考文献

Palo Alto Networks, Inc. (2023, 02 13). ソースNAT. Palo Alto Networks TechDocs。 https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -admin/networking/nat/source-nat-and-destination-nat/source-nat

Palo Alto Networks, Inc. (2023, 02 15). アクティブ/パッシブの設定HAアズール上. Palo Alto Networks TechDocs。 https://docs.paloaltonetworks.com/vm-series /11-0/vm-series -展開/セットアップ-vm-series -firewall -on-azure/configure-activepassive-ha-for-vm-series -firewall -オン-紺碧

Palo Alto Networks, Inc. (2023, 03 13). VM-シリーズプラグインとPanoramaプラグイン. Palo Alto Networks TechDocs。 https://docs.paloaltonetworks.com/panorama /10-2/panorama -管理者/panorama -プラグイン/プラグインの種類