在主动/被动中配置的公共云托管防火墙的服务路由注意事项HA.

• 浮动 IP 不会在您的公共云托管防火墙之间移动。
• A 服务路由配置为DNS管理接口的流量，并且此路由在某些时候利用或转换为上述浮动 IP 之一。

• 托管在公共云平台上的防火墙配置为主动/被动HA并通过VM-系列插件 (Palo Alto Networks, Inc., 2023)，在发生故障转移时移动浮动 IP。
• 防火墙有一个服务路由，导致Firewall有问题使用数据平面接口（很可能是信任、内部或私有接口）来获取源DNS管理平面的流量。
• PAN-OS 被配置为使用上述浮动 IP 之一用于所述静态路由，采用以下两种方式之一：
  • DNS 来自接口的流量直接路由到DNS， 或者
  • DNS 来自接口的流量将通过SNAT Policy（帕洛阿尔托网络公司， 2023），然后路由到DNS源地址更改为浮动IP.

• 在发生故障转移时，VM-待激活的系列插件Firewall调用云平台的API为了分离二次IP来自当前活动对等方的配置，并在它转换为活动状态之前将其附加到待激活对等方（Palo Alto Networks，Inc.， 2023 年）。
• 为了做到这一点，将要活跃Firewall首先请求DNS解决IP对于说API;不会使用缓存的条目。
• 配置的服务路由将路由流量（直接或通过SNAT Policy) 浮动IP，但这会失败，因为待激活的Firewall没有浮动IP首先，依附于它。

• 不要将服务路由用于DNS，或任何其他可能阻碍管理流量流向云提供商 API 的问题。
• 如果必须绝对使用服务路由，请对其进行配置，使到云提供商 API 的管理流量不会通过浮动路由IP.

参考

帕洛阿尔托网络公司 (2023, 02 13)。 来源NAT. 帕洛阿尔托网络技术文档。 https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -admin/networking/nat/source-nat-and-destination-nat/source-nat

帕洛阿尔托网络公司 (2023, 02 15)。 设置主动/被动HA在 Azure 上. 帕洛阿尔托网络技术文档。 https://docs.paloaltonetworks.com/vm-series /11-0/vm-series -部署/设置-vm-series -firewall -on-azure/configure-active-passive-ha-for-vm-series -firewall -天蓝色

帕洛阿尔托网络公司 (2023, 03 13)。 VM-系列插件和Panorama插件. 帕洛阿尔托网络技术文档。 https://docs.paloaltonetworks.com/panorama /10-2/panorama -行政/panorama -插件/插件类型