OCI HA-Setup-Update, bei dem das "Domain"-Konstrukt unter Identität in der OCI-Konsole eingeführt wird
Symptom
Kürzlich gab es eine Änderung im OCI, bei der das Konstrukt "Domain" unter Identität eingeführt wurde. Damit HA in OCI funktioniert, müssen wir jetzt Folgendes erstellen:
- Domäne in der Identität
- Dynamische Gruppe innerhalb der Domäne mit übereinstimmenden Instanz-IDs
- Richtlinie, die es der dynamischen Gruppe in der Domäne ermöglicht, auf Ressourcen
der Instanzfamilie und der virtuellen Netzwerkfamilie zuzugreifen. Die HA-Funktionalität würde nicht funktionieren und sekundäre IP-Adressen würden nicht von der primären zur sekundären Firewall verschoben, wenn diese Änderungen nicht berücksichtigt werden.
Wenn Kunden dem aktuellen Dokument folgen: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci dann würden sie beim Ausführen von Schritt 3 auf Fehler stoßen
Environment
PA-VM-Firewalls in HA auf OCI
Jede PAN-OS-Version
Cause
Kürzlich gab es eine Änderung im OCI, bei der das Konstrukt "Domain" unter Identität eingeführt wurde. Damit HA in OCI funktioniert, müssen wir jetzt Folgendes erstellen:
- Domäne in der Identität
- Dynamische Gruppe innerhalb der Domäne mit übereinstimmenden Instanz-IDs
- Richtlinie, die der dynamischen Gruppe in der Domäne den Zugriff auf Ressourcen
der Instanzfamilie und der virtuellen Netzwerkfamilie ermöglicht Kunden können auf die folgenden Fehler stoßen, wenn die Domäne nicht erstellt wird und wenn die Richtlinie, die der dynamischen Gruppe in der Domäne den Zugriff auf Ressourcen der Instanzfamilie und der virtuellen Netzwerkfamilie erlaubt:
2024-07-24 00:35:44.210 -0700 INFO: VHST_passive Http-Fehler: 404 Client-Fehler: Nicht gefunden für URL: https://iaas.us-ashburn-1.oraclecloud.com/20160918/vnicAttachments?
2024-07-24 00:35:44.210 -0700 INFO: VHST_passive Verschieben der sekundären IP fehlgeschlagen - Die VNIC-Anhänge des Peers können nicht abgerufen werden. Err: HttpError
Wenn sie dem aktuellen Dokument folgen: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci dann treten beim Ausführen von Schritt 3 Fehler auf
Resolution
Gemäß Schritt 3 A des aktuellen Dokuments: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci Wenn die Domäne nicht in OCI erstellt wird, erstellen Sie eine Domäne, indem Sie vor dem Erstellen einer dynamischen Gruppe zu Identität > Domäne in OCI gehen
Auf der OCI-Konsole:
- Gehen Sie zu Identität & Sicherheit und wählen Sie unter Identität die Option Domänen aus:
- Klicken Sie auf Domäne erstellen, geben Sie einen Anzeigenamen ein und wählen Sie das Compartment aus:
- Befolgen Sie Schritt 3 A des Dokuments https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci, um eine dynamische Gruppe zu erstellen und Regeln hinzuzufügen
- Ändern Sie Schritt 3-B-3 von <dynamic_group_name> dynamischer Gruppe erlauben, virtual-network-family im Compartment zu verwenden, <compartment_name> an:
dynamic-group '<domain name>'/'<dynamic_group_name>' erlauben, Instance-Family im Compartment zu verwenden <compartment_name>
- Ändern Sie Schritt 3-B-5 von <dynamic_group_name> dynamischer Gruppe erlauben, Instance-Family im Compartment <compartment_name>zu verwenden in:
Zulassen, dass die dynamische Gruppe '<Domain Name>'/'<dynamic_group_name>' die Instanzfamilie im Compartment <compartment_name>
Beispielausschnitt für Richtlinien
Additional Information
https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci https://www.youtube.com/watch?v=2e7czJanMTQ