Actualización de la configuración de OCI HA en la que la construcción "dominio" se introduce en Identidad en la consola de OCI
Symptom
Recientemente se ha producido un cambio en OCI en el que se ha introducido la construcción "Dominio" en Identidad. Para que HA en OCI funcione, ahora necesitamos crear:
- Dominio en identidad
- Grupo dinámico dentro del dominio con ID de instancia coincidentes- Política que permite que el grupo dinámico en el dominio acceda a los recursos
de la familia de instancias
y de la familia de red virtual La funcionalidad de HA no funcionaría y las direcciones IP secundarias no se moverían del firewall primario al secundario si no se tienen en cuenta estos cambios.
Si los clientes siguen el documento actual: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci entonces, mientras siguen el paso 3, se encontrarán con errores
Environment
Firewalls de PA-VM en alta disponibilidad en OCI
Cualquier versión de PAN-OS
Cause
Recientemente se ha producido un cambio en OCI en el que se ha introducido la construcción "Dominio" en Identidad. Para que HA en OCI funcione, ahora necesitamos crear:
- Dominio en identidad
- Grupo dinámico dentro del dominio con ID de instancia coincidentes- Política que permite que el grupo dinámico en el dominio acceda a los recursos
de la familia de instancias y de la familia de redes virtuales Los clientes pueden encontrar los siguientes errores si no se crea el dominio y si la política permite que el grupo dinámico en el dominio acceda a los recursos de la familia de instancias
y de la familia de redes virtuales:
2024-07-24 00:35:44.210 -0700 INFO: VHST_passive Error de Http: 404 Error del cliente: No encontrado para url: https://iaas.us-ashburn-1.oraclecloud.com/20160918/vnicAttachments?
2024-07-24 00:35:44.210 -0700 INFO: VHST_passive Error al mover la IP secundaria: no se pueden obtener los adjuntos de VNIC del par. Err: HttpError
Si siguen el documento actual: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci luego, mientras siguen el Paso 3, se enfrentarían a errores
Resolution
Según el paso 3 A del documento actual: https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci Si el dominio no se crea en OCI, haga que se cree un dominio yendo a Identidad > dominio en OCI antes de crear el grupo dinámico
En la consola de OCI:
- Ve a Identidad y seguridad y selecciona Dominios en Identidad:
- Haga clic en Crear dominio, asigne un nombre para mostrar y seleccione el compartimento:
- Siga el paso 3 A del documento https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci para crear un grupo dinámico y agregar reglas.
- Cambie el paso 3-B-3 de Permitir que los <dynamic_group_name> de grupo dinámico utilicen la familia de red virtual en el compartimento <compartment_name> para:
Permitir que el grupo dinámico '<nombre de dominio>'/'<dynamic_group_name>' utilice la familia de instancias en el compartimento <compartment_name>
- Cambie el paso 3-B-5 de Permitir que los <dynamic_group_name> de grupo dinámico utilicen la familia de instancias en el compartimento <compartment_name> para:
Permitir que el grupo dinámico '<nombre de dominio>'/'<dynamic_group_name>' utilice la familia de instancias en el compartimento <compartment_name>
Fragmento de ejemplo de políticas
Additional Information
https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci https://www.youtube.com/watch?v=2e7czJanMTQ