Mise à jour de la configuration d’OCI HA où la construction « domaine » est introduite sous Identité dans la console OCI
Symptom
Récemment, il y a eu un changement dans OCI où la construction « Domaine » a été introduite sous Identité. Pour que HA dans OCI fonctionne, nous devons maintenant créer :
- Domaine dans l’identité
- Groupe dynamique à l’intérieur du domaine avec les ID d’instance correspondants
- Stratégie qui permet au groupe dynamique du domaine d’accéder aux ressources
de la famille d’instances et de la famille de réseaux virtuelsLa fonctionnalité HA ne fonctionnait pas et les adresses IP secondaires ne passaient pas du pare-feu principal au pare-feu secondaire si ces modifications n’étaient pas prises en charge.
Si les clients suivent le document actuel : https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci alors en suivant l’étape 3, ils seront confrontés à des erreurs
Environment
Pare-feu PA-VM en HA sur OCI
Toute version de PAN-OS
Cause
Récemment, il y a eu un changement dans OCI où la construction « Domaine » a été introduite sous Identité. Pour que HA dans OCI fonctionne, nous devons maintenant créer :
- Domaine dans l’identité
- Groupe dynamique à l’intérieur du domaine avec les ID d’instance correspondants
- Stratégie qui permet au groupe dynamique du domaine d’accéder aux ressources
de la famille d’instances et de la famille de réseaux virtuels Les clients peuvent rencontrer les erreurs suivantes si le domaine n’est pas créé et si la stratégie permet au groupe dynamique du domaine d’accéder aux ressources de la famille d’instances et de la famille de réseaux virtuels :
2024-07-24 00:35:44.210 -0700 INFO : VHST_passive Erreur http : 404 Erreur client : Introuvable pour l’url : https://iaas.us-ashburn-1.oraclecloud.com/20160918/vnicAttachments ?
2024-07-24 00:35:44.210 -0700 INFO : Échec du déplacement de l'adresse IP secondaire VHST_passive - Impossible d'obtenir les pièces jointes de la carte d'interface réseau virtuelle de l'homologue. Err : HttpError
S’ils suivent le document actuel : https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci alors en suivant l’étape 3, ils rencontreront des erreurs
Resolution
Conformément à l’étape 3 A du document actuel : https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci Si le domaine n’est pas créé dans OCI, créez un domaine en accédant à Identité > Domaine dans OCI avant de créer un groupe dynamique
Sur la console OCI :
- Allez dans Identité et sécurité et sélectionnez Domaines sous Identité :
- Cliquez sur Créer un domaine, donnez un nom d’affichage et sélectionnez le compartiment :
- Suivez à partir de l’étape 3 A du document https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci pour créer un groupe dynamique et ajouter des règles
- Modifiez l’étape 3-B-3 de Autoriser les <dynamic_group_name> de groupe dynamique à utiliser virtual-network-family dans le compartiment <compartment_name> à :
Autoriser le groupe dynamique '<nom de domaine>'/'<dynamic_group_name>' à utiliser la famille d'instances dans le compartiment <compartment_name>
- Modifiez l'étape 3-B-5 de Autoriser le groupe dynamique <dynamic_group_name> à utiliser la famille d'instances dans le <compartment_name> de compartiment à :
Autoriser le groupe dynamique '<nom de domaine>'/'<dynamic_group_name>' à utiliser la famille d'instances dans le compartiment <compartment_name>
Exemple d’extrait de règles
Additional Information
https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci https://www.youtube.com/watch?v=2e7czJanMTQ