OCI HA設定の更新では、OCIコンソールの「アイデンティティ」の下に「ドメイン」構成が導入されています

OCI HA設定の更新では、OCIコンソールの「アイデンティティ」の下に「ドメイン」構成が導入されています

5919
Created On 07/26/24 21:27 PM - Last Modified 08/14/24 01:41 AM


Symptom


最近、OCIに変更があり、アイデンティティの下に「ドメイン」構造が導入されました。 OCIのHAを機能させるには、次のものを作成する必要があります:
-Identityのドメイン
-一致するインスタンスIDを持つドメイン内の動的グループ
-ドメイン内の動的グループがインスタンスファミリおよび仮想ネットワークファミリリソースにアクセスできるようにするポリシー

HA機能は機能せず、セカンダリIPアドレスはこれらの変更が処理されていない場合、プライマリファイアウォールからセカンダリファイアウォールに移動しません。 

お客様が現在のドキュメントに従っている場合 https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci、ステップ3に従っているときにエラーが発生します
 

Environment


OCI上のHAのPA-VMファイアウォール
任意のPAN-OSバージョン

Cause


最近、OCIに変更があり、アイデンティティの下に「ドメイン」構造が導入されました。 OCIのHAを機能させるには、次のものを作成する必要があります:

- Identity
- ドメイン内の動的グループと、一致するインスタンスIDs
-ドメイン内の動的グループがinstance-familyおよびvirtual-network-familyリソースにアクセスできるポリシーを持つドメイン内の動的グループ

ドメインが作成されていない場合、およびドメイン内の動的グループがinstance-familyおよびvirtual-network-familyリソースにアクセスすることを許可するポリシーの場合、お客様は次のエラーに遭遇する可能性があります。

2024-07-24 00:35:44.210 -0700 情報: VHST_passive http エラー: 404 クライアント エラー: URL が見つかりません: https://iaas.us-ashburn-1.oraclecloud.com/20160918/vnicAttachments?

2024-07-24 00:35:44.210 -0700 INFO: セカンダリ IP の移動VHST_passive失敗しました - ピアの VNIC アタッチメントを取得できません。 エラー:HttpError

現在のドキュメントに従う場合:ステップ3に従っている間、https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci ステップ3に従っている間、エラーに直面するでしょう

Resolution


現在のドキュメントのステップ3 Aに従って、https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci OCIでドメインが作成されていない場合は、動的グループを作成する前にOCIのIdentity > Domainに移動してドメインを作成します。
 

OCIコンソールで:

- 「Identity & Security」に移動し、「Identity」の下の「Domains」を選択します。


- 「ドメインの作成」をクリックし、表示名を指定してコンパートメントを選択します:

スクリーンショット 2024-07-23 at 5.55.07 PM.png


- ドキュメント https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci のステップ3Aに従って、動的グループを作成し、ルールを追加します

- ドキュメントのステップ 3-B で、動的グループが instance-family と virtual-network-family にアクセスするためのドメイン名と動的グループ名を組み込んだポリシーを次のように https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-ociwrite します。

- ステップ 3-B-3 をdynamic-group <dynamic_group_name>コンパートメント<compartment_name>でvirtual-network-familyを使用できるようにする:

dynamic-group '<domain name>'/'<dynamic_group_name>' がコンパートメントでinstance-familyを使用することを許可する <compartment_name><c3/>- ステップ3-B-5を「d

ynamic-group <dynamic_group_name>group がコンパートメント<compartment_name>でinstance-familyを使用することを許可する」から次のように変更します: 

dynamic-group '<domain name>'/'<dynamic_group_name>' がコンパートメント<compartment_name>でインスタンスファミリを使用できるようにします

スクリーンショット 2024-07-26 at 2.24.56 PM.png
ポリシーのサンプル スニペット

Additional Information


https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci
https://www.youtube.com/watch?v=2e7czJanMTQ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zJOCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language