Este artículo aborda el error ‘No se puede reasignar direcciones IP privadas primarias’ que se presenta en la salida de depuración de OCID durante la conmutación por error de alta disponibilidad (HA) en FortiGate en Oracle Cloud Infrastructure (OCI). Es fundamental entender esta limitación para asegurar una configuración adecuada y evitar interrupciones en los servicios. A continuación, se presentan los pasos para diagnosticar y resolver este problema.
Índice
Descripción del problema
En OCI, solo las direcciones IP privadas secundarias de la tarjeta de interfaz de red virtual (VNIC) de una máquina virtual se pueden reasignar entre interfaces (adjuntar/desvincular). Esta limitación implica que las configuraciones HA de FortiGate deben evitar el uso de la dirección IP privada primaria de la VNIC de OCI para la configuración de las interfaces de FortiGate.
Las máquinas virtuales en OCI tienen asignada una dirección IP privada primaria y pueden tener direcciones IP privadas secundarias adicionales. Las configuraciones HA de FortiGate deben utilizar IPs secundarias de la VM de OCI, no la IP primaria. Intentar asignar la IP primaria de una VNIC de OCI a una interfaz de FortiGate generará el error mencionado.
Cuando se observa este error durante una conmutación por error, indica que la dirección IP privada primaria de la VNIC de OCI se ha configurado en una interfaz de FortiGate.
Alcance
Este artículo es aplicable a FortiGate y Oracle Cloud Infrastructure (OCI).
Diagnóstico paso a paso
Para verificar este error, utilice los siguientes comandos de depuración en FortiGate:
diagnose debug application ocid -1
diagnose debug enable
Salida esperada (ejemplo):
-----output clipped---------
api retrying ...
http response err: 400
{
"code" : "InvalidParameter",
"message" : "Cannot reassign primary private IP addresses"
}
api retrying ...
moving private ip 10.0.12.4 to local failed
-----output clipped---------
Solución recomendada
Resolución:
- Identifique la IP primaria en la Consola de OCI. Anote la dirección IP primaria y las IPs secundarias asociadas a la VNIC.
- En la configuración de FortiGate, asegúrese de que la IP primaria (por ejemplo, 10.0.12.4) no esté configurada en ninguna interfaz de FortiGate. Confirme que la interfaz de FortiGate utilice una de las IPs secundarias disponibles (10.0.12.3 o 10.0.12.5).
- Vuelva a configurar la interfaz de FortiGate para utilizar solo direcciones IP secundarias proporcionadas por OCI.
- En este escenario, la IP primaria (por ejemplo, 10.0.12.4) no debe configurarse en las interfaces de FortiGate. En su lugar, deben utilizarse IPs secundarias como 10.0.12.3 o 10.0.12.5.
Comandos CLI utilizados
diagnose debug application ocid -1
diagnose debug enable
Buenas prácticas y recomendaciones
Para evitar este tipo de errores, es recomendable:
- Siempre utilizar direcciones IP secundarias para las configuraciones de interfaz de FortiGate en entornos OCI.
- Realizar revisiones periódicas de la configuración de las interfaces de FortiGate.
- Documentar las asignaciones de IP en su entorno OCI para facilitar la resolución de problemas futuros.
Notas adicionales
Considere la posibilidad de implementar un monitoreo proactivo que avise sobre cambios en la configuración de IP en su entorno OCI, esto puede ayudar a identificar problemas antes de que afecten los servicios.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!