Troubleshooting VMware NSX/ESXi-Einsatz

Troubleshooting VMware NSX/ESXi-Einsatz

38973
Created On 09/26/18 19:10 PM - Last Modified 04/20/20 23:58 PM


Resolution


Probleme im Zusammenhang mit VMware NSX können weitgehend in die folgenden Kategorien fallen:

  • Panorama kann sich nicht registrieren oder nicht synchron zum NSX Manager
  • PA-VM nicht am Verkehr vorbei
  • DAGs werden nicht auf Panorama aktualisiert
  • Diverses

1.  Sammeln Sie Antworten für folgende Fragen:
Fragen (im Zusammenhang mit Pan).
     • Welches Pan-Produkt für VMware?
-VM-Serie für vSphere
-VM-Serie für die NSX
-VM-Serie für NSX mit Cross vCenter NSX (Multi NSX Manager)
• welche Version von Panorama?
     • Welche Version von VMware NSX Integration Plugin (falls zutreffend)?
• Welche Version der VM-Serie?
• Wie viele VM-IP-Adressen sind im Panorama registriert?
• Welche Änderungen wurden kürzlich an der Panorama-und/oder VM-Serie vorgenommen?

 

    Fragen (im Zusammenhang mit VMware).
     • Ist dies eine virtuelle Desktop-Infrastruktur (VDI) oder Virtual-Server-Infrastruktur (VSI) Einsatz?
• Wie viele Cluster werden für den Einsatz eingesetzt?
• Wie viele ESXi-Hosts in jedem Cluster (n)?
• Welche Version von vcsa/vCenter?
• Welche Version von ESXi Hosts?
• Wie viele VM-IP-Adressen sind im Panorama registriert?
• Welche Änderungen wurden kürzlich an vSphere oder NSX vorgenommen?

Fragen (speziell für die VM-Serie für vSphere).
     • Welcher Firewall-Modus?
-vWire
-L2/L3
-L3
-L3 (verwenden Sie Hypervisor zugewiesene MAC-Adressen)
• welcher virtuelle Schalter?
            -Virtual Standard Switch (VSS)
-Virtual Districts Switch (VDS)

Fragen (spezifisch für VM-Serien für NSX).
    • Welche Version von NSX?
• Ist Panorama mit einem NSX Manager oder mehreren NSX Managern verbunden?
• Wenn Cross vCenter NSX, wie viele vcenters?
• Was ist der Panorama VMware Service Manager Status?
• Welche OVF-Version der VM-Serie für NSX ist im Panorama konfiguriert?
• Wie viele Panorama-Service-Definitionen?
• Wie viele NSX-Sicherheitsgruppen werden eingesetzt?
• Wie viele NSX-Sicherheitsrichtlinien werden verwendet?
• Werden VM-IPv6-Adressen eingesetzt?
• Wird der VM-Verkehr von der NSX DFW in die VM-Serie gesteckt?
• Erhält die VM-Serie VM-Traffic (z.b. pcaps)?
• Welche Änderungen wurden kürzlich an NSX vorgenommen?

 

2.  Validieren Sie die Konfiguration auf Panorama-VM:

      Registrieren Sie die VM-Serie Firewall als Dienst bei NSX Manager.
      • Panorama-> VMware NSX-> Service Manager-> Add (Edit) ø NSX Manager URL: "https://" oder "https://" ø NSX Manager Login: <Username must="" be="" same="" used="" to="" login="" nsx="" manager="">ø NSX Manager Passwort: <Password must="" be="" same="" as="" used="" to="" login="" nsx="" manager="">ø Confirm NSX Manager Passwort: <Confirm the="" password=""><x 5="">• Verifizieren von Logi n in NSX Manager URL und geben Sie die gleichen Berechtigungen.</Confirm> </Password> </Username> </NSX> </NSX> </x>
     • Wählen Sie "Commit" und Commit-Typ "Commit to Panorama"
• Überprüfen Sie: Panorama
ø verifizieren Status "registriert"

3. Troubleshoot: Panorama Status als "Error! Trigger NSX-config-Sync! "oder" Verbindungsfehler "etc..:

 

    Die erfolglosen Statusmeldungen sind:

  • Nicht verbunden: nicht in der Lage, eine Netzwerkverbindung zum NSX-Manager zu erreichen/aufzubauen.
  • Nicht autorisiert: die Zugangsdaten (Benutzername und/oder Passwort) sind falsch.
  • Nicht registriert: der Service, der Service-Manager oder das Service-Profil ist nicht verfügbar oder wurde auf dem NSX-Manager gelöscht.
  • Out of Sync: die auf Panorama definierten Konfigurationseinstellungen unterscheiden sich von dem, was auf dem NSX-Manager definiert ist. Prüfen Sie, ob sich Änderungen am NSX Manager vorgenommen haben. Validieren Sie die Konfigurationsänderungen und versuchen Sie, die Konfiguration auf Panorama manuell zu synchronisieren.
  • Kein Service/kein Service-Profil: zeigt eine unvollständige Konfiguration auf dem NSX-Manager an.

 

      • Für Panos 8.0. x, prüfen Sie, ob die auf Panorama installierte Plugin-Version 2.0.0/2.0.2 oder tlsv 1.0 auf dem NSX-Manager aktiviert ist unter:


      NSX Manager > verwalten > Einstellungen > Allgemeine > FIPS-Modus und TLS-Einstellungen. [Jira Issue: Plug-252]

 

      • Für neue NSX Manager 6.4.0-Einsätze ist TLS 1,0 standardmäßig deaktiviert.
            1) Wenn Sie Panorama NSX Plugin 2.0.1 oder Lower verwenden, muss NSX Manager TLS 1,0 für das Panorama aktiviert werden, um zu kommunizieren, oder
2) Wenn Sie Panorama-NSX-Plugin 2.0.2 oder größer verwenden, wird Panorama TLS 1,2 standardmäßig verwenden (dann fallen Sie zurück auf TLS 1,1 ist notwendig)

 

     • Prüfen Sie Plugins oder NSX-Fehler unter Systemprotokollen:

            > Log-System-Subtyp gleiche Plugin-Richtung gleich rückwärts

 

4. Troubleshoot: Probleme im Zusammenhang mit DAGs fehlen auf Panorama, out-of-Sync zu NSX Manager etc..

 

    Debug-Protokolle: möglicherweise müssen Sie Debug für detailliertere Informationen aktivieren:

       • Überprüfen Sie den NSX-Status über CLI:
> Plugins vmware_nsx Status
• Aktivieren Sie Debug Level Log für configd
> Debug Management-Server auf Debug
> Anfrage Plugins Debug Plugin-Name vmware_nsx Level High
• Web-Browser PHP Debug Logs:
https://<panorama_ip>/Debug (Kästchen "Debug")
Aktivieren Sie Debug Level Log für php. Debug. log </panorama_ip>

 

Die Konfiguration auf dem Panorama manuell synchronisieren, indem Sie "NSX config Sync" im Operations Bereich auswählen, um die Änderungen am NSX-Manager zu synchronisieren.

     Oder
für DAGs-Probleme, klicken Sie auf "dynamische Objekte synchronisieren"

   

        > Schwanz folgen ja MP-Log plugin_vmware_nsx. log
> Schwanz folgen ja MP-Log php. Debug. log

 

     Debug Dau Updates zu den verwalteten Firewalls:
> Schwanz folgen ja MP-Log configd. log deaktivieren Sie die

Debugging-Post-Replikation:
> Debug Management-Server off
> Anfrage Plugins Debug Plugin-Name vmware_nsx Level off

 

5. Troubleshoot: NSX Manager und Panorama Connectivity:
• Management Port erfasst: wie man die Aufnahme von Paketen (tcpdump) auf der Managementschnittstelle

 

6. Unruhe: PA-VM ist nicht vorbei am Verkehr:

  • Wenn keine Sessions auf Firewall generiert werden, überprüfen Sie, ob der Traffic von NSX Manager auf PA-VM puntiert wird. Navigieren Sie zu "NSX > Networking & Security > Firewall > Partner Sicherheitsdienste"-Tab, um zu bestätigen. 
  • Verwenden Sie ' NSX Manager > Tools > traceflow '-Tool, um zu erkennen, ob Paket Tropfen am NSX oder der Firewall passieren.
  • Überprüfen Sie, ob Sicherheitsgruppen und Lenkungs Regeln [nur gültig für Panos 8.0. x oder höher] auf Panorama konfiguriert sind. Sicherheitsgruppen, die im NSX Manager gegründet wurden, müssen mit dynamischen Adressgruppen auf Panorama in Verbindung gebracht werden.
  • Hinweis: die Standard-Richtlinien der VM-Series-Firewall sind so eingestellt, dass Sie den gesamten Datenverkehr verweigern, was bedeutet, dass der gesamte Verkehr, der in die VM-Series-Firewall umgeleitet wird, gelöscht
  • Vergewissern Sie sich, dass Panorama die Sicherheitsrichtlinien vorangetrieben hat, um den interessierten Verkehr durch PA-VM zu ermöglichen.
  • Wenn Pakete empfangen werden und aber auf PA-VM fallen gelassen werden, stören Sie sich an Problemen, indem Sie Global-Zähler, Flow-Basic, pacaket-Aufnahmen usw. sammeln. Referenz: Paket Erfassung, Debug-Flow-Basis-und gegen Befehle
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2jCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language