Dépannage du déploiement de VMware NSX/ESXi

Dépannage du déploiement de VMware NSX/ESXi

38949
Created On 09/26/18 19:10 PM - Last Modified 04/20/20 23:58 PM


Resolution


Les problèmes liés à VMware NSX peuvent se situer largement dans les catégories suivantes:

  • Panorama impossible d'enregistrer ou de désynchroniser vers le gestionnaire de NSX
  • PA-VM ne passant pas le trafic
  • Dag ne sont pas mis à jour sur panorama
  • Divers

1.  Recueillir des réponses pour les questions suivantes:
questions (liées à Pan).
     • Quel produit Pan pour VMware?
-VM-Series pour vSphere-
VM-Series pour NSX
-VM-Series pour NSX avec Cross vCenter NSX (multi NSX Manager)
• quelle version de panorama?
     • Quelle version de VMware NSX Integration plugin (le cas échéant)?
• Quelle version de VM-Series?
• Combien d'adresses IP de VM sont enregistrées dans Panorama?
• Quels changements ont été apportés récemment sur panorama et/ou VM-Series?

 

    Questions (liées à VMware).
     • S'agit-il d'un déploiement d'infrastructure de bureau virtuel (VDI) ou d'infrastructure de serveurs virtuels (VSI)?
• Combien de grappes sont ciblées pour le déploiement?
• Combien d'hôtes ESXi dans chaque cluster?
• Quelle version de vCSA/vCenter?
• Quelle version d'ESXi héberge?
• Combien d'adresses IP de VM sont enregistrées dans Panorama?
• Quels changements ont été apportés récemment à vSphere ou à NSX?

Questions (spécifiques à VM-Series pour vSphere).
     • Quel mode pare-feu?
-vwire
-L2/L3
-L3
-L3 (utiliser les adresses Mac assignées par hyperviseur)
• quel commutateur virtuel?
            -Virtual standard Switch (vSS)
-interrogations Virtual Distributed Switch (VDS)

(spécifiques à VM-Series pour NSX).
    • Quelle version de NSX?
• Panorama est-il connecté à un gestionnaire NSX ou à plusieurs gestionnaires NSX?
• Si Cross vCenter NSX, combien de vCenter?
• Quel est le statut de panorama VMware Service Manager?
• Qu'est-ce que la version OVF de VM-Series pour NSX est configurée dans Panorama?
• Combien de définitions de service de panorama?
• Combien de groupes de sécurité NSX sont-ils utilisés?
• Combien de stratégies de sécurité NSX sont-elles utilisées?
• Les adresses VM IPv6 sont-elles déployées?
• Le trafic VM est-il tiré du NSX DFW vers la VM-Series?
• La série VM reçoit-elle du trafic VM (p. ex. pcaps)?
• Quels changements ont été apportés récemment à NSX?

 

2.  Valider la configuration sur panorama-VM:

      Enregistrez le pare-feu de la série VM en tant que service avec le gestionnaire NSX.
      • Panorama-> VMware NSX-> service managers-> Add (Edit) ø NSX Manager URL: "https://" ou "https://" ø NSX Manager login: <Username must="" be="" same="" used="" to="" login="" nsx="" manager="">ø NSX Manager mot de passe: <Password must="" be="" same="" as="" used="" to="" login="" nsx="" manager="">ø confirmer le mot de passe du gestionnaire NSX: <Confirm the="" password=""><x 5="">• vérifier par logi n dans l'URL du gestionnaire NSX et entrez les mêmes informations d'identification.</Confirm> </Password> </Username> </NSX> </NSX> </x>
     • Sélectionner "Commit" et valider le type "Commit to Panorama"
• vérifier: Panorama
ø vérifier l'état "registered"

3. Dépanner: Panorama status As "Error! Trigger NSX-config-Sync! "ou" erreur de connexion "etc.:

 

    Les messages d'État non réussis sont:

  • Non connecté: impossible d'atteindre/d'établir une connexion réseau au gestionnaire NSX.
  • Non autorisé: les informations d'identification d'accès (nom d'utilisateur et/ou mot de passe) sont incorrectes.
  • Non enregistré: le profil service, Service Manager ou service n'est pas disponible ou a été supprimé sur le gestionnaire NSX.
  • Hors synchronisation: les paramètres de configuration définis sur panorama sont différents de ce qui est défini sur le gestionnaire de NSX. Vérifiez si des modifications ont été effectuées sur le gestionnaire NSX. Validez les modifications de config et essayez de synchroniser manuellement la config sur panorama.
  • Aucun profil de service/aucun service: indique une configuration incomplète sur le gestionnaire NSX.

 

      • Pour Panos 8.0. x, vérifiez si la version du plugin installée sur panorama est 2.0.0/2.0.2 ou tlsv 1.0 est activée sur le gestionnaire NSX sous:


      NSX Manager > Manage > settings > General > mode FIPS et paramètres TLS. [JIRA problème: plug-252]

 

      • Pour les nouveaux déploiements 6.4.0 de NSX Manager, TLS 1,0 est désactivé par défaut.
            1) si vous utilisez le plugin panorama NSX 2.0.1 ou inférieur, NSX Manager TLS 1,0 doit être activé pour que Panorama communique, ou
2) si vous utilisez le plugin panorama NSX 2.0.2 ou plus, panorama utilisera TLS 1,2 par défaut (puis retombez sur TLS 1,1 est nécessaire)

 

     • Examinez les plugins ou les erreurs NSX dans les journaux système:

            > Show log System sous-type plugin direction égale en arrière

 

4. Dépannage: problèmes liés à Dag manquant sur panorama, out-of-sync à NSX Manager etc.

 

    Déboguer les journaux: peut-être besoin d'activer debug pour plus d'informations détaillées:

       • Vérifiez l'état de NSX via CLI:
> Show plugins vmware_nsx état
• activer le niveau de débogage log pour configd
> Debug Management-Server sur Debug
> Request plugins Debug plugin-nom vmware_nsx niveau élevé
• navigateur Web Php Debug logs:
https://<panorama_ip>/debug (case à cocher "debug")
activer le journal de niveau de débogage pour php. Debug. log </panorama_ip>

 

Synchronisez manuellement la configuration sur panorama en sélectionnant'NSX config Sync'dans la section Operations pour synchroniser les modifications sur le gestionnaire NSX.

     Ou
pour les problèmes Dag, cliquez sur'synchroniser les objets dynamiques'

   

        > queue suivre Oui MP-log plugin_vmware_nsx. log
> suivre la queue Oui MP-log php. Debug. log

 

     Déboguer les mises à jour dau sur les pare-feu gérés:
> suiv suivre Oui MP-log configd. log désactiver le

débogage post réplication:
> Debug Management-Server OFF
> Request plugins Debug plugin-Name vmware_nsx Level OFF

 

5. Dépannage: gestionnaire NSX et connectivité Panorama:
• captures de ports de gestion: procédure de capture de paquets (tcpdump) sur l'interface de gestion

 

6. Dépannage: PA-VM ne passe pas le trafic:

  • Si aucune session n'est générée sur le pare-feu, vérifiez si le trafic est acheminé vers PA-VM à partir de NSX Manager. Accédez à l'onglet'NSX > Networking & Security > Firewall > partenaires Security Services'pour confirmer. 
  • Utilisez l'outil'NSX Manager > Tools > Traceflow'pour déterminer si des gouttes de paquets se produisent au niveau du NSX ou du pare-feu.
  • Vérifiez si les groupes de sécurité et les règles de pilotage [uniquement valables pour Panos 8.0. x ou supérieur] sont configurés sur panorama. Les groupes de sécurité créés dans le gestionnaire NSX doivent être associés aux groupes d'adresses dynamiques sur panorama.
  • Remarque: la stratégie par défaut sur le pare-feu de la série VM est définie pour refuser tout le trafic, ce qui signifie que tout le trafic redirigé vers le pare-feu de la série VM sera supprimé.
  • Assurez-vous que Panorama a poussé les stratégies de sécurité pour permettre le trafic intéressé par PA-VM.
  • Si les paquets sont reçus et sont tombés sur PA-VM, résolvez les problèmes en collectant des compteurs globaux, flux-Basic, pacaket-captures etc. Référence: capture de paquets, Debug Flow-Basic et Counter Commands
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2jCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language