VMware NSX/ESXi デプロイメントのトラブルシューティング
Resolution
VMware NSX に関連する問題は、以下のカテゴリに大別されます。
- パノラマが NSX マネージャに登録または同期できない
- PA-VM は、トラフィックを渡していない
- dag がパノラマで更新されない
- その他
1。 以下の質問に対する回答を収集
する: 質問 (PAN に関連)。
• VMware のためのどのパンプロダクトか。
-クロス vCenter nsx を搭載した nsx 用 nsx vm シリーズ用の vm シリーズ
(マルチ nsx マネージャー)
•パノラマのバージョン
を教えてください。 • VMware NSX 統合プラグインのバージョン (該当する場合)
•どのようなバージョンの VM シリーズ?
•パノラマに登録されている VM IP アドレスの数
•最近のパノラマおよび/または VM シリーズで行われた変更は何ですか?
質問 (VMware に関連する)。
•これは仮想デスクトップインフラストラクチャ (VDI) または仮想サーバーインフラストラクチャ (VSI) の展開ですか。
•展開対象となるクラスタの数
•各クラスタ内にある ESXi ホストの数
•どのようなバージョンの vCSA/vCenter?
•どのようなバージョンの ESXi ホストですか?
•パノラマに登録されている VM IP アドレスの数
•最近、どのような変更が行われましたか?
質問 (VM シリーズに固有のもの)。
•どのファイアウォールモード?
-vwire-
L2/l3
-l3
-l3 は (ハイパーバイザーは、MAC アドレスを割り当て使用)
•どの仮想スイッチ?
-仮想標準スイッチ (vSS)
-仮想分散スイッチ (vDS)
の質問 (NSX の VM シリーズに固有)。
• NSX のバージョンは?
•パノラマは1つの nsx マネージャまたは複数の nsx マネージャに接続されていますか?
•クロス vCenter NSX の場合、どのように多くの vCenters?
•どのようなパノラマの VMware サービスマネージャのステータスは何ですか?
• NSX 用の VM シリーズの OVF バージョンは、どのようなパノラマで構成されていますか?
•どのように多くのパノラマサービスの定義?
•使用されている NSX セキュリティ・グループの数
•使用されている NSX セキュリティ・ポリシーの数
• VM IPv6 アドレスはデプロイされていますか?
• vm のトラフィックは、NSX DFW から vm シリーズにパントされていますか?
• vm シリーズは vm トラフィック (pcaps など) を受信していますか?
• NSX で最近行われた変更は何ですか?
2。 パノラマ-VM の構成を検証します。
NSX マネージャを使用して、VM シリーズのファイアウォールをサービスとして登録します。
•パノラマ-> VMware nsx-> サービスマネージャ-> 追加 (編集) ø nsx マネージャの URL: "https://" または "https://" ø nsx マネージャのログイン: ø nsx マネージャ<Username must="" be="" same="" used="" to="" login="" nsx="" manager="">パスワード: <Password must="" be="" same="" as="" used="" to="" login="" nsx="" manager="">ø nsx のマネージャーパスワードを確認し<Confirm the="" password=""><x 5="">なさい: •によって確認しなさいn をクリックして、同じ資格情報を入力します。</Confirm> </Password> </Username> </NSX> </NSX> </x>
•「コミット」と「コミット」タイプを選択して「パノラマにコミット」
•確認: パノラマ
øステータス "登録済み" 3 を確認し
ます。トラブルシューティング: パノラマステータスとして "エラー!トリガ NSX-設定-同期! "または" 接続エラー "など...:
失敗したステータスメッセージは次のとおりです。
- 接続されていない: NSX マネージャへのネットワーク接続を確立できません。
- 承認されていません: アクセス資格情報 (ユーザー名とパスワード) が正しくありません。
- [登録されていません]: サービス、サービスマネージャ、またはサービスプロファイルが使用できないか、または NSX マネージャで削除されました。
- 同期が切れていない: パノラマで定義されている構成設定は、NSX マネージャで定義されているものとは異なります。NSX マネージャで変更が行われたかどうかを確認します。構成の変更を検証し、パノラマの構成を手動で同期してみます。
- サービスなし/サービスプロファイルなし: NSX マネージャの構成が不完全であることを示します。
•パノスの場合、パノラマにインストールされているプラグインのバージョンが 2.0.0/2.0.2 であるか、または tlsv 1.0 が NSX マネージャで有効になっているかを確認します。
NSX マネージャ > [管理] > [設定] > [全般] > [FIPS モード] および [TLS 設定] [Jira の問題: プラグ-252]
•新しい NSX Manager 6.4.0 デプロイメントでは、TLS 1.0 はデフォルトで無効になっています。
1) パノラマ nsx プラグイン2.0.1 またはそれ以下を使用している場合、nsx Manager tls 1.0 は、パノラマの通信に有効にするか、
2) パノラマ nsx プラグイン2.0.2 以上を使用している場合、パノラマはデフォルトで tls 1.2 を使用します (その後、tls 1.1 にフォールバックする必要があります
•システムログでプラグインまたは NSX エラーを調べる:
> ログシステムのサブタイプを表示するプラグインの方向が等しい後方
4. トラブルシューティング: パノラマで欠落している dag に関連する問題、非同期の NSX マネージャーなど。
デバッグログ: 詳細については、デバッグを有効にする必要があります。
• CLI 経由で NSX ステータスをチェック
する: > プラグイン vmware_nsx ステータス
を表示する• configd のデバッグレベルログを有効にする
> デバッグ管理-サーバのデバッグ
> リクエストプラグインデバッグプラグイン-名前 vmware_nsx レベル高
•ウェブブラウザ php のデバッグログ:
https://<panorama_ip>/debug (チェックボックス "debug")
を有効にデバッグレベルのログをデバッグし</panorama_ip> ます。
[オペレーション] セクションの [nsx 構成同期] を選択して、nsx マネージャの変更を同期するには、パノラマの設定を手動で同期します。
または
dag の問題については、[動的オブジェクトの同期] をクリックします。
> 尾ははい mp に従ってください-ログ plugin_vmware_nsx
> 尾ははい mp-ログ php. debug. ログ
管理されたファイアウォールへのダウ更新のデバッグ:
> 尾ははい mp-log configd に従ってください。ログを
無効にするデバッグ後のレプリケーション:
> デバッグ管理-サーバーオフ
> プラグインの要求をデバッグプラグイン-名前 vmware_nsx レベルオフ
5。トラブルシューティング: NSX マネージャとパノラマ接続:
•管理ポートキャプチャ:管理インターフェイスでのパケットキャプチャ (tcpdump) の方法
6。トラブルシューティング: PA-VM はトラフィックを渡していません:
- ファイアウォールでセッションが生成されていない場合は、NSX Manager から PA-VM にトラフィックがパントているかどうかを確認します。「NSX > ネットワークとセキュリティ > ファイアウォール > パートナーセキュリティサービス」タブに移動して確認します。
- 「nsx マネージャー > ツール > Traceflow」ツールを使用して、nsx またはファイアウォールでパケット・ドロップが発生しているかどうかを確認します。
- セキュリティグループとステアリングルール [パノスまたはそれ以上の場合のみ有効] がパノラマで構成されているかどうかを確認します。NSX マネージャーで作成されたセキュリティグループは、パノラマの動的アドレスグループに関連付けられている必要があります。
- 注: vm シリーズファイアウォールの既定のポリシーは、すべてのトラフィックを拒否するように設定されているため、vm シリーズのファイアウォールにリダイレクトされるすべてのトラフィックが削除されます。
- パノラマがセキュリティポリシーをプッシュして、PA-VM を通じて関心のあるトラフィックを許可するようにしてください。
- パケットが受信されても PA-VM にドロップした場合は、グローバルカウンタ、フローベーシック、pacaket キャプチャなどを収集してトラブルシューティングを行います。リファレンス:パケットキャプチャ, デバッグフロー-基本コマンドとカウンタ命令