VMware NSX/ESXi 部署疑难解答
Resolution
与 VMware NSX 相关的问题可以大致分为以下几类:
- 全景无法注册或不同步到 NSX 管理器
- 不通过通信的 VM
- 达吉斯坦在全景图上未更新
- 杂项
1。 收集以下问题的答案:
问题 (与 PAN 有关).
· VMware 的哪个 PAN 产品?-vm 系列为 vSphere-vm 系列为 nsx-
vm-系列为 nsx 与十字架 vCenter nsx (多 nsx 管理器)
·什么版本的全景?
·什么版本的 VMware NSX 集成插件 (如果适用)?
·什么版本的 VM 系列?
·在全景图中注册了多少 VM IP 地址?
·最近对全景和/或 VM 系列进行了哪些更改?
问题 (与 VMware 相关)。
·这是虚拟桌面基础结构 (VDI) 还是虚拟服务器基础结构 (VSI) 部署?
·部署的目标集群有多少?
·每个集群中有多少个 ESXi 主机?
·什么版本的 vCSA/vCenter?
·什么版本的 ESXi 主机?
·在全景图中注册了多少 VM IP 地址?
·最近对 vSphere 或 NSX 进行了哪些更改?
问题 (特定于 VM-vSphere 系列).
·哪一种防火墙模式?
-vwire
-L2/L3
-L3
-L3 (使用管理程序分配的 MAC 地址)
·哪个虚拟交换机?
-虚拟标准交换机 (vSS)
-虚拟分布式交换机 (vDS)
问题 (针对 NSX 的 VM 系列).
·什么版本的 NSX?
·全景连接到一个 nsx 经理还是多个 nsx 管理器?
·如果十字 vCenter NSX, 有多少 vCenters?
·全景 VMware 服务管理器的状态是什么?
·在全景图中配置了 NSX 的 VM 系列 OVF 版本?
·全景服务定义有多少?
·使用多少 NSX 安全组?
·使用了多少 NSX 安全策略?
·是否部署了 VM IPv6 地址?
· vm 流量是否从 NSX DFW 踢到 VM 系列?
· vm 系列是否接收 vm 通信 (例如 pcaps)?
·最近对 NSX 进行了哪些更改?
2。 验证全景 VM 上的配置:
将 VM 系列防火墙注册为使用 NSX 管理器的服务。
·全景->> VMware NSX-> 服务经理-> 添加 (编辑) ø nsx 管理器 URL: "https://" 或 "https://" ø nsx 管理器登录: ø nsx 管理器<Username must="" be="" same="" used="" to="" login="" nsx="" manager="">密码: <Password must="" be="" same="" as="" used="" to="" login="" nsx="" manager="">ø确认 nsx 管理器密码: <Confirm the="" password=""><x 5="">·通过 logi 验证n 进入 NSX 管理器 URL 并输入相同的凭据.</Confirm> </Password> </Username> </NSX> </NSX> </x>
·选择 "提交" 和提交类型 "提交到全景图"
·验证: 全景
ø验证状态 "已注册"
3. 疑难解答: 全景状态为 "错误!触发 NSX-配置同步! 或 "连接错误" 等.:
不成功的状态消息为:
- 未连接: 无法到达/建立与 NSX 管理器的网络连接。
- 未授权: 访问凭据 (用户名和/或密码) 不正确。
- 未注册: 服务、服务管理器或服务配置文件不可用或已在 NSX 管理器上删除。
- 不同步: 在全景图上定义的配置设置与 NSX 管理器上定义的不同。检查是否对 NSX 管理器进行了任何更改。验证配置更改, 并尝试在全景图上手动同步配置。
- 无服务/无服务配置文件: 指示 NSX 管理器上的配置不完整。
·对于帕诺斯 8.0.x, 请检查安装在全景图上的插件版本是否为 2.0. 0/2.0. 2 或 TLSv1.0 在 NSX 管理器上启用:
NSX 管理器 > 管理 > 设置 > 通用 > FIPS 模式和 TLS 设置。[Jira 发行: PLUG-252]
·对于新的 NSX 管理器6.4.0 部署, 默认情况下, TLS 1.0 被禁用。
1) 如果使用全景 nsx 插件2.0.1 或更低, NSX 管理器 TLS 1.0 必须启用全景通信, 或
2) 如果使用全景 nsx 插件2.0.2 或更大, 全景将使用 TLS 1.2 默认 (然后回落到 tls 1.1 是必要的)
·检查系统日志下的插件或 NSX 错误:
>> 显示日志系统子类型相等的插件方向等于向后
4。疑难解答: 与全景上的达吉斯坦丢失相关的问题、与 NSX 管理器的同步。
调试日志: 可能需要启用调试以了解更详细的信息:
·通过 CLI 检查 NSX 状态:
>> 显示插件 vmware_nsx 状态
·为 configd 启用调试级别日志
>> 调试管理-调试时的服务器
>> 请求插件调试插件-名称 vmware_nsx 级高
· Web 浏览器 PHP 调试日志:
https:///<panorama_ip>调试 (复选框 "调试")
启用 php.debug.log 的调试级别日志</panorama_ip>
通过在 "操作" 部分中选择 "nsx 配置同步" 在全景图上手动同步配置, 以同步 NSX 管理器上的更改。
或
对于达吉斯坦问题, 请单击 "同步动态对象"
>> 跟踪是 mp 日志 plugin_vmware_nsx. 日志
> 尾部跟随是 mp 日志 php.debug.log
调试 DAU 对托管防火墙的更新:
>> 尾部跟随是 mp-日志 configd.log
禁用调试后复制:
>> 调试管理-服务器关闭
>> 请求插件调试插件-名称 vmware_nsx 级别关闭
5。疑难解答: NSX 管理器和全景连接:
·管理端口捕获:如何在管理界面上进行数据包捕获 (tcpdump)
6。疑难解答: PA VM 未传递通信量:
- 如果在防火墙上未生成任何会话, 请验证是否将通信量从 NSX 管理器踢到 PA VM。导航到 "NSX > 网络和安全 > 防火墙 > 合作伙伴安全服务" 选项卡以确认。
- 使用 "nsx 管理器 > 工具 >> Traceflow" 工具来确定是否在 NSX 或防火墙上发生数据包下降。
- 验证是否在全景图上配置了安全组和指导规则 [仅适用于帕诺斯8.0.x 或以上]。在 NSX 管理器中创建的安全组必须与全景上的动态地址组相关联。
- 注意: VM 系列防火墙上的默认策略设置为拒绝所有通信, 这意味着将丢弃所有重定向到 VM 系列防火墙的通信。
- 请确保全景图推动了安全策略, 允许通过 PA VM 进行感兴趣的通信。
- 如果在 PA VM 上接收和但丢弃了数据包, 则通过收集全局计数器、流基本、pacaket 捕获等来排除故障。参考:数据包捕获, 调试流-基本和计数器命令