VM-Firewall Panorama 系统时钟的多个来源的系列或崩溃
35354
Created On 04/18/19 19:21 PM - Last Modified 03/26/21 17:37 PM
Symptom
VM-firewall Panorama 由于虚拟机和 ESXi 服务器之间的时间同步,在 VMware ESXi 主机上部署的系列重新启动并崩溃。
–无法访问 Panorama 网络界面或 SSH 。
系统由开录脚本重新启动 firewall ,并在 mp\masterd_details.log下生成以下日志:
mp masterd_detail.log.1 2019-02-09 10:44:16 2019-02-09 10:44:16.319 -0500 DEBUG: all: Got event stop_event mp masterd_detail.log.1 2019-02-09 10:44:16 2019-02-09 10:44:16.320 -0500 DEBUG: all: Calling stop_event mp masterd_detail.log.1 2019-02-09 10:44:16 2019-02-09 10:44:16.321 -0500 INFO: all: group stop event reason - triggered by init script stop
检查消息.log:
mgmt ntpd[8128]: 0.0.0.0 0613 03 spike_detect -3462.970058 s mgmt ntpd[8128]: 0.0.0.0 061c 0c clock_step -3462.967588 s mgmt ntpd[8128]: 0.0.0.0 0615 05 clock_sync mgmt ntpd[8128]: 0.0.0.0 c618 08 no_sys_peer mgmt ntpd[8128]: 0.0.0.0 0628 08 no_sys_peer
Environment
- VM 系列 Panorama .
- PAN-OS 7.1及以上。
Cause
当您打开定期时间同步时,VMware Tools 将来宾操作系统的时间设置为与主机时间相同的时间。时间同步发生后,VMware Tools 每分钟检查一次,以确定来宾和主机操作系统上的时钟是否仍然匹配。 如果没有,则来宾操作系统上的时钟将同步以匹配主机上的时钟。 这可能会导致过度 CPU 和内存过度承诺。
VM 当启用时钟/时间源(即 ESXi 主机)时,内核就会挂 PA-VM 起。这将干扰 NTP 操作,并可能使时钟行为不规则,然后 firewall 崩溃。
Resolution
ESXi 主机和 NTP 时钟打开 Panorama 或 VM- 系列 firewall 无法设置在一起。 禁用 VMware 工具在 ESXi 上的虚拟机和主机操作系统之间定期同步。
STEP 1: 关闭虚拟机电源。
STEP 2: 右键单击任何虚拟机并单击 "编辑设置"。这将打开虚拟机的属性。
STEP 3:选择选项选项卡。
STEP 4: 单击左侧窗格上的VMware 工具。
STEP 5:在右侧窗格上取消选择复选框,"与主机同步客人时间"。
STEP 6: 在虚拟机上供电。
时间同步复选框仅控制虚拟机运行期间时间是否定期重新同步。 即使此框未经选定,默认情况下,VMware 工具也会在一些可能不正确的特定事件之后同步虚拟机的时间。
要完全禁用时间同步, 您必须在位于此周界下的虚拟机配置文件中设置一些属性:'/vmfs/卷/datastore_name/vm_name/vm_name.vmx
时间.同步.继续 ="0"
时间.同步.恢复 ="0"
时间.同步.恢复. "0"
时间. 同步. 收缩 = "0"
时间. 同步. 工具. 启动 = "0"
时间. 同步. 工具. 启用 = "0"
时间. 同步. 恢复. 主机 = "0"
按照此 Vmware KB 文章进行上述更改的步骤: https://kb.vmware.com/s/article/1189