本主题涵盖一些常见问题解答和故障排除信息。
我如何验证 NSX Cloud 组件是否已安装并正在运行?
- 要验证工作负载虚拟机上的 NSX Tools 是否已连接到 PCG,请执行以下操作:
-
键入 nsxcli 命令以打开 NSX CLI。
-
键入以下命令以获取网关连接状态,例如:
get gateway connection status Public Cloud Gateway : nsx-gw.vmware.com:5555 Connection Status : ESTABLISHED
-
- 工作负载虚拟机必须具有正确的标记才能连接到 PCG:
-
登录到 AWS 控制台或 Microsoft Azure 门户。
- 验证虚拟机的 eth0 或接口标记。
nsx.network 键的值必须为 default。
-
我的通过使用云初始化脚本启动的虚拟机被隔离,且不允许安装第三方工具。我该怎么办?
启用隔离策略后,使用具有以下规范的云初始化脚本启动虚拟机时,则虚拟机将在启动时被隔离,并且您将无法在这些虚拟机上安装自定义应用程序或工具:
- 标记有 nsx.network=default
- 在虚拟机打开电源时自动安装或引导自定义服务
解决方案:
更新 default (AWS) 或 default-vnet-<vnet-ID>-sg (Microsoft Azure) 安全组,以添加安装自定义或第三方应用程序所需的入站/出站端口。
我已正确标记我的虚拟机并安装了 NSX Tools,但我的虚拟机被隔离。我该怎么办?
如果您遇到此问题,请尝试执行以下操作:
- 检查 NSX Cloud 标记 nsx.network 及其值 default 是否正确键入。应区分大小写。
- 从 CSM 重新同步 AWS 或 Microsoft Azure 帐户:
- 登录到 CSM。
- 转到 。
- 从公有云帐户屏幕单击操作,然后单击重新同步帐户。
如果我无法访问我的工作负载虚拟机,该怎么办?
从公有云(AWS 或 Microsoft Azure)中:
-
确保虚拟机上的所有端口(包括由 NSX Cloud 管理的端口)、操作系统防火墙(Microsoft Windows 或 IPTables)和 NSX-T Data Center 正确配置为允许流量。
例如,要允许 ping 通虚拟机,需要正确进行以下配置:
- AWS 或 Microsoft Azure 上的安全组。有关详细信息,请参见使用 NSX Cloud 隔离策略的威胁检测。
- NSX-T Data Center DFW 规则。请参见NSX 实施模式下 NSX 管理的工作负载虚拟机的默认连接策略以了解详细信息。
- Linux 上的 Windows 防火墙或 IPTables。
- 尝试使用 SSH 或其他方法(例如,Microsoft Azure 中的串行控制台)登录到虚拟机以解决该问题。
- 可以重新引导锁定的虚拟机。
- 如果仍无法访问该虚拟机,则将辅助网卡连接到要从中访问该工作负载虚拟机的工作负载虚拟机。
是否即使在云原生实施模式下仍需要使用 PCG?
是。
在 CSM 中载入我的公有云帐户后,是否可以更改 PCG 的 IAM 角色?
是。您可以重新运行适用于公有云的 NSX Cloud 脚本以重新生成 PCG 角色。在重新生成 PCG 角色后,在 CSM 中编辑您的公有云帐户以使用新的角色名称。在您的公有云帐户中部署的任何新 PCG 实例将使用新角色。
请注意,现有 PCG 实例继续使用旧 PCG 角色。如果要更新现有 PCG 实例的 IAM 角色,请转到公有云,然后手动更改该 PCG 实例的角色。
是否可以对 NSX Cloud 使用 NSX-T Data Center 内部部署许可证?
可以,但前提是您的 ELA 中具有相关条款。
我正在使用 CSM 中的 URL 部署 PCG,但由于网关名称无法解析,我收到了一个错误。
如果由于网关名称无法解析而导致 CSM UI 中用于安装 PCG 的 URL 失败,请在相应的公有云中对工作负载虚拟机的操作系统执行以下操作:
- 在 Microsoft Azure 中的 Microsoft Windows 工作负载虚拟机上,运行以下命令,然后使用 CSM 中的 URL 再次下载安装脚本:
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "168.63.129.16" -DnsSecEnable
- 在 AWS 中的 Microsoft Windows 工作负载虚拟机上,运行以下命令,然后使用 CSM 中的 URL 再次下载安装脚本:
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "169.254.169.253" -DnsSecEnable
- 在 Microsoft Azure 中的 Linux 工作负载虚拟机上,运行以下命令以获取 PCG 的 IP 地址,然后使用这些 IP 地址和 CSM 中的 URL 下载安装脚本:
nslookup nsx-gw.vmware.local 168.63.129.16 | awk '/^Address: / { print $2 }'
- 在 AWS 中的 Linux 工作负载虚拟机上,运行以下命令以获取 PCG 的 IP 地址,然后使用这些 IP 地址和 CSM 中的 URL 下载安装脚本:
nslookup nsx-gw.vmware.local 169.254.169.253 | awk '/^Address: / { print $2 }'