本主题中的信息可用于调试与 NSX 分布式恶意软件防护服务部署、服务实例的运行状况、ESXi 代理机构相关的问题以及其他问题。
验证 ESX Agent Manager 运行状况
- 在 vSphere Client 中,导航到 。单击 vSphere ESX Agent Manager。
- 单击配置选项卡。
此页面显示 NSX 恶意软件防护 解决方案的主机上 ESX 代理机构的运行状况以及检测到的代理机构的问题(如果有)。
ESXi Agency Manager (EAM) 服务必须启动并正在运行。验证以下 URL 是否可访问。
https://vCenter_Server_IP_Address/eam/mob
将 vCenter_Server_IP_Address 替换为网络中 VMware vCenter 的 IP 地址。
验证端口组、接口和上下文多路复用器的连接
- 选择服务虚拟机的名称,然后单击网络选项卡。确认列出了 vmservice-vhs-pg 端口组。
- 右键单击服务虚拟机名称,然后单击编辑设置。在虚拟硬件页面上,确认已连接网络适配器 1 和网络适配器 2。网络适配器 1 将 SVM 连接到管理网络,网络适配器 2 将 SVM 连接到 vmservice-vshield-pg 端口组,此端口组由 NSX 在服务部署期间自动创建。网络适配器 2 是 SVM 的控制接口,用于上下文多路复用器 (MUX) 和 SVM 之间的通信。对于 NSX 恶意软件防护 SVM,控制接口 IP 为 169.254.1.22。
必须在每个 ESXi 主机上运行上下文多路复用器服务。要验证主机上是否正在运行 nsx-context-mux
服务,请以 root 用户身份登录到每个 ESXi 主机的 CLI,然后运行以下 CLI 命令:
# /etc/init.d/nsx-context-mux status
如果此服务未运行,请使用以下 CLI 命令启动或重新启动此服务:
/etc/init.d/nsx-context-mux start
或
/etc/init.d/nsx-context-mux restart
解决 ESX Agent Manager 问题
ESX Agent Manager 在检测到 ESX 代理机构中的问题时,会向 NSX Manager 通知有关错误详细信息。您可以在 NSX Manager UI 中单击解决以解决问题。下表介绍了 ESX Agent Manager 问题。
问题 | 类别 | 说明 | 解决方案 |
---|---|---|---|
无法访问代理 OVF |
虚拟机未部署 |
需要在主机上部署代理虚拟机,但由于 ESXi Agent Manager 无法访问代理的 OVF 软件包,无法部署代理虚拟机。发生这种情况可能是因为,提供 OVF 软件包的 Web 服务器已关闭。该 Web 服务器通常位于创建代理机构的解决方案内部。 |
ESXi Agency Manager (EAM) 服务会重试 OVF 下载操作。单击解决。 |
主机版本不兼容 |
虚拟机未部署 |
需要在主机上部署代理虚拟机。但是,由于兼容性问题,未在主机上部署代理。 |
升级主机或解决方案以使代理与主机兼容。检查 SVM 的兼容性。单击解决。 |
资源不足 |
虚拟机未部署 |
需要在主机上部署代理虚拟机。但是,由于主机的 CPU 或内存资源较少,ESXi Agency Manager (EAM) 服务未部署代理虚拟机。 |
ESXi Agency Manager (EAM) 服务会尝试重新部署虚拟机。确保 CPU 和内存资源可用。检查主机并释放一些资源。单击解决。 |
空间不足 |
虚拟机未部署 |
需要在主机上部署代理虚拟机。但是,由于主机上的代理数据存储没有足够的可用空间,未部署代理虚拟机。 |
ESXi Agency Manager (EAM) 服务会尝试重新部署虚拟机。释放数据存储上的一些空间。单击解决。 |
无代理虚拟机网络 |
虚拟机未部署 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理网络,无法部署代理。 |
将自定义代理虚拟机网络中列出的某个网络添加到主机。在数据存储可用后,该问题会自动解决。 |
OVF 格式无效 |
虚拟机未部署 |
需要在主机上置备代理虚拟机,但由于 OVF 软件包置备失败,无法执行该操作。在升级或修补提供 OVF 软件包的解决方案以提供代理虚拟机的有效 OVF 软件包之后,置备才有可能成功。 |
ESXi Agency Manager (EAM) 服务会尝试重新部署 SVM。确保在服务部署中使用有效的 OVF 软件包。单击解决。 |
缺少代理 IP 池 |
虚拟机已关闭电源 |
需要打开代理虚拟机电源,但由于在代理的虚拟机网络上没有定义任何 IP 地址,代理虚拟机已关闭电源。 |
在虚拟机网络上定义 IP 地址。单击解决。 |
无代理虚拟机数据存储 |
虚拟机已关闭电源 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理数据存储,无法部署代理。 |
将自定义代理虚拟机数据存储中列出的某个数据存储添加到主机。在数据存储可用后,该问题会自动解决。 |
无自定义代理虚拟机网络 |
无代理虚拟机网络 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理网络,无法部署代理。 |
将主机添加到自定义代理虚拟机网络中列出的某个网络中。在自定义虚拟机网络可用后,该问题会自动解决。 |
无自定义代理虚拟机数据存储 |
无代理虚拟机数据存储 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理数据存储,无法部署代理。 |
将主机添加到自定义代理虚拟机数据存储中列出的某个数据存储中。该问题会自动解决。 |
孤立的 DvFilter 交换机 |
主机问题 |
在主机上存在 dvFilter 交换机,但主机上的代理均不依赖于 dvFilter。如果在更改代理机构配置时主机断开连接,会发生这种情况。 |
单击解决。在更新代理机构配置之前,ESXi Agency Manager (EAM) 服务会尝试连接主机。 |
代理虚拟机未知 |
主机问题 |
在 vCenter Server 清单中找到不属于此 vSphere ESX Agent Manager 服务器实例中的任何代理机构的代理虚拟机。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将虚拟机置于其所属的清单中。 |
OVF 属性无效 |
虚拟机问题 |
必须打开代理虚拟机电源,但缺少 OVF 属性或具有无效的值。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试重新配置正确的 OVF 属性。 |
虚拟机已损坏 |
虚拟机问题 |
代理虚拟机已损坏。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试修复虚拟机。 |
虚拟机已孤立 |
虚拟机问题 |
代理虚拟机存在于主机上,但主机不再是代理机构范围的一部分。如果在更改代理机构配置时主机断开连接,会发生这种情况。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将主机重新连接到代理机构配置。 |
已部署虚拟机 |
虚拟机问题 |
需要从主机中移除代理虚拟机,但并未移除代理虚拟机。vSphere ESX Agent Manager 无法移除代理虚拟机的特定原因,例如主机处于维护模式、已关闭电源或处于待机模式。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试从主机中移除代理虚拟机。 |
虚拟机已关闭电源 |
虚拟机问题 |
需要打开代理虚拟机电源,但已关闭代理虚拟机电源。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试打开虚拟机的电源。 |
虚拟机已打开电源 |
虚拟机问题 |
代理虚拟机电源应关闭,但代理虚拟机已打开。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试关闭虚拟机的电源。 |
虚拟机已挂起 |
虚拟机问题 |
需要打开代理虚拟机电源,但代理虚拟机已挂起。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试打开虚拟机的电源。 |
虚拟机文件夹错误 |
虚拟机问题 |
代理虚拟机需要位于指定的代理虚拟机文件夹中,但位于其他文件夹中。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将代理虚拟机置于指定的文件夹中。 |
虚拟机资源池错误 |
虚拟机问题 |
代理虚拟机需要位于指定的代理虚拟机资源池中,但位于其他资源池中。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将代理虚拟机置于指定的资源池。 |
虚拟机未部署 |
代理问题 |
需要在主机上部署代理虚拟机,但并未部署代理虚拟机。ESXi Agent Manager 无法部署代理的原因很具体,例如,无法访问代理的 OVF 软件包或缺少主机配置。如果从主机中明确删除代理虚拟机,则也会出现该问题。 |
单击解决以部署该代理虚拟机。 |
解决 NSX Manager 问题
确认服务实例的运行状况
NSX Manager 接收每个服务实例的运行状况详细信息。接收到运行状况的最新时间戳显示在 NSX Manager UI 中。您可能需要刷新几次服务实例页面以检索最新运行状况。
- 导航到 。
- 在运行状况列中,单击“正常”或“关闭”旁边的图标。
在 NSX Manager 中查看警报
- NSX 上下文多路复用器与 NSX 恶意软件防护 SVM 之间的连接已断开。
- NSX 上下文多路复用器已关闭或重新引导。
您还可以在服务实例页面上查看警报。
的从 NSX 4.0.1.1 开始,您可以查看有关 NSX 恶意软件防护 功能运行状况的警报。执行以下步骤:
- 在 NSX Manager 中,单击 ,导航到警报定义页面。
- 单击按名称、路径和其他内容筛选文本区域,然后单击功能。
- 选中恶意软件防护运行状况复选框。
有关 NSX 恶意软件防护 运行状况事件的文档,请参见 NSX 事件目录。
在“安全概览”仪表板上查看组件问题
当 NSX 分布式恶意软件防护 服务中的任何组件关闭或无法运行时,安全概览仪表板上的“恶意软件防护”小组件会显示问题。要在 NSX Manager UI 中查看此 UI 小组件,请导航到 。
- 当 NSX 恶意软件防护 服务虚拟机 (SVM) 上的安全 Hub 关闭时,条形图将显示问题。将鼠标指向条可查看以下详细信息:
- 受影响的 NSX 恶意软件防护 SVM 数。
- 因 Security Hub 发生故障,主机上失去恶意软件安全防护的工作负载虚拟机数。
- 圆环图显示以下详细信息:
- 运行 NSX 文件侦测驱动程序的工作负载虚拟机数。
- 未运行 NSX 文件侦测驱动程序的工作负载虚拟机数。
对于这两个衡量指标,仅考虑启用 NSX 分布式恶意软件防护 的主机集群上的工作负载虚拟机。
正确命名键对以方便识别
SSH 对 SVM 的 admin 用户的访问基于密钥(公钥-私钥对)。在 ESXi 主机集群上部署服务时,需要使用公钥;如果要启动 SSH 与 SVM 的会话,则需要使用私钥。
NSX 分布式恶意软件防护 服务部署在主机集群层面完成。因此,密钥对绑定到主机集群。您可以为每个集群上的服务部署创建新的公钥-私钥对,也可以在所有集群上使用单个密钥对进行服务部署。
如果计划为每个集群上的服务部署使用不同的公钥-私钥,请确保正确命名密钥,以便于识别。
最好使用“计算集群 ID”标识每个服务部署,并在密钥对的名称中指定集群 ID。例如,假设集群 ID 为 "1234-abcd"。对于此集群,您可以将服务部署名称指定为 "MPS-1234-abcd",并将用于访问此服务部署的密钥对命名为 "id_rsa_1234_abcd.pem"。此做法可方便您维护和关联每个服务部署的密钥。
如果私钥丢失,SVM 可以继续运行而不会出现任何问题,但您无法登录到 SVM 并下载日志文件以进行故障排除。
收集支持包和 NSX 恶意软件防护 SVM 日志
- NSX Manager 设备
- ESXi 主机
- 工作负载虚拟机上的 VMware Tools
- NSX 恶意软件防护 SVM
要收集包含 ESXi 主机和 NSX Manager 设备的日志文件的支持包,请使用 NSX 中的支持包功能。有关在 NSX 中收集支持包的说明,请参见收集支持包。
要收集包含 VMware vCenter 上运行的组件和服务的日志文件的支持包,请参见 vCenter Server 配置文档。例如,您可以使用 VMware vCenter 支持包收集 VMware Tools 的日志文件。
要收集 NSX 恶意软件防护 SVM 的日志文件,请使用 SVM 的私钥启动与 SVM 的远程 SSH 会话。有关详细信息,请参见登录到 NSX 恶意软件防护 服务虚拟机。
日志文件位于 SVM 的 /var/log。 如果此位置有多个 syslog 文件可用,则会将其压缩并存储在同一路径中。