NSX Cloud 常见问题解答和故障排除

如何在 Windows 虚拟机上重新安装 NSX Tools？

要在 Windows 虚拟机上重新安装 NSX Tools，请执行以下操作：

卸载 Windows 虚拟机上的现有 NSX Tools。有关详细信息，请参见卸载 NSX Tools。
重新引导 Windows 虚拟机。
重要说明：如果在卸载 NSX Tools 后未重新引导 Windows 虚拟机，则重新安装可能会导致意外行为。
使用安装命令重新安装 NSX Tools。有关详细信息，请参见在 Windows 虚拟机上安装 NSX Tools。

在安装 NSX Tools 后，如何访问 nsxcli 命令？

在 Linux 虚拟机上安装 NSX Tools 后：

登录到已安装 NSX Tools 的 Linux 虚拟机。
运行 sudo service nsx-agent-chroot nsx-exec bash 命令。您将被定向到 Bash shell。
现在，运行 nsxcli 命令。您将被定向到 nsxcli 提示符。

现在，您可以执行任何必需的 nsxcli 命令，如 get firewall rules 等。

在 Windows 虚拟机上安装 NSX Tools 后：

登录到安装了 NSX Tools 的 Windows 虚拟机。
打开 PowerShell。
在 PowerShell 提示符处，运行 nsxcli 命令。您将被定向到 nsxcli 提示符。

现在，您可以执行任何必需的 nsxcli 命令，如 get firewall rules 等。

我如何验证 NSX Cloud 组件是否已安装并正在运行？

要验证工作负载虚拟机上的 NSX Tools 是否已连接到 PCG，请执行以下操作：
1. 键入 nsxcli 命令以打开 NSX CLI。
2. 键入以下命令以获取网关连接状态，例如：
```
get gateway connection status
Public Cloud Gateway  : nsx-gw.vmware.com:5555
Connection Status 	: ESTABLISHED 
```
工作负载虚拟机必须具有正确的标记才能连接到 PCG：
1. 登录到 AWS 控制台或 Microsoft Azure 门户。
2. 验证虚拟机的 eth0 或接口标记。
  nsx.network 键的值必须为 default。

我的通过使用云初始化脚本启动的虚拟机被隔离，且不允许安装第三方工具。我该怎么办？

启用隔离策略后，使用具有以下规范的云初始化脚本启动虚拟机时，则虚拟机将在启动时被隔离，并且您将无法在这些虚拟机上安装自定义应用程序或工具：

标记有 nsx.network=default
在虚拟机打开电源时自动安装或引导自定义服务

解决方案：

更新 default (AWS) 或 default-vnet-<vnet-ID>-sg (Microsoft Azure) 安全组，以添加安装自定义或第三方应用程序所需的入站/出站端口。

我已正确标记我的虚拟机并安装了 NSX Tools，但我的虚拟机被隔离。我该怎么办？

如果您遇到此问题，请尝试执行以下操作：

检查 NSX Cloud 标记 nsx.network 及其值 default 是否正确键入。应区分大小写。
从 CSM 重新同步 AWS 或 Microsoft Azure 帐户：
- 登录到 CSM。
- 转到云 > AWS/Azure > 帐户。
- 从公有云帐户屏幕单击操作，然后单击重新同步帐户。

如果我无法访问我的工作负载虚拟机，该怎么办？

从公有云（AWS 或 Microsoft Azure）中：

确保虚拟机上的所有端口（包括由 NSX Cloud 管理的端口）、操作系统防火墙（Microsoft Windows 或 IPTables）和 NSX 正确配置为允许流量。

例如，要允许 ping 通虚拟机，需要正确进行以下配置：
- AWS 或 Microsoft Azure 上的安全组。有关更多信息，请参见使用 NSX Cloud 隔离策略的威胁检测。
- NSX DFW 规则。请参见NSX 实施模式下 NSX 管理的工作负载虚拟机的默认连接策略以了解详细信息。
- Linux 上的 Windows 防火墙或 IPTables。
尝试使用 SSH 或其他方法（例如，Microsoft Azure 中的串行控制台）登录到虚拟机以解决该问题。
可以重新引导锁定的虚拟机。
如果仍无法访问该虚拟机，则将辅助网卡连接到要从中访问该工作负载虚拟机的工作负载虚拟机。

是否即使在云原生实施模式下仍需要使用 PCG？

是。

在 CSM 中载入我的公有云帐户后，是否可以更改 PCG 的 IAM 角色？

是。您可以重新运行适用于公有云的 NSX Cloud 脚本以重新生成 PCG 角色。在重新生成 PCG 角色后，在 CSM 中编辑您的公有云帐户以使用新的角色名称。在您的公有云帐户中部署的任何新 PCG 实例将使用新角色。

请注意，现有 PCG 实例继续使用旧 PCG 角色。如果要更新现有 PCG 实例的 IAM 角色，请转到公有云，然后手动更改该 PCG 实例的角色。

是否可以对 NSX Cloud 使用 NSX 内部部署许可证？

可以，但前提是您的 ELA 中具有相关条款。

我正在使用 CSM 中的 URL 部署 PCG，但由于网关名称无法解析，我收到了一个错误。

如果由于网关名称无法解析而导致 CSM UI 中用于安装 PCG 的 URL 失败，请在相应的公有云中对工作负载虚拟机的操作系统执行以下操作：

在 Microsoft Azure 中的 Microsoft Windows 工作负载虚拟机上，运行以下命令，然后使用 CSM 中的 URL 再次下载安装脚本：
```
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "168.63.129.16" -DnsSecEnable
```
在 AWS 中的 Microsoft Windows 工作负载虚拟机上，运行以下命令，然后使用 CSM 中的 URL 再次下载安装脚本：
```
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "169.254.169.253" -DnsSecEnable
```
在 Microsoft Azure 中的 Linux 工作负载虚拟机上，运行以下命令以获取 PCG 的 IP 地址，然后使用这些 IP 地址和 CSM 中的 URL 下载安装脚本：
```
nslookup nsx-gw.vmware.local 168.63.129.16 | awk '/^Address: / { print $2 }'
```
在 AWS 中的 Linux 工作负载虚拟机上，运行以下命令以获取 PCG 的 IP 地址，然后使用这些 IP 地址和 CSM 中的 URL 下载安装脚本：
```
nslookup nsx-gw.vmware.local 169.254.169.253 | awk '/^Address: / { print $2 }'
```

如何使用 CA 证书将 CSM 连接到 MP？

在 NSX Cloud 设置中，CSM 通过自签名证书连接到 MP。如果需要，您可以使用 CA 签名证书，而不是自签名证书。

要使用 CA 签名证书，请执行以下步骤：

以 root 用户身份登录到 CSM 设备。
将根 CA cert pem 文件复制到 CSM。
按如下方式从文件中获取 Java KeyStore (JKS) 密码。
```
PASSWORD=`cat /config/http/.http_cert_pw`
```

使用以下命令将根 CA 证书添加到 CSM JKS 存储。

keytool -importcert -file /root/myCA.pem -noprompt -alias nsx_mgmr_custom -storetype JKS -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD

注：此示例使用 /root/myCA.pem。必须使用根 CA cert pem 文件的路径。

使用以下命令检查是否添加了别名。

keytool -list -v -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD | grep
        nsx_mgmr_custom

命令会列出新添加的 CA 证书。此命令在 CSM 与 NSX Manager 之间使用。

根 CA 证书现在被视为有效，CSM 和 NSX Manager 可以对等互联。