本主题中的信息可用于调试与 NSX 分布式恶意软件防护服务部署、服务实例的运行状况、ESXi 代理机构相关的问题以及其他问题。
验证 ESX Agent Manager 运行状况
- 在 vSphere Client 中,导航到。单击 vSphere ESX Agent Manager。
- 单击配置选项卡。
此页面显示 NSX 恶意软件防护 解决方案的主机上 ESX 代理机构的运行状况以及检测到的代理机构的问题(如果有)。
ESXi Agency Manager (EAM) 服务必须启动并正在运行。验证以下 URL 是否可访问。
https://vCenter_Server_IP_Address/eam/mob
将 vCenter_Server_IP_Address 替换为网络中 VMware vCenter 的 IP 地址。
验证端口组、接口和上下文多路复用器的连接
- 选择服务虚拟机的名称,然后单击网络选项卡。确认列出了 vmservice-vhs-pg 端口组。
- 右键单击服务虚拟机名称,然后单击编辑设置。在虚拟硬件页面上,确认已连接网络适配器 1 和网络适配器 2。网络适配器 1 将 SVM 连接到管理网络,网络适配器 2 将 SVM 连接到 vmservice-vshield-pg 端口组,此端口组由 NSX 在服务部署期间自动创建。网络适配器 2 是 SVM 的控制接口,用于上下文多路复用器 (MUX) 和 SVM 之间的通信。对于 NSX 恶意软件防护 SVM,控制接口 IP 为 169.254.1.22。
必须在每个 ESXi 主机上运行上下文多路复用器服务。要验证主机上是否正在运行 nsx-context-mux 服务,请以 root 用户身份登录到每个 ESXi 主机的 CLI,然后运行以下 CLI 命令:
# /etc/init.d/nsx-context-mux status
如果此服务未运行,请使用以下 CLI 命令启动或重新启动此服务:
/etc/init.d/nsx-context-mux start
或
/etc/init.d/nsx-context-mux restart
解决 ESX Agent Manager 问题
ESX Agent Manager 在检测到 ESX 代理机构中的问题时,会向 NSX Manager 通知有关错误详细信息。您可以在 NSX Manager UI 中单击解决以解决问题。下表介绍了 ESX Agent Manager 问题。
| 问题 | 类别 | 描述 | 解决方案 |
|---|---|---|---|
| 无法访问代理 OVF |
虚拟机未部署 |
需要在主机上部署代理虚拟机,但由于 ESXi Agent Manager 无法访问代理的 OVF 软件包,无法部署代理虚拟机。发生这种情况可能是因为,提供 OVF 软件包的 Web 服务器已关闭。该 Web 服务器通常位于创建代理机构的解决方案内部。 |
ESXi Agency Manager (EAM) 服务会重试 OVF 下载操作。单击解决。 |
| 主机版本不兼容 |
虚拟机未部署 |
需要在主机上部署代理虚拟机。但是,由于兼容性问题,未在主机上部署代理。 |
升级主机或解决方案以使代理与主机兼容。检查 SVM 的兼容性。单击解决。 |
| 资源不足 |
虚拟机未部署 |
需要在主机上部署代理虚拟机。但是,由于主机的 CPU 或内存资源较少,ESXi Agency Manager (EAM) 服务未部署代理虚拟机。 |
ESXi Agency Manager (EAM) 服务会尝试重新部署虚拟机。确保 CPU 和内存资源可用。检查主机并释放一些资源。单击解决。 |
| 空间不足 |
虚拟机未部署 |
需要在主机上部署代理虚拟机。但是,由于主机上的代理数据存储没有足够的可用空间,未部署代理虚拟机。 |
ESXi Agency Manager (EAM) 服务会尝试重新部署虚拟机。释放数据存储上的一些空间。单击解决。 |
| 无代理虚拟机网络 |
虚拟机未部署 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理网络,无法部署代理。 |
将自定义代理虚拟机网络中列出的某个网络添加到主机。在数据存储可用后,该问题会自动解决。 |
| OVF 格式无效 |
虚拟机未部署 |
需要在主机上置备代理虚拟机,但由于 OVF 软件包置备失败,无法执行该操作。在升级或修补提供 OVF 软件包的解决方案以提供代理虚拟机的有效 OVF 软件包之后,置备才有可能成功。 |
ESXi Agency Manager (EAM) 服务会尝试重新部署 SVM。确保在服务部署中使用有效的 OVF 软件包。单击解决。 |
| 缺少代理 IP 池 |
虚拟机已关闭电源 |
需要打开代理虚拟机电源,但由于在代理的虚拟机网络上没有定义任何 IP 地址,代理虚拟机已关闭电源。 |
在虚拟机网络上定义 IP 地址。单击解决。 |
| 无代理虚拟机数据存储 |
虚拟机已关闭电源 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理数据存储,无法部署代理。 |
将自定义代理虚拟机数据存储中列出的某个数据存储添加到主机。在数据存储可用后,该问题会自动解决。 |
| 无自定义代理虚拟机网络 |
无代理虚拟机网络 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理网络,无法部署代理。 |
将主机添加到自定义代理虚拟机网络中列出的某个网络中。在自定义虚拟机网络可用后,该问题会自动解决。 |
| 无自定义代理虚拟机数据存储 |
无代理虚拟机数据存储 |
需要在主机上部署代理虚拟机,但由于未在主机上配置代理数据存储,无法部署代理。 |
将主机添加到自定义代理虚拟机数据存储中列出的某个数据存储中。该问题会自动解决。 |
| 孤立的 DvFilter 交换机 |
主机问题 |
在主机上存在 dvFilter 交换机,但主机上的代理均不依赖于 dvFilter。如果在更改代理机构配置时主机断开连接,会发生这种情况。 |
单击解决。在更新代理机构配置之前,ESXi Agency Manager (EAM) 服务会尝试连接主机。 |
| 代理虚拟机未知 |
主机问题 |
在 vCenter Server 清单中找到不属于此 vSphere ESX Agent Manager 服务器实例中的任何代理机构的代理虚拟机。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将虚拟机置于其所属的清单中。 |
| OVF 属性无效 |
虚拟机问题 |
必须打开代理虚拟机电源,但缺少 OVF 属性或具有无效的值。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试重新配置正确的 OVF 属性。 |
| 虚拟机已损坏 |
虚拟机问题 |
代理虚拟机已损坏。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试修复虚拟机。 |
| 虚拟机已孤立 |
虚拟机问题 |
代理虚拟机存在于主机上,但主机不再是代理机构范围的一部分。如果在更改代理机构配置时主机断开连接,会发生这种情况。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将主机重新连接到代理机构配置。 |
| 已部署虚拟机 |
虚拟机问题 |
需要从主机中移除代理虚拟机,但并未移除代理虚拟机。vSphere ESX Agent Manager 无法移除代理虚拟机的特定原因,例如主机处于维护模式、已关闭电源或处于待机模式。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试从主机中移除代理虚拟机。 |
| 虚拟机已关闭电源 |
虚拟机问题 |
需要打开代理虚拟机电源,但已关闭代理虚拟机电源。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试打开虚拟机的电源。 |
| 虚拟机已打开电源 |
虚拟机问题 |
代理虚拟机电源应关闭,但代理虚拟机已打开。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试关闭虚拟机的电源。 |
| 虚拟机已挂起 |
虚拟机问题 |
需要打开代理虚拟机电源,但代理虚拟机已挂起。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试打开虚拟机的电源。 |
| 虚拟机文件夹错误 |
虚拟机问题 |
代理虚拟机需要位于指定的代理虚拟机文件夹中,但位于其他文件夹中。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将代理虚拟机置于指定的文件夹中。 |
| 虚拟机资源池错误 |
虚拟机问题 |
代理虚拟机需要位于指定的代理虚拟机资源池中,但位于其他资源池中。 |
单击解决。ESXi Agency Manager (EAM) 服务会尝试将代理虚拟机置于指定的资源池。 |
| 虚拟机未部署 |
代理问题 |
需要在主机上部署代理虚拟机,但并未部署代理虚拟机。ESXi Agent Manager 无法部署代理的原因很具体,例如,无法访问代理的 OVF 软件包或缺少主机配置。如果从主机中明确删除代理虚拟机,则也会出现该问题。 |
单击解决以部署该代理虚拟机。 |
解决 NSX Manager 问题
确认服务实例的运行状况
NSX Manager 接收每个服务实例的运行状况详细信息。接收到运行状况的最新时间戳显示在 NSX Manager UI 中。您可能需要刷新几次服务实例页面以检索最新运行状况。
- 导航到 。
- 在运行状况列中,单击“正常”或“关闭”旁边的图标。
在 NSX Manager 中查看警报
- NSX 上下文多路复用器与 NSX 恶意软件防护 SVM 之间的连接已断开。
- NSX 上下文多路复用器已关闭或重新引导。
您还可以在的服务实例页面上查看警报。
要查看有关 NSX 恶意软件防护 功能运行状况的警报,请执行以下步骤:
- 在 NSX Manager 中,单击,导航到警报定义页面。
- 单击按名称、路径和其他内容筛选文本区域,然后单击功能。
- 选中恶意软件防护运行状况复选框。
有关 NSX 恶意软件防护 运行状况事件的文档,请参见 NSX 事件目录。
在“安全概览”仪表板上查看组件问题
当 NSX 分布式恶意软件防护 服务中的任何组件关闭或无法运行时,安全概览仪表板上的“恶意软件防护”小组件会显示问题。要在 NSX Manager UI 中查看此 UI 小组件,请导航到。
- 当 NSX 恶意软件防护 服务虚拟机 (SVM) 上的安全 Hub 关闭时,条形图将显示问题。将鼠标指向条可查看以下详细信息:
- 受影响的 NSX 恶意软件防护 SVM 数。
- 因 Security Hub 发生故障,主机上失去恶意软件安全防护的工作负载虚拟机数。
- 圆环图显示以下详细信息:
- 运行 NSX 文件侦测驱动程序的工作负载虚拟机数。
- 未运行 NSX 文件侦测驱动程序的工作负载虚拟机数。
对于这两个衡量指标,仅考虑启用 NSX 分布式恶意软件防护 的主机集群上的工作负载虚拟机。
正确命名键对以方便识别
SSH 对 SVM 的 admin 用户的访问基于密钥(公钥-私钥对)。在 ESXi 主机集群上部署服务时,需要使用公钥;如果要启动 SSH 与 SVM 的会话,则需要使用私钥。
NSX 分布式恶意软件防护 服务部署在主机集群层面完成。因此,密钥对绑定到主机集群。您可以为每个集群上的服务部署创建新的公钥-私钥对,也可以在所有集群上使用单个密钥对进行服务部署。
如果计划为每个集群上的服务部署使用不同的公钥-私钥,请确保正确命名密钥,以便于识别。
最好使用“计算集群 ID”标识每个服务部署,并在密钥对的名称中指定集群 ID。例如,假设集群 ID 为 "1234-abcd"。对于此集群,您可以将服务部署名称指定为 "MPS-1234-abcd",并将用于访问此服务部署的密钥对命名为 "id_rsa_1234_abcd.pem"。此做法可方便您维护和关联每个服务部署的密钥。
如果私钥丢失,SVM 可以继续运行而不会出现任何问题,但您无法登录到 SVM 并下载日志文件以进行故障排除。
收集支持包
- NSX Manager 设备
- ESXi 主机
- 工作负载虚拟机上的 VMware Tools
- NSX 恶意软件防护 SVM
要收集包含 ESXi 主机和 NSX Manager 设备的日志文件的支持包,请使用 NSX 中的支持包功能。有关在 NSX 中收集支持包的说明,请参见收集支持包。
要收集包含 VMware vCenter 上运行的组件和服务的日志文件的支持包,请参见 vCenter Server 配置文档。例如,您可以使用 VMware vCenter 支持包收集 VMware Tools 的日志文件。
(在 NSX 4.1.2 或更高版本中):要为针对 NSX 分布式恶意软件防护 服务激活的 vSphere 主机集群上运行的 NSX 恶意软件防护 SVM 收集支持包,可以在这些 SVM 上运行 CLI 命令。有关详细信息,请参见收集 NSX 恶意软件防护 服务虚拟机的支持包。
(在 NSX 4.1.1 或更低版本中):NSX 恶意软件防护 SVM 不支持 NSX CLI 命令。但是,您可以使用 SSH 登录到每个 NSX 恶意软件防护 SVM,然后从 SVM 上的 /var/log 目录中复制 syslog 文件。例如,可以使用 sftp 或 scp 命令在特定时间收集 SVM syslog 文件。如果此位置有多个 syslog 文件可用,则会将其压缩并存储在同一路径中。
