某些情况下,您可能需要在 NSX Manager 中重新注册 vCenter Server OIDC,例如,当 vCenter Server 的 FQDN/PNID 发生变化时。

过程

  1. 通过 SSH 连接到 vCenter Server Appliance
  2. 运行命令 shell
  3. 要获取 vCenter Server 指纹,请运行以下命令:
    - openssl s_client -connect vcenterserver-FQDN:443 </dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin
    此时将显示指纹。例如, 08:77:43:29:E4:D1:6F:29:96:78:5F:BF:D6:45:21:F4:0E:3B:2A:68:05:99:C3:A4:89:8F:F2:0B:EA:3A:BE:9D
  4. 复制 SHA256 指纹并移除冒号。
    08774329E4D16F2996785FBFD64521F40E3B2A680599C3A4898FF20BEA3ABE9D
  5. 要更新 vCenter Server 的 OIDC,请运行以下命令:
    curl --location --request POST 'https://<NSX-T_ADDRESS>/api/v1/trust-management/oidc-uris' \
        --header 'Content-Type: application/json' \
        --header 'Authorization: Basic <AUTH_CODE>' \
        --data-raw '{
     "oidc_type": "vcenter",
         "oidc_uri": "https://<VC_ADDRESS>/openidconnect/vsphere.local/.well-known/openid-configuration",
         "thumbprint": "<VC_THUMBPRINT>"
        }'

无法更改 NSX 设备密码

您可能无法更改 rootadminaudit 用户的 NSX 设备密码。

问题

尝试通过 vSphere Client 更改 rootadminaudit 用户的 NSX 设备密码可能会失败。

原因

在安装NSX Manager期间,该过程仅接受所有三个角色使用同一个密码。稍后尝试更改此密码可能会失败。

解决方案

对失败的工作流和不稳定的 NSX Edge进行故障排除

如果工作流失败或 NSX 或 NSX Edge不稳定,您可以执行故障排除步骤。

问题

在 vSphere Client 上更改分布式端口组配置时,工作流可能会失败,并且 NSX Edge 可能会变得不稳定。

原因

按照设计,不允许移除或修改在集群配置的 NSX Edge集群设置期间创建的覆盖网络和上行链路的分布式端口组。

解决方案

如果需要更改 NSX Edge的 VLAN 或 IP 池配置,则必须先从集群中移除 NSX 的元素和 vSphere IaaS control plane 配置。

有关移除 NSX的元素的信息,请参见《NSX 安装指南》。

收集支持包以对 NSX 进行故障排除

您可以在已注册的集群和结构层节点上收集支持包以便进行故障排除,并可将包下载到您的计算机中或将其上载到文件服务器。

如果选择将包下载到计算机,则会获得一个存档文件,其中包含一个清单文件和每个节点对应的支持包。如果选择将包上载到文件服务器,则会将清单文件和各个包单独上载到文件服务器。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager
  2. 选择系统 > 支持包
  3. 选择目标节点。
    可用的节点类型有 管理节点Edge主机公有云网关
  4. (可选) 指定以天为单位的日志保留期限,以排除早于指定天数的日志。
  5. (可选) 切换用于指示是包括还是排除核心文件和审核日志的开关。
    注: 核心文件和审核日志可能包含敏感信息,如密码或加密密钥。
  6. (可选) 选中该复选框可将包上载到文件服务器。
  7. 单击启动包收集开始收集支持包。
    每个节点的日志文件数决定了收集支持包所用的时间。
  8. 监控收集进程的状态。
    状态选项卡显示支持包收集的进度。
  9. 如果未设置将包发送到文件服务器的选项,请单击下载以下载包。

收集 NSX 的日志文件

可以收集 vSphere IaaS control planeNSX 组件中的日志,用于检测错误并进行故障排除。VMware 技术支持可能会要求提供日志文件。

过程

  1. 使用 vSphere Client 登录到 vCenter Server
  2. 收集以下日志文件。
    日志文件 描述
    /var/log/vmware/wcp/wcpsvc.log 包含与 vSphere IaaS control plane 启用相关的信息。
    /var/log/vmware/wcp/nsxd.log 包含与 NSX 组件配置相关的信息。
  3. 登录到 NSX Manager
  4. 收集 /var/log/proton/nsxapi.log,了解当特定 vSphere IaaS control plane 操作失败时 NSX Manager 所返回错误的相关信息。

NSX 管理证书、指纹或 IP 地址发生更改时重新启动 WCP 服务

如果在安装 vSphere IaaS control plane 之后 NSX 管理证书、指纹或 IP 地址发生更改,则必须重新启动 WCP 服务。

NSX 证书发生更改时重新启动 vSphere IaaS control plane 服务

当前,vSphere IaaS control plane 具有如下要求:如果 NSX 证书或指纹发生更改,或者 NSX IP 地址发生更改,则必须重新启动 WCP 服务才能使更改生效。如果其中的任何一项发生更改时未重新启动该服务,则 vSphere IaaS control planeNSX 之间的通信将失败,并且可能会出现某些症状,如 NCP 进入 CrashLoopBackoff 阶段或 主管 资源变得无法部署。

要重新启动 WCP 服务,请使用 vmon-cli
  1. 通过 SSH 以 root 用户身份登录到 vCenter Server。
  2. 运行命令 shell
  3. 运行命令 vmon-cli -h,查看使用语法和选项。
  4. 运行命令 vmon-cli -l,查看 wcp 进程。

    将在列表底部看到 wcp 服务。

  5. 运行命令 vmon-cli --restart wcp,重新启动 wcp 服务。

    您会看到消息 Completed Restart service request

  6. 运行命令 vmon-cli -s wcp 并验证 wcp 服务是否已启动。
    例如:
    root@localhost [ ~ ]# vmon-cli -s wcp
    Name: wcp
    Starttype: AUTOMATIC
    RunState: STARTED
    RunAsUser: root
    CurrentRunStateDuration(ms): 22158
    HealthState: HEALTHY
    FailStop: N/A
    MainProcessId: 34372