激活 主管,更新 主管 Kubernetes 版本,或编辑现有 主管 的设置后,指定的所有设置都将经过验证并应用于 主管,直到配置完成。对输入的参数执行运行状况检查,可能会检测配置中导致 主管 运行状况错误的错误。必须解决这些错误运行状况,才能配置或更新 主管

表 1. vCenter Server 连接错误

错误消息

原因

解决方案

无法使用控制平面虚拟机 <VM name> 上配置的管理 DNS 服务器解析 vCenter 主网络标识符 <FQDN>。请验证管理 DNS 服务器 <server name> 是否可以解析 <network name>。

  • 可以访问至少一个管理 DNS 服务器。

  • 至少静态地提供了一个管理 DNS。

  • 对于 vCenter Server PNID,管理 DNS 服务器没有任何主机名查找。

  • vCenter Server PNID 是域名,而不是静态 IP 地址。

  • vCenter Server PNID 的主机条目添加到管理 DNS 服务器。

  • 确认配置的 DNS 服务器正确无误。

无法使用控制平面虚拟机 <VM name> 的管理网络上通过 DHCP 获取的 DNS 服务器解析 vCenter 主网络标识符 <network name>。请验证管理 DNS 服务器是否可以解析 <network name>。

  • 可以访问 DHCP 服务器提供的管理 DNS 服务器(至少一个)。

  • 管理 DNS 服务器是静态提供的。

  • 对于 vCenter Server PNID,管理 DNS 服务器没有任何主机名查找。

  • 对于 vCenter Server PNID,管理 DNS 服务器没有任何主机名查找。

  • vCenter Server PNID 是域名,而不是静态 IP 地址。

  • vCenter Server PNID 的主机条目添加到配置的 DHCP 服务器提供的管理 DNS 服务器。

  • 确认 DHCP 服务器提供的 DNS 服务器正确无误。

无法解析控制平面虚拟机 <VM name> 上的主机 <host name>,因为没有配置管理 DNS 服务器。

  • vCenter Server PNID 是域名,而不是静态 IP 地址。

  • 未配置 DNS 服务器。

配置管理 DNS 服务器。

无法解析控制平面虚拟机 <VM name> 上的主机 <host name>。主机名以“.local”顶级域结尾,这需要将“local”包含在管理 DNS 搜索域中。

vCenter Server PNID 包含 .local 作为顶级域 (TLD),但配置的搜索域不包含 local

local 添加到管理 DNS 搜索域。

无法从控制平面虚拟机 <VM name> 连接到管理 DNS 服务器 <server name>。已尝试通过工作负载网络进行连接。

  • 管理 DNS 服务器无法连接到 vCenter Server

  • 提供的 worker_dns 值完全包含提供的管理 DNS 值。这意味着流量通过工作负载网络路由,因为 主管 必须选择一个网络接口,将静态流量定向到这些 IP。

  • 检查工作负载网络,验证是否可以路由到配置的管理 DNS 服务器。

  • 确认没有冲突的 IP 地址可能会在 DNS 服务器与工作负载网络上的某些其他服务器之间触发备用路由。

  • 确认配置的 DNS 服务器实际上是 DNS 服务器,并在端口 53 上托管其 DNS 端口。

  • 确认工作负载 DNS 服务器已配置为允许从控制平面虚拟机的 IP(工作负载网络提供的 IP)进行连接。

  • 确认管理 DNS 服务器的地址中没有键入内容。

  • 确认搜索域中不包含可能错误地解析主机名的不必要的“~”。

无法从控制平面虚拟机 <VM name> 连接到管理 DNS 服务器 <server name>。

无法连接到 DNS 服务器。

  • 检查管理网络,验证到管理 DNS 服务器的路由是否存在。

  • 确认没有可能会在 DNS 服务器和其他服务器之间触发备用路由的冲突 IP 地址。

  • 确认配置的 DNS 服务器实际上是 DNS 服务器,并在端口 53 上托管其 DNS 端口。

  • 确认管理 DNS 服务器已配置为允许从控制平面虚拟机的 IP 进行连接。

  • 确认管理 DNS 服务器的地址中没有键入内容。

  • 确认搜索域中不包含可能错误地解析主机名的不必要的“~”。

无法从控制平面虚拟机 <vm name> 连接到 <component name> <component address>。错误:错误消息文本

  • 发生了一般网络故障。

  • 连接到 vCenter Server 时出错。

  • 验证已配置的组件(如 vCenter Server、 HAProxy、NSX Manager 或 NSX Advanced Load Balancer)的主机名或 IP 地址正确无误。

  • 验证管理网络上的任何外部网络设置,例如有冲突的 IP、防火墙规则和其他设置。

控制平面虚拟机 <VM name> 无法验证 vCenter <vCenter Server name> 证书。vCenter Server 证书无效。

vCenter Server 提供的证书格式无效,因此不受信任。

  • 重新启动 wcpsvc,验证控制平面虚拟机中受信任的根包是否为最新版本,且具有最新的 vCenter Server 根证书。

  • 确认 vCenter Server 证书实际上是有效的证书。

控制平面虚拟机 <VM name> 不信任 vCenter <vCenter Server name> 证书。

  • vCenter Server 提供的 vmca.pem 证书不同于为控制平面虚拟机配置的证书。

  • vCenter Server Appliance 中的可信根证书已替换,但 wcpsvc 未重新启动。

  • 重新启动 wcpsvc,验证控制平面虚拟机中可信根包是否为最新版本,且具有最新的 vCenter Server 证书根。
表 2. NSX Manager 连接错误

控制平面虚拟机 <VM name> 无法验证 NSX Server <NSX server name> 证书。服务器 <NSX-T address> 返回的指纹与在 vCenter <vCenter Server name> 中注册的预期客户端证书指纹不匹配

注册到 主管 的 SSL 指纹与 NSX Manager 提供的证书的 SHA-1 哈希不匹配。

  • 在 NSX 与 vCenter Server 实例之间重新启用对 NSX Manager 的信任。

  • vCenter Server 上重新启动 wcpsvc

无法从控制平面虚拟机 <vm name> 连接到 <component name> <component address>。错误:错误消息文本

发生了一般网络故障。

  • 验证 NSX Manager 管理网络上的任何外部网络设置,例如冲突的 IP、防火墙规则和其他设置。

  • 确认 NSX 扩展中的 NSX Manager IP 正确无误。

  • 确认 NSX Manager 正在运行。
表 3. 负载均衡器错误

控制平面虚拟机 <vm name> 不信任负载均衡器 (<load balancer>- <load balancer endpoint>) 证书。

负载均衡器提供的证书与配置到控制平面虚拟机的证书不同。

确认已为负载均衡器配置正确的管理 TLS 证书。

控制平面虚拟机 <vm name> 无法验证负载均衡器 (<load balancer>- <load balancer endpoint>) 的证书。证书无效。

负载均衡器提供的证书格式无效或已过期。

更正已配置负载均衡器的服务器证书。

控制平面虚拟机 <vm name> 无法使用用户名 <user name> 和提供的密码向负载均衡器 (<load balancer>- <load balancer endpoint>) 进行身份验证。

负载均衡器的用户名或密码不正确。

验证配置到负载均衡器的用户名和密码是否正确。

尝试从控制平面虚拟机 <vm name> 连接到负载均衡器 (<load balancer>- <load balancer endpoint>) 时出现 HTTP 错误。

控制平面虚拟机可以连接到负载均衡器端点,但端点不会返回成功的 (200) http 响应

确认负载均衡器处于正常状态并接受请求。

无法从控制平面虚拟机 <vm name> 连接到 <load balancer> (<load balancer endpoint>)。错误:<error text>

  • 发生了一般网络故障。

  • 通常情况下,这意味着负载均衡器无法正常工作,或者某些防火墙阻止连接。

  • 验证负载均衡器端点是否可访问

  • 验证没有防火墙阻止与负载均衡器的连接。