Sie können mit der zentralen Befehlszeilenschnittstelle (CLI) von NSX Manager umfangreiche Informationen über verteilte Firewalls abrufen.

Verwenden der Befehle der zentralen Befehlszeilenschnittstelle (CLI) von Show dfw

Die gewünschten Informationen lassen sich in der folgenden Reihenfolge darstellen:

  1. Melden Sie sich bei der zentralen Befehlszeilenschnittstelle (CLI) von NSX Manager mit den Admin-Anmeldedaten an.

  2. Führen Sie die folgenden Befehle aus:

    1. Führen Sie den Befehl show cluster all aus, um alle Cluster anzuzeigen.

      nsxmgr>show cluster all
      No.  Cluster Name                Cluster Id     Datacenter Name     Firewall Status
      1    Compute Cluster A           domain-c33     Datacenter Site A   Enabled
      2    Management & Edge Cluster   domain-c41     Datacenter Site A   Enabled
                  

    2. Führen Sie den Befehl show cluster <clusterID> aus, um Hosts in einem bestimmten Cluster anzuzeigen.

      nsxmgr> show cluster domain-c33
      Datacenter: Datacenter Site A
      Cluster: Compute Cluster A
      No.  Host Name            Host Id         Installation Status
      1    esx-02a.corp.local   host-32          Enabled
      2    esx-01a.corp.local   host-28          Enabled

    3. Führen Sie show host <hostID> aus, um alle VMs auf einem Host anzuzeigen.

      nsxmgr> show host host-28
      Datacenter: Datacenter Site A
      Cluster: Compute Cluster A
      Host: esx-01a.corp.local
      No.  VM Name    VM Id     Power Status
      1    web-02a    vm-219    on
      2    web-01a    vm-216    on
      3    win8-01a   vm-206    off
      4    app-02a    vm-264    on

    4. Führen Sie den Befehl show vm <vmID> aus, um Informationen für eine VM anzuzeigen, einschließlich Filternamen und vNIC-IDs:

      nsxmgr> show vm vm-264
      Datacenter: Datacenter Site A
      Cluster: Compute Cluster A
      Host: esx-01a.corp.local
      Host-ID: host-28
      VM: app-02a
      Virtual Nics List:
      1.
      Vnic Name      app-02a - Network adapter 1
      Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
      Filters        nic-79396-eth0-vmware-sfw.2
      
      
      
      

    5. Notieren Sie die vNIC-ID und führen Sie weitere Befehle wie show dfw vnic <vnicID> und show dfw host <hostID> filter <filter ID> rules aus:

      nsxmgr> show dfw vnic 502ef2fa-62cf-d178-cb1b-c825fb300c84.000
      Vnic Name      app-02a - Network adapter 1
      Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
      Mac Address    00:50:56:ae:6c:6b
      Port Group Id  dvportgroup-385
      Filters        nic-79396-eth0-vmware-sfw.2
      
      nsxmgr> show dfw host host-28 filter nic-79396-eth0-vmware-sfw.2 rules
      ruleset domain-c33 {
        # Filter rules
        rule 1012 at 1 inout protocol any from addrset ip-securitygroup-10 to addrset ip-securitygroup-10 drop with log;
        rule 1013 at 2 inout protocol any from addrset src1013 to addrset src1013 drop;
        rule 1011 at 3 inout protocol tcp from any to addrset dst1011 port 443 accept;
        rule 1011 at 4 inout protocol icmp icmptype 8 from any to addrset dst1011 accept;
        rule 1010 at 5 inout protocol tcp from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 port 8443 accept;
        rule 1010 at 6 inout protocol icmp icmptype 8 from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 accept;
        rule 1009 at 7 inout protocol tcp from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 port 3306 accept;
        rule 1009 at 8 inout protocol icmp icmptype 8 from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 accept;
        rule 1003 at 9 inout protocol ipv6-icmp icmptype 136 from any to any accept;
        rule 1003 at 10 inout protocol ipv6-icmp icmptype 135 from any to any accept;
        rule 1002 at 11 inout protocol udp from any to any port 67 accept;
        rule 1002 at 12 inout protocol udp from any to any port 68 accept;
        rule 1001 at 13 inout protocol any from any to any accept;
      }
      
      ruleset domain-c33_L2 {
        # Filter rules
        rule 1004 at 1 inout ethertype any from any to any accept;
      }

Verwenden des Befehls export host-tech-support der zentralen Befehlszeilenschnittstelle (CLI)

Der Befehl export host-tech-support ermöglicht es Ihnen, ein ESXi-Host-Support-Paket auf einen festgelegten Server zu exportieren. Zudem erfasst dieser Befehl mit NSX in Zusammenhang stehende Ausgaben und Dateien auf festgelegten Hosts. Hierzu zählen unter anderem die folgenden Elemente:

  • VMKernel- und vsfwd-Protokolldateien

  • Liste mit Filtern

  • Liste mit DFW-Regeln

  • Liste mit Containern

  • SpoofGuard-Details

  • Mit dem Host in Zusammenhang stehende Informationen

  • Mit IP-Erkennung in Zusammenhang stehende Informationen

  • RMQ-Befehlsausgaben

  • Details zu Sicherheitsgruppe, Dienstprofil und Instanz

  • Mit der ESX-CLI in Zusammenhang stehende Ausgaben

Dieser Befehl entfernt auch alle temporären Dateien auf NSX Manager.

So erfassen Sie mit NSX in Zusammenhang stehende Ausgaben und Dateien:

  1. Melden Sie sich bei der zentralen Befehlszeilenschnittstelle (CLI) von NSX Manager mit den Admin-Anmeldedaten an.

  2. Führen Sie die folgenden Befehle aus:

    1. show cluster all – Mit diesem Befehl können Sie die erforderliche Host-ID ermitteln.

    2. export host-tech-support host-id scp uid@ip:/path – Mit diesem Befehl können Sie das technische Support-Paket für NSX generieren und auf einen festgelegten Server kopieren.

Weitere Informationen finden Sie hier: