Dieses Thema behandelt einige häufig gestellte Fragen und Informationen zur Fehlerbehebung.

Wie kann ich NSX Tools auf Windows-VM neu installieren?

So installieren Sie NSX Tools auf der Windows-VM neu:

  1. Deinstallieren Sie die vorhandenen NSX Tools auf der Windows-VM. Einzelheiten dazu finden Sie unter Deinstallieren von NSX Tools.
  2. Starten Sie die Windows-VM neu.
    Wichtig: Wenn Sie die Windows-VM nach der Deinstallation von NSX Tools nicht neu starten, kann eine Neuinstallation zu unerwünschtem Verhalten führen.
  3. Installieren Sie die NSX Tools mithilfe des Installationsbefehls neu. Einzelheiten dazu finden Sie unter Installieren von NSX Tools auf Windows-VMs.

Wie kann ich nach der Installation von NSX Tools auf die nsxcli-Befehle zugreifen?

Nach der Installation von NSX Tools auf der Linux-VM:

  1. Melden Sie sich bei der Linux-VM an, auf der Sie NSX Tools installiert haben.
  2. Führen Sie den Befehl sudo service nsx-agent-chroot nsx-exec bash aus. Sie werden zur Bash-Shell weitergeleitet.
  3. Führen Sie den Befehl nsxcli aus. Sie werden zur nsxcli-Eingabeaufforderung weitergeleitet.

Sie können jetzt alle erforderlichen nsxcli-Befehle ausführen, z. B. get firewall rules usw.

Nach der Installation von NSX Tools auf der Windows VM:

  1. Melden Sie sich bei der Windows-VM an, auf der Sie NSX Tools installiert haben.
  2. Öffnen Sie die PowerShell.
  3. Führen Sie den Befehl nsxcli in der PowerShell-Eingabeaufforderung aus. Sie werden zur nsxcli-Eingabeaufforderung weitergeleitet.

Sie können jetzt alle erforderlichen nsxcli-Befehle ausführen, z. B. get firewall rules usw.

Wie kann ich prüfen, ob meine NSX Cloud-Komponenten installiert sind und ausgeführt werden?

  1. Führen Sie folgende Schritte aus, um sicherzustellen, dass NSX Tools auf Ihrer Arbeitslast-VM mit PCG verbunden sind:
    1. Geben Sie den Befehl nsxcli ein, um die NSX-CLI zu öffnen.

    2. Geben Sie den folgenden Befehl zum Abrufen des Gateway-Verbindungsstatus ein, zum Beispiel:

      get gateway connection status
      Public Cloud Gateway  : nsx-gw.vmware.com:5555
      Connection Status 	: ESTABLISHED 
  2. Die Arbeitslast-VMs müssen über die korrekten Tags verfügen, um eine Verbindung zum PCG herstellen zu können:
    1. Melden Sie sich bei der AWS-Konsole oder dem Microsoft Azure-Portal an.

    2. Überprüfen Sie die Tags „eth0“ und „interface“ der VM.

      Der Schlüssel nsx.network muss den Wert default aufweisen.

Meine mit cloud-init gestarteten VMs werden unter Quarantäne gestellt und die Installation von Drittanbietertools ist nicht zulässig. Was soll ich tun?

Wenn die Quarantäne-Richtlinie aktiviert ist und Sie VMs mithilfe von cloud-init-Skripts mit den folgenden Spezifikationen starten, werden Ihre VMs beim Start unter Quarantäne gestellt und Sie können keine benutzerdefinierten Anwendungen oder Tools darauf installieren:
  • gekennzeichnet mit nsx.network=default
  • automatische Installation oder Bootstrap-Vorgang für benutzerdefinierte Dienste, wenn die VM eingeschaltet wird

Lösung:

Aktualisieren Sie die Sicherheitsgruppe default (AWS) oder default-vnet-<vnet-ID>-sg (Microsoft Azure), um eingehende/ausgehende Ports hinzuzufügen, wie für die Installation von benutzerdefinierten oder Drittanbieteranwendungen erforderlich.

Ich habe meine VM korrekt gekennzeichnet und NSX Tools installiert, aber meine VM steht unter Quarantäne. Was soll ich tun?

Versuchen Sie Folgendes, wenn dieses Problem auftritt:

  • Überprüfen Sie, ob das NSX Cloud-Tag: nsx.network und dessen Wert: default korrekt eingegeben wurden. Beachten Sie dabei Groß- und Kleinschreibung.
  • Synchronisieren Sie das AWS- oder Microsoft Azure-Konto erneut über CSM.
    • Melden Sie sich bei CSM an.
    • Navigieren Sie zu Clouds > AWS/Azure > Konten.
    • Klicken Sie in der Public-Cloud-Konto-Kachel auf Aktionen und klicken Sie auf Account erneut synchronisieren.

Was soll ich tun, wenn ich nicht auf meine Arbeitslast-VM zugreifen kann?

In Ihrer Public Cloud (AWS oder Microsoft Azure):
  1. Stellen Sie sicher, dass alle Ports auf der VM, einschließlich der von NSX Cloud verwalteten Ports, der Betriebssystem-Firewall (Microsoft Windows oder IPTables) und NSX ordnungsgemäß konfiguriert sind, um Datenverkehr zuzulassen,

    Um beispielsweise ping für eine VM zuzulassen, muss Folgendes richtig konfiguriert sein:

  2. Versuchen Sie, das Problem zu beheben, indem Sie sich über SSH oder andere Methoden, wie z. B. die serielle Konsole in Microsoft Azure, bei der VM anmelden.
  3. Sie können die gesperrte VM neu starten.
  4. Wenn Sie immer noch nicht auf die VM zugreifen können, hängen Sie eine sekundäre NIC an die Arbeitslast-VM an, von der aus Sie auf diese Arbeitslast-VM zugreifen können.

Benötige ich PCG auch im Native Cloud-erzwungener Modus ?

Ja.

Kann ich die Rolle „IAM“ für das PCG ändern, nachdem ich mein Public Cloud-Konto in CSM integriert habe?

Ja. Sie können das für Ihre Public Cloud anwendbare NSX Cloud-Skript erneut ausführen, um die PCG-Rolle erneut zu generieren. Bearbeiten Sie Ihr Public Cloud-Konto in CSM und geben Sie den neuen Rollennamen an, nachdem Sie die PCG-Rolle neu generiert haben. Alle neuen PCG-Instanzen, die in Ihrem Public Cloud-Konto bereitgestellt werden, verwenden diese neue Rolle.

Beachten Sie, dass vorhandene PCG-Instanzen weiterhin die alte PCG-Rolle verwenden. Wenn Sie die IAM-Rolle für eine vorhandene PCG-Instanz aktualisieren möchten, wechseln Sie zu Ihrer Public Cloud und ändern Sie die Rolle für diese PCG-Instanz manuell.

Kann ich die lokalen NSX-Lizenzen für NSX Cloud verwenden?

Ja das können Sie, wenn Ihr ELA eine entsprechende Klausel enthält.

Ich habe die URL von CSM zum Bereitstellen von PCG verwendet, aber ich habe einen Fehler erhalten, da der Gateway-Name nicht aufgelöst werden kann.

Wenn die URL der CSM-Benutzeroberfläche für die Installation von PCG fehlschlägt, weil der Gateway-Name nicht aufgelöst werden kann, führen Sie in der entsprechenden Public Cloud für das Betriebssystem Ihrer Arbeitslast-VM folgende Schritte aus:
  • Führen Sie auf Microsoft Windows-Arbeitslast-VMs in Microsoft Azure den folgenden Befehl aus und laden Sie das Installationsskript mithilfe der URL von CSM erneut herunter:
    Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "168.63.129.16" -DnsSecEnable
  • Führen Sie auf Microsoft Windows-Arbeitslast-VMs in AWS den folgenden Befehl aus und laden Sie das Installationsskript mithilfe der URL von CSM erneut herunter:
    Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "169.254.169.253" -DnsSecEnable
  • Führen Sie auf Linux-Arbeitslast-VMs in Microsoft Azure den folgenden Befehl aus, um die IP-Adressen des PCG zu erhalten und das Installationsskript unter Verwendung dieser IP-Adressen mit der URL von CSM herunterzuladen.
    nslookup nsx-gw.vmware.local 168.63.129.16 | awk '/^Address: / { print $2 }'
  • Führen Sie auf Linux-Arbeitslast-VMs in AWS den folgenden Befehl aus, um die IP-Adressen des PCG zu erhalten und das Installationsskript unter Verwendung dieser IP-Adressen mit der URL von CSM herunterzuladen.:
    nslookup nsx-gw.vmware.local 169.254.169.253 | awk '/^Address: / { print $2 }'

Wie kann CSM mit MP mithilfe des CA-Zertifikats verbunden werden?

In den NSX Cloud-Einrichtungen stellt CSM über ein selbstsigniertes Zertifikat eine Verbindung mit MP her. Anstelle eines selbstsignierten Zertifikats können Sie bei Bedarf ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat verwenden.

Für die Verwendung eines von einer Zertifizierungsstelle signierten Zertifikats führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei der CSM-Appliance als Root-Benutzer an.
  2. Kopieren Sie die Root-Datei CA cert pem in CSM.
  3. Rufen Sie das JKS-Kennwort (Java KeyStore) wie folgt aus der Datei ab.
    PASSWORD=`cat /config/http/.http_cert_pw`
  4. Fügen Sie das Root-CA-Zertifikat mithilfe des folgenden Befehls zum CSM-JKS-Speicher hinzu.
    keytool -importcert -file /root/myCA.pem -noprompt -alias nsx_mgmr_custom -storetype JKS -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD
    Hinweis: In diesem Beispiel wird /root/myCA.pem verwendet. Sie müssen den Pfad zu Ihrer Root-Datei CA cert pem angeben.
  5. Überprüfen Sie mit dem folgenden Befehl, ob der Alias hinzugefügt wurde.
    keytool -list -v -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD | grep
            nsx_mgmr_custom

Der Befehl listet die neu hinzugefügten CA-Zertifikate auf. Das wird zwischen CSM und NSX Manager verwendet.

Das Root-CA-Zertifikat wird jetzt als gültig betrachtet. Peering zwischen CSM und NSX Manager kann erfolgen.