Für die Fehlerbehebung von NSX Advanced Load Balancer-Problemen können Sie Support-Pakete erfassen. Die Support-Pakete werden möglicherweise vom VMware Support angefordert.

Wenn Sie das Support-Paket generieren, erhalten Sie eine einzelne Datei für die Debug-Protokolle, die Sie herunterladen können.

Prozedur

  1. Klicken Sie im NSX Advanced Load Balancer Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Verwaltung aus.
  2. Wählen Sie im Abschnitt Verwaltung die Option System aus.
  3. Wählen Sie auf dem Bildschirm System die Option Tech Support aus.
  4. Um ein Diagnosepaket zu generieren, klicken Sie auf Tech Support erstellen.
  5. Wählen Sie im Fenster Tech-Support erstellen den Typ Debug-Protokolle aus und klicken Sie auf Erstellen.
  6. Sobald das Paket erstellt wurde, klicken Sie auf das Downloadsymbol, um es auf Ihren Computer herunterzuladen.
    Weitere Informationen zur Erfassung von Protokollen finden Sie unter https://avinetworks.com/docs/21.1/collecting-tech-support-logs/.

NSX Advanced Load Balancer Konfiguration wird nicht angewendet

Wenn Sie den Supervisor bereitstellen, wird die Bereitstellung nicht abgeschlossen und die NSX Advanced Load Balancer-Konfiguration nicht angewendet.

Problem

Die Konfiguration von NSX Advanced Load Balancer wird nicht angewendet, wenn Sie ein von einer privaten Zertifizierungsstelle signiertes Zertifikat bereitstellen.

Möglicherweise wird eine Fehlermeldung mit Unable to find certificate chain in den Protokolldateien eines der NCP-Pods angezeigt, die auf dem Supervisor ausgeführt werden.

  1. Melden Sie sich bei der Supervisor-VM an.
  2. Anzeigen aller Pods mit dem Befehl kubectl get pods -A
  3. Rufen Sie die Protokolle von allen NCP-Pods auf dem Supervisor ab.

    kubectl -n vmware-system-nsx logs nsx-ncp-<id> | grep -i alb

Ursache

Das Java SDK wird verwendet, um die Kommunikation zwischen NCP und dem NSX Advanced Load Balancer Controller herzustellen. Dieser Fehler tritt auf, wenn der NSX Trust Store nicht mit dem Trust Store des Java-Zertifikats synchronisiert ist.

Lösung

  1. Exportieren Sie das Stamm-CA-Zertifikat aus dem NSX Advanced Load Balancer und speichern Sie es im NSX Manager.
  2. Melden Sie sich als Root-Benutzer an NSX Manager an.
  3. Führen Sie auf allen NSX Manager-Knoten nacheinander die folgenden Befehle aus. 
    keytool -importcert -alias startssl -keystore /usr/lib/jvm/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    Wenn der Pfad nicht gefunden wird, führen Sie keytool -importcert -alias startssl -keystore /usr/java/jre/lib/security/cacerts -storepass changeit -file <ca-file-path> aus.

    sudo cp <ca-file-path> /usr/local/share/ca-certificates/
sudo update-ca-certificates
service proton restart
    Hinweis: Sie können die gleichen Schritte ausführen, um ein CA-Zwischenzertifikat zuzuweisen.
  4. Warten Sie, bis die Supervisor-Bereitstellung abgeschlossen ist. Wenn die Bereitstellung nicht erfolgt, stellen Sie ihn erneut bereit.

ESXi Host kann nicht in den Wartungsmodus wechseln

Sie versetzten einen ESXi-Host in den Wartungsmodus, wenn Sie ein Upgrade durchführen möchten.

Problem

Der ESXi-Host kann nicht in den Wartungsmodus wechseln, und dies kann sich auf das ESXi- und das NSX-Upgrade auswirken.

Ursache

Dieser Fall kann auftreten, wenn auf dem ESXi-Host eine Dienst-Engine vorhanden ist, die sich in einem eingeschalteten Zustand befindet.

Lösung

  • Schalten Sie die Dienst-Engine aus, damit der ESXi-Host in den Wartungsmodus wechseln kann.

Fehlerbehebung bei Problemen mit IP-Adressen

Befolgen Sie diese Tipps zur Fehlerbehebung, wenn Probleme bei der Zuweisung externer IP-Adressen auftreten.

Probleme mit der IP-Adresse können aus den folgenden Gründen auftreten:
  • Kubernetes-Ressourcen, wie z. B. die Gateways und der Ingress, erhalten keine externe IP-Adresse vom AKO.
  • Externe IPs, die Kubernetes-Ressourcen zugewiesen sind, sind nicht erreichbar.
  • Externe IPs, die falsch zugewiesen sind.

Kubernetes-Ressourcen erhalten keine externe IP vom AKO

Dieser Fehler tritt auf, wenn AKO den entsprechenden virtuellen Dienst im NSX Advanced Load Balancer Controller nicht erstellen kann.

Überprüfen Sie, ob der AKO-Pod ausgeführt wird. Wenn der Pod ausgeführt wird, überprüfen Sie die AKO-Containerprotokolle auf den Fehler.

Externe IPs, die Kubernetes-Ressourcen zugewiesen sind, sind nicht erreichbar

Dieser Zustand kann aus folgenden Gründen auftreten:
  • Die externe IP-Adresse ist nicht sofort verfügbar, beginnt jedoch innerhalb weniger Minuten nach der Erstellung mit der Annahme des Datenverkehrs. Dies tritt auf, wenn die Erstellung einer neuen Dienst-Engine für die Platzierung des virtuellen Diensts ausgelöst wird.
  • Die externe IP ist nicht verfügbar, da der entsprechende virtuelle Dienst einen Fehler anzeigt.

Ein virtueller Dienst kann auf einen Fehler hinweisen oder rot angezeigt werden, wenn sich keine Server im Pool befinden. Dies kann auftreten, wenn das Kubernetes-Gateway oder die Ingress-Ressource nicht auf ein Endpoint-Objekt verweist.

Um die Endpoints anzuzeigen, führen Sie den Befehl kubectl get endpoints -n <servce_namespace> aus und beheben Sie alle Probleme bei der Auswahlbezeichnung.

Der Pool kann mit einem Fehlerzustand angezeigt werden, wenn die Integritätsüberwachung die Integrität der Poolserver als rot anzeigt.

Führen Sie zum Beheben des Problems einen der folgenden Schritte durch.
  • Überprüfen Sie, ob die Poolserver oder Kubernetes-Pods den konfigurierten Port überwachen.
  • Stellen Sie sicher, dass in der NSX DFW-Firewall keine Drop-Regeln vorhanden sind, die eingehenden oder ausgehenden Datenverkehr auf die Dienst-Engine blockieren.
  • Stellen Sie sicher, dass in der Kubernetes-Umgebung keine Netzwerkrichtlinien vorhanden sind, die eingehenden oder ausgehenden Datenverkehr auf den Dienst-Engines blockieren.
Zu den Problemen des Dienstmoduls gehören die folgenden:
  1. Die Erstellung von Dienstmodulen schlägt fehl.
    Die Erstellung von Dienst-Engines kann aus den folgenden Gründen fehlschlagen:
    • Eine Lizenz mit unzureichenden Ressourcen wird im NSX Advanced Load Balancer Controller verwendet.
    • Die Anzahl der in einer Dienst-Engine-Gruppe erstellten Dienst-Engines hat den maximalen Grenzwert erreicht.
    • Die Daten-Netzwerkkarte der Dienst-Engine konnte die IP nicht abrufen.
  2. Die Erstellung der Dienst-Engine schlägt mit einer Insufficient licensable resources available-Fehlermeldung fehl.

    Dieser Fehler tritt auf, wenn eine Lizenz mit unzureichenden Ressourcen zum Erstellen der Dienst-Engine verwendet wurde.

    Rufen Sie eine -Lizenz mit einem größeren Ressourcenkontingent ab und weisen Sie sie dem NSX Advanced Load Balancer Controller zu.

  3. Die Erstellung der Dienst-Engine schlägt mit einer Reached configuration maximum limit-Fehlermeldung fehl.

    Dieser Fehler tritt auf, wenn die Anzahl der in einer Dienst-Engine-Gruppe erstellten Dienst-Engines den maximalen Grenzwert erreicht hat.

    Um dieses Problem zu beheben, führen Sie die folgenden Schritte aus:
    1. Wählen Sie im NSX Advanced Load Balancer Controller-Dashboard Infrastruktur > Cloud-Ressourcen > Dienst-Engine-Gruppe aus.
    2. Suchen Sie die Dienst-Engine-Gruppe mit demselben Namen wie der Supervisor, in dem der IP-Datenverkehrsfehler auftritt, und klicken Sie auf das Symbol Bearbeiten.
    3. Konfigurieren Sie einen höheren Wert für Anzahl der Dienst-Engines.
  4. Die Daten-Netzwerkkarte der Dienst-Engine kann keine IP abrufen.
    Dieser Fehler kann auftreten, wenn der DHCP-IP-Pool aus einem der folgenden Gründe ausgeschöpft ist:
    • Für eine umfangreiche Bereitstellung wurden zu viele Dienst-Engines erstellt.
    • Wenn eine Dienst-Engine direkt über die NSX Advanced Load Balancer-Benutzeroberfläche oder die vSphere Client gelöscht wird. Ein solcher Löschvorgang gibt die DHCP-Adresse nicht aus dem DHCP-Pool frei und führt zu einem Fehler bei der LEASE-Zuteilung.

Externe IPs sind falsch zugewiesen

Dieser Fehler tritt auf, wenn zwei Ingresses in unterschiedlichen Namespaces denselben Hostnamen verwenden. Überprüfen Sie Ihre Konfiguration und stellen Sie sicher, dass nicht zwei Ingresses in unterschiedlichen Namespaces derselbe Name zugewiesen wird.

Beheben von Problemen mit Datenverkehrsfehlern

Nachdem Sie den NSX Advanced Load Balancer konfiguriert haben, treten Datenverkehrsfehler auf.

Problem

Datenverkehrsfehler können auftreten, wenn sich der Endpoint für den Dienst vom Typ LB in einem anderen Namespace befindet.

Ursache

In vSphere IaaS control plane-Umgebungen, die mit NSX Advanced Load Balancer konfiguriert sind, verfügen Namespaces über ein dediziertes Tier-1-Gateway und jedes Tier-1-Gateway verfügt über ein Dienst-Engine-Segment mit demselben CIDR. Datenverkehrsfehler können auftreten, wenn sich der NSX Advanced Load Balancer-Dienst in einem Namespace befindet und die Endpoints sich in einem anderen Namespace befinden. Der Fehler tritt auf, weil der NSX Advanced Load Balancer dem Dienst eine externe IP-Adresse zuordnet und der Datenverkehr zu dieser externen IP fehlschlägt.

Lösung

  • Um Nord-Süd-Datenverkehr zuzulassen, erstellen Sie eine Regel für die verteilte Firewall, die den Ingress von der SNAT-IP des Dienst-Namespaces von NSX Advanced Load Balancer zulässt.

Fehlerbehebung bei Problemen, die durch Sicherung und Wiederherstellung von NSX verursacht werden

NSX Sicherung und Wiederherstellung kann zu einem Ausfall des Datenverkehrs für alle externen IPs führen, die vom NSX Advanced Load Balancer bereitgestellt werden.

Problem

Wenn Sie eine Sicherung und Wiederherstellung von NSX durchführen, kann dies zu einem Ausfall des Datenverkehrs führen.

Ursache

Dieser Fehler tritt auf, da die Dienst-Engine-Netzwerkkarten nach einer Wiederherstellung nicht wieder verfügbar sind und der IP-Pool daher als ausgefallen angezeigt wird.

Lösung

  1. Wählen Sie im NSX Advanced Load Balancer Controller-Dashboard Infrastruktur > Clouds aus.
  2. Wählen Sie die Cloud aus und speichern Sie sie, ohne Änderungen vorzunehmen, und warten Sie, bis der Status grün wird.
  3. Deaktivieren Sie alle virtuellen Dienste.
    Warten Sie, bis der NSX Advanced Load Balancer Controller die veralteten Netzwerkkarten aus allen Dienst-Engines entfernt hat.
  4. Aktivieren Sie alle virtuellen Dienste.
    Die Status der virtuellen Dienste werden grün angezeigt.
    Wenn der Datenverkehr weiterhin fehlschlägt, konfigurieren Sie die statischen Routen im NSX Manager neu.

Veraltete Tier-1-Segmente nach NSX-Sicherung und -Wiederherstellung

Bei der NSX-Sicherung und -Wiederherstellung kann es zur Wiederherstellung veralteter Tier-1-Segmente kommen.

Problem

Nach einem NSX-Sicherungs- und -Wiederherstellungsvorgangs werden veraltete Tier-1-Segmente, die Dienst-Engine-Netzwerkkarten aufweisen, nicht bereinigt.

Ursache

Wenn ein Namespace nach einer NSX-Sicherung gelöscht wird, stellt der Wiederherstellungsvorgang veraltete Tier-1-Segmente wieder her, die den Dienst-Engine-Netzwerkkarten des NSX Advanced Load Balancer Controllers zugeordnet sind.

Lösung

  1. Melden Sie sich beim NSX Manager an.
  2. Wählen Sie Netzwerk > Segmente aus.
  3. Suchen Sie die veralteten Segmente, die mit dem gelöschten Namespace verknüpft sind.
  4. Löschen Sie die veralteten Dienst-Engine-Netzwerkkarten aus dem Abschnitt Ports/Schnittstellen.