Para solucionar problemas de NSX Advanced Load Balancer, puede recopilar paquetes de soporte. Es posible que el Soporte técnico de VMware solicite los paquetes de soporte.

Cuando genere el paquete de soporte, obtendrá un único archivo descargable para los registros de depuración.

Procedimiento

  1. En el panel de control de NSX Advanced Load Balancer Controller, haga clic en el menú situado en la esquina superior izquierda y seleccione Administración.
  2. En la sección Administración, seleccione Sistema.
  3. En la pantalla Sistema, seleccione Soporte técnico.
  4. Para generar un paquete de diagnósticos, haga clic en Generar soporte técnico.
  5. En la ventana Generar soporte técnico, seleccione Registros de depuración y haga clic en Generar.
  6. Una vez generado el paquete, haga clic en el icono de descarga para descargarlo en su máquina.
    Para obtener más información sobre la recopilación de registros, consulte https://avinetworks.com/docs/21.1/collecting-tech-support-logs/.

La configuración de NSX Advanced Load Balancer no se aplica

Cuando se implementa el Supervisor, la implementación no se completa y no se aplica la configuración de NSX Advanced Load Balancer.

Problema

La configuración de NSX Advanced Load Balancer no se aplica si proporciona un certificado firmado por una entidad de certificación (CA) privada.

Es posible que aparezca un mensaje de error con Unable to find certificate chain en los archivos de registro de uno de los pods de NCP que se ejecutan en el Supervisor.

  1. Inicie sesión en la máquina virtual del Supervisor.
  2. Enumere todos los pods con el comando kubectl get pods -A.
  3. Obtenga los registros de todos los pods de NCP en el Supervisor.

    kubectl -n vmware-system-nsx logs nsx-ncp-<id> | grep -i alb

Causa

El SDK de Java se utiliza para establecer la comunicación entre NCP y NSX Advanced Load Balancer Controller. Este error se produce cuando el almacén de confianza NSX no está sincronizado con el almacén de confianza de certificados de Java.

Solución

  1. Exporte el certificado de CA raíz desde NSX Advanced Load Balancer y guárdelo en NSX Manager.
  2. Inicie sesión en NSX Manager como usuario raíz.
  3. Ejecute los siguientes comandos de forma secuencial en todos los nodos de NSX Manager: 
    keytool -importcert -alias startssl -keystore /usr/lib/jvm/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    Si no se encuentra la ruta de acceso, ejecute keytool -importcert -alias startssl -keystore /usr/java/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    sudo cp <ca-file-path> /usr/local/share/ca-certificates/
sudo update-ca-certificates
service proton restart
    Nota: Puede realizar los mismos pasos para asignar un certificado de CA intermedia.
  4. Espere a que finalice la implementación del Supervisor o, si no se produce la implementación, vuelva a implementarla.

El host ESXi no puede entrar en modo de mantenimiento

Cuando desea realizar una actualización, debe colocar un host ESXi en modo de mantenimiento.

Problema

El host ESXi no puede entrar en modo de mantenimiento y puede afectar a la actualización de ESXi y NSX.

Causa

Esto puede ocurrir si hay un motor de servicio en estado encendido en el host ESXi.

Solución

  • Apague el motor de servicio para que el host ESXi pueda entrar en modo de mantenimiento.

Solucionar problemas de direcciones IP

Siga estos consejos de solución de problemas si tiene problemas con la asignación de direcciones IP externas.

Se pueden producir errores en las direcciones IP por los siguientes motivos:
  • Los recursos de Kubernetes, como las puertas de enlace y la entrada, no obtienen una dirección IP externa del AKO.
  • No es posible acceder a las direcciones IP externas que están asignadas a recursos de Kubernetes.
  • Direcciones IP externas que están asignadas de forma incorrecta.

Los recursos de Kubernetes no obtienen una IP externa de la AKO

Este error se produce cuando AKO no puede crear el servicio virtual correspondiente en NSX Advanced Load Balancer Controller.

Compruebe si el pod del AKO se está ejecutando. Si el pod se está ejecutando, compruebe los registros del contenedor AKO para el error.

No es posible acceder a las direcciones IP externas asignadas a recursos de Kubernetes

Este problema puede ocurrir por los siguientes motivos:
  • La dirección IP externa no está disponible inmediatamente, pero comienza a aceptar tráfico pocos minutos después de crearla. Esto ocurre cuando se activa la creación de un nuevo motor de servicio para la colocación de servicios virtuales.
  • La IP externa no está disponible porque el servicio virtual correspondiente muestra un error.

Un servicio virtual podría indicar un error o aparecer en rojo si no hay servidores en el grupo. Esto puede ocurrir si el recurso de entrada o las puertas de enlace de Kubernetes no apuntan a un objeto de endpoint.

Para ver los endpoints, ejecute el comando kubectl get endpoints -n <servce_namespace> y solucione los problemas de la etiqueta del selector.

El grupo puede mostrar un estado de error cuando el monitor de estado muestra el estado de los servidores del grupo en rojo.

Realice uno de los siguientes pasos para resolver este problema:
  • Compruebe si los servidores de grupo o los pods de Kubernetes están escuchando en el puerto configurado.
  • Compruebe que no haya reglas de descarte en el firewall de NSX DFW que bloqueen el tráfico de entrada o salida en los motores de servicio.
  • Asegúrese de que no haya directivas de red en el entorno de Kubernetes que bloqueen el tráfico de entrada o salida en los motores de servicio.
Entre los problemas del motor de servicio se incluyen los siguientes:
  1. Se produce un error en la creación del motor de servicio.
    Se puede producir un error en la creación de motores de servicio por los siguientes motivos:
    • Se utiliza una licencia con recursos insuficientes en NSX Advanced Load Balancer Controller.
    • La cantidad de motores de servicio creados en un grupo de motores de servicio alcanzó el límite máximo.
    • La NIC de datos del motor de servicio no pudo adquirir la dirección IP.
  2. Se produce un error en la creación del motor de servicio y aparece un mensaje de error del tipo Insufficient licensable resources available.

    Este error se produce si se utilizó una licencia con recursos insuficientes para crear el motor de servicio.

    Obtenga una licencia con mayor cuota de recursos y asígnela a la NSX Advanced Load Balancer Controller.

  3. Se produce un error en la creación del motor de servicio y aparece un mensaje de error del tipo Reached configuration maximum limit.

    Este error se produce si el número de motores de servicio creados en un grupo de motores de servicio alcanzó el límite máximo.

    Para solucionar este error, realice los siguientes pasos:
    1. En el panel de la NSX Advanced Load Balancer Controller, seleccione Infraestructura > Recursos de nube > Grupo de motores de servicio.
    2. Busque el grupo de motores de servicio con el mismo nombre que el Supervisor en el que se produce el error del tráfico IP y haga clic en el icono Editar.
    3. Configure un valor más alto para Número de motores de servicio.
  4. La NIC de datos del motor de servicio no puede adquirir la dirección IP.
    Este error puede producirse si el grupo de direcciones IP de DHCP se agotó por uno de los siguientes motivos:
    • Se crearon demasiados motores de servicio para una implementación a gran escala.
    • Si se elimina un motor de servicio directamente de la interfaz de usuario de NSX Advanced Load Balancer o vSphere Client. Esta eliminación no libera la dirección DHCP del grupo DHCP y da lugar a un error de asignación de CONCESIÓN.

Las direcciones IP externas no están asignadas correctamente

Este error se produce cuando dos entradas en espacios de nombres diferentes comparten el mismo nombre de host. Compruebe la configuración y que no se asigne el mismo nombre a dos entradas en espacios de nombres diferentes.

Solucionar problemas de errores de tráfico

Después de configurar NSX Advanced Load Balancer, se producen errores de tráfico.

Problema

Se pueden producir errores de tráfico cuando el endpoint del servicio de tipo LB se encuentra en un espacio de nombres diferente.

Causa

En entornos de vSphere IaaS control plane configurados con NSX Advanced Load Balancer, los espacios de nombres tienen una puerta de enlace de nivel 1 dedicada y cada puerta de enlace de nivel 1 tiene un segmento de motor de servicio con el mismo CIDR. Se pueden producir errores de tráfico si el servicio NSX Advanced Load Balancer se encuentra en un espacio de nombres y los endpoints se encuentran en un espacio de nombres diferente. El error se produce debido a que NSX Advanced Load Balancer asigna una IP externa al servicio y se produce un error en el tráfico a la IP externa.

Solución

  • Para permitir el tráfico de norte a sur, cree una regla de firewall distribuido para permitir la entrada desde la IP de SNAT del espacio de nombres del servicio NSX Advanced Load Balancer.

Solución de problemas causados por la copia de seguridad y restauración de NSX

La copia de seguridad y restauración de NSX pueden provocar errores de tráfico en todas las direcciones IP externas que proporciona NSX Advanced Load Balancer.

Problema

Cuando se realiza una copia de seguridad y una restauración de NSX, se puede producir un error de tráfico.

Causa

Este error se produce cuando las NIC del motor de servicio no se activan de nuevo tras una restauración y, como resultado, el grupo de direcciones IP aparece como inactivo.

Solución

  1. En el panel de control de NSX Advanced Load Balancer Controller, seleccione Infraestructura > Nubes.
  2. Seleccione y guarde la nube sin realizar cambios y espere a que el estado cambie a verde.
  3. Desactive todos los servicios virtuales.
    Espere a que la NSX Advanced Load Balancer Controller elimine las NIC obsoletas de todos los motores de servicio.
  4. Habilite todos los servicios virtuales.
    Los estados de los servicios virtuales aparecen en verde.
    Si el error de tráfico persiste, vuelva a configurar las rutas estáticas en NSX Manager.

Segmentos de nivel 1 obsoletos después de la copia de seguridad y restauración de NSX

La copia de seguridad y restauración de NSX puede restaurar segmentos de nivel 1 obsoletos.

Problema

Después de un procedimiento de copia de seguridad y restauración de NSX, los segmentos de nivel 1 obsoletos que tienen NIC del motor de servicio no se limpian.

Causa

Cuando se elimina un espacio de nombres después de una copia de seguridad de NSX, la operación de restauración restaura los segmentos de nivel 1 obsoletos que están asociados con las NIC del motor de servicio de NSX Advanced Load Balancer Controller.

Solución

  1. Inicie sesión en NSX Manager.
  2. Seleccione Redes > Segmentos.
  3. Busque los segmentos obsoletos que están asociados con el espacio de nombres eliminado.
  4. Elimine las NIC obsoletas del motor de servicio en la sección Puertos/Interfaces.