Tableau 1. Vérification de l'installation de NSX sur l'hôte ESXi - Commandes exécutées depuis NSX Manager

Description

Commandes sur NSX Manager

Remarques

Lister tous les clusters pour obtenir les ID de cluster

show cluster all

Afficher toutes les informations des clusters

Lister tous les hôtes dans le cluster pour obtenir les ID d'hôte

show cluster CLUSTER-ID

Afficher la liste d'hôtes dans le cluster, les ID d'hôte et l'état d'installation de préparation de l'hôte

Lister toutes les VM sur un hôte

show host HOST-ID

Afficher des informations particulières sur l'hôte, des VM, des ID de VM et l'état de l'alimentation

Tableau 2. Vérification de l'installation de NSX sur l'hôte ESXi - Commandes exécutées depuis l'hôte

Description

Commandes sur l'hôte

Remarques

Trois VIB sont chargés :

esx-vxlan ; esx-vsip ; esx-dvfilter-switch-security

esxcli software vib get --vibname <name>

Vérifier la version/date installée

esxcli software vib list affiche une liste de tous les VIB sur le système

Lister tous les modules système actuellement chargés dans le système

esxcli system module list

Commande équivalente précédente : vmkload_mod -l | grep -E vdl2|vdrb|vsip|dvfilter-switch-security

Quatre modules sont chargés :

vdl2, vdrb, vsip, dvfilter-switch-security

esxcli system module get -m <name>

Exécuter la commande pour chaque module

Deux agents UWA : netcpad, vsfwd

/etc/init.d/vShield-Stateful-Firewall status

/etc/init.d/netcpad status

Vérifier la connexion des agents UWA, le port 1234 vers les contrôleurs et le port 5671 vers NSX Manager

esxcli network ip connection list | grep 1234

esxcli network ip connection list | grep 5671

Connexion TCP du contrôleur

Connexion TCP du bus de messages

Vérifier l'état d'EAM

Interface utilisateur Web, vérifier Administration > vCenter ESX Agent Manager

Tableau 3. Vérification de l'installation de NSX sur un hôte ESXi - Commandes de mise en réseau de l'hôte

Description

Commandes de mise en réseau de l'hôte

Remarques

Lister les cartes réseau physiques/vmnic

esxcli network nic list

Vérifier le type de carte réseau, le type de pilote, l'état du lien, MTU

Détails de la carte réseau physique

esxcli network nic get -n vmnic#

Vérifier les versions du pilote et du micrologiciel et d'autres détails

Lister les cartes réseau vmk avec des adresses IP/MAC/MTU, etc.

esxcli network ip interface ipv4 get

Pour s'assurer que les VTEP sont correctement instanciés

Détails de chaque carte réseau vmk, y compris les informations vDS

esxcli network ip interface list

Pour s'assurer que les VTEP sont correctement instanciés

Détails de chaque carte réseau vmk, y compris les infos vDS pour VXLAN vmks

esxcli network ip interface list --netstack=vxlan

Pour s'assurer que les VTEP sont correctement instanciés

Rechercher le nom VDS associé au VTEP de cet hôte

esxcli network vswitch dvs vmware vxlan list

Pour s'assurer que les VTEP sont correctement instanciés

Effectuer une commande ping depuis une pile TCP/IP dédiée à VXLAN

ping ++netstack=vxlan –I vmk1 x.x.x.x

Pour résoudre les problèmes de communication VTEP : ajouter l'option -d -s 1572 pour s'assurer que le MTU de réseau de transport est correct pour VXLAN

Afficher une table de routage de la pile TCP/IP dédiée à VXLAN

esxcli network ip route ipv4 list -N vxlan

Pour résoudre les problèmes de communication VTEP

Afficher une table ARP de la pile TCP/IP dédiée à VXLAN

esxcli network ip neighbor list -N vxlan

Pour résoudre les problèmes de communication VTEP

Tableau 4. Vérification de l'installation de NSX sur un hôte ESXi - Fichiers journaux de l'hôte

Description

Fichier journal

Remarques

À partir de NSX Manager

show manager log follow

Suit les journaux de NSX Manager

Pour un dépannage en temps réel

Des journaux liés à l'installation pour un hôte

/var/log/esxupdate.log

Problèmes liés à l'hôte

Avertissement VMkernel, messages, alertes et rapport de disponibilité

/var/log/vmkernel.log

/var/log/vmksummary.log

/var/log/vmkwarning.log

L'échec de la charge de module est capturé

/var/log/syslog

Échec du pilote IXGBE

Les échecs de dépendance des modules NSX sont des indicateurs clés

Sur vCenter, ESX Agent Manager est responsable des mises à jour

Dans les journaux de vCenter, eam.log

Tableau 5. Vérification de la commutation logique - Commandes exécutées à partir de NSX Manager

Description

Commande sur NSX Manager

Remarques

Lister tous les commutateurs logiques

show logical-switch list all

Lister tous les commutateurs logiques, leurs UUID à utiliser dans API, la zone de transport et vdnscope

Tableau 6. Commutation logique - Commandes exécutées à partir de NSX Controller

Description

Commandes sur le contrôleur

Remarques

Rechercher le contrôleur propriétaire du VNI

show control-cluster logical-switches vni 5000

Noter l'adresse IP du contrôleur dans la sortie et SSH vers elle

Rechercher tous les hôtes connectés à ce contrôleur pour ce VNI

show control-cluster logical-switch connection-table 5000

L'adresse IP source dans la sortie est l'interface de gestion de l'hôte et le numéro de port est le port source de la connexion TCP

Rechercher les VTEP enregistrés pour héberger ce VNI

show control-cluster logical-switches vtep-table 5002

Lister les adresses MAC apprises pour les VM sur ce VNI

show control-cluster logical-switches mac-table 5002

Vérifier que l'adresse MAC se trouve en réalité sur le VTEP la signalant

Lister le cache ARP rempli par les mises à jour d'adresses IP de la VM

show control-cluster logical-switches arp-table 5002

Le cache ARP expire dans 180 s

Pour une paire hôte/contrôleur spécifique, trouver quels VNI l'hôte a rejoint

show control-cluster logical-switches joined-vnis <host_mgmt_ip>

Tableau 7. Commutation logique - Commandes exécutées depuis des hôtes

Description

Commande sur les hôtes

Remarques

Vérifier si VXLAN de l'hôte est synchronisé ou pas

esxcli network vswitch dvs vmware vxlan get

Affiche l'état de synchronisation et le port utilisé pour l'encapsulation

Afficher la VM associée et l'ID de port de commutateur local pour les captures de chemin de données

net-stats -l

Une meilleure façon d'obtenir le port de commutateur de VM pour une VM spécifique

Vérifier que le module de noyau VXLAN vdl2 est chargé

esxcli system module get -m vdl2

Afficher des détails complets du module spécifié.

Vérifier la version

Vérifier que la version correcte de VIB VXLAN est installée

esxcli software vib get --vibname esx-vxlan

Afficher des détails complets du VIB spécifié

Vérifier la version et la date

Vérifier que l'hôte connaît les autres hôtes dans le commutateur logique

esxcli network vswitch dvs vmware vxlan network vtep list --vxlan-id=5001 --vds-name=Compute_VDS

Affiche une liste de tous les VTEP que cet hôte connaît qui hébergent vtep 5001

Vérifier que le plan de contrôle est exécuté et actif pour un commutateur logique

esxcli network vswitch dvs vmware vxlan network list --vds-name Compute_VDS

S'assurer que la connexion de contrôleur est exécutée et que le nombre de ports/adresses MAC correspond aux VM sur le commutateur logique sur cet hôte

Vérifier que l'hôte a appris les adresses MAC de toutes les VM

esxcli network vswitch dvs vmware vxlan network mac list --vds-name Compute_VDS --vxlan-id=5000

Devrait lister toutes les adresses MAC des VM VNI 5000 sur cet hôte

Vérifier que l'hôte dispose en local d'une entrée ARP en cache pour les VM distantes

esxcli network vswitch dvs vmware vxlan network arp list --vds-name Compute_VDS --vxlan-id=5000

Vérifier que l'hôte dispose en local d'une entrée ARP en cache pour les VM distantes

Vérifier que la VM est connectée au commutateur logique et mappée vers un VMKnic local

Affiche également vers quel ID vmknic un dvPort de VM est mappé

esxcli network vswitch dvs vmware vxlan network port list --vds-name Compute_VDS --vxlan-id=5000

Le vdrport sera toujours listé tant que le VNI est associé à un routeur

Afficher les ID de vmknic et vers quel port de commutateur/liaison montante ils sont mappés

esxcli network vswitch dvs vmware vxlan vmknic list --vds-name=DSwitch-Res01

Tableau 8. Vérification de la commutation logique - Fichiers journaux

Description

Fichier journal

Remarques

Les hôtes sont toujours connectés à des contrôleurs hébergeant leurs VNI

/etc/vmware/netcpa/config-by-vsm.xml

Ce fichier doit toujours avoir tous les contrôleurs dans l'environnement listés. Le fichier config-by-vsm.xml est créé par le processus netcpa

Vsfwd fournit uniquement un canal pour netcpa

Netcpad se connecte à vsfwd sur le port 15002

Le fichier config-by-vsm.xml est transféré par NSX Manager à l'aide de vsfwd

Si le fichier config-by-vsm.xml n'est pas correct, consulter le journal vsfwd

/var/log/vsfwd.log

Analyser ce fichier pour rechercher les erreurs

Pour redémarrer le processus : /etc/init.d/vShield-Stateful-Firewall stop|start

La connexion au contrôleur est effectuée à l'aide de netcpa

/var/log/netcpa.log

Analyser ce fichier pour rechercher les erreurs

Les journaux de module VDL2 se trouvent dans vmkernel.log

/var/log/vmkernel.log

Consulter les journaux de module VDL2 dans /var/log/vmkernel.log avec le préfixe VXLAN :

Tableau 9. Vérification du routage logique - Commandes exécutées à partir de NSX Manager

Description

Commandes sur NSX Manager

Remarques

Commandes pour la passerelle ESG

show edge

Les commandes CLI pour la passerelle ESG (Edge Services Gateway) commencent par 'show edge'

Commandes pour la VM de contrôle du DLR

show edge

Les commandes CLI pour la VM de contrôle du DLR (routeur logique distribué) commencent par 'show edge'

Commandes pour le DLR

show logical-router

Les commandes CLI pour le DLR (routeur logique distribué) commencent par show logical-router

Lister tous les dispositifs Edge

show edge all

Lister tous les dispositifs Edge qui prennent en charge l'interface de ligne commande centrale

Lister tous les services et les détails de déploiement d'un dispositif Edge

show edge EDGE-ID

Afficher les informations de la passerelle ESG

Lister les options de commande d'un dispositif Edge

show edge EDGE-ID ?

Afficher des détails, tels que la version, le journal, NAT, la table de routage, le pare-feu, la configuration, l'interface et les services

Afficher les détails du routage

show edge EDGE-ID ip ?

Afficher les infos de routage, BGP, OSPF et d'autres détails

Afficher la table de routage

show edge EDGE-ID ip route

Afficher la table de routage sur un dispositif Edge

Afficher le voisin de routage

show edge EDGE-ID ip ospf neighbor

Afficher la relation de voisin de routage

Afficher les informations de connexion des routeurs logiques

show logical-router host hostID connection

Vérifier que le nombre de LIF connectées est correct, que la stratégie d'association est bonne et que le vDS approprié est utilisé

Lister toutes les instances de routeur logique exécutées sur l'hôte

show logical-router host hostID dlr all

Vérifier le nombre de LIF et d'itinéraires

L'adresse IP du contrôleur doit être la même sur tous les hôtes pour un routeur logique

Plan de contrôle actif doit être oui

--brief donne une réponse compacte

Consulter la table de routage sur l'hôte

show logical-router host hostID dlr dlrID route

Il s'agit de la table de routage transférée par le contrôleur à tous les hôtes dans la zone de transport

Elle doit être la même sur tous les hôtes

Si des itinéraires sont manquants sur quelques hôtes, essayer la commande sync depuis le contrôleur mentionné précédemment

L'indicateur E signifie que des itinéraires sont appris via ECMP

Consulter les LIF pour un DLR sur l'hôte

show logical-router host hostID dlr dlrID interface (all | intName) verbose

Les informations de LIF sont transférées à des hôtes à partir du contrôleur

Utiliser cette commande pour s'assurer que l'hôte connaît toutes les LIF qu'il devrait

Tableau 10. Vérification du routage logique - Commandes exécutées à partir de NSX Controller

Description

Commandes sur NSX Controller

Remarques

Rechercher toutes les instances du routeur logique

show control-cluster logical-routers instance all

Devrait lister l'instance du routeur logique et tous les hôtes dans la zone de transport sur lesquels l'instance du routeur logique devrait être installée

De plus, affiche le contrôleur qui maintient ce routeur logique

Afficher les détails de chaque routeur logique

show control-cluster logical-routers instance 0x570d4555

La colonne IP indique les adresses IP vmk0 de tous les hôtes sur lesquels ce DLR existe

Afficher toutes les interfaces CONNECTÉES au routeur logique

show control-cluster logical-routers interface-summary 0x570d4555

La colonne IP indique les adresses IP vmk0 de tous les hôtes sur lesquels ce DLR existe

Afficher tous les itinéraires appris par ce routeur logique

show control-cluster logical-routers routes 0x570d4555

Noter que la colonne IP indique les adresses IP vmk0 de tous les hôtes sur lesquels ce DLR existe

Affiche toutes les connexions réseau établies, comme une sortie net stat

show network connections of-type tcp

Vérifier si l'hôte que vous dépannez a une connexion netcpa établie vers le contrôleur

Synchroniser des interfaces entre le contrôleur et l'hôte

sync control-cluster logical-routers interface-to-host <logical-router-id> <host-ip>

Utile si une nouvelle interface était connectée au routeur logique, mais n'est pas synchronisée avec tous les hôtes

Synchroniser des itinéraires entre le contrôleur et l'hôte

sync control-cluster logical-routers route-to-host <logical-router-id> <host-ip>

Utile si des itinéraires sont manquants sur quelques hôtes, mais sont disponibles sur la plupart des hôtes

Tableau 11. Vérification du routage logique - Commandes exécutées à partir du dispositif Edge

Description

Commandes sur un dispositif Edge ou une VM de contrôle de routeur logique

Remarques

Afficher la configuration

show configuration <global | bgp | ospf | …>

Afficher les itinéraires appris

show ip route

S'assurer que les tables de routage et de transfert sont synchronisées

Afficher la table de transfert

show ip forwarding

S'assurer que les tables de routage et de transfert sont synchronisées

Afficher les interfaces de vDR

show interface

La première carte réseau affichée dans la sortie est l'interface de vDR

L'interface de VDR n'est pas une vNIC réelle sur cette VM

Tous les sous-réseaux associés à VDR sont de type INTERNE

Afficher les autres interfaces (gestion)

show interface

L'interface Gestion/HA est une vNIC réelle sur la VM de contrôle du routeur logique

Si HA était activé sans spécifier une adresse IP, 169.254.x.x/ 30 est utilisé

Si l'interface de gestion dispose d'une adresse IP, elle s'affiche ici

déboguer le protocole

debug ip ospf

debug ip bgp

Utile pour voir les problèmes avec la configuration (comme des zones OSPF et des minuteurs non concordants et un ASN erroné)

Remarque : la sortie n'est visible que sur la console du dispositif Edge (pas via une session SSH)

Commandes OSPF

show configuration ospf

show ip ospf interface

show ip ospf neighbor

show ip route ospf

show ip ospf database

show tech-support (et rechercher les chaînes « EXCEPTION » et « PROBLEM »)

Commandes BGP

show configuration bgp

show ip bgp neighbor

show ip bgp

show ip route bgp

show ip forwarding

show tech-support (rechercher les chaînes « EXCEPTION » et « PROBLEM »)

Tableau 12. Vérification du routage logique - Fichiers journaux des hôtes

Description

Fichier journal

Remarques

Les informations de l'instance VDR sont transférées à des hôtes par vsfwd et enregistrées au format XML

/etc/vmware/netcpa/config-by-vsm.xml

Si l'instance VDR est manquante sur l'hôte, regarder d'abord dans ce fichier pour voir si l'instance est listée

Si ce n'est pas le cas, redémarrer vsfwd

De plus, utiliser ce fichier pour s'assurer que tous les contrôleurs sont connus par l'hôte

Le fichier ci-dessus est transféré par NSX Manager à l'aide de vsfwd

Si le fichier config-by-vsm.xml n'est pas correct, consulter le journal vsfwd

/var/log/vsfwd.log

Analyser ce fichier pour rechercher les erreurs

Pour redémarrer le processus : /etc/init.d/vShield-Stateful-Firewall stop|start

La connexion au contrôleur est effectuée à l'aide de netcpa

/var/log/netcpa.log

Analyser ce fichier pour rechercher les erreurs

Les journaux de module VDL2 se trouvent dans vmkernel.log

/var/log/vmkernel.log

Consulter les journaux de module VDL2 dans /var/log/vmkernel.log avec le préfixe vxlan :

Tableau 13. Débogage du contrôleur - Commande exécutée depuis NSX Manager

Description

Commande (sur NSX Manager)

Remarques

Lister tous les contrôleurs avec l'état

show controller list all

Affiche la liste de tous les contrôleurs et leur état d'exécution

Tableau 14. Débogage du contrôleur - Commande exécutée depuis NSX Controller

Description

Commande (sur le contrôleur)

Remarques

Vérifier l'état du cluster de contrôleurs

show control-cluster status

Doit toujours afficher « Jonction établie » et « Connecté à la plupart des clusters »

Vérifier les statistiques des connexions flottantes et des messages

show control-cluster core stats

Le compteur abandonné ne doit pas changer

Afficher l'activité du nœud liée à la jonction du cluster au départ ou après un redémarrage

show control-cluster history

Idéal pour résoudre des problèmes de jonction de cluster

Afficher la liste de nœuds dans le cluster

show control-cluster startup-nodes

Noter que la liste ne doit pas forcément contenir QUE des nœuds de cluster actifs

Il doit s'agir d'une liste de tous les contrôleurs actuellement déployés

Cette liste est utilisée en démarrant le contrôleur pour contacter d'autres contrôleurs dans le cluster

Affiche toutes les connexions réseau établies, comme une sortie net stat

show network connections of-type tcp

Vérifier si l'hôte que vous dépannez a une connexion netcpa établie vers le contrôleur

Pour redémarrer le processus de contrôleur

restart controller

Ne redémarre que le processus du contrôleur principal

Force une reconnexion au cluster

Pour redémarrer le nœud de contrôleur

restart system

Redémarre la VM de contrôleur

Tableau 15. Débogage du contrôleur - Fichiers journaux sur NSX Controller

Description

Fichier journal

Remarques

Afficher l'historique du contrôleur et les jonctions et redémarrages récents. etc.

show control-cluster history

Bon outil de dépannage pour les problèmes de contrôleur, en particulier concernant le clustering

Rechercher un disque lent

show log cloudnet/cloudnet_java-zookeeper<timestamp>.log filtered-by fsync

Une manière fiable de rechercher les disques lents consiste à rechercher les messages « fsync » dans le journal cloudnet_java-zookeeper

Si la synchronisation dure plus d'une seconde, ZooKeeper imprime ce message, et cela indique qu'un autre élément utilisait le disque à ce moment-là

Rechercher un disque lent/fonctionnant mal

show log syslog filtered-by collectd

Les messages comme celui dans la sortie ample sur « collectd » ont tendance à être liés aux disques lents ou fonctionnant mal

Vérifier l'utilisation de l'espace disque

show log syslog filtered-by freespace:

Il existe une tâche en arrière-plan appelée « freespace » qui nettoie régulièrement les anciens journaux et d'autres fichiers sur le disque lorsque l'utilisation de l'espace atteint un certain seuil. Dans certains cas, si le disque est petit et/ou se remplit très vite, vous verrez de nombreux messages pour libérer l'espace. Cela pourrait indiquer que le disque est rempli complètement

Rechercher des membres du cluster actuellement actifs

show log syslog filtered-by Active cluster members

Liste les ID de nœud des membres du cluster actuellement actifs. Peut nécessiter de regarder dans les anciens syslogs, car ce message n'est pas imprimé tout le temps.

Afficher les journaux du contrôleur principal

show log cloudnet/cloudnet_java-zookeeper.20150703-165223.3702.log

Il peut y avoir plusieurs journaux zookeeper, regarder le tout dernier fichier horodaté

Ce fichier contient des informations sur l'élection maître du cluster de contrôleurs et d'autres informations liées à la nature distribuée des contrôleurs

Afficher les journaux du contrôleur principal

show log cloudnet/cloudnet.nsx-controller.root.log.INFO.20150703-165223.3668

Journaux de travail du contrôleur principal, comme création de LIF, écouteur de connexion sur 1234, partitionnement

Tableau 16. Vérification du pare-feu distribué - Commandes exécutées à partir de NSX Manager

Description

Commandes sur NSX Manager

Remarques

Afficher des informations de VM

show vm VM-ID

Détails tels que DC, Cluster, Hôte, Nom de VM, vNIC, dvfilters installés

Afficher des informations sur une carte réseau virtuelle particulière

show vnic VNIC-ID

Détails tels que nom de la VNIC, adresse MAC, pg, filtres appliqués

Afficher toutes les informations des clusters

show dfw cluster all

Nom de cluster, ID de cluster, Nom de centre de données, Statut du pare-feu

Afficher des informations particulières sur les clusters

show dfw cluster CLUSTER-ID

Nom d'hôte, ID d'hôte, Statut de l'installation

Afficher des informations sur l'hôte liées au DFW

show dfw host HOST-ID

Nom de VM, ID de VM, État de l'alimentation

Afficher des détails dans un dvfilter

show dfw host HOST-ID filter filterID <option>

Lister les règles, statistiques, ensembles d'adresses etc. pour chaque VNIC

Afficher des informations sur le DFW pour une VM

show dfw vm VM-ID

Afficher le nom de la VM, l'ID de VNIC, des filtres, etc.

Afficher les détails de la VNIC

show dfw vnic VNIC-ID

Afficher le nom de la VNIC, l'ID, l'adresse MAC, le groupe de ports, le filtre

Lister les filtres installés par vNIC

show dfw host hostID summarize-dvfilter

Rechercher la VM/vNIC d'intérêt et obtenir le champ de nom à utiliser dans les commandes suivantes comme filtre

Afficher des règles pour un filtre/vNIC spécifique

show dfw host hostID filter filterID rules

show dfw vnic nicID

Afficher des détails d'un ensemble d'adresses

show dfw host hostID filter filterID addrsets

Les règles affichent uniquement des ensembles d'adresses, cette commande peut être utilisée pour développer ce qui fait partie d'un ensemble d'adresses

Détails de Spoofguard par vNIC

show dfw host hostID filter filterID spoofguard

Vérifier si Spoofguard est activé et quelle est l'adresse IP/MAC actuelle

Afficher des détails des enregistrements de flux

show dfw host hostID filter filterID flows

Si la surveillance de flux est activée, l'hôte envoie régulièrement des informations sur le flux à NSX Manager

Utiliser cette commande pour voir des flux par vNIC

Afficher des statistiques pour chaque règle d'une vNIC

show dfw host hostID filter filterID stats

Utile pour voir si des règles sont touchées

Tableau 17. Vérification du pare-feu distribué - Commandes exécutées à partir des hôtes

Description

Commandes sur l'hôte

Remarques

Liste des VIB téléchargés sur l'hôte

esxcli software vib list | grep vsip

Veiller à vérifier que la bonne version du VIB est téléchargée

Détails sur les modules système actuellement chargés

esxcli system module get -m vsip

Veiller à vérifier que le module a été installé/chargé

Liste de processus

ps | grep vsfwd

Afficher si le processus vsfwd est exécuté avec plusieurs threads

Commande de démon

/etc/init.d/vShield-Stateful-Firewall {start|stop|status|restart}

Vérifier si le démon est en cours d'exécution et redémarrer si nécessaire

Afficher la connexion réseau

esxcli network ip connection list | grep 5671

Vérifier si l'hôte dispose d'une connectivité TCP avec NSX Manager

Tableau 18. Vérification du pare-feu distribué - Fichiers journaux sur les hôtes

Description

Journal

Remarques

Journal de processus

/var/log/vsfwd.log

Journal de démon vsfwd, utile pour le processus vsfwd, connectivité de NSX Manager et dépannage de RabbitMQ

Fichier dédié aux journaux de paquets

/var/log/dfwpktlogs.log

Fichier journal dédié pour les journaux de paquets

Capture de paquets au niveau de dvfilter

pktcap-uw --dvfilter nic-1413082-eth0-vmware-sfw.2 --outfile test.pcap