Cette rubrique contient des informations pour comprendre et dépanner le pare-feu distribué VMware NSX 6.x .
Problème
- La publication de règles du pare-feu distribué échoue.
- La mise à jour de règles pare-feu distribué échoue.
Cause
Vérifiez que chaque étape du dépannage ci-dessous est correcte pour votre environnement. Chaque étape fournit des instructions ou un lien vers un document afin d'éliminer les causes possibles et de prendre une mesure corrective si nécessaire. Les étapes sont classées dans l'ordre le plus approprié afin d'isoler le problème et d'identifier la bonne résolution. Après chaque étape, réessayez de mettre à jour/publier les règles du pare-feu distribué.
Solution
Solution
Vérifiez que VMware Tools est exécuté sur les machines virtuelles si des règles de pare-feu n'utilisent pas d'adresses IP. Pour plus d'informations, consultez https://kb.vmware.com/kb/2084048.
VMware NSX 6.2.0 introduit la possibilité de découvrir l'adresse IP de la machine virtuelle en utilisant l'écoute DHCP ou l'écoute ARP. Ces nouveaux mécanismes de découverte permettent à NSX de mettre en application les règles de sécurité basées sur l'adresse IP pour les machines virtuelles sur lesquelles VMware Tools n'est pas installé. Pour plus d'informations, consultez les notes de mise à jour de NSX 6.2.0.
DFW est activé dès que le processus de préparation de l'hôte est terminé. Si une machine virtuelle n'a pas du tout besoin d'un service DFW, elle peut être ajoutée à la liste d'exclusion (par défaut, NSX Manager, les instances de NSX Controller et les passerelles ESG sont automatiquement exclus de la fonction DFW). Il est possible que l'accès de vCenter Server soit bloqué après la création d'une règle Refuser tout dans DFW. Pour plus d'informations, consultez https://kb.vmware.com/kb/2079620.
-
Lors du dépannage du pare-feu distribué VMware NSX 6.x avec le support technique VMware, les éléments suivants sont requis :
- Sortie de la commande show dfw host hostID summarize-dvfilter sur chaque hôte ESXi du cluster.
- Configuration du pare-feu distribué dans l'onglet Networking and Security > Pare-feu > Général (Networking and Security > Firewall > General) et clic sur Exporter la configuration (Export Configuration). Cela exporte la configuration du pare-feu distribué au format XML.
- Journaux de NSX Manager. Pour plus d'informations, consultez https://kb.vmware.com/kb/2074678.
- Journaux de vCenter Server. Pour plus d'informations, consultez https://kb.vmware.com/kb/1011641.