Lorsque l'un des nœuds NSX Controller échoue, vous disposez toujours de deux contrôleurs qui fonctionnent. La majorité du cluster est conservée et le plan de contrôle continue de fonctionner.

Problème

Le cluster NSX Controller a échoué.

Solution

  1. Connectez-vous à vSphere Web Client.
  2. Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Gestion (Management) > Nœuds de NSX Controller (NSX Controller Nodes).
  3. Pour chaque nœud, observez la colonne Homologues. Si la colonne Homologues affiche des cases vertes, cela signifie que la connectivité des contrôleurs homologues ne présente pas d'erreur dans le cluster. Une case rouge indique une erreur avec un homologue. Cliquez sur la case pour afficher les détails.
  4. Si la colonne Homologues affiche un problème avec le cluster de contrôleurs, connectez-vous à chaque CLI NSX Controller pour effectuer un diagnostic détaillé. Exécutez la commande control-cluster status d'affichage pour diagnostiquer l'état de chaque contrôleur. Tous les contrôleurs du cluster doivent avoir la même UUID de cluster. Toutefois, il est possible que l'UUID de cluster soit différente de l'UUID du contrôleur maître. Vous pouvez trouver des informations sur les problèmes de déploiement comme décrits dans Problèmes de déploiement de NSX Controller.
  5. Vous pouvez essayer les étapes suivantes pour résoudre le problème avant de redéployer le nœud de contrôleur ou le cluster de contrôleur :
    1. Vérifiez que le contrôleur est activé.
    2. Tentez d'exécuter une commande ping du contrôleur affecté vers d'autres nœuds et le gestionnaire pour vérifier les chemins d'accès réseau. Si vous trouvez des problèmes réseau, traitez-les comme décrit dans Problèmes de déploiement de NSX Controller.
    3. Vérifiez l'état IPSec (Internet Protocol Security) à l'aide des commandes CLI suivantes.
      • Vérifiez si IPSec est activé à l'aide de la commande show control-cluster network ipsec status.
      • Vérifiez l'état des tunnels IPSec à l'aide de la commande show control-cluster network ipsec tunnels.
      Vous pouvez aussi utiliser les informations de l'état IPSec pour ouvrir un ticket avec le support technique VMware.
    4. Gestion des clés partagées de VPN IPSec pour un cluster de contrôleurs :

      Les nœuds de contrôleur communiquent entre eux pour les opérations de clustering et de stockage. La communication est protégée par le VPN IPSec. Lorsque le VPN IPSec est activé pour le cluster de contrôleurs, une clé partagée pour IPSec est générée. Si les clés sont désynchronisées ou si vous avez un cas de compromission suspecte, vous devez faire pivoter les clés pré-partagées.

      • Pour modifier la clé de VPN IPSec, désactivez et activez immédiatement le VPN IPSec. Il génère une nouvelle clé qui est envoyée à tous les contrôleurs.

      Pour plus d'informations sur l'activation et la désactivation du VPN IPSec, reportez-vous à Guide d'administration de NSX.

    5. Si le problème n'est pas un problème réseau, vous pouvez choisir de redémarrer ou de redéployer.

    Si vous souhaitez redémarrer un nœud, assurez-vous qu'un seul contrôleur est redémarré à la fois. Toutefois, si le cluster de contrôleur est dans un état où plusieurs nœuds de contrôleur ont échoué, redémarrez-les tous en même temps. Lors du redémarrage d'un nœud à partir d'un cluster sain, confirmez toujours que le cluster est reformé correctement ensuite, puis confirmez que le partitionnement du cluster est fait correctement.

  6. Si vous décidez de redéployer des contrôleurs, utilisez l'une des deux approches suivantes :
    • Approche 1 : supprimez le nœud de contrôleur interrompu et redéployez un nouveau nœud de contrôleur.
    • Approche 2 : supprimez le cluster de contrôleurs et redéployez un nouveau cluster de contrôleurs.

      VMware recommande la deuxième approche.

Que faire ensuite