Vous pouvez obtenir des informations sur les pare-feu distribués sur l'interface de ligne de commande centrale de NSX Manager.

Utilisation des commandes de l'interface de ligne de commande centrale Show dfw

Voici le chemin à suivre pour accéder aux informations souhaitées :
  1. Connectez-vous à l'interface de ligne de commande centrale de NSX Manager à l'aide des informations d'identification admin.

  2. Exécutez les commandes suivantes :

    1. Exécutez la commande show cluster all pour afficher tous les clusters.
      nsxmgr>show cluster all
      No.  Cluster Name                Cluster Id     Datacenter Name     Firewall Status
      1    Compute Cluster A           domain-c33     Datacenter Site A   Enabled
      2    Management & Edge Cluster   domain-c41     Datacenter Site A   Enabled
                  
    2. Exécutez la commande show cluster <clusterID> pour afficher les hôtes d'un cluster spécifique.
      nsxmgr> show cluster domain-c33
      Datacenter: Datacenter Site A
      Cluster: Compute Cluster A
      No.  Host Name            Host Id         Installation Status
      1    esx-02a.corp.local   host-32          Enabled
      2    esx-01a.corp.local   host-28          Enabled
    3. Exécutez la commande show host <hostID> pour afficher toutes les machines virtuelles sur un hôte.
      nsxmgr> show host host-28
      Datacenter: Datacenter Site A
      Cluster: Compute Cluster A
      Host: esx-01a.corp.local
      No.  VM Name    VM Id     Power Status
      1    web-02a    vm-219    on
      2    web-01a    vm-216    on
      3    win8-01a   vm-206    off
      4    app-02a    vm-264    on
    4. Exécutez la commande show vm <vmID> pour afficher les informations d'une machine virtuelle, qui incluent les noms de filtre et les ID de vNIC :
      nsxmgr> show vm vm-264
      Datacenter: Datacenter Site A
      Cluster: Compute Cluster A
      Host: esx-01a.corp.local
      Host-ID: host-28
      VM: app-02a
      Virtual Nics List:
      1.
      Vnic Name      app-02a - Network adapter 1
      Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
      Filters        nic-79396-eth0-vmware-sfw.2
      
      
      
      
    5. Notez l'ID de vNIC et exécutez d'autres commandes telles que show dfw vnic <vnicID> et show dfw host <hostID> filter <filter ID> rules :
      nsxmgr> show dfw vnic 502ef2fa-62cf-d178-cb1b-c825fb300c84.000
      Vnic Name      app-02a - Network adapter 1
      Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
      Mac Address    00:50:56:ae:6c:6b
      Port Group Id  dvportgroup-385
      Filters        nic-79396-eth0-vmware-sfw.2
      
      nsxmgr> show dfw host host-28 filter nic-79396-eth0-vmware-sfw.2 rules
      ruleset domain-c33 {
        # Filter rules
        rule 1012 at 1 inout protocol any from addrset ip-securitygroup-10 to addrset ip-securitygroup-10 drop with log;
        rule 1013 at 2 inout protocol any from addrset src1013 to addrset src1013 drop;
        rule 1011 at 3 inout protocol tcp from any to addrset dst1011 port 443 accept;
        rule 1011 at 4 inout protocol icmp icmptype 8 from any to addrset dst1011 accept;
        rule 1010 at 5 inout protocol tcp from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 port 8443 accept;
        rule 1010 at 6 inout protocol icmp icmptype 8 from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 accept;
        rule 1009 at 7 inout protocol tcp from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 port 3306 accept;
        rule 1009 at 8 inout protocol icmp icmptype 8 from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 accept;
        rule 1003 at 9 inout protocol ipv6-icmp icmptype 136 from any to any accept;
        rule 1003 at 10 inout protocol ipv6-icmp icmptype 135 from any to any accept;
        rule 1002 at 11 inout protocol udp from any to any port 67 accept;
        rule 1002 at 12 inout protocol udp from any to any port 68 accept;
        rule 1001 at 13 inout protocol any from any to any accept;
      }
      
      ruleset domain-c33_L2 {
        # Filter rules
        rule 1004 at 1 inout ethertype any from any to any accept;
      }

Utilisation de la commande de l'interface de ligne de commande centrale export host-tech-support

La commande export host-tech-support vous permet d'exporter un bundle de support d'un hôte ESXi vers un serveur spécifié. De plus, cette commande collecte des sorties et des fichiers liés à NSX (non limités à ce qui suit) sur des hôtes définis tels que :

  • Fichiers journaux de VMKernel et vsfwd
  • Liste de filtres
  • Liste de règles DFW
  • Liste de conteneurs
  • Détails de SpoofGuard
  • Informations liées à l'hôte
  • Informations liées à la découverte d'adresses IP
  • Résultats de commande RMQ
  • Détails des groupes de sécurité, des profils de services et des instances
  • Sorties liées à l'interface de ligne de commande ESX

Cette commande supprime également tous les fichiers temporaires sur NSX Manager.

Pour collecter les sorties et les fichiers liés à NSX :
  1. Connectez-vous à l'interface de ligne de commande centrale de NSX Manager à l'aide des informations d'identification admin.

  2. Exécutez les commandes suivantes :

    1. show cluster all : pour trouver l'ID d'hôte requis.
    2. export host-tech-support host-id scp uid@ip:/path : pour générer le bundle de support technique de NSX et pour le copier sur un serveur spécifié.

Pour plus d'informations, consultez :