Utilisez les informations de cette section pour déboguer les problèmes associés au déploiement du service de protection contre les programmes malveillants distribués NSX, à l'état de santé des instances de service, aux agences ESXi et à d'autres problèmes.
Vérifier l'état de santé d'ESX Agent Manager
- Dans vSphere Client, accédez à . Cliquez sur vSphere ESX Agent Manager.
- Cliquez sur l'onglet Configurer.
Cette page affiche l'état de santé des agences ESX sur les hôtes pour la solution et les problèmes de Prévention des logiciels malveillants de NSX (le cas échéant) détectés pour les agences.
Le service ESXi Agency Manager (EAM) doit être opérationnel. Vérifiez si l'URL suivante est accessible.
https://vCenter_Server_IP_Address/eam/mob
Remplacez vCenter_Server_IP_Address par l'adresse IP de VMware vCenter dans le réseau.
Vérifier la connectivité des groupes de ports, des interfaces et du multiplexeur de contexte
- Sélectionnez le nom de la machine virtuelle de service, puis cliquez sur l'onglet Réseaux. Vérifiez que le groupe de ports vmservice-vhsield-pg est répertorié.
- Cliquez avec le bouton droit sur le nom de la machine virtuelle de service, puis cliquez sur Modifier les paramètres. Sur la page Matériel virtuel, vérifiez que l'adaptateur réseau 1 et l'adaptateur réseau 2 sont connectés. L'adaptateur réseau 1 connecte la SVM au réseau de gestion tandis que l'adaptateur réseau 2 connecte la SVM au groupe de ports vmservice-vshield-pg, que NSX a créé automatiquement lors du déploiement du service. L'adaptateur réseau 2 est l'interface de contrôle de la SVM utilisée pour la communication entre le multiplexeur (MUX) de contexte et la SVM. Pour la SVM Prévention des logiciels malveillants de NSX, l'adresse IP de l'interface de contrôle est 169.254.1.22.
Le service de multiplexeur de contexte doit s'exécuter sur chaque hôte ESXi. Pour vérifier si le service nsx-context-mux
s'exécute sur l'hôte, connectez-vous à l'interface de ligne de commande de chaque hôte ESXi en tant qu'utilisateur racine et exécutez la commande de l'interface de ligne de commande suivante :
# /etc/init.d/nsx-context-mux status
Si le service n'est pas en cours d'exécution, démarrez ou redémarrez-le à l'aide de la commande de l'interface de ligne de commande suivante :
/etc/init.d/nsx-context-mux start
Ou
/etc/init.d/nsx-context-mux restart
Résoudre les problèmes d'ESX Agent Manager
ESX Agent Manager informe NSX Manager des détails de l'erreur lorsqu'il détecte des problèmes dans les agences ESX. Vous pouvez cliquer sur Résoudre dans l'interface utilisateur de NSX Manager pour résoudre les problèmes. Le tableau suivant décrit les problèmes d'ESX Agent Manager.
Problème | Catégorie | Description | Résolution |
---|---|---|---|
Impossible d'accéder au fichier OVF de l'agent |
Machine virtuelle non déployée |
Une machine virtuelle d'agent doit être déployée sur un hôte. Toutefois, elle ne peut pas être déployée, car ESXi Agent Manager ne parvient pas à accéder au module OVF de l'agent. Cela peut se produire lorsque le serveur Web fournissant le module OVF est arrêté. Le serveur Web est souvent interne à la solution qui a créé l'agence. |
Le service ESXi Agency Manager (EAM) retente l'opération de téléchargement du fichier OVF. Cliquez sur Résoudre. |
Version d'hôte incompatible |
Machine virtuelle non déployée |
Une machine virtuelle d'agent doit être déployée sur un hôte. Cependant, en raison de problèmes de compatibilité, l'agent n'a pas été déployé sur l'hôte. |
Mettez à niveau l'hôte ou la solution pour que l'agent soit compatible avec l'hôte. Vérifiez la compatibilité de la SVM. Cliquez sur Résoudre. |
Ressources insuffisantes |
Machine virtuelle non déployée |
Une machine virtuelle d'agent doit être déployée sur un hôte. Cependant, le service ESXi Agency Manager (EAM) n'a pas déployé la machine virtuelle d'agent, car l'hôte dispose de moins de ressources de CPU ou de mémoire. |
Le service ESXi Agency Manager (EAM) tente de redéployer la machine virtuelle. Assurez-vous que des ressources de CPU et de mémoire sont disponibles. Vérifiez l'hôte et libérez des ressources. Cliquez sur Résoudre. |
Espace insuffisant |
Machine virtuelle non déployée |
Une machine virtuelle d'agent doit être déployée sur un hôte. Toutefois, la machine virtuelle d'agent n'a pas été déployée, car la banque de données d'agent de l'hôte n'a pas suffisamment d'espace libre. |
Le service ESXi Agency Manager (EAM) tente de redéployer la machine virtuelle. Libérez de l'espace sur la banque de données. Cliquez sur Résoudre. |
Aucun réseau de machine virtuelle pour l'agent |
Machine virtuelle non déployée |
Une machine virtuelle d'agent doit être déployée sur un hôte, mais l'agent ne peut pas être déployé, car le réseau d'agent n'a pas été configuré sur l'hôte. |
Ajoutez l'un des réseaux répertoriés dans un réseau de VM d'agent personnalisé à l'hôte. Le problème est résolu automatiquement dès que la banque de données est disponible. |
Format OVF non valide |
Machine virtuelle non déployée |
Une machine virtuelle d'agent doit être provisionnée sur un hôte, mais elle a échoué, car le provisionnement du module OVF a échoué. Le provisionnement est peu susceptible d'aboutir tant que la solution qui fournit le module OVF n'est pas mise à niveau ou corrigée afin de fournir un module OVF valide pour la machine virtuelle d'agent. |
Le service ESXi Agency Manager (EAM) tente de redéployer la SVM. Assurez-vous qu'un module OVF valide est utilisé pour le déploiement du service. Cliquez sur Résoudre. |
Pool d'adresses IP d'agent manquant |
Machine virtuelle hors tension |
Une machine virtuelle d'agent doit être mise sous tension, mais elle est mise hors tension, car il n'y a aucune adresse IP définie sur le réseau de machine virtuelle de l'agent. |
Définissez l'adresse IP sur le réseau de la machine virtuelle. Cliquez sur Résoudre. |
Aucune banque de données de machine virtuelle pour l'agent |
Machine virtuelle hors tension |
Une machine virtuelle d'agent doit être déployée sur un hôte, mais l'agent ne peut pas être déployé, car la banque de données d'agent n'a pas été configurée sur l'hôte. |
Ajoutez l'une des banques de données répertoriées dans une banque de données de VM d'agent personnalisé à l'hôte. Le problème est résolu automatiquement dès que la banque de données est disponible. |
Aucun réseau de machine virtuelle personnalisé pour l'agent |
Aucun réseau de machine virtuelle pour l'agent |
Une machine virtuelle d'agent doit être déployée sur un hôte, mais l'agent ne peut pas être déployé, car le réseau d'agent n'a pas été configuré sur l'hôte. |
Ajoutez l'hôte à l'un des réseaux répertoriés dans un réseau de machine virtuelle personnalisé pour l'agent Le problème est résolu automatiquement dès qu'un réseau de machine virtuelle personnalisé est disponible. |
Aucune banque de données de machine virtuelle personnalisée pour l'agent |
Aucune banque de données de machine virtuelle pour l'agent |
Une machine virtuelle d'agent doit être déployée sur un hôte, mais l'agent ne peut pas être déployé, car la banque de données d'agent n'a pas été configurée sur l'hôte. |
Ajoutez l'hôte à l'une des banques de données répertoriées dans une banque de données de machine virtuelle d'agent personnalisée. Le problème est résolu automatiquement. |
Commutateur DvFilter inactif |
Problème d'hôte |
Un commutateur dvFilter existe sur un hôte, mais aucun agent sur l'hôte ne dépend de dvFilter. Cela se produit si un hôte est déconnecté lorsque la configuration d'une agence a été modifiée. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de connecter l'hôte avant la mise à jour de la configuration de l'agence. |
Machine virtuelle d'agent inconnue |
Problème d'hôte |
Une machine virtuelle d'agent a été trouvée dans l'inventaire de vCenter Server qui n'appartient pas à aucune agence de cette instance du serveur vSphere ESX Agent Manager. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de placer la machine virtuelle dans l'inventaire auquel elle appartient. |
Propriété OVF non valide |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit être mise sous tension, mais une propriété OVF est manquante ou a une valeur non valide. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de reconfigurer la propriété OVF appropriée. |
Machine virtuelle endommagée |
Problème de machine virtuelle |
Une machine virtuelle d'agent est endommagée. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de réparer la machine virtuelle. |
Machine virtuelle inactive |
Problème de machine virtuelle |
Une machine virtuelle d'agent est présente sur un hôte, mais l'hôte ne fait plus partie de l'étendue de l'agence. Cela se produit si un hôte est déconnecté lorsque la configuration d'une agence a été modifiée. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de reconnecter l'hôte à la configuration de l'agence. |
Machine virtuelle déployée |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit être supprimée d'un hôte, mais elle ne l'a pas été. La raison particulière pour laquelle vSphere ESX Agent Manager n'a pas pu supprimer la machine virtuelle d'agent peut être que l'hôte est en mode de maintenance, hors tension ou en veille. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de supprimer la machine virtuelle d'agent de l'hôte. |
Machine virtuelle hors tension |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit être mise sous tension, mais elle est hors tension. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de mettre la machine virtuelle sous tension. |
Machine virtuelle activée |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit être mise hors tension, mais elle est sous tension. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de mettre la machine virtuelle hors tension. |
Machine virtuelle interrompue |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit être mise sous tension, mais elle est interrompue. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de mettre la machine virtuelle sous tension. |
Dossier de machine virtuelle incorrect |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit se trouver dans un dossier de machine virtuelle d'agent désigné, mais se trouve dans un autre dossier. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de placer la machine virtuelle de l'agent dans le dossier désigné. |
Pool de ressources de machine virtuelle incorrect |
Problème de machine virtuelle |
Une machine virtuelle d'agent doit se trouver dans un pool de ressources de machine virtuelle d'agent désigné, mais se trouve dans un pool de ressources différent. |
Cliquez sur Résoudre. Le service ESXi Agency Manager (EAM) tente de placer la machine virtuelle d'agent dans un pool de ressources désigné. |
Machine virtuelle non déployée |
Problème d'agent |
Une machine virtuelle d'agent doit être déployée sur un hôte, mais elle n'a pas été déployée. La raison particulière pour laquelle ESXi Agent Manager n'a pas pu déployer l'agent peut être l'incapacité d'accéder au module OVF pour l'agent ou l'absence d'une configuration d'hôte. Ce problème peut également se produire si la machine virtuelle d'agent est supprimée explicitement de l'hôte. |
Cliquez Résoudre pour déployer la machine virtuelle d'agent. |
Résoudre un problème de NSX Manager
Vérifier l'état de santé des instances de service
NSX Manager reçoit les détails de l'état de santé de chaque instance de service. Le dernier horodatage de réception de l'état de santé s'affiche dans l'interface utilisateur de NSX Manager. Vous devrez peut-être actualiser la page Instances de service plusieurs fois pour récupérer le dernier état de santé.
- État de la solution
- État de la solution de protection contre les programmes malveillants distribués NSX qui s'exécute sur une SVM. L'état Actif indique une exécution correcte de la solution.
- Connectivité entre l'agent NSX Guest Introspection et le moteur de contexte
- L'état est Actif lorsque l'agent NSX Guest Introspection (multiplexeur de contexte) est connecté à l'agent NSX Ops (qui inclut le moteur de contexte). Le multiplexeur de contexte transfère les informations de santé des SVM vers le moteur de contexte. Le MUX et l'agent NSX Ops partagent également la configuration SVM-VM entre eux pour savoir quelles VM de charge de travail sont protégées par la SVM.
- Version de protocole de VM de service
- Version du protocole de transport utilisée en interne pour résoudre des problèmes.
- Informations sur l'agent NSX Guest Introspection
- Représente la compatibilité des versions du protocole entre l'agent NSX Guest Introspection et la SVM.
- Accédez à .
- Dans la colonne État de santé, cliquez sur l'icône en regard de l'option Actif ou Inactif.
Afficher les alarmes dans NSX Manager
- La connectivité entre le multiplexeur de contexte NSX et la SVM Prévention des logiciels malveillants de NSX est inactive.
- Le multiplexeur de contexte NSX est inactif ou redémarre.
Vous pouvez également afficher les alarmes sur la page Instances de service dans .
Pour afficher les alarmes sur la santé de la fonctionnalité Prévention des logiciels malveillants de NSX, procédez comme suit :
- Dans NSX Manager, accédez à la page Définitions d'alarme en cliquant sur .
- Cliquez dans la zone de texte Filtrer par nom, chemin, etc., puis cliquez sur Fonctionnalité.
- Cochez la case Santé de la protection contre les programmes malveillants.
Pour obtenir de la documentation sur les événements de santé Prévention des logiciels malveillants de NSX, reportez-vous au Catalogue d'événements NSX.
Afficher les problèmes des composants dans le tableau de bord Présentation de la sécurité
Le widget Protection contre les programmes malveillants du tableau de bord Présentation de la sécurité affiche les problèmes lorsque l'un des composants du service Protection contre les programmes malveillants distribués NSX est inactif ou ne fonctionne pas. Pour afficher ce widget d'interface utilisateur dans l'IU de NSX Manager, accédez à .
- Le graphique à barres montre un problème lorsque le Hub de sécurité sur la machine virtuelle de service (SVM) Prévention des logiciels malveillants de NSX est inactif. Pointez sur la barre pour afficher les détails suivants :
- Nombre de SVM Prévention des logiciels malveillants de NSX affectées.
- Nombre de machines virtuelles de charge de travail sur l'hôte qui ont perdu la protection de sécurité contre les programmes malveillants en raison de l'arrêt du hub de sécurité.
- Le graphique en anneau affiche les détails suivants :
- Nombre de machines virtuelles de charge de travail sur lesquelles le pilote Introspection de fichiers NSX est en cours d'exécution.
- Nombre de machines virtuelles de charge de travail sur lesquelles le pilote Introspection de fichiers NSX n'est pas en cours d'exécution.
Pour ces deux mesures, seules les machines virtuelles de charge de travail sur les clusters d'hôtes activés pour Protection contre les programmes malveillants distribués NSX sont prises en compte.
Nommez correctement les paires de clés pour faciliter l'identification
L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.
Le déploiement de service Protection contre les programmes malveillants distribués NSX est effectué au niveau d'un cluster d'hôtes. Par conséquent, une paire de clés est liée à un cluster d'hôtes. Vous pouvez créer une nouvelle paire de clés publique-privée pour un déploiement de service sur chaque cluster ou utiliser une paire de clés unique pour les déploiements de services sur tous les clusters.
Si vous prévoyez d'utiliser une paire de clés publique-privée différente pour le déploiement de services sur chaque cluster, assurez-vous que les paires de clés sont nommées correctement pour en faciliter l'identification.
Il est recommandé d'identifier chaque déploiement de service avec un « ID de cluster de calcul » et de spécifier l'ID de cluster dans le nom de la paire de clés. Supposons par exemple que l'ID de cluster est « 1234-abcd ». Pour ce cluster, vous pouvez indiquer « MPS-1234-abcd » comme nom du déploiement de service et nommer la paire de clés pour accéder à ce déploiement de service nommé « id_rsa_1234_abcd.pem ». Cette pratique vous permet facilement de gérer et d'associer des clés pour chaque déploiement de service.
Si la clé privée est perdue, la SVM continue de fonctionner sans problème, mais vous ne pouvez pas vous connecter à la SVM et télécharger le fichier journal à des fins de dépannage.
Collecter des bundles de support
- Dispositifs NSX Manager
- Hôtes ESXi
- VMware Tools sur les VM de charge de travail
- SVM Prévention des logiciels malveillants de NSX
Pour collecter un bundle de support contenant des fichiers journaux pour les hôtes ESXi et les dispositifs NSX Manager, utilisez la fonctionnalité de bundle de support dans NSX. Pour obtenir des instructions sur la collecte d'un bundle de support dans NSX, reportez-vous à la section Collecter des bundles de support.
Pour collecter un bundle de support qui contient des fichiers journaux pour les composants et les services s'exécutant sur VMware vCenter, reportez-vous à la documentation Configuration de vCenter Server. Par exemple, vous pouvez collecter des fichiers journaux pour VMware Tools avec le bundle de support VMware vCenter.
(Dans NSX 4.1.2 ou version ultérieure) : pour collecter des bundles de support pour les SVM Prévention des logiciels malveillants de NSX s'exécutant sur des clusters d'hôtes vSphere activés pour le service Protection contre les programmes malveillants distribués NSX, vous pouvez exécuter des commandes CLI sur les SVM. Pour plus d'informations, reportez-vous à la section Collecter un bundle de support pour une machine virtuelle de service Prévention des logiciels malveillants de NSX.
(Dans NSX 4.1.1 ou version antérieure) : les commandes CLI NSX ne sont pas prises en charge sur la SVM Prévention des logiciels malveillants de NSX. Cependant, vous pouvez vous connecter à chaque SVM Prévention des logiciels malveillants de NSX à l'aide d'une connexion SSH et copier le fichier Syslog à partir du répertoire /var/log sur la SVM. Par exemple, vous pouvez utiliser la commande sftp ou scp pour collecter le fichier Syslog de la SVM à un moment donné. Si plusieurs fichiers Syslog sont disponibles à cet emplacement, ils sont compressés et stockés au même chemin d'accès.