Pour résoudre les problèmes de NSX Advanced Load Balancer, vous pouvez collecter des bundles de support. Les bundles de support peuvent être demandés par le support VMware.

Lorsque vous générez le bundle de support, vous obtenez un seul fichier pour les journaux de débogage que vous pouvez télécharger.

Procédure

  1. Dans le tableau de bord du Contrôleur NSX Advanced Load Balancer, cliquez sur le menu dans le coin supérieur gauche et sélectionnez Administration.
  2. Dans la section Administration, sélectionnez Système.
  3. Dans la fenêtre Système, sélectionnez Support technique.
  4. Pour générer un bundle de diagnostics, cliquez sur Générer le support technique.
  5. Dans la fenêtre Générer le support technique, sélectionnez Journaux de débogage et cliquez sur Générer.
  6. Une fois le bundle généré, cliquez sur l’icône de téléchargement pour le télécharger sur votre machine.
    Pour plus d'informations sur la collecte de journaux, reportez-vous à la section https://avinetworks.com/docs/21.1/collecting-tech-support-logs/.

La configuration NSX Advanced Load Balancer n'est pas appliquée

Lorsque vous déployez le Superviseur, le déploiement n'aboutit pas et la configuration de NSX Advanced Load Balancer n'est pas appliquée.

Problème

La configuration de NSX Advanced Load Balancer n'est pas appliquée si vous fournissez un certificat signé par une autorité de certification privée.

Vous pouvez voir un message d'erreur avec l'erreur « Unable to find certificate chain » dans les fichiers journaux de l'un des espaces NCP s'exécutant sur le Superviseur.

  1. Connectez-vous à la machine virtuelle du Superviseur.
  2. Répertoriez tous les espaces à l'aide de la commande kubectl get pods -A.
  3. Obtenez les journaux de tous les espaces NCP sur le Superviseur.

    kubectl -n vmware-system-nsx logs nsx-ncp-<id> | grep -i alb

Cause

Le SDK Java est utilisé pour établir la communication entre NCP et le Contrôleur NSX Advanced Load Balancer. Cette erreur se produit lorsque le magasin d'approbations NSX n'est pas synchronisé avec le magasin d'approbations des certificats Java.

Solution

  1. Exportez le certificat d'autorité de certification racine à partir de NSX Advanced Load Balancer et enregistrez-le sur NSX Manager.
  2. Connectez-vous à NSX Manager en tant qu'utilisateur racine.
  3. Exécutez les commandes suivantes de manière séquentielle sur tous les nœuds NSX Manager :
    keytool -importcert -alias startssl -keystore /usr/lib/jvm/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    Si le chemin est introuvable, exécutez : keytool -importcert -alias startssl -keystore /usr/java/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    sudo cp <ca-file-path> /usr/local/share/ca-certificates/
    sudo update-ca-certificates
    service proton restart
    Note : Vous pouvez effectuer les mêmes étapes pour attribuer un certificat d'autorité de certification intermédiaire.
  4. Attendez la fin du déploiement du Superviseur ou, si le déploiement ne se produit pas, redéployez-le à nouveau.

L'hôte ESXi ne peut pas passer en mode de maintenance

Vous placez un hôte ESXi en mode de maintenance lorsque vous souhaitez effectuer une mise à niveau.

Problème

L'hôte ESXi ne peut pas passer en mode de maintenance et cela peut affecter la mise à niveau d'ESXi et de NSX.

Cause

Cela peut se produire s'il existe un moteur de service dans un état sous tension sur l'hôte ESXi.

Solution

  • Mettez hors tension le moteur de service afin que l'hôte ESXi puisse entrer en mode de maintenance.

Dépannage des problèmes d'adresse IP

Suivez ces conseils de dépannage si vous rencontrez des problèmes d'attribution d'adresses IP externes.

Des problèmes d'adresse IP peuvent se produire pour les raisons suivantes :
  • Les ressources Kubernetes, telles que les passerelles et les entrées, n'obtiennent pas d'adresse IP externe de l'AKO.
  • Les adresses IP externes attribuées aux ressources Kubernetes ne sont pas accessibles.
  • Les adresses IP externes sont attribuées de manière incorrecte.

Les ressources Kubernetes n'obtiennent pas d'adresse IP externe à partir de l'AKO

Cette erreur se produit lorsque l'AKO ne peut pas créer le service virtuel correspondant dans le Contrôleur NSX Advanced Load Balancer.

Vérifiez si l'espace AKO est en cours d'exécution. Si l'espace est en cours d'exécution, recherchez l'erreur dans les journaux du conteneur AKO.

Les adresses IP externes attribuées aux ressources Kubernetes ne sont pas accessibles

Ce problème peut se produire pour les raisons suivantes :
  • L'adresse IP externe n'est pas disponible immédiatement, mais commence à accepter le trafic quelques minutes après sa création. Ce problème se produit lorsque la création d'un nouveau moteur de service est déclenchée pour le placement de services virtuels.
  • L'adresse IP externe n'est pas disponible, car le service virtuel correspondant affiche une erreur.

Un service virtuel peut indiquer une erreur ou s'afficher en rouge s'il n'y a aucun serveur dans le pool. Ce problème peut se produire si la passerelle Kubernetes ou la ressource d'entrée ne pointe pas un objet de point de terminaison.

Pour afficher les points de terminaison, exécutez la commande kubectl get endpoints -n <servce_namespace> et corrigez les problèmes d'étiquette de sélecteur.

Le pool peut apparaître dans un état d'erreur lorsque la surveillance de santé affiche la santé des serveurs de pool en rouge.

Effectuez l'une des étapes suivantes pour résoudre ce problème :
  • Vérifiez si les serveurs de pool ou les espaces Kubernetes écoutent sur le port configuré.
  • Vérifiez qu'il n'existe aucune règle d'abandon dans le pare-feu NSX DFW qui bloque le trafic d'entrée ou de sortie sur les moteurs de service.
  • Assurez-vous qu'aucune stratégie réseau dans l'environnement Kubernetes ne bloque le trafic d'entrée ou de sortie sur les moteurs de service.
Les problèmes du moteur de service sont les suivants :
  1. La création des moteurs de service échoue.
    La création des moteurs de service peut échouer pour les raisons suivantes :
    • Une licence avec des ressources insuffisantes est utilisée dans le Contrôleur NSX Advanced Load Balancer.
    • Le nombre de moteurs de service créés dans un groupe de moteurs de service a atteint la limite maximale.
    • La carte réseau de données du moteur de service n'a pas pu acquérir l'adresse IP.
  2. La création du moteur de service échoue avec le message d'erreur Insufficient licensable resources available.

    Cette erreur se produit si une licence avec des ressources insuffisantes a été utilisée pour créer le moteur de service.

    Obtenez une licence disposant d'un quota de ressources plus important et attribuez-la au Contrôleur NSX Advanced Load Balancer.

  3. La création du moteur de service échoue avec le message d'erreur Reached configuration maximum limit.

    Cette erreur se produit si le nombre de moteurs de service créés dans un groupe de moteurs de service a atteint la limite maximale.

    Pour résoudre cette erreur, effectuez les étapes suivantes :
    1. Dans le tableau de bord du Contrôleur NSX Advanced Load Balancer, sélectionnez Infrastructure > Ressources cloud > Groupe de moteurs de service.
    2. Recherchez le groupe de moteurs de service portant le même nom que le Superviseur dans lequel l'échec du trafic IP se produit et cliquez sur l'icône Modifier.
    3. Configurez une valeur plus élevée pour Nombre de moteurs de service.
  4. La carte réseau de données du moteur de service ne peut pas acquérir l'adresse IP.
    Cette erreur peut se produire si le pool d'adresses IP DHCP a été épuisé pour l'une des raisons suivantes :
    • Trop de moteurs de service ont été créés pour un déploiement à grande échelle.
    • Si un moteur de service est supprimé directement à partir de l'interface utilisateur de NSX Advanced Load Balancer ou de vSphere Client. Une telle suppression ne libère pas l'adresse DHCP du pool DHCP et entraîne un échec d'allocation de bail.

Les adresses IP externes sont attribuées de manière incorrecte.

Cette erreur se produit lorsque deux entrées dans des espaces de noms différents partagent le même nom d'hôte. Vérifiez votre configuration et vérifiez que le même nom n'est pas attribué à deux entrées dans des espaces de noms différents.

Dépannage des problèmes relatifs aux échecs de trafic

Après avoir configuré le NSX Advanced Load Balancer, des échecs de trafic se produisent.

Problème

Des échecs de trafic peuvent se produire lorsque le point de terminaison pour le service de type Équilibreur de charge se trouve dans un espace de noms différent.

Cause

Dans les environnements vSphere IaaS control plane configurés avec NSX Advanced Load Balancer, les espaces de noms disposent d'une passerelle de niveau 1 dédiée et chaque passerelle de niveau 1 dispose d'un segment de moteur de service avec le même CIDR. Des échecs de trafic peuvent se produire si le service NSX Advanced Load Balancer se trouve dans un espace de noms et si les points de terminaison se trouvent dans un autre espace de noms. L'échec se produit, car NSX Advanced Load Balancer attribue une adresse IP externe au service et le trafic vers l'adresse IP externe échoue.

Solution

  • Pour autoriser le trafic nord-sud, créez une règle de pare-feu distribué pour autoriser l'entrée à partir de l'adresse IP SNAT de l'espace de noms du service NSX Advanced Load Balancer.

Dépannage des problèmes causés par la sauvegarde et la restauration de NSX

La sauvegarde et la restauration de NSX peuvent entraîner l'échec du trafic pour toutes les adresses IP externes fournies par NSX Advanced Load Balancer.

Problème

Lorsque vous effectuez une sauvegarde et une restauration de NSX, cela peut entraîner l'échec du trafic.

Cause

Cet échec se produit si les cartes réseau du moteur de service ne sont pas rétablies après une restauration et, par conséquent, le pool d'adresses IP s'affiche.

Solution

  1. Dans le tableau de bord Contrôleur NSX Advanced Load Balancer, sélectionnez Infrastructure > Clouds.
  2. Sélectionnez et enregistrez le cloud sans apporter de modifications et attendez que l'état devienne vert.
  3. Désactivez tous les services virtuels.
    Attendez que le Contrôleur NSX Advanced Load Balancer supprime les cartes réseau périmées de tous les moteurs de service.
  4. Activez tous les services virtuels.
    Les états des services virtuels s'affichent en vert.
    Si l'échec du trafic persiste, reconfigurez les routes statiques sur NSX Manager.

Segments de niveau 1 périmés après la sauvegarde et la restauration NSX

La sauvegarde et la restauration NSX peuvent restaurer des segments de niveau 1 périmés.

Problème

Après une procédure de sauvegarde et de restauration NSX, les segments de niveau 1 périmés qui disposent de cartes réseau du moteur de service ne sont pas nettoyés.

Cause

Lorsqu'un espace de noms est supprimé après une sauvegarde NSX, l'opération de restauration restaure les segments de niveau 1 périmés associés aux cartes réseau du moteur de service du Contrôleur NSX Advanced Load Balancer.

Solution

  1. Connectez-vous à NSX Manager.
  2. Sélectionnez Mise en réseau > Segments.
  3. Recherchez les segments périmés associés à l'espace de noms supprimé.
  4. Supprimez les cartes réseau du moteur de service périmées de la section Ports/Interfaces.