Risoluzione dei problemi relativi alla macchina virtuale del servizio Prevenzione malware NSX

Utilizzare le informazioni riportate nel presente argomento per eseguire il debug dei problemi associati alla distribuzione del servizio di prevenzione malware distribuito di NSX, allo stato di integrità delle istanze di servizio, alle agenzie ESXi e di altri problemi.

Verifica dello stato di integrità di ESX Agent Manager

Per verificare che lo stato di integrità di ESX Agent Manager (EAM) vSphere sia normale, eseguire i passaggi seguenti:

in vSphere Client, passare a Amministrazione > Estensioni di vCenter Server. Fare clic su vSphere ESX Agent Manager.
Fare clic sulla scheda Configura.
Questa pagina mostra lo stato di integrità delle ESX Agency negli host in cui sono state rilevate le soluzioni e i problemi (se presenti) di Prevenzione malware NSX per le Agency.

Il servizio EAM (Agency Manager) di ESXi deve essere attivo e in esecuzione. Verificare se il seguente URL è accessibile.

https://vCenter_Server_IP_Address/eam/mob

Sostituire vCenter_Server_IP_Address con l'indirizzo IP di vCenter Server nella propria rete.

Verificare la connettività di gruppi di porte, interfacce e Context Multiplexer

Eseguire i passaggi seguenti in vSphere Client:

Selezionare il nome della macchina virtuale del servizio, quindi fare clic sulla scheda Reti. Verificare che nell'elenco sia presente il Gruppo della porta vmservice-vhs commutato-pg.
Fare clic con il pulsante destro del mouse sul nome macchina virtuale del servizio e fare clic su Modifica impostazioni. Nella pagina Hardware virtuale, verificare che la scheda di rete 1 e la scheda di rete 2 siano connesse. La scheda di rete 1 connette la macchina virtuale alla rete di gestione e la scheda di rete 2 connette la macchina virtuale al Gruppo della porta vmservice-vshield-pg, che NSX ha creato automaticamente durante la distribuzione del servizio. La scheda di rete 2 è l'interfaccia di controllo della macchina virtuale del servizio utilizzata per la comunicazione tra Context Multiplexer (MUX) e la macchina stessa. Per la macchina virtuale del servizio Prevenzione malware NSX, l'IP dell'interfaccia di controllo è 169.254.1.22.

Il servizio Context Multiplexer deve essere in esecuzione in ogni host ESXi. Per verificare se il servizio nsx-context-mux è in esecuzione nell'host, accedere alla CLI di ogni host ESXi come utente root ed eseguire il comando della CLI seguente:

# /etc/init.d/nsx-context-mux  status

Se il servizio non è in esecuzione, avviare o riavviare il servizio con il seguente comando della CLI:

/etc/init.d/nsx-context-mux start

oppure

/etc/init.d/nsx-context-mux restart

Nota: È possibile riavviare il servizio durante le ore di produzione in modo sicuro perché il riavvio del servizio non ha un impatto significativo. Il servizio viene riavviato nell'arco di un paio di secondi.

Risoluzione dei problemi di ESX Agent Manager

L'ESX Agent Manager invia una notifica a NSX Manager riguardo ai dettagli degli errori quando rileva problemi nelle ESX Agency. Per risolvere i problemi, è possibile fare clic su Risolvi nell'interfaccia utente di NSX Manager. Nella tabella seguente sono descritti i problemi ESX Agent Manager.

Problema	Categoria	Descrizione	Risoluzione
Impossibile accedere all'OVF dell'agente	Macchina virtuale non distribuita	È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma la macchina virtuale dell'agente non può essere distribuita perché ESXi Agent Manager non è in grado di accedere al pacchetto OVF per l'agente. Ciò può verificarsi perché il server Web che fornisce il pacchetto OVF è inattivo. Il server Web è spesso interno alla soluzione che ha creato l'agenzia.	Il servizio EAM (Agency Manager) di ESXi riprova a eseguire l'operazione di download dell'OVF. Fare clic su Risolvi.
Versione host non compatibile	Macchina virtuale non distribuita	È previsto che una macchina virtuale dell'agente venga distribuita in un host. Tuttavia, a causa di problemi di compatibilità, l'agente non è stato distribuito nell'host.	Aggiornare l'host o la soluzione per rendere l'agente compatibile con l'host. Verificare la compatibilità della macchina virtuale del servizio. Fare clic su Risolvi.
Risorse insufficienti	Macchina virtuale non distribuita	È previsto che una macchina virtuale dell'agente venga distribuita in un host. Tuttavia, il servizio ESXi Agency Manager (EAM) non ha distribuito la macchina virtuale dell'agente perché l'host dispone di meno CPU o risorse di memoria.	Il servizio Agency Manager (EAM) di ESXi tenta di ridistribuire la macchina virtuale. Assicurarsi che siano disponibili risorse di CPU e memoria. Controllare l'host e liberare alcune risorse. Fare clic su Risolvi.
Spazio insufficiente	Macchina virtuale non distribuita	È previsto che una macchina virtuale dell'agente venga distribuita in un host. Tuttavia, la macchina virtuale dell'agente non è stata distribuita perché il datastore dell'agente nell'host non disponeva di spazio libero sufficiente.	Il servizio Agency Manager (EAM) di ESXi tenta di ridistribuire la macchina virtuale. Liberare un po' di spazio nel datastore. Fare clic su Risolvi.
Nessuna rete di macchina virtuale dell'agente	Macchina virtuale non distribuita	È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma non può essere distribuita perché la rete dell'agente non è stata configurata nell'host.	Aggiungere una delle reti elencate in una rete personalizzata di macchine virtuali dell'agente all'host. Il problema si risolve automaticamente una volta che il datastore è disponibile.
Formato OVF non valido	Macchina virtuale non distribuita	È previsto il provisioning di una macchina virtuale dell'agente in un host, ma questa operazione non è riuscita a causa di un errore del provisioning del pacchetto OVF. È improbabile che il provisioning riesca finché la soluzione che fornisce il pacchetto OVF non verrà aggiornata o fornita di una patch per offrire un pacchetto OVF valido per la macchina virtuale dell'agente.	Il servizio Agency Manager (EAM) di ESXi tenta di ridistribuire la macchina virtuale del servizio. Assicurarsi che per la distribuzione del servizio venga utilizzato un pacchetto OVF valido. Fare clic su Risolvi.
Pool IP mancante per l'agente	Macchina virtuale spenta	È previsto che una macchina virtuale dell'agente sia accesa, ma la macchina virtuale dell'agente è spenta perché sulla sua rete non sono definiti indirizzi IP.	Definire l'indirizzo IP nella rete della macchina virtuale. Fare clic su Risolvi.
Nessun datastore della macchina virtuale dell'agente	Macchina virtuale spenta	È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma l'agente non può essere distribuito perché il datastore dell'agente non è stato configurato nell'host.	Aggiungere uno dei datastore elencati in un datastore personalizzato di macchine virtuali dell'agente all'host. Il problema si risolve automaticamente una volta che il datastore è disponibile.
Nessuna rete di macchina virtuale dell'agente personalizzata	Nessuna rete di macchina virtuale dell'agente	È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma non può essere distribuita perché la rete dell'agente non è stata configurata nell'host.	Aggiungere l'host a una delle reti elencate in una rete personalizzata di macchine virtuali dell'agente. Il problema si risolve automaticamente quando una rete personalizzata di macchine virtuali diventa disponibile.
Nessun datastore personalizzato di macchine virtuali dell'agente	Nessun datastore della macchina virtuale dell'agente	È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma l'agente non può essere distribuito perché il datastore dell'agente non è stato configurato nell'host.	Aggiungere l'host a uno dei datastore elencati in un datastore personalizzato di macchine virtuali dell'agente. Il problema si risolve automaticamente.
Commutatore DvFilter orfano	Problema dell'host	Un commutatore dvFilter esiste in un host, ma nessun agente nell'host dipende da dvFilter. Ciò accade se un host viene disconnesso quando la configurazione di un'agenzia viene modificata.	Fare clic su Risolvi. Il servizio EAM (Agency Manager) di ESXi tenta di connettere l'host prima dell'aggiornamento della configurazione dell'agenzia.
Macchina virtuale dell'agente sconosciuta	Problema dell'host	È stata trovata una macchina virtuale dell'agente nell'inventario di vCenter Server che non appartiene ad alcuna agenzia in questa istanza del server di vSphere ESX Agent Manager.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di collocare la macchina virtuale nell'inventario a cui appartiene.
Proprietà OVF non valida	Problema della macchina virtuale	Una macchina virtuale dell'agente deve essere attivata, ma una proprietà OVF è mancante o presenta un valore non valido.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di riconfigurare la proprietà OVF corretta.
Macchina virtuale danneggiata	Problema della macchina virtuale	Una macchina virtuale dell'agente è danneggiata.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di riparare la macchina virtuale.
Macchina virtuale orfana	Problema della macchina virtuale	Una macchina virtuale dell'agente esiste in un host, ma l'host non fa più parte dell'ambito dell'agenzia. Ciò accade se un host è disconnesso quando la configurazione dell'agenzia viene modificata.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di connettere nuovamente l'host alla configurazione dell'agenzia.
Macchina virtuale distribuita	Problema della macchina virtuale	È previsto che una macchina virtuale dell'agente venga rimossa da un host, ma la macchina virtuale dell'agente non è stata rimossa. Il motivo specifico per cui vSphere ESX Agent Manager non è stato in grado di rimuovere la macchina virtuale dell'agente, ad esempio l'host è in modalità di manutenzione, spenta o in modalità di standby.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di rimuovere la macchina virtuale dell'agente dall'host.
Macchina virtuale spenta	Problema della macchina virtuale	È previsto che una macchina virtuale dell'agente sia accesa, ma la macchina virtuale dell'agente è spenta.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di accendere la macchina virtuale.
Macchina virtuale accesa	Problema della macchina virtuale	È previsto che una macchina virtuale dell'agente sia spenta, ma la macchina virtuale dell'agente è accesa.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di spegnere la macchina virtuale.
Macchina virtuale sospesa	Problema della macchina virtuale	È previsto che una macchina virtuale dell'agente sia accesa, ma la macchina virtuale dell'agente è sospesa.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di accendere la macchina virtuale.
Cartella della macchina virtuale errata	Problema della macchina virtuale	È previsto che una macchina virtuale dell'agente si trovi in una relativa cartella designata, ma si trova in una cartella diversa.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di inserire la macchina virtuale dell'agente nella cartella designata.
Pool di risorse errato per la macchina virtuale	Problema della macchina virtuale	È previsto che la macchina virtuale di un agente si trovi nel pool di risorse designato, ma si trova in un pool di risorse diverso.	Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di inserire la macchina virtuale dell'agente in un pool di risorse designato.
Macchina virtuale non distribuita	Problema dell'agente	È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma la macchina virtuale dell'agente non è stata distribuita. Motivi specifici per cui ESXi Agent Manager non è riuscito a distribuire l'agente, ad esempio l'impossibilità di accedere al pacchetto OVF dell'agente o una configurazione host mancante. Questo problema può verificarsi anche se la macchina virtuale dell'agente viene eliminata esplicitamente dall'host.	Fare clic su Risolvi per distribuire la macchina virtuale dell'agente.

Risolvi problema di NSX Manager

Problema: Impossibile allocare indirizzi IP statici dal pool di IP.
Descrizione: Gli indirizzi IP del pool sono esauriti o non sono più presenti indirizzi IP da allocare.
Risoluzione: Correggere il problema relativo al pool di IP, poi fare clic su Risolvi per correggere il problema.

Verifica dello stato di integrità delle istanze di servizio

NSX Manager riceve i dettagli sullo stato di integrità di ogni istanza di servizio. Data e ora più recenti in cui è stato ricevuto lo stato di integrità vengono visualizzate nell'interfaccia utente di NSX Manager. Potrebbe essere necessario aggiornare più volte la pagina Istanze di servizio per recuperare lo stato di integrità più recente.

L'integrità di un'istanza di servizio su un host ESXi dipende dai seguenti fattori:

Stato soluzione: Lo stato della soluzione di prevenzione malware distribuito di NSX in esecuzione su una macchina virtuale del servizio. Lo stato Attivo indica che la soluzione è in esecuzione correttamente.
Connettività tra NSX Guest Introspection Agent e Context Engine: Lo stato è Attivo quando NSX Guest Introspection Agent (Context Multiplexer) è connesso all'agente NSX Ops, che comprende Context Engine. Il Context Multiplexer inoltra le informazioni di integrità delle SVM al Context Engine. Anche il file MUX e l'agente NSX Ops condividono la configurazione tra macchine virtuali e macchine virtuali del servizio per sapere quali macchine virtuali del carico di lavoro sono protette dalla macchina virtuale del servizio.
Versione protocollo macchina virtuale del servizio: Versione protocollo di trasporto utilizzata internamente per risolvere i problemi.
Informazioni su NSX Guest Introspection Agent: Rappresenta la compatibilità della versione protocollo tra l'agente di NSX Guest Introspection e la macchina virtuale del servizio.

Per visualizzare lo stato di integrità delle istanze di servizio, eseguire i passaggi seguenti in NSX Manager:

Passare a Sistema > Distribuzioni servizi > Istanze di servizio.
Nella colonna Stato di integrità, fare clic sull'icona accanto a Attivo o Inattivo.

Visualizzare gli allarmi in NSX Manager

Nella pagina Allarmi dell'interfaccia utente di NSX Manager vengono visualizzati gli allarmi per le seguenti situazioni:

La connettività tra NSX Context Multiplexer e la macchina virtuale del servizio di Prevenzione malware NSX è inattiva.
NSX Context Multiplexer è inattivo o si riavvia.

È inoltre possibile visualizzare gli allarmi nella pagina Istanze di servizio disponibile all'indirizzo Sistema > Distribuzioni servizi > Istanze di servizio.

Visualizzazione dei problemi relativi ai componenti nel dashboard Panoramica della sicurezza

Il widget Prevenzione malware nel dashboard Panoramica della sicurezza mostra problemi quando uno qualsiasi dei componenti del servizio di Prevenzione malware distribuita NSX è inattivo o non funziona. Per visualizzare questo widget dell'interfaccia utente nell'interfaccia utente di NSX Manager, passare a Sicurezza > Panoramica della sicurezza > Configurazione.

Ad esempio:

Il grafico a barre mostra un problema quando Security Hub nella macchina virtuale del servizio (SVM) di Prevenzione malware NSX è inattivo. Puntare sulla barra per visualizzare i seguenti dettagli:
- Numero di SVM di Prevenzione malware NSX interessate.
- Numero di macchine virtuali del carico di lavoro nell'host che hanno perso la protezione di sicurezza da malware a causa dell'inattività di Security Hub.
Il grafico ad anello mostra i seguenti dettagli:
- Numero di macchine virtuali del carico di lavoro in cui è in esecuzione il driver di NSX File Introspection.
- Numero di macchine virtuali del carico di lavoro in cui il driver di NSX File Introspection non è in esecuzione.
Per entrambe queste metriche, vengono considerate solo le macchine virtuali del carico di lavoro nei cluster di host attivati per Prevenzione malware distribuita NSX.

Assegnare un nome corretto alle coppie di chiavi per una semplice identificazione

L'accesso SSH all'utente amministratore della SVM è basato su chiave (coppia di chiavi pubblica-privata). Una chiave pubblica è necessaria quando si distribuisce il servizio in un cluster di host ESXi, mentre una chiave privata è necessaria quando si desidera avviare una sessione SSH nella SVM.

La distribuzione del servizio Prevenzione malware distribuita NSX viene eseguita a livello di un cluster di host. Quindi, una coppia di chiavi è collegata a un cluster di host. È possibile creare una nuova coppia di chiavi pubblica-privata per una distribuzione del servizio in ciascun cluster oppure utilizzare una singola coppia di chiavi per le distribuzioni del servizio in tutti i cluster.

Se si intende utilizzare una coppia di chiavi pubblica-privata diversa per la distribuzione del servizio in ciascun cluster, assicurarsi che le coppie di chiavi siano denominate correttamente per l'identificazione semplice.

È buona prassi identificare ogni distribuzione del servizio con un "ID del cluster di elaborazione" e specificare l'ID del cluster nel nome della coppia di chiavi. Si supponga, ad esempio, che l'ID del cluster sia "1234-abcd". Per questo cluster, è possibile specificare il nome della distribuzione del servizio come "MPS-1234-abcd" e denominare la coppia di chiavi per accedere alla distribuzione del servizio come "id_rsa_1234_abcd.pem". Questa prassi semplifica la gestione e l'associazione delle chiavi per ogni distribuzione del servizio.

Importante: Archiviare la chiave privata in modo sicuro. La perdita della chiave privata può causare la perdita dell'accesso SSH alla SVM di Prevenzione malware NSX.

Se si perde la chiave privata, la SVM continua a funzionare senza problemi, ma non è possibile accedere alla SVM e scaricare il file di registro per la risoluzione dei problemi.

Raccolta del bundle di supporto e del registro della macchina virtuale di servizio di Prevenzione malware NSX

Per una risoluzione dettagliata dei problemi dei seguenti componenti che contribuiscono al servizio di prevenzione malware distribuito di NSX, è possibile raccogliere bundle di supporto per l'analisi o inviarli al supporto di VMware:

Appliance NSX Manager
Host ESXi
VMware Tools sulle macchine virtuali del carico di lavoro
Macchina virtuale del servizio di Prevenzione malware NSX

Per raccogliere un bundle di supporto che contenga file di registro per l'host di ESXi e le appliance NSX Manager, utilizzare la funzionalità del bundle di supporto in NSX-T Data Center. Per istruzioni sulla raccolta di un bundle di supporto in NSX-T, vedere Raccolta di bundle di supporto.

Per raccogliere un bundle di supporto che contiene file di registro per i componenti e i servizi in esecuzione su vCenter Server, vedere la documentazione sulla Configurazione di vCenter Server. Ad esempio, è possibile raccogliere i file di registro per VMware Tools con il bundle di supporto di vCenter Server.

Per raccogliere file di registro per la macchina virtuale di servizio di Prevenzione malware NSX, avviare una sessione SSH remota nella macchina virtuale di servizio con la chiave privata della macchina stessa. Per ulteriori informazioni, vedere Accesso alla macchina virtuale del servizio Prevenzione malware NSX.

I file di registro sono disponibili in nella macchina virtuale del servizio all'indirizzo /var/log. Se sono disponibili più file syslog in questa posizione, vengono compressi e archiviati nello stesso percorso.