Utilizzare le informazioni riportate nel presente argomento per eseguire il debug dei problemi associati alla distribuzione del servizio di prevenzione malware distribuito di NSX, allo stato di integrità delle istanze di servizio, alle agenzie ESXi e di altri problemi.
Verifica dello stato di integrità di ESX Agent Manager
- in vSphere Client, passare a . Fare clic su vSphere ESX Agent Manager.
- Fare clic sulla scheda Configura.
Questa pagina mostra lo stato di integrità delle ESX Agency negli host in cui sono state rilevate le soluzioni e i problemi (se presenti) di Prevenzione malware NSX per le Agency.
il servizio EAM (Agency Manager) di ESXideve essere attivo e in esecuzione. Verificare se il seguente URL è accessibile.
https://vCenter_Server_IP_Address/eam/mob
Sostituire vCenter_Server_IP_Address con l'indirizzo IP di VMware vCenter nella propria rete.
Verificare la connettività di gruppi di porte, interfacce e Context Multiplexer
- Selezionare il nome della macchina virtuale del servizio, quindi fare clic sulla scheda Reti. Verificare che nell'elenco sia presente il Gruppo della porta vmservice-vhs commutato-pg.
- Fare clic con il pulsante destro del mouse sul nome macchina virtuale del servizio e fare clic su Modifica impostazioni. Nella pagina Hardware virtuale, verificare che la scheda di rete 1 e la scheda di rete 2 siano connesse. La scheda di rete 1 connette la macchina virtuale alla rete di gestione e la scheda di rete 2 connette la macchina virtuale al Gruppo della porta vmservice-vshield-pg, che NSX ha creato automaticamente durante la distribuzione del servizio. La scheda di rete 2 è l'interfaccia di controllo della macchina virtuale del servizio utilizzata per la comunicazione tra Context Multiplexer (MUX) e la macchina stessa. Per la macchina virtuale del servizio Prevenzione malware NSX, l'IP dell'interfaccia di controllo è 169.254.1.22.
Il servizio Context Multiplexer deve essere in esecuzione in ogni host ESXi. Per verificare se il servizio nsx-context-mux
è in esecuzione nell'host, accedere alla CLI di ogni host ESXi come utente root ed eseguire il comando della CLI seguente:
# /etc/init.d/nsx-context-mux status
Se il servizio non è in esecuzione, avviare o riavviare il servizio con il seguente comando della CLI:
/etc/init.d/nsx-context-mux start
oppure
/etc/init.d/nsx-context-mux restart
Risoluzione dei problemi di ESX Agent Manager
L'ESX Agent Manager invia una notifica a NSX Manager riguardo ai dettagli degli errori quando rileva problemi nelle ESX Agency. Per risolvere i problemi, è possibile fare clic su Risolvi nell'interfaccia utente di NSX Manager. Nella tabella seguente sono descritti i problemi ESX Agent Manager.
Problema | Categoria | Descrizione | Risoluzione |
---|---|---|---|
Impossibile accedere all'OVF dell'agente |
Macchina virtuale non distribuita |
È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma la macchina virtuale dell'agente non può essere distribuita perché ESXi Agent Manager non è in grado di accedere al pacchetto OVF per l'agente. Ciò può verificarsi perché il server Web che fornisce il pacchetto OVF è inattivo. Il server Web è spesso interno alla soluzione che ha creato l'agenzia. |
Il servizio EAM (Agency Manager) di ESXi riprova a eseguire l'operazione di download dell'OVF. Fare clic su Risolvi. |
Versione host non compatibile |
Macchina virtuale non distribuita |
È previsto che una macchina virtuale dell'agente venga distribuita in un host. Tuttavia, a causa di problemi di compatibilità, l'agente non è stato distribuito nell'host. |
Aggiornare l'host o la soluzione per rendere l'agente compatibile con l'host. Verificare la compatibilità della macchina virtuale del servizio. Fare clic su Risolvi. |
Risorse insufficienti |
Macchina virtuale non distribuita |
È previsto che una macchina virtuale dell'agente venga distribuita in un host. Tuttavia, il servizio ESXi Agency Manager (EAM) non ha distribuito la macchina virtuale dell'agente perché l'host dispone di meno CPU o risorse di memoria. |
Il servizio Agency Manager (EAM) di ESXi tenta di ridistribuire la macchina virtuale. Assicurarsi che siano disponibili risorse di CPU e memoria. Controllare l'host e liberare alcune risorse. Fare clic su Risolvi. |
Spazio insufficiente |
Macchina virtuale non distribuita |
È previsto che una macchina virtuale dell'agente venga distribuita in un host. Tuttavia, la macchina virtuale dell'agente non è stata distribuita perché il datastore dell'agente nell'host non disponeva di spazio libero sufficiente. |
Il servizio Agency Manager (EAM) di ESXi tenta di ridistribuire la macchina virtuale. Liberare un po' di spazio nel datastore. Fare clic su Risolvi. |
Nessuna rete di macchina virtuale dell'agente |
Macchina virtuale non distribuita |
È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma non può essere distribuita perché la rete dell'agente non è stata configurata nell'host. |
Aggiungere una delle reti elencate in una rete personalizzata di macchine virtuali dell'agente all'host. Il problema si risolve automaticamente una volta che il datastore è disponibile. |
Formato OVF non valido |
Macchina virtuale non distribuita |
È previsto il provisioning di una macchina virtuale dell'agente in un host, ma questa operazione non è riuscita a causa di un errore del provisioning del pacchetto OVF. È improbabile che il provisioning riesca finché la soluzione che fornisce il pacchetto OVF non verrà aggiornata o fornita di una patch per offrire un pacchetto OVF valido per la macchina virtuale dell'agente. |
Il servizio Agency Manager (EAM) di ESXi tenta di ridistribuire la macchina virtuale del servizio. Assicurarsi che per la distribuzione del servizio venga utilizzato un pacchetto OVF valido. Fare clic su Risolvi. |
Pool IP mancante per l'agente |
Macchina virtuale spenta |
È previsto che una macchina virtuale dell'agente sia accesa, ma la macchina virtuale dell'agente è spenta perché sulla sua rete non sono definiti indirizzi IP. |
Definire l'indirizzo IP nella rete della macchina virtuale. Fare clic su Risolvi. |
Nessun datastore della macchina virtuale dell'agente |
Macchina virtuale spenta |
È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma l'agente non può essere distribuito perché il datastore dell'agente non è stato configurato nell'host. |
Aggiungere uno dei datastore elencati in un datastore personalizzato di macchine virtuali dell'agente all'host. Il problema si risolve automaticamente una volta che il datastore è disponibile. |
Nessuna rete di macchina virtuale dell'agente personalizzata |
Nessuna rete di macchina virtuale dell'agente |
È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma non può essere distribuita perché la rete dell'agente non è stata configurata nell'host. |
Aggiungere l'host a una delle reti elencate in una rete personalizzata di macchine virtuali dell'agente. Il problema si risolve automaticamente quando una rete personalizzata di macchine virtuali diventa disponibile. |
Nessun datastore personalizzato di macchine virtuali dell'agente |
Nessun datastore della macchina virtuale dell'agente |
È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma l'agente non può essere distribuito perché il datastore dell'agente non è stato configurato nell'host. |
Aggiungere l'host a uno dei datastore elencati in un datastore personalizzato di macchine virtuali dell'agente. Il problema si risolve automaticamente. |
Commutatore DvFilter orfano |
Problema dell'host |
Un commutatore dvFilter esiste in un host, ma nessun agente nell'host dipende da dvFilter. Ciò accade se un host viene disconnesso quando la configurazione di un'agenzia viene modificata. |
Fare clic su Risolvi. Il servizio EAM (Agency Manager) di ESXi tenta di connettere l'host prima dell'aggiornamento della configurazione dell'agenzia. |
Macchina virtuale dell'agente sconosciuta |
Problema dell'host |
È stata trovata una macchina virtuale dell'agente nell'inventario di vCenter Server che non appartiene ad alcuna agenzia in questa istanza del server di vSphere ESX Agent Manager. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di collocare la macchina virtuale nell'inventario a cui appartiene. |
Proprietà OVF non valida |
Problema della macchina virtuale |
Una macchina virtuale dell'agente deve essere attivata, ma una proprietà OVF è mancante o presenta un valore non valido. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di riconfigurare la proprietà OVF corretta. |
Macchina virtuale danneggiata |
Problema della macchina virtuale |
Una macchina virtuale dell'agente è danneggiata. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di riparare la macchina virtuale. |
Macchina virtuale orfana |
Problema della macchina virtuale |
Una macchina virtuale dell'agente esiste in un host, ma l'host non fa più parte dell'ambito dell'agenzia. Ciò accade se un host è disconnesso quando la configurazione dell'agenzia viene modificata. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di connettere nuovamente l'host alla configurazione dell'agenzia. |
Macchina virtuale distribuita |
Problema della macchina virtuale |
È previsto che una macchina virtuale dell'agente venga rimossa da un host, ma la macchina virtuale dell'agente non è stata rimossa. Il motivo specifico per cui vSphere ESX Agent Manager non è stato in grado di rimuovere la macchina virtuale dell'agente, ad esempio l'host è in modalità di manutenzione, spenta o in modalità di standby. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di rimuovere la macchina virtuale dell'agente dall'host. |
Macchina virtuale spenta |
Problema della macchina virtuale |
È previsto che una macchina virtuale dell'agente sia accesa, ma la macchina virtuale dell'agente è spenta. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di accendere la macchina virtuale. |
Macchina virtuale accesa |
Problema della macchina virtuale |
È previsto che una macchina virtuale dell'agente sia spenta, ma la macchina virtuale dell'agente è accesa. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di spegnere la macchina virtuale. |
Macchina virtuale sospesa |
Problema della macchina virtuale |
È previsto che una macchina virtuale dell'agente sia accesa, ma la macchina virtuale dell'agente è sospesa. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di accendere la macchina virtuale. |
Cartella della macchina virtuale errata |
Problema della macchina virtuale |
È previsto che una macchina virtuale dell'agente si trovi in una relativa cartella designata, ma si trova in una cartella diversa. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di inserire la macchina virtuale dell'agente nella cartella designata. |
Pool di risorse errato per la macchina virtuale |
Problema della macchina virtuale |
È previsto che la macchina virtuale di un agente si trovi nel pool di risorse designato, ma si trova in un pool di risorse diverso. |
Fare clic su Risolvi. Il servizio Agency Manager (EAM) di ESXi tenta di inserire la macchina virtuale dell'agente in un pool di risorse designato. |
Macchina virtuale non distribuita |
Problema dell'agente |
È previsto che una macchina virtuale dell'agente venga distribuita in un host, ma la macchina virtuale dell'agente non è stata distribuita. Motivi specifici per cui ESXi Agent Manager non è riuscito a distribuire l'agente, ad esempio l'impossibilità di accedere al pacchetto OVF dell'agente o una configurazione host mancante. Questo problema può verificarsi anche se la macchina virtuale dell'agente viene eliminata esplicitamente dall'host. |
Fare clic su Risolvi per distribuire la macchina virtuale dell'agente. |
Risolvi problema di NSX Manager
Verifica dello stato di integrità delle istanze di servizio
NSX Manager riceve i dettagli sullo stato di integrità di ogni istanza di servizio. Data e ora più recenti in cui è stato ricevuto lo stato di integrità vengono visualizzate nell'interfaccia utente di NSX Manager. Potrebbe essere necessario aggiornare più volte la pagina Istanze di servizio per recuperare lo stato di integrità più recente.
- Stato soluzione
- Lo stato della soluzione di prevenzione malware distribuito di NSX in esecuzione su una macchina virtuale del servizio. Lo stato Attivo indica che la soluzione è in esecuzione correttamente.
- Connettività tra NSX Guest Introspection Agent e Context Engine
- Lo stato è Attivo quando NSX Guest Introspection Agent (Context Multiplexer) è connesso all'agente NSX Ops, che comprende Context Engine. Il Context Multiplexer inoltra le informazioni di integrità delle SVM al Context Engine. Anche il file MUX e l'agente NSX Ops condividono la configurazione tra macchine virtuali e macchine virtuali del servizio per sapere quali macchine virtuali del carico di lavoro sono protette dalla macchina virtuale del servizio.
- Versione protocollo macchina virtuale del servizio
- Versione del protocollo di trasporto utilizzata internamente per risolvere i problemi.
- Informazioni su NSX Guest Introspection Agent
- Rappresenta la compatibilità della versione protocollo tra l'agente di NSX Guest Introspection e la macchina virtuale del servizio.
- Passare a .
- Nella colonna Stato di integrità, fare clic sull'icona accanto a Attivo o Inattivo.
Visualizzare gli allarmi in NSX Manager
- La connettività tra NSX Context Multiplexer e la macchina virtuale del servizio di Prevenzione malware NSX è inattiva.
- NSX Context Multiplexer è inattivo o si riavvia.
È inoltre possibile visualizzare gli allarmi nella pagina Istanze di servizio disponibile all'indirizzo .
Per visualizzare gli avvisi relativi all'integrità della funzionalità Prevenzione malware NSX, eseguire i passaggi seguenti:
- In NSX Manager passare alla pagina Definizioni avvisi facendo clic su .
- Fare clic nell'area di testo Filtra per nome, percorso e altro, quindi fare clic su Funzionalità.
- Selezionare la casella di controllo Integrità prevenzione malware.
Per la documentazione relativa agli eventi di integrità di Prevenzione malware NSX vedere il Catalogo degli eventi di NSX.
Visualizzazione dei problemi relativi ai componenti nel dashboard Panoramica della sicurezza
Il widget Prevenzione malware nel dashboard Panoramica della sicurezza mostra problemi quando uno qualsiasi dei componenti del servizio di Prevenzione malware distribuita NSX è inattivo o non funziona. Per visualizzare questo widget dell'interfaccia utente nell'interfaccia utente di NSX Manager, passare a .
- Il grafico a barre mostra un problema quando Security Hub nella macchina virtuale del servizio (SVM) di Prevenzione malware NSX è inattivo. Puntare sulla barra per visualizzare i seguenti dettagli:
- Numero di SVM di Prevenzione malware NSX interessate.
- Numero di macchine virtuali del carico di lavoro nell'host che hanno perso la protezione di sicurezza da malware a causa dell'inattività di Security Hub.
- Il grafico ad anello mostra i seguenti dettagli:
- Numero di macchine virtuali del carico di lavoro in cui è in esecuzione il driver di NSX File Introspection.
- Numero di macchine virtuali del carico di lavoro in cui il driver di NSX File Introspection non è in esecuzione.
Per entrambe queste metriche, vengono considerate solo le macchine virtuali del carico di lavoro nei cluster di host attivati per Prevenzione malware distribuita NSX.
Assegnare un nome corretto alle coppie di chiavi per una semplice identificazione
L'accesso SSH all'utente amministratore della SVM è basato su chiave (coppia di chiavi pubblica-privata). Una chiave pubblica è necessaria quando si distribuisce il servizio in un cluster di host ESXi, mentre una chiave privata è necessaria quando si desidera avviare una sessione SSH nella SVM.
La distribuzione del servizio Prevenzione malware distribuita NSX viene eseguita a livello di un cluster di host. Quindi, una coppia di chiavi è collegata a un cluster di host. È possibile creare una nuova coppia di chiavi pubblica-privata per una distribuzione del servizio in ciascun cluster oppure utilizzare una singola coppia di chiavi per le distribuzioni del servizio in tutti i cluster.
Se si intende utilizzare una coppia di chiavi pubblica-privata diversa per la distribuzione del servizio in ciascun cluster, assicurarsi che le coppie di chiavi siano denominate correttamente per l'identificazione semplice.
È buona prassi identificare ogni distribuzione del servizio con un "ID del cluster di elaborazione" e specificare l'ID del cluster nel nome della coppia di chiavi. Si supponga, ad esempio, che l'ID del cluster sia "1234-abcd". Per questo cluster, è possibile specificare il nome della distribuzione del servizio come "MPS-1234-abcd" e denominare la coppia di chiavi per accedere alla distribuzione del servizio come "id_rsa_1234_abcd.pem". Questa prassi semplifica la gestione e l'associazione delle chiavi per ogni distribuzione del servizio.
Se si perde la chiave privata, la SVM continua a funzionare senza problemi, ma non è possibile accedere alla SVM e scaricare il file di registro per la risoluzione dei problemi.
Raccolta di bundle di supporto
- Appliance NSX Manager
- Host ESXi
- VMware Tools sulle macchine virtuali del carico di lavoro
- Macchina virtuale del servizio di Prevenzione malware NSX
Per raccogliere un bundle di supporto che contenga file di registro per l'host di ESXi e le appliance NSX Manager, utilizzare la funzionalità del bundle di supporto in NSX. Per istruzioni sulla raccolta di un bundle di supporto in NSX, vedere Raccolta di bundle di supporto.
Per raccogliere un bundle di supporto che contiene file di registro per i componenti e i servizi in esecuzione su VMware vCenter, vedere la documentazione sulla Configurazione di vCenter Server. Ad esempio, è possibile raccogliere i file di registro per VMware Tools con il bundle di supporto di VMware vCenter.
(In NSX 4.1.2 o versione successiva): per raccogliere bundle di supporto per gli SVM di Prevenzione malware NSX in esecuzione nei cluster di host vSphere attivati per il servizio Prevenzione malware distribuita NSX, è possibile eseguire comandi della CLI negli SVM. Per ulteriori informazioni, vedere Raccolta del bundle di supporto per una macchina virtuale del servizio Prevenzione malware NSX.
(In NSX 4.1.1 o versioni precedenti): i comandi della CLI di NSX non sono supportati in SVM di Prevenzione malware NSX. Tuttavia, è possibile accedere a ogni SVM di Prevenzione malware NSX utilizzando una connessione SSH e copiare il file syslog dalla directory /var/log in SVM. Ad esempio, è possibile utilizzare il comando sftp o scp per raccogliere il file syslog di SVM in un momento specifico. Se sono disponibili più file syslog in questa posizione, vengono compressi e archiviati nello stesso percorso.