Per risolvere problemi di NSX Advanced Load Balancer , è possibile raccogliere i bundle di supporto. I bundle di supporto potrebbero essere richiesti dal supporto di VMware.

Quando si genera il bundle di supporto, si ottiene un singolo file per i registri di debug che è possibile scaricare.

Procedura

  1. Nel dashboard NSX Advanced Load Balancer Controller, fare clic sul menu nell'angolo superiore sinistro e selezionare Amministrazione.
  2. Nella sezione Amministrazione, selezionare Sistema.
  3. Nella schermata Sistema, selezionare Assistenza tecnica.
  4. Per generare un bundle di diagnostica, fare clic su Genera assistenza tecnica.
  5. Nella finestra Genera supporto tecnico, selezionare Registri di debug, quindi fare clic su Genera.
  6. Dopo la generazione del bundle, fare clic sull'icona di download per scaricarlo nella macchina.
    Per ulteriori informazioni sulla raccolta dei registri, vedere https://avinetworks.com/docs/21.1/collecting-tech-support-logs/.

La configurazione di NSX Advanced Load Balancer non viene applicata

Quando si distribuisce Supervisore, la distribuzione non viene completata e la configurazione di NSX Advanced Load Balancer non viene applicata.

Problema

La configurazione di NSX Advanced Load Balancer non viene applicata se si fornisce un certificato privato firmato dall'autorità di certificazione (CA).

È possibile che venga visualizzato un messaggio di errore contenente l'indicazione Unable to find certificate chain nei file di registro di uno dei pod NCP in esecuzione in Supervisore.

  1. Accedere alla macchina virtuale Supervisore.
  2. Recuperare l'elenco di tutti i pod con il comando kubectl get pods -A
  3. Recuperare i registri di tutti i pod NCP in Supervisore.

    kubectl -n vmware-system-nsx logs nsx-ncp-<id> | grep -i alb

Causa

Java SDK viene utilizzato per stabilire la comunicazione tra NCP e NSX Advanced Load Balancer Controller. Questo errore si verifica quando l'archivio di attendibilità di NSX non è sincronizzato con l'archivio di attendibilità del certificato Java.

Soluzione

  1. Esportare il certificato CA root da NSX Advanced Load Balancer e salvarlo in NSX Manager.
  2. Accedere a NSX Manager come utente root.
  3. Eseguire i comandi seguenti in sequenza in tutti i nodi NSX Manager: 
    keytool -importcert -alias startssl -keystore /usr/lib/jvm/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    Se il percorso non viene trovato, eseguire keytool -importcert -alias startssl -keystore /usr/java/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    sudo cp <ca-file-path> /usr/local/share/ca-certificates/
sudo update-ca-certificates
service proton restart
    Nota: È possibile eseguire gli stessi passaggi per assegnare un certificato CA intermedio.
  4. Attendere il completamento della distribuzione di Supervisore oppure, se la distribuzione non viene eseguita, ridistribuirlo.

L'host ESXi non è in grado di attivare la modalità di manutenzione

Quando si desidera eseguire un aggiornamento, si attiva la modalità di manutenzione per un host ESXi.

Problema

L'host ESXi non è in grado di attivare la modalità di manutenzione e ciò può influire sull'aggiornamento di ESXi ed NSX.

Causa

Ciò può verificarsi se nell'host ESXi è presente un motore di servizio acceso.

Soluzione

  • Spegnere il motore di servizio in modo che sia possibile attivare la modalità di manutenzione dell'host ESXi.

Risoluzione dei problemi relativi all'indirizzo IP

Seguire questi suggerimenti per la risoluzione dei problemi se si verificano problemi di assegnazione di IP esterni.

I problemi relativi all'indirizzo IP possono essere dovuti ai seguenti motivi:
  • Le risorse Kubernetes, come i gateway e l'ingresso, non ottengono un IP esterno da AKO.
  • Gli IP esterni assegnati alle risorse Kubernetes non sono raggiungibili.
  • IP esterni assegnati erroneamente.

Le risorse Kubernetes non ottengono un IP esterno da AKO

Questo errore si verifica quando AKO non può creare il servizio virtuale corrispondente nel NSX Advanced Load Balancer Controller.

Verificare che il pod AKO sia in esecuzione. Se il pod è in esecuzione, controllare la presenza dell'errore nei registri del container AKO.

Gli IP esterni assegnati alle risorse Kubernetes non sono raggiungibili

Questo problema può verificarsi per i seguenti motivi:
  • L'IP esterno non è disponibile immediatamente, ma inizia ad accettare il traffico entro pochi minuti dalla creazione. Questo si verifica quando viene attivata la creazione di un nuovo motore di servizio per il posizionamento del servizio virtuale.
  • L'IP esterno non è disponibile perché nel servizio virtuale corrispondente viene visualizzato un errore.

Un servizio virtuale potrebbe indicare un errore o apparire in rosso se nel pool non sono presenti server. Questo può verificarsi se le gateway o le risorse di ingresso Kubernetes non puntano a un oggetto endpoint.

Per visualizzare gli endpoint, eseguire il comando kubectl get endpoints -n <servce_namespace> e risolvere eventuali problemi relativi alle etichette del selettore.

È possibile che il pool venga visualizzato in uno stato di errore quando il monitoraggio di integrità mostra lo stato dei server del pool in rosso.

Per risolvere il problema, eseguire uno dei passaggi seguenti:
  • Verificare che i server del pool o i pod Kubernetes siano in ascolto sulla porta configurata.
  • Verificare che nel firewall di NSX DFW non siano presenti regole di eliminazione che bloccano il traffico in ingresso o in uscita nei motori di servizio.
  • Assicurarsi che nell'ambiente Kubernetes non siano presenti criteri di rete che bloccano il traffico in ingresso o in uscita nei motori di servizio.
I problemi relativi al motore di servizio includono i seguenti:
  1. La creazione dei motori di servizio non riesce.
    La creazione dei motori di servizio può non riuscire a causa dei seguenti motivi:
    • Nel NSX Advanced Load Balancer Controller viene utilizzata una licenza con risorse insufficienti.
    • Il numero di motori di servizio creati in un gruppo di motori di servizio ha raggiunto il limite massimo.
    • La NIC dei dati del motore di servizio non è riuscita ad acquisire l'indirizzo IP.
  2. La creazione del motore di servizio non riesce e viene visualizzato un messaggio di errore Insufficient licensable resources available.

    Questo errore si verifica se per creare il motore di servizio è stata utilizzata una licenza con risorse insufficienti.

    Ottenere un licenza con una quota maggiore di risorse e assegnarla al NSX Advanced Load Balancer Controller.

  3. La creazione del motore di servizio non riesce e viene visualizzato un messaggio di errore Reached configuration maximum limit.

    Questo errore si verifica se il numero dei motori di servizio creati in un gruppo di motori di servizio ha raggiunto il limite massimo.

    Per risolvere questo errore, eseguire i seguenti passaggi:
    1. Nel dashboard dell'NSX Advanced Load Balancer Controller, selezionare Infrastruttura > Risorse cloud > Gruppo motori di servizio.
    2. Individuare il gruppo di motori di servizio con lo stesso nome del Supervisore in cui si verifica l'errore del traffico IP e fare clic sull'icona Modifica.
    3. Configurare un valore più elevato per Numero dei motori di servizio.
  4. La NIC dei dati del motore di servizio non riescono ad acquisire l'indirizzo IP.
    Questo errore può verificarsi se il pool di IP DHCP è stato esaurito per uno dei seguenti motivi:
    • Sono stati creati troppi motori di servizio per una distribuzione su larga scala.
    • Se un motore di servizio viene eliminato direttamente dall'interfaccia utente dell'NSX Advanced Load Balancer o dal vSphere Client. Tale eliminazione non rilascia l'indirizzo DHCP dal pool DHCP e causa un errore di allocazione LEASE.

Gli IP esterni sono stati assegnati in modo errato

Questo errore si verifica quando due ingressi in spazi dei nomi diversi condividono lo stesso nome host. Controllare la configurazione e verificare che non sia stato assegnato lo stesso nome a due ingressi in spazi dei nomi diversi.

Risoluzione degli errori del traffico

Dopo aver configurato il NSX Advanced Load Balancer, si verificano errori del traffico.

Problema

Gli errori del traffico possono verificarsi quando l'endpoint per il servizio di tipo LB si trova in uno spazio dei nomi diverso.

Causa

Negli ambienti vSphere IaaS control plane configurati con NSX Advanced Load Balancer, gli spazi dei nomi hanno un gateway di livello 1 dedicato e ogni gateway di livello 1 ha un segmento del motore di servizio con lo stesso CIDR. Gli errori del traffico possono verificarsi se il servizio NSX Advanced Load Balancer si trova in uno spazio dei nomi e gli endpoint si trovano in uno spazio dei nomi diverso. L'errore si verifica perché l'NSX Advanced Load Balancer assegna un IP esterno al servizio e il traffico verso l'IP esterno non riesce.

Soluzione

  • Per consentire il traffico nord-sud, creare una regola del firewall distribuito per consentire l'ingresso dall'IP SNAT dello spazio dei nomi del servizio NSX Advanced Load Balancer.

Risoluzione dei problemi causati da backup e ripristino di NSX

Il backup e il ripristino di NSX possono causare un errore di traffico per tutti gli IP esterni forniti dall'NSX Advanced Load Balancer.

Problema

Quando si esegue un backup e un ripristino di NSX, è possibile che si verifichi un errore del traffico.

Causa

Questo errore si verifica perché le NIC del motore di servizio non tornano attive dopo un ripristino e, di conseguenza, il pool di IP risulta inattivo.

Soluzione

  1. Nel dashboard di NSX Advanced Load Balancer Controller, selezionare Infrastruttura > Cloud.
  2. Selezionare e salvare il cloud senza apportare modifiche e attendere che lo stato diventi verde.
  3. Disattivare tutti i servizi virtuali.
    Attendere che l' NSX Advanced Load Balancer Controller rimuova le NIC obsolete da tutti i motori di servizio.
  4. Abilitare tutti i servizi virtuali.
    Gli stati dei servizi virtuali vengono visualizzati in verde.
    Se l'errore del traffico persiste, riconfigurare le route statiche in NSX Manager.

Segmenti di livello 1 obsoleti dopo il backup e ripristino di NSX

Il backup e ripristino di NSX possono ripristinare i segmenti di livello 1 obsoleti.

Problema

Dopo una procedura di backup e ripristino di NSX, i segmenti di livello 1 obsoleti con schede NIC del motore di servizio non vengono puliti.

Causa

Quando uno spazio dei nomi viene eliminato dopo un backup di NSX, l'operazione di ripristino ripristina i segmenti di livello 1 obsoleti associati alle NIC del motore di servizio del NSX Advanced Load Balancer Controller.

Soluzione

  1. Accedere al NSX Manager.
  2. Selezionare Rete > Segmenti.
  3. Individuare i segmenti obsoleti associati allo spazio dei nomi eliminato.
  4. Eliminare le NIC obsolete del motore di servizio dalla sezione Porte/Interfacce.