いずれかの NSX Controller ノードで障害が発生しても、正常に動作しているコントローラがまだ 2 つあります。クラスタの過半数が維持されているため、制御プレーンは機能し続けます。
問題
NSX Controller クラスタで障害が発生しました。
解決方法
- vSphere Web Client にログインします。
- の順に移動します。
- 各ノードの [ピア] 列を確認します。[ピア] 列に緑色のボックスが表示された場合、クラスタ内のピア コントローラ接続にエラーがないことを示します。赤色のボックスは、ピアにエラーがあることを示します。ボックスをクリックして詳細を表示してください。
- [ピア] 列に、コントローラ クラスタの問題が表示されたら、各 NSX Controllerの CLI にログインして、詳細な診断を実行します。show control-cluster status コマンドを実行して、各コントローラの状態を診断してください。クラスタ内のすべてのコントローラは同じクラスタ UUID であることが必要ですが、マスター コントローラの UUID と同じでなくてもかまいません。デプロイの問題については、NSX Controller のデプロイに関する問題 を参照してください。
- コントローラ ノードまたはコントローラ クラスタを再展開する前に、次の手順で問題の解決を試みてください。
- コントローラがパワーオン状態かどうかを確認します。
- 影響を受けるコントローラに対して、または影響を受けるコントローラから他のノードやマネージャに対して ping コマンドを実行し、ネットワーク パスを確認します。ネットワークの問題が見つかったら、NSX Controller のデプロイに関する問題の説明に従ってそれらの問題に対処します。
- 次の CLI コマンドを使用して、IPsec (Internet Protocol Security) のステータスを確認します。
- show control-cluster network ipsec status コマンドを使用して、IPsec が有効かどうかを確認します。
- show control-cluster network ipsec tunnels コマンドを使用して、IPsec トンネルのステータスを確認します。
IPsec のステータス情報は、VMware のテクニカル サポートのチケットをオープンする際にも使用できます。
- コントローラ クラスタの IPsec VPN 共有キーを管理します。
コントローラ ノードが相互に通信を行い、クラスタリングとストレージ処理を行います。この通信は IPsec VPN で保護されています。コントローラ クラスタで IPsec VPN が有効になっている場合、IPsec の共有キーが生成されます。キーが同期していないか、セキュリティ侵害の疑いがある場合は、事前共有キーを変更する必要があります。
- IPsec VPN キーを変更するには、IPsec VPN を無効にして、すぐに有効にします。新しいキーが生成され、すべてのコントローラにプッシュされます。
IPsec VPN を有効または無効にする方法については、『NSX 管理ガイド』を参照してください。
- ネットワークの問題でない場合は、再起動または再展開を選択できます。
ノードを再起動する場合、一度に再起動するのは 1 つのコントローラのみにしてください。ただし、コントローラ クラスタで複数のコントローラ ノードが障害を起こしている場合は、すべてを同時に再起動します。良好なクラスタからノードを再起動する場合は、クラスタが正しく復元したことを再起動後に必ず確認し、再シャーディングが正しく行われたことを確認します。
- コントローラを再展開する場合は、次のいずれかの方法で行います。
- 方法 1:破損したコントローラ ノードを削除し、新しいコントローラ ノードを再展開する。
- 方法 2:コントローラ クラスタを削除して、新しいコントローラ クラスタを再展開する。
2 番目の方法をおすすめします。