このトピックでは、よくある質問とトラブルシューティングについて説明します。
Windows 仮想マシンに NSX Tools を再インストールする方法
Windows 仮想マシンに NSX Tools を再インストールするには:
- Windows 仮想マシンの既存の NSX Tools をアンインストールします。詳細については、NSX Tools のアンインストールを参照してください。
- Windows 仮想マシンを再起動します。
重要: NSX Tools をアンインストールした後に Windows 仮想マシンを再起動しないと、望ましくない動作が発生する可能性があります。
- インストール コマンドを使用して、NSX Tools を再インストールします。詳細については、Windows 仮想マシンへの NSX Toolsを参照してください。
NSX Tools をインストールした後に nsxcli コマンドにアクセスするには、どうすればよいですか。
Linux 仮想マシンに NSX Tools をインストールした後、次の手順を行います。
- NSX Tools をインストールした Linux 仮想マシンにログインします。
- sudo service nsx-agent-chroot nsx-exec bash コマンドを実行します。bash シェルが表示されます。
- nsxcli コマンドを実行します。nsxcli プロンプトが表示されます。
get firewall rules など、必要な nsxcli コマンドを実行できるようになりました。
Windows 仮想マシンに NSX Tools をインストールした後、次の手順を行います。
- NSX Tools をインストールした Windows 仮想マシンにログインします。
- PowerShell を開きます。
- PowerShell プロンプトで、nsxcli コマンドを実行します。nsxcli プロンプトが表示されます。
get firewall rules など、必要な nsxcli コマンドを実行できるようになりました。
NSX Cloud のコンポーネントがインストールされ実行されていることを確認するにはどうすればよいですか。
- ワークロード仮想マシン上の NSX Tools が PCG に接続されていることを確認するには、次の操作を行います。
-
nsxcli コマンドを入力して NSX CLI を開きます。
-
たとえば、次のコマンドを入力して、ゲートウェイの接続状態を取得します。
get gateway connection status Public Cloud Gateway : nsx-gw.vmware.com:5555 Connection Status : ESTABLISHED
-
- ワークロード仮想マシンには、PCG に接続するために正しいタグが設定されている必要があります。
-
AWS コンソールまたは Microsoft Azure ポータルにログインします。
- 仮想マシンの eth0 またはインターフェイス タグを確認します。
nsx.network キーには値 default が設定されている必要があります。
-
cloud-init を使用して起動された仮想マシンが検疫され、サードパーティ ツールをインストールできません。どうしたらいいでしょう。
- nsx.network=default でタグ付け
- 仮想マシンがパワーオンされたときに自動インストールまたはブート ストラップされたカスタム サービス
[解決策:]
カスタムまたはサードパーティ アプリケーションのインストールに必要な受信ポートと送信ポートを追加するように、default (AWS) または default-vnet-<vnet-ID>-sg (Microsoft Azure) のセキュリティ グループを更新します。
仮想マシンに正しくタグを付け、NSX Tools をインストールしましたが、仮想マシンが隔離されています。どうしたらいいでしょう。
この問題が発生する場合は、以下を試します。
- NSX Cloud タグ:nsx.network とその値:default が正しく入力されているかどうかを確認します。大文字と小文字は区別されます。
- 次のようにして、AWS または Microsoft Azure アカウントを CSM から再同期します。
- CSM にログインします。
- の順に移動します。
- パブリック クラウド アカウント タイルから [アクション] をクリックし、[アカウントの再同期] をクリックします。
ワークロード仮想マシンにアクセスできない場合はどうすればいいですか。
-
トラフィックを許可するには、NSX Cloud によって管理されているポートを含む、仮想マシン上のすべてのポート、OS ファイアウォール(Microsoft Windows または IPTables)、および NSX-T Data Center が適切に構成されていることを確認します。
たとえば、仮想マシンに ping を許可するには、以下の構成が適切に行われている必要があります。
- AWS または Microsoft Azure のセキュリティ グループ。詳細についてはNSX Cloud 検疫ポリシーを使用した脅威の検出を参照してください。
- NSX-T Data Center 分散ファイアウォール (DFW) ルール。詳細については、NSX で管理されたワークロード仮想マシンの NSX 強制モード でのデフォルトの接続方法を参照してください。
- Linux 上の Windows ファイアウォールまたは IPTables。
- SSH または他の方法(たとえば、Microsoft Azure のシリアル コンソール)を使用して仮想マシンにログインすることによって、問題を解決します。
- ロックアウトされた仮想マシンを再起動することができます。
- それでも仮想マシンにアクセスできない場合は、ワークロード仮想マシンにセカンダリ NIC を接続し、その NIC を介してワークロード仮想マシンにアクセスします。
Native Cloud 強制モード でも PCG が必要ですか。
はい
CSM でパブリック クラウド アカウントをオンボーディングした後、PCG の IAM ロールを変更できますか。
はい。パブリック クラウドに適用可能な NSX Cloud スクリプトを再実行して、PCG ロールを再生成できます。PCG ロールを再生成した後に、新しいロール名で CSM のパブリック クラウド アカウントを編集します。パブリック クラウド アカウントに展開された新しい PCG インスタンスは、新しいロールを使用します。
既存の PCG インスタンスは、引き続き古い PCG ロールを使用することに注意してください。既存の PCG インスタンスの IAM ロールを更新する場合は、パブリック クラウドに移動し、その PCG インスタンスのロールを手動で変更します。
NSX Cloud の NSX-T Data Center オンプレミス ライセンスを使用できますか。
はい、ELA で許可されていれば可能です。
CSM の URL を使用して PCG を展開していますが、ゲートウェイ名が解決不能なため、エラーが発生します。
- Microsoft Azure の Microsoft Windows ワークロード仮想マシンで次のコマンドを実行し、CSM の URL を使用してインストール スクリプトを再度ダウンロードします。
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "168.63.129.16" -DnsSecEnable
- AWS の Microsoft Windows ワークロード仮想マシンで次のコマンドを実行し、CSM の URL を使用してインストール スクリプトを再度ダウンロードします。
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "169.254.169.253" -DnsSecEnable
- Microsoft Azure の Linux ワークロード仮想マシンで次のコマンドを実行して PCG の IP アドレスを取得し、これらの IP アドレスと CSM の URL を使用して、インストール スクリプトをダウンロードします。
nslookup nsx-gw.vmware.local 168.63.129.16 | awk '/^Address: / { print $2 }'
- AWS の Linux ワークロード仮想マシンで次のコマンドを実行して PCG の IP アドレスを取得し、これらの IP アドレスと CSM の URL を使用して、インストール スクリプトをダウンロードします。:
nslookup nsx-gw.vmware.local 169.254.169.253 | awk '/^Address: / { print $2 }'
CA 証明書を使用して CSM を管理プレーンに接続する方法
NSX Cloud のセットアップでは、CSM は自己署名証明書を使用して管理プレーンに接続します。自己署名証明書の代わりに、必要に応じて CA 署名付き証明書を使用できます。
CA 署名付き証明書を使用するには、次の手順に従います。
- CSM アプライアンスに root ユーザーとしてログインします。
- ルート CA 証明書 PEM ファイルを CSM にコピーします。
- 次のように、ファイルから Java KeyStore (JKS) パスワードを取得します。
PASSWORD=`cat /config/http/.http_cert_pw`
- 次のコマンドを使用して、ルート CA 証明書を CSM JKS ストアに追加します。
keytool -importcert -file /root/myCA.pem -noprompt -alias nsx_mgmr_custom -storetype JKS -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD
注: この例では、/root/myCA.pem
を使用します。ルート CA 証明書 PEM ファイルのパスを使用する必要があります。 - 次のコマンドを使用して、エイリアスが追加されているかどうかを確認します。
keytool -list -v -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD | grep nsx_mgmr_custom
コマンドを実行すると、新しく追加された CA 証明書の一覧が表示されます。これは、CSM と NSX Manager の間で使用されます。
これで、ルート CA 証明書が有効と見なされ、CSM と NSX Manager がピアリングできるようになります。