NSX Advanced Load Balancer の問題のトラブルシューティングを行うには、サポート バンドルを収集します。サポート バンドルは VMware のサポートによって要求される場合があります。

サポート バンドルを生成すると、ダウンロードできるデバッグ ログ用の単一のファイルが取得されます。

手順

  1. NSX Advanced Load Balancer Controller ダッシュボードで、左上隅のメニューをクリックし、[管理] を選択します。
  2. [管理] セクションで、[システム] を選択します。
  3. [システム] 画面で、[Tech Support] を選択します。
  4. 診断バンドルを生成するには、[Tech Support の生成] をクリックします。
  5. [Tech Support の生成] ウィンドウで、[デバッグ ログ] タイプを選択し、[生成] をクリックします。
  6. バンドルが生成されたら、[ダウンロード] アイコンをクリックしてマシンにダウンロードします。
    ログ収集の詳細については、 https://avinetworks.com/docs/21.1/collecting-tech-support-logs/ を参照してください。

NSX Advanced Load Balancer 構成が適用されない

スーパーバイザー をデプロイしてもデプロイが完了せず、NSX Advanced Load Balancer 構成が適用されません。

問題

プライベート認証局 (CA) の署名付き証明書を指定した場合に、NSX Advanced Load Balancer の構成が適用されません。

スーパーバイザー で実行されているいずれかの NCP ポッドのログ ファイルに、Unable to find certificate chain というエラー メッセージが記録される可能性があります。

  1. スーパーバイザー 仮想マシンにログインします。
  2. コマンド kubectl get pods -A を使用して、すべてのポッドを一覧表示します。
  3. スーパーバイザー 上のすべての NCP ポッドからログを取得します。

    kubectl -n vmware-system-nsx logs nsx-ncp-<id> | grep -i alb

原因

Java SDK は、NCP と NSX Advanced Load Balancer Controller の間で通信を確立するために使用されます。このエラーは、NSX トラスト ストアが Java 証明書トラスト ストアと同期していない場合に発生します。

解決方法

  1. NSX Advanced Load Balancer からルート CA 証明書をエクスポートし、NSX Manager に保存します。
  2. root ユーザーとして NSX Manager にログインします。
  3. すべての NSX Manager ノードで、以下のコマンドを順番に実行します。
    keytool -importcert -alias startssl -keystore /usr/lib/jvm/jre/lib/security/cacerts -storepass changeit -file <ca-file-path>

    パスが見つからない場合は、keytool -importcert -alias startssl -keystore /usr/java/jre/lib/security/cacerts -storepass changeit -file <ca-file-path> を実行します。

    sudo cp <ca-file-path> /usr/local/share/ca-certificates/
    sudo update-ca-certificates
    service proton restart
    注: 同じ手順を実行して、中間 CA 証明書を割り当てることができます。
  4. スーパーバイザー デプロイが完了するまで待つか、デプロイが実行されない場合は再デプロイします。

ESXi ホストをメンテナンス モードに切り替えることができない

アップグレードを実行する場合は、ESXi ホストをメンテナンス モードに切り替えます。

問題

ESXi ホストをメンテナンス モードに切り替えることができないため、ESXiNSX のアップグレードに影響する可能性があります。

原因

この問題は、ESXi ホストでサービス エンジンがパワーオン状態の場合に発生する可能性があります。

解決方法

  • ESXi ホストをメンテナンス モードに切り替えられるように、サービス エンジンをパワーオフします。

IP アドレスの問題のトラブルシューティング

外部 IP アドレス割り当ての問題が発生した場合は、以下に示すトラブルシューティングのヒントに従ってください。

次の理由により、IP アドレスの問題が発生することがあります。
  • ゲートウェイや Ingress などの Kubernetes リソースが AKO から外部 IP アドレスを取得しない。
  • Kubernetes リソースに割り当てられている外部 IP アドレスにアクセスできない。
  • 外部 IP アドレスが誤って割り当てられている。

Kubernetes リソースが AKO から外部 IP アドレスを取得しない

このエラーは、AKO が NSX Advanced Load Balancer Controller で対応する仮想サービスを作成できない場合に発生します。

AKO ポッドが実行されているかどうかを確認します。ポッドが実行されている場合は、AKO コンテナ ログでエラーを確認します。

Kubernetes リソースに割り当てられている外部 IP アドレスにアクセスできない

この問題は、次の原因で発生する場合があります。
  • 外部 IP アドレスをすぐには使用できないが、作成から数分以内にトラフィックの受け入れが開始される。この問題は、仮想サービスの配置に対して新しいサービス エンジンの作成がトリガされた場合に発生します。
  • 対応する仮想サービスでエラーが表示されるため、外部 IP アドレスを使用できない。

プール内にサーバがない場合に仮想サービスがエラーを示したり、赤色で表示されたりすることがあります。この問題は、Kubernetes ゲートウェイまたは Ingress リソースがエンドポイント オブジェクトを参照していない場合に発生する可能性があります。

エンドポイントを表示するには、kubectl get endpoints -n <servce_namespace> コマンドを実行し、セレクタ ラベルの問題を修正します。

健全性モニターにプール サーバの健全性が赤色で表示される場合は、プールがエラー状態になる可能性があります。

この問題を解決するには、次のいずれかの手順を実行します。
  • プール サーバまたは Kubernetes ポッドが構成されたポートで待機しているかどうかを確認します。
  • サービス エンジンの入力方向または出力方向のトラフィックをブロックしているドロップ ルールが NSX DFW ファイアウォールにないことを確認します。
  • サービス エンジンの入力方向または出力方向のトラフィックをブロックしているネットワーク ポリシーが Kubernetes 環境にないことを確認します。
サービス エンジンの問題は、次のとおりです。
  1. サービス エンジンの作成に失敗します。
    次の理由により、サービス エンジンの作成に失敗することがあります。
    • リソース不足のライセンスが NSX Advanced Load Balancer Controller で使用されている。
    • サービス エンジン グループで作成されたサービス エンジンの数が上限に達した。
    • サービス エンジン データ NIC が IP アドレスの取得に失敗した。
  2. サービス エンジンの作成に失敗し、「Insufficient licensable resources available」というエラー メッセージが表示される。

    このエラーは、十分なリソースを持つライセンスがサービス エンジンの作成に使用されなかった場合に発生します。

    より多くのリソースが割り当てられているライセンスを取得して、NSX Advanced Load Balancer Controller に割り当てます。

  3. サービス エンジンの作成に失敗し、「Reached configuration maximum limit」というエラー メッセージが表示される。

    このエラーは、サービス エンジン グループで作成されたサービス エンジンの数が上限に達した場合に発生します。

    このエラーを解決するには、次の手順を実行します。
    1. NSX Advanced Load Balancer Controller ダッシュボードで、[インフラストラクチャ] > [クラウド リソース] > [サービス エンジン グループ] の順に選択します。
    2. IP トラフィックの障害が発生している スーパーバイザー と同じ名前のサービス エンジン グループを検索し、[編集] アイコンをクリックします。
    3. [サービス エンジンの数] に対して大きい値を構成します。
  4. サービス エンジン データ NIC が IP アドレスの取得に失敗した。
    このエラーは、次のいずれかの理由で DHCP IP プールが枯渇した場合に発生する可能性があります。
    • 大規模デプロイ用に作成されたサービス エンジンの数が多すぎる。
    • サービス エンジンが NSX Advanced Load Balancer ユーザー インターフェイスまたは vSphere Client から直接削除された。このような削除により、DHCP アドレスが DHCP プールから解放されず、リース割り当てエラーが発生します。

外部 IP アドレスが誤って割り当てられている

このエラーは、異なる名前空間内の 2 つの Ingress が同じホスト名を共有している場合に発生します。構成をチェックして、異なる名前空間の 2 つの Ingress に同じ名前が指定されていないことを確認します。

トラフィック エラーに関する問題のトラブルシューティング

NSX Advanced Load Balancer の構成後にトラフィック エラーが発生します。

問題

LB タイプのサービスのエンドポイントが別の名前空間にある場合にトラフィック エラーが発生することがあります。

原因

NSX Advanced Load Balancer が構成された vSphere IaaS control plane 環境では、名前空間に専用の Tier-1 ゲートウェイがあり、各 Tier-1 ゲートウェイには同じ CIDR を持つサービス エンジン セグメントがあります。NSX Advanced Load Balancer サービスとエンドポイントが別々の名前空間にある場合は、トラフィック エラーが発生することがあります。このエラーは、NSX Advanced Load Balancer が外部 IP アドレスをサービスに割り当て、外部 IP アドレスへのトラフィックが失敗するために発生します。

解決方法

  • North-South トラフィックを許可するには、NSX Advanced Load Balancer サービス名前空間の SNAT IP アドレスからの入力を許可する分散ファイアウォール ルールを作成します。

NSX のバックアップとリストアによって発生した問題のトラブルシューティング

NSX のバックアップとリストアにより、NSX Advanced Load Balancer によって提供されるすべての外部 IP アドレスでトラフィック エラーが発生する可能性があります。

問題

NSX のバックアップとリストアを実行すると、トラフィック エラーが発生する可能性があります。

原因

このエラーは、リストア後にサービス エンジン NIC が復帰せず、その結果、IP プールが停止状態と表示されるために発生します。

解決方法

  1. NSX Advanced Load Balancer Controller ダッシュボードで、[インフラストラクチャ] > [クラウド] の順に選択します。
  2. クラウドを選択して変更を加えずに保存し、ステータスが緑色になるまで待機します。
  3. すべての仮想サービスを無効にします。
    NSX Advanced Load Balancer Controller がすべてのサービス エンジンから古い NIC を削除するまで待機します。
  4. すべての仮想サービスを有効にします。
    仮想サービスのステータスが緑色で表示されます。
    トラフィック エラーが解決しない場合は、 NSX Manager でスタティック ルートを再構成します。

NSX のバックアップとリストア後の古い Tier-1 セグメント

NSX のバックアップとリストアでは古い Tier-1 セグメントをリストアできます。

問題

NSX のバックアップとリストア手順の後、サービス エンジン NIC を持つ古い Tier-1 セグメントがクリーンアップされません。

原因

NSX のバックアップ後に名前空間が削除されると、リストア操作により、NSX Advanced Load Balancer Controller サービス エンジン NIC に関連付けられている古い Tier-1 セグメントがリストアされます。

解決方法

  1. NSX Manager にログインします。
  2. [ネットワーク] > [セグメント] の順に選択します。
  3. 削除した名前空間に関連付けられている古いセグメントを検索します。
  4. [ポート/インターフェイス] セクションから古いサービス エンジン NIC を削除します。