使用本主題的資訊來偵錯與 NSX 分散式惡意程式碼防護服務部署、服務執行個體的健全狀況狀態、 ESXi 代理機構相關聯的問題,以及其他問題。

驗證 ESX Agent Manager 健全狀況狀態

若要驗證 vSphere ESX Agent Manager (EAM) 的健全狀況狀態是否正常,請執行下列步驟:
  1. vSphere Client 中,導覽至管理 > vCenter Server 延伸。按一下 vSphere ESX Agent Manager
  2. 按一下設定索引標籤。

    此頁面顯示 NSX 惡意程式碼防護解決方案的主機上 ESX 代理機構的健全狀況狀態,以及在代理機構上偵測到的問題 (若有的話)。

ESXi Agency Manager (EAM) 服務必須已啟動並在執行中。驗證是否可存取下列 URL。

https://vCenter_Server_IP_Address/eam/mob

vCenter_Server_IP_Address 換成您網路中 vCenter Server 的 IP 位址。

驗證連接埠群組、介面和內容多工器的連線

vSphere Client 中執行下列步驟:
  • 選取服務虛擬機器的名稱,然後按一下網路索引標籤。確認有列出 vmservice-vhsield-pg 連接埠群組。
  • 在服務虛擬機器名稱上按一下滑鼠右鍵,然後按一下編輯設定。在虛擬硬體頁面上,確認網路介面卡 1 和網路介面卡 2 已連線。網路介面卡 1 將 SVM 連線至管理網路,網路介面卡 2 將 SVM 連線至 vmservice-vshield-pg 連接埠群組 (NSX 在服務部署期間自動建立)。網路介面卡 2 是 SVM 的控制介面,用於內容多工器 (MUX) 與 SVM 之間的通訊。對於 NSX 惡意程式碼防護 SVM,控制介面 IP 為 169.254.1.22。

每個 ESXi 主機上都必須執行內容多工器服務。若要驗證主機上是否執行 nsx-context-mux 服務,請以根使用者身分登入每個 ESXi 主機的 CLI,然後執行下列 CLI 命令:

# /etc/init.d/nsx-context-mux  status

如果此服務未執行,請使用下列 CLI 命令啟動或重新啟動此服務:

/etc/init.d/nsx-context-mux start

/etc/init.d/nsx-context-mux restart
備註: 在生產時間內可放心重新啟動此服務,因為重新啟動此服務不會有重大影響。此服務只需幾秒便可重新啟動。

解決 ESX Agent Manager 問題

ESX Agent Manager 在偵測到 ESX 代理機構有問題時,就會將錯誤詳細資料告知 NSX Manager。您可以在 NSX Manager UI 中按一下解決,來解決問題。下表說明 ESX Agent Manager 問題。

問題 類別 說明 解決方案

無法存取代理程式 OVF

未部署虛擬機器

代理程式虛擬機器應該部署在主機上,但無法部署代理程式虛擬機器,因為 ESXi Agent Manager 無法存取代理程式的 OVF 套件。這可能是因為提供 OVF 套件的 Web 伺服器已關閉。Web 伺服器通常是建立代理機構之解決方案的內部元件。

ESXi Agency Manager (EAM) 服務會重試 OVF 下載作業。按一下解決

主機版本不相容

未部署虛擬機器

代理程式虛擬機器預期會部署在主機上。但由於相容性問題,代理程式未部署在主機上。

請升級主機或解決方案,使代理程式與主機相容。檢查 SVM 的相容性。按一下解決

資源不足

未部署虛擬機器

代理程式虛擬機器預期會部署在主機上。但是,ESXi Agency Manager (EAM) 服務並未部署代理程式虛擬機器,因為主機的 CPU 或記憶體資源不足。

ESXi Agency Manager (EAM) 服務會嘗試重新部署虛擬機器。請確定有 CPU 和記憶體資源可供使用。檢查主機並釋出部分資源。按一下解決

空間不足

未部署虛擬機器

代理程式虛擬機器預期會部署在主機上。但是,代理程式虛擬機器並未部署,因為主機上的代理程式資料存放區沒有足夠的可用空間。

ESXi Agency Manager (EAM) 服務會嘗試重新部署虛擬機器。在資料存放區上釋出部分空間。按一下解決

沒有代理程式虛擬機器網路

未部署虛擬機器

代理程式虛擬機器應部署在主機上,但無法部署代理程式,因為主機上未設定代理程式網路。

將自訂代理程式虛擬機器網路中列出的其中一個網路新增至主機。此問題會在資料存放區可供使用後自動解決。

OVF 格式無效

未部署虛擬機器

代理程式虛擬機器應佈建在主機上,但佈建失敗,因為佈建 OVF 套件失敗。必須將提供 OVF 套件的解決方案升級或修補,來為代理程式虛擬機器提供有效的 OVF 套件,佈建才有可能成功。

ESXi Agency Manager (EAM) 服務會嘗試重新部署 SVM。確保服務部署使用有效的 OVF 套件。按一下解決

缺少代理程式 IP 集區

虛擬機器已關閉電源

代理程式虛擬機器應開啟電源,但代理程式虛擬機器已關閉電源,因為代理程式的虛擬機器網路上未定義任何 IP 位址。

定義虛擬機器網路上的 IP 位址。按一下解決

沒有代理程式虛擬機器資料存放區

虛擬機器已關閉電源

代理程式虛擬機器應部署在主機上,但無法部署代理程式,因為主機上未設定代理程式資料存放區。

將自訂代理程式虛擬機器資料存放區中列出的其中一個資料存放區新增至主機。此問題會在資料存放區可供使用後自動解決。

沒有自訂代理程式虛擬機器網路

沒有代理程式虛擬機器網路

代理程式虛擬機器應部署在主機上,但無法部署代理程式,因為主機上未設定代理程式網路。

將主機新增至自訂代理程式虛擬機器網路中列出的其中一個網路。此問題會在自訂虛擬機器網路可供使用後自動解決。

沒有自訂代理程式虛擬機器資料存放區

沒有代理程式虛擬機器資料存放區

代理程式虛擬機器應部署在主機上,但無法部署代理程式,因為主機上未設定代理程式資料存放區。

將主機新增至自訂代理程式虛擬機器資料存放區中列出的其中一個資料存放區。此問題會自動解決。

孤立的 DvFilter 交換器

主機問題

主機上存在 dvFilter 交換器,但主機上沒有任何代理程式依賴於 dvFilter。當主機因為代理機構組態變更而中斷連線時便會發生此情況。

按一下解決。ESXi Agency Manager (EAM) 服務會在代理機構組態更新之前嘗試連線至主機。

未知代理程式虛擬機器

主機問題

在 vCenter Server 詳細目錄中,發現一個代理程式虛擬機器不屬於此 vSphere ESX Agent Manager 伺服器執行個體中的任何代理機構。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試將虛擬機器放入其所屬的詳細目錄中。

OVF 內容無效

虛擬機器問題

代理程式虛擬機器必須開啟電源,但 OVF 內容遺失或具有無效的值。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試重新設定正確的 OVF 內容。

虛擬機器已損毀

虛擬機器問題

代理程式虛擬機器已損毀。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試修復虛擬機器。

虛擬機器已孤立

虛擬機器問題

主機上存在代理程式虛擬機器,但主機不再屬於代理機構的範圍。當主機因為代理機構組態變更而中斷連線時,就會發生此情況。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試將主機重新連線至代理機構組態。

虛擬機器已部署

虛擬機器問題

代理程式虛擬機器應從主機中移除,但代理程式虛擬機器尚未移除。vSphere ESX Agent Manager 無法移除代理程式虛擬機器的具體原因包括:主機處於維護模式、已關閉電源或處於待命模式。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試從主機中移除代理程式虛擬機器。

虛擬機器已關閉電源

虛擬機器問題

代理程式虛擬機器應開啟電源,但代理程式虛擬機器已關閉電源。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試開啟虛擬機器的電源。

虛擬機器已開啟電源

虛擬機器問題

代理程式虛擬機器應該關閉電源,但代理程式虛擬機器已開啟電源。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試關閉虛擬機器的電源。

虛擬機器已暫停

虛擬機器問題

代理程式虛擬機器應開啟電源,但代理程式虛擬機器已暫停。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試開啟虛擬機器的電源。

虛擬機器位於錯誤的資料夾中

虛擬機器問題

代理程式虛擬機器應位於指定的代理程式虛擬機器資料夾中,但卻在不同的資料夾中找到。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試將代理程式虛擬機器放入指定的資料夾中。

虛擬機器位於錯誤的資源集區中

虛擬機器問題

代理程式虛擬機器應位於指定的代理程式虛擬機器資源集區中,但卻在不同的資源集區中找到。

按一下解決。ESXi Agency Manager (EAM) 服務會嘗試將代理程式虛擬機器放入指定的資源集區中。

未部署虛擬機器

代理程式問題

代理程式虛擬機器應部署在主機上,但尚未部署代理程式虛擬機器。ESXi Agent Manager 無法部署代理程式的具體原因包括:無法存取代理程式的 OVF 套件或缺少主機組態。從主機中明確刪除代理程式虛擬機器時,也可能發生此問題。

按一下解決以部署代理程式虛擬機器。

解決 NSX Manager 問題

問題
無法從 IP 集區配置靜態 IP 位址。
說明
來自集區的 IP 位址已用盡,或者沒有剩餘的 IP 位址可供配置。
解決方案
修正 IP 集區問題,然後按一下 解決,以修正此問題。

確認服務執行個體的健全狀況狀態

NSX Manager 接收每個服務執行個體的健全狀況狀態詳細資料。NSX Manager UI 中會顯示收到健全狀況狀態時的最新時間戳記。您可能需要將服務執行個體頁面重新整理幾次,才能擷取最新健全狀況狀態。

ESXi 主機上服務執行個體的健全狀況取決於下列因素:
解決方案狀態
在 SVM 上執行的 NSX 分散式惡意程式碼防護解決方案的狀態。開啟狀態表示解決方案正確執行。
NSX Guest Introspection Agent 和內容引擎之間的連線
當 NSX Guest Introspection Agent (內容多工器) 連線至 NSX Ops Agent (包括內容引擎) 時,狀態為開啟。內容多工器會將 SVM 的健全狀況資訊轉送到內容引擎。MUX 和 NSX Ops Agent 還彼此共用 SVM-VM 組態,以瞭解哪些工作負載虛擬機器受 SVM 保護。
服務虛擬機器通訊協定版本
傳輸通訊協定版本供內部使用對問題進行疑難排解。
NSX Guest Introspection Agent 資訊
代表 NSX Guest Introspection Agent 與 SVM 之間的通訊協定版本相容性。
若要檢視服務執行個體的健全狀況狀態,請在 NSX Manager 中執行下列步驟:
  1. 導覽至系統 > 服務部署 > 服務執行個體
  2. 健全狀況狀態資料行中,按一下 [開啟] 或 [關閉] 旁邊的圖示。

NSX Manager 中檢視警示

發生下列情況時, NSX Manager UI 的 警示頁面上會顯示警示:
  • NSX 內容多工器和 NSX 惡意程式碼防護 SVM 之間的連線已關閉。
  • NSX 內容多工器已關閉或重新開機。

您還可以在系統 > 服務部署 > 服務執行個體服務執行個體頁面上檢視警示。

在安全性概觀儀表板上檢視元件問題

NSX 分散式惡意程式碼防護服務中的任何元件關閉或無法運作時,安全性概觀儀表板上的惡意程式碼防護 Widget 會顯示問題。若要在 NSX Manager UI 中檢視此 UI Widget,請導覽至安全性 > 安全性概觀 > 組態

例如:
  • NSX 惡意程式碼防護服務虛擬機器 (SVM) 上的安全中樞關閉時,橫條圖將顯示問題。將滑鼠指向長條可檢視以下詳細資料:
    • 受影響的 NSX 惡意程式碼防護 SVM 數目。
    • 因安全中樞發生故障導致主機上失去惡意程式碼安全防護的工作負載虛擬機器的數目。
  • 環圈圖顯示以下詳細資料:
    • 執行 NSX File Introspection 驅動程式的工作負載虛擬機器的數目。
    • 未執行 NSX File Introspection 驅動程式的工作負載虛擬機器的數目。

    在這兩個度量中,僅考量已對 NSX 分散式惡意程式碼防護啟動的主機叢集上的工作負載虛擬機器。

正確命名金鑰配對以輕鬆識別

對 SVM 的管理員使用者的 SSH 存取是基於金鑰 (公開/私密金鑰配對)。在 ESXi 主機叢集上部署服務時需要公開金鑰,而當您想要啟動與 SVM 的 SSH 工作階段時,則需要私密金鑰。

NSX 分散式惡意程式碼防護服務部署是在主機叢集層級進行。因此,金鑰配對將繫結至主機叢集。您可以為每個叢集上的服務部署建立新的公開-私密金鑰配對,也可以為所有叢集上的服務部署使用單一金鑰配對。

如果您打算為每個叢集上的服務部署使用不同的公開/私密金鑰配對,請確保正確命名金鑰配對,以方便識別。

最好使用「計算叢集識別碼」來識別每一個服務部署,並在金鑰配對的名稱中指定叢集識別碼。例如,假設叢集識別碼為「1234-abcd」。對於此叢集,您可以將服務部署名稱指定為「MPS-1234-abcd」,並將用於存取此服務部署的金鑰配對命名為「id_rsa_1234_abcd.pem」。此做法可方便您對每個服務部署的金鑰進行維護並建立關聯。

重要: 安全地保存私密金鑰。遺失私密金鑰可能導致無法利用 SSH 存取 NSX 惡意程式碼防護 SVM。

如果私密金鑰遺失,SVM 可以繼續運作而不會出現任何問題,但您無法登入到 SVM 及下載記錄檔來進行疑難排解。

收集支援服務包和 NSX 惡意程式碼防護 SVM 記錄

若要對構成 NSX 分散式惡意程式碼防護服務的下列元件進行詳細疑難排解,您可以收集支援服務包來分析,或傳送給 VMware 支援:
  • NSX Manager 應用裝置
  • ESXi 主機
  • 工作負載虛擬機器上的 VMware Tools
  • NSX 惡意程式碼防護 SVM

若要收集支援服務包,其中包含 ESXi 主機和 NSX Manager 應用裝置的記錄檔,請使用 NSX-T Data Center 中的支援服務包功能。如需有關在 NSX-T 中收集支援服務包的指示,請參閱收集支援服務包

若要收集支援服務包,其中包含 vCenter Server 上執行的元件和服務的記錄檔,請參閱 vCenter Server 組態說明文件。例如,您可以使用 vCenter Server 支援服務包來收集 VMware Tools 的記錄檔。

若要收集 NSX 惡意程式碼防護 SVM 的記錄檔,請使用 SVM 的私密金鑰,對 SVM 啟動遠端 SSH 工作階段。如需詳細資訊,請參閱登入 NSX 惡意程式碼防護服務虛擬機器

記錄檔位於 SVM 的 /var/log。 如果此位置有多個 Syslog 檔案,則會壓縮並儲存在同一路徑中。