本主題涵蓋一些常見問題和疑難排解資訊。
如何在 Windows 虛擬機器上重新安裝 NSX Tools?
若要在 Windows 虛擬機器上重新安裝 NSX Tools,請執行以下動作:
- 解除安裝 Windows 虛擬機器上的現有 NSX Tools。如需詳細資料,請參閱 解除安裝 NSX Tools。
- 將 Windows 虛擬機器重新開機。
重要: 在解除安裝 NSX Tools 後,如果未將 Windows 虛擬機器重新開機,則重新安裝可能會導致意外行為。
- 請使用安裝命令來重新安裝 NSX Tools。如需詳細資料,請參閱 在 Windows 虛擬機器上安裝 NSX Tools。
安裝 NSX Tools 後,如何存取 nsxcli 命令?
在 Linux 虛擬機器上安裝 NSX Tools 後:
- 登入已安裝 NSX Tools 的 Linux 虛擬機器。
- 執行 sudo service nsx-agent-chroot nsx-exec bash 命令。您將被導向至 Bash shell。
- 現在,您可以執行 nsxcli 命令。您將被導向至 nsxcli 提示。
現在,您可以執行任何必要的 nsxcli 命令,如 get firewall rules 等。
在 Windows 虛擬機器上安裝 NSX Tools 後:
- 登入已安裝 NSX Tools 的 Windows 虛擬機器。
- 開啟 PowerShell。
- 在 PowerShell 提示中,執行 nsxcli 命令。您將被導向至 nsxcli 提示。
現在,您可以執行任何必要的 nsxcli 命令,如 get firewall rules 等。
如何確認我的 NSX Cloud 元件已安裝且正在執行?
- 若要確認您工作負載虛擬機器上的 NSX Tools 已連線至 PCG,請執行以下作業:
-
輸入 nsxcli 命令以開啟 NSX CLI。
-
輸入下列命令來取得閘道連線狀態,例如:
get gateway connection status Public Cloud Gateway : nsx-gw.vmware.com:5555 Connection Status : ESTABLISHED
-
- 工作負載虛擬機器必須具有正確的標籤才能連線至 PCG:
-
登入 AWS 主控台或 Microsoft Azure 入口網站。
- 驗證虛擬機器的 eth0 或介面標籤。
nsx.network 金鑰必須具有值 default。
-
我使用 cloud-init 啟動的虛擬機器遭到隔離,且不允許安裝第三方工具。我該怎麼辦?
- 標記為 nsx.network=default
- 在虛擬機器開啟電源時自動安裝或執行啟動程序的自訂服務
解決方案:
在安裝自訂或第三方應用程式時,視需要更新 default (AWS) 或 default-vnet-<vnet-ID>-sg (Microsoft Azure) 安全群組以新增輸入/輸出連接埠。
我已正確標記虛擬機器且安裝了 NSX Tools,但虛擬機器仍遭到隔離。我該怎麼辦?
如果您遇到此問題,請嘗試下列作業:
- 檢查 NSX Cloud 標籤 nsx.network 及其值 default 是否已正確輸入。這區分大小寫。
- 從 CSM 重新同步 AWS 或 Microsoft Azure 帳戶:
- 登入 CSM。
- 移至 。
- 從公有雲帳戶動態磚按一下動作,然後按一下重新同步帳戶。
如果無法存取我的工作負載虛擬機器,該怎麼辦?
-
若要允許流量,請確保已正確設定虛擬機器上的所有連接埠,包括受 NSX Cloud 管理的連接埠、作業系統防火牆 (Microsoft Windows 或 IPTables) 和 NSX-T Data Center。
例如,若要允許對虛擬機器 ping,必須正確設定下列內容:
- AWS 或 Microsoft Azure 上的安全群組。如需詳細資訊,請參閱使用 NSX Cloud 隔離原則的威脅偵測。
- NSX-T Data Center DFW 規則。如需詳細資料,請參閱NSX 強制執行模式 中 NSX 管理的工作負載虛擬機器的預設連線策略。
- Linux 上的 Windows 防火牆或 IPTables。
- 嘗試使用 SSH 或其他方法登入虛擬機器以解決問題,例如,Microsoft Azure 中的序列主控台。
- 您可以將已鎖定的虛擬機器重新開機。
- 如果仍無法存取虛擬機器,請接著將次要 NIC 連結至從中存取該工作負載虛擬機器的工作負載虛擬機器。
即使在 原生雲端強制執行模式 中仍需要 PCG 嗎?
是。
在 CSM 中將我的公有雲帳戶上線後,可以變更 PCG 的 IAM 角色嗎?
是。您可以重新執行適用於公有雲的 NSX Cloud 指令碼,以重新產生 PCG 角色。重新產生 CSM 角色後,請在 PCG 中使用新的角色名稱來編輯您的公有雲帳戶。在公有雲帳戶中部署的任何新 PCG 執行個體將使用新角色。
請注意,現有的 PCG 執行個體會繼續使用舊的 PCG 角色。如果您想要更新現有 PCG 執行個體的 IAM 角色,請移至公有雲,並手動變更該 PCG 執行個體的角色。
我是否可將 NSX-T Data Center 內部部署授權用於 NSX Cloud?
是,只要您的 ELA 有其相關條款即可。
我使用來自 CSM 的 URL 部署 PCG,但因為閘道名稱無法解析而發生錯誤。
- 在 Microsoft Azure 中的 Microsoft Windows 工作負載虛擬機器上,執行下列命令,然後使用來自 CSM 的 URL 再次下載安裝指令碼:
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "168.63.129.16" -DnsSecEnable
- 在 AWS 中的 Microsoft Windows 工作負載虛擬機器上,執行下列命令,然後使用來自 CSM 的 URL 再次下載安裝指令碼:
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "169.254.169.253" -DnsSecEnable
- 在 Microsoft Azure 中的 Linux 工作負載虛擬機器上,執行下列命令以取得 PCG 的 IP 位址,並使用這些 IP 位址與來自 CSM 的 URL 下載安裝指令碼。
nslookup nsx-gw.vmware.local 168.63.129.16 | awk '/^Address: / { print $2 }'
- 在 AWS 中的 Linux 工作負載虛擬機器上,執行下列命令以取得 PCG 的 IP 位址,並使用這些 IP 位址與來自 CSM 的 URL 下載安裝指令碼。:
nslookup nsx-gw.vmware.local 169.254.169.253 | awk '/^Address: / { print $2 }'
如何使用 CA 憑證將 CSM 連線至 MP?
在 NSX Cloud 設定中,CSM 會透過自我簽署憑證來連線至 MP。必要時,您可以使用 CA 簽署憑證,而不是自我簽署憑證。
若要使用 CA 簽署憑證,請執行以下步驟:
- 以 root 使用者身分登入到 CSM 應用裝置。
- 將根 CA cert pem 檔案複製到 CSM。
- 按下所示從檔案中取得 Java 金鑰儲存區 (JKS) 密碼。
PASSWORD=`cat /config/http/.http_cert_pw`
- 使用以下命令,將根 CA 憑證新增到 CSM JKS 儲存區。
keytool -importcert -file /root/myCA.pem -noprompt -alias nsx_mgmr_custom -storetype JKS -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD
備註: 此範例使用/root/myCA.pem
。必須使用根 CA cert pem 檔案的路徑。 - 使用以下命令,檢查是否新增了別名。
keytool -list -v -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD | grep nsx_mgmr_custom
命令會列出新增的 CA 憑證。此命令是在 CSM 與 NSX Manager 之間使用。
根 CA 憑證現在被視為有效,CSM 和 NSX Manager 可以是對等的。