NSX Cloud 常見問題和疑難排解

如何在 Windows 虛擬機器上重新安裝 NSX Tools？

若要在 Windows 虛擬機器上重新安裝 NSX Tools，請執行以下動作：

解除安裝 Windows 虛擬機器上的現有 NSX Tools。如需詳細資料，請參閱解除安裝 NSX Tools。
將 Windows 虛擬機器重新開機。
重要：在解除安裝 NSX Tools 後，如果未將 Windows 虛擬機器重新開機，則重新安裝可能會導致意外行為。
請使用安裝命令來重新安裝 NSX Tools。如需詳細資料，請參閱在 Windows 虛擬機器上安裝 NSX Tools。

安裝 NSX Tools 後，如何存取 nsxcli 命令？

在 Linux 虛擬機器上安裝 NSX Tools 後：

登入已安裝 NSX Tools 的 Linux 虛擬機器。
執行 sudo service nsx-agent-chroot nsx-exec bash 命令。您將被導向至 Bash shell。
現在，您可以執行 nsxcli 命令。您將被導向至 nsxcli 提示。

現在，您可以執行任何必要的 nsxcli 命令，如 get firewall rules 等。

在 Windows 虛擬機器上安裝 NSX Tools 後：

登入已安裝 NSX Tools 的 Windows 虛擬機器。
開啟 PowerShell。
在 PowerShell 提示中，執行 nsxcli 命令。您將被導向至 nsxcli 提示。

現在，您可以執行任何必要的 nsxcli 命令，如 get firewall rules 等。

如何確認我的 NSX Cloud 元件已安裝且正在執行？

若要確認您工作負載虛擬機器上的 NSX Tools 已連線至 PCG，請執行以下作業：
1. 輸入 nsxcli 命令以開啟 NSX CLI。
2. 輸入下列命令來取得閘道連線狀態，例如：
```
get gateway connection status
Public Cloud Gateway  : nsx-gw.vmware.com:5555
Connection Status 	: ESTABLISHED 
```
工作負載虛擬機器必須具有正確的標籤才能連線至 PCG：
1. 登入 AWS 主控台或 Microsoft Azure 入口網站。
2. 驗證虛擬機器的 eth0 或介面標籤。
  nsx.network 金鑰必須具有值 default。

我使用 cloud-init 啟動的虛擬機器遭到隔離，且不允許安裝第三方工具。我該怎麼辦？

啟用隔離原則後，使用具有下列規格的 cloud-init 指令碼啟動虛擬機器時，您的虛擬機器會在啟動時遭到隔離，且您無法在其上安裝自訂應用程式或工具：

標記為 nsx.network=default
在虛擬機器開啟電源時自動安裝或執行啟動程序的自訂服務

解決方案：

在安裝自訂或第三方應用程式時，視需要更新 default (AWS) 或 default-vnet-<vnet-ID>-sg (Microsoft Azure) 安全群組以新增輸入/輸出連接埠。

我已正確標記虛擬機器且安裝了 NSX Tools，但虛擬機器仍遭到隔離。我該怎麼辦？

如果您遇到此問題，請嘗試下列作業：

檢查 NSX Cloud 標籤 nsx.network 及其值 default 是否已正確輸入。這區分大小寫。
從 CSM 重新同步 AWS 或 Microsoft Azure 帳戶：
- 登入 CSM。
- 移至雲端 > AWS/Azure > 帳戶。
- 從公有雲帳戶動態磚按一下動作，然後按一下重新同步帳戶。

如果無法存取我的工作負載虛擬機器，該怎麼辦？

從公有雲 (AWS 或 Microsoft Azure)：

若要允許流量，請確保已正確設定虛擬機器上的所有連接埠，包括受 NSX Cloud 管理的連接埠、作業系統防火牆 (Microsoft Windows 或 IPTables) 和 NSX。

例如，若要允許對虛擬機器 ping，必須正確設定下列內容：
- AWS 或 Microsoft Azure 上的安全群組。如需詳細資訊，請參閱使用 NSX Cloud 隔離原則的威脅偵測。
- NSX DFW 規則。如需詳細資料，請參閱NSX 強制執行模式中 NSX 管理的工作負載虛擬機器的預設連線策略。
- Linux 上的 Windows 防火牆或 IPTables。
嘗試使用 SSH 或其他方法登入虛擬機器以解決問題，例如，Microsoft Azure 中的序列主控台。
您可以將已鎖定的虛擬機器重新開機。
如果仍無法存取虛擬機器，請接著將次要 NIC 連結至從中存取該工作負載虛擬機器的工作負載虛擬機器。

即使在原生雲端強制執行模式中仍需要 PCG 嗎？

是。

在 CSM 中將我的公有雲帳戶上線後，可以變更 PCG 的 IAM 角色嗎？

是。您可以重新執行適用於公有雲的 NSX Cloud 指令碼，以重新產生 PCG 角色。重新產生 CSM 角色後，請在 PCG 中使用新的角色名稱來編輯您的公有雲帳戶。在公有雲帳戶中部署的任何新 PCG 執行個體將使用新角色。

請注意，現有的 PCG 執行個體會繼續使用舊的 PCG 角色。如果您想要更新現有 PCG 執行個體的 IAM 角色，請移至公有雲，並手動變更該 PCG 執行個體的角色。

我是否可將 NSX 內部部署授權用於 NSX Cloud？

是，只要您的 ELA 有其相關條款即可。

我使用來自 CSM 的 URL 部署 PCG，但因為閘道名稱無法解析而發生錯誤。

當用於安裝 PCG 的 CSM UI 中的 URL 因閘道名稱無法解析而失敗時，請針對工作負載虛擬機器的作業系統在各自的公有雲中執行下列操作：

在 Microsoft Azure 中的 Microsoft Windows 工作負載虛擬機器上，執行下列命令，然後使用來自 CSM 的 URL 再次下載安裝指令碼：
```
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "168.63.129.16" -DnsSecEnable
```
在 AWS 中的 Microsoft Windows 工作負載虛擬機器上，執行下列命令，然後使用來自 CSM 的 URL 再次下載安裝指令碼：
```
Add-DnsClientNrptRule -Namespace "nsx-gw.vmware.local" -NameServers "169.254.169.253" -DnsSecEnable
```
在 Microsoft Azure 中的 Linux 工作負載虛擬機器上，執行下列命令以取得 PCG 的 IP 位址，並使用這些 IP 位址與來自 CSM 的 URL 下載安裝指令碼。
```
nslookup nsx-gw.vmware.local 168.63.129.16 | awk '/^Address: / { print $2 }'
```
在 AWS 中的 Linux 工作負載虛擬機器上，執行下列命令以取得 PCG 的 IP 位址，並使用這些 IP 位址與來自 CSM 的 URL 下載安裝指令碼。：
```
nslookup nsx-gw.vmware.local 169.254.169.253 | awk '/^Address: / { print $2 }'
```

如何使用 CA 憑證將 CSM 連線至 MP？

在 NSX Cloud 設定中，CSM 會透過自我簽署憑證來連線至 MP。必要時，您可以使用 CA 簽署憑證，而不是自我簽署憑證。

若要使用 CA 簽署憑證，請執行以下步驟：

以 root 使用者身分登入到 CSM 應用裝置。
將根 CA cert pem 檔案複製到 CSM。
按下所示從檔案中取得 Java 金鑰儲存區 (JKS) 密碼。
```
PASSWORD=`cat /config/http/.http_cert_pw`
```

使用以下命令，將根 CA 憑證新增到 CSM JKS 儲存區。

keytool -importcert -file /root/myCA.pem -noprompt -alias nsx_mgmr_custom -storetype JKS -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD

備註：此範例使用 /root/myCA.pem。必須使用根 CA cert pem 檔案的路徑。

使用以下命令，檢查是否新增了別名。

keytool -list -v -keystore /usr/java/jre/lib/security/cacerts -storepass $PASSWORD | grep
        nsx_mgmr_custom

命令會列出新增的 CA 憑證。此命令是在 CSM 與 NSX Manager 之間使用。

根 CA 憑證現在被視為有效，CSM 和 NSX Manager 可以是對等的。