在執行預先檢查步驟時,NSX Network Detection and Response 功能啟用精靈報告錯誤。
問題
NSX Network Detection and Response 啟用精靈會執行預先檢查,以驗證 NSX Advanced Threat Prevention 雲端服務與執行 NSX Application Platform 的 Kubernetes 叢集之間的連線。NSX Network Detection and Response 啟用精靈上會顯示遇到的任何錯誤。如果啟用精靈在預先檢查步驟期間報告錯誤,會阻止啟用 NSX Network Detection and Response 功能,且啟用按鈕保持變灰狀態。
以下是啟用預先檢查失敗時,可能會遇到的幾個錯誤。
- 雲端區域 API 傳回無效資料 (遺失或無效資料)。
- 連絡雲端 API 以驗證 NSX 授權失敗
- NSX 安裝沒有所需的授權。
原因
預先檢查步驟會驗證從執行 NSX Application Platform 的 Kubernetes 叢集到您選擇的 NSX Advanced Threat Prevention 雲端區域的連線。預先檢查步驟還會驗證授權您使用以執行 NSX Network Detection and Response 功能的可用 NSX Data Center 授權。如果連線預先檢查失敗,部署精靈將無法驗證授權資格。
解決方案
- 如果 NSX Manager 應用裝置設定為使用 Web Proxy 進行網際網路繫結連線,請確保正確設定了該 Web Proxy,並且可以從用於 NSX Application Platform 的 Kubernetes 叢集中執行的工作負載存取。
- 確保已正確部署 NSX Application Platform,並且在 UI 頁面上報告為穩定。
- 部署預先檢查最多可能需要 30 分鐘的時間,以部署和驗證 NSX Advanced Threat Prevention 雲端可存取性和 NSX Data Center 授權資格。請等待預先檢查專案完成,並驗證每一列的結果。
- 對於標記為失敗的任何項目,請指向此圖示以查看詳細資料。
- 確保滿足作為失敗的一部分陳述的授權要求。
- 如果錯誤表明出現連接錯誤,請確保 NSX Application Platform 可以與網際網路進行通訊。
- 如果預先檢查失敗未提供有關失敗的資訊,請收集額外的資訊。
- 收集 NSX Application Platform 支援服務包,並檢查名稱以 nsx-ndr-precheck 開頭的任何 Kubernetes 網繭的記錄。
- 或者,也可以使用以下步驟在 NSX Manager 應用裝置上以互動方式查詢記錄。
- 以 root 身分登入 NSX Manager 應用裝置。
- 使用以下命令為任何後續的 helm 和 kubectl 叫用標記 Kubernetes 設定。
export KUBECONFIG=/config/vmware/napps/.kube/config
- 透過使用以下命令,確保成功部署了 NSX Network Detection and Response 預先檢查 Helm Chart。
helm --namespace nsxi-platform list --all --filter 'nsx-ndr-precheck'
驗證 STATUS 屬性是否顯示為 deployed。 - 透過使用以下命令,檢查已部署的任何預先檢查網繭的事件。
kubectl --namespace nsxi-platform describe pod --selector='app.kubernetes.io/instance=nsx-ndr-precheck'
Events 部分提供預先檢查作業的狀態以及與這些作業關聯的任何動作。 - 若要檢查已部署之任何預先檢查網繭的記錄,請使用以下命令。
kubectl --namespace nsxi-platform get pods --selector='app.kubernetes.io/instance=nsx-ndr-precheck' -o wide
對於以 RUNNING 或 COMPLETED 狀態列出的每個網繭,請使用以下命令查看記錄。kubectl --namespace nsxi-platform logs --container=main <pod-name>
- 在解決報告的錯誤後,再次嘗試啟用 NSX Network Detection and Response 功能。