أستكشاف أخطاء تكامل ACI VMM وإصلاحها
المحتويات
المقدمة
يصف هذا المستند خطوات فهم تكامل مدير الأجهزة الظاهرية (VMM) لإدارة قائمة التحكم في الوصول (ACI) واستكشاف أخطائه وإصلاحها.
معلومات أساسية
تم إستخراج المواد الواردة من هذا المستند من فصول أستكشاف أخطاء البنية الأساسية المرتكزة على التطبيقات وإصلاحها من Cisco، الإصدار الثاني، وخاصة تكامل VMM - نظرة عامة، دمج VMM - اتصال vCenter، دمج VMM - الاكتشاف الديناميكي للمضيف ودمج VMM - موازنة حمل برنامج hypervisor.
نظرة عامة على مدير الجهاز الظاهري
يمكن لوحدات التحكم في الوصول للبنية الأساسية (ACI) التكامل مع مديري الأجهزة الافتراضية (VMM) التابعين لجهات خارجية.
هذه هي إحدى الميزات الرئيسية لقائمة التحكم في الوصول (ACI) حيث تعمل على تبسيط العمليات وأتمتتها لتكوين شبكات طرفية من البنية ولحمولات العمل المتصلة بها. توفر واجهة التحكم في الوصول (ACI) نموذج سياسة تغشية واحد يمكن توسيعه عبر أنواع متعددة من أحمال العمل، أي الأجهزة الافتراضية والخوادم المعدنية العارية والحاويات.
سيركز هذا الفصل بشكل خاص على بعض سيناريوهات أستكشاف المشكلات وحلها النموذجية المتعلقة بتكامل برنامج vCenter VMM من VMware.
القارئ سيمشي خلال:
- التحقيق في أخطاء إتصالات vCenter.
- عملية الاستكشاف الديناميكي للمضيف و VM وسيناريوهات الفشل.
- خوارزميات موازنة حمل برنامج Hypervisor.
اتصال vCenter
التحكم في الوصول المستند إلى الأدوار (RBAC)
تعتمد الآليات التي يمكن من خلالها ل APIC الاتصال بوحدة التحكم vCenter على حساب المستخدم المرتبط بمجال VMM معين. تم تحديد متطلبات محددة لمستخدم vCenter المرتبط بمجال VMM لضمان إمكانية تنفيذ APIC للعمليات بنجاح على vCenter، سواء كان يقوم بدفع عمليات الجرد والتكوينات واستردادها أو مراقبة الأحداث المرتبطة بالمخزون المدار والاستماع إليها.
تعتبر أسهل طريقة لإبعاد القلق حول هذه المتطلبات هي إستخدام حساب vCenter للمسؤول الذي يتمتع بحق الوصول الكامل، غير أن هذا النوع من الحرية لا يكون متاحا دائما لمسؤول ACI.
الحد الأدنى لامتيازات حساب مستخدم مخصص، حتى الإصدار 4.2 من ACI، هي كما يلي:
- إنذار
- يقوم APIC بإنشاء إنذارين على المجلد. واحد ل DVS وآخر لمجموعة المنافذ. يتم تشغيل تنبيه عند حذف نهج مجال EPG أو VMM على APIC، ومع ذلك يتعذر على vCenter حذف مجموعة المنافذ أو DVS المطابقة بسبب وجود VMs مرفقة بها.
- مفتاح التوزيع
- مجموعة منفذ dvPort
- المجلد
- الشبكة
- يدير APIC إعدادات الشبكة مثل إضافة أو حذف مجموعات المنافذ، إعداد وحدة الحد الأقصى للنقل (MTU) للمضيف/DVS، LLDP/CDP، LACP، والمزيد.
- مضيف
- إذا كنت تستخدم AVS بالإضافة إلى ذلك، يحتاج المستخدم إلى امتياز المضيف على مركز البيانات حيث ستقوم APIC بإنشاء DVS.
- إعدادات Host.Configuration.Advanced
- host.local operations.reconfigure virtual machine
- host.configuration.network configuration
- وهذا الأمر ضروري ل AVS وميزة الوضع التلقائي ل Virtual Layer 4 to Layer 7 Service VM. ل AVS، يقوم APIC بإنشاء واجهة VMK ويضعها في مجموعة منافذ VTEP والتي يتم إستخدامها ل OpFlex.
- الجهاز الافتراضي
- في حالة إستخدام رسومات الخدمة البيانية، يلزم أيضا منح امتياز "الجهاز الظاهري" للأجهزة الظاهرية.
- Virtual Machine.Configuration.تعديل إعدادات الجهاز
- الجهاز الظاهري.Configuration.Settings
أستكشاف المشكلات المتعلقة بالتحكم في الوصول عن بعد (RBAC) وإصلاحها
غالبا ما تتم مواجهة مشاكل RBAC أثناء الإعداد الأولي لمجال VMM ولكن يمكن مصادفتها إذا قام مسؤول vCenter بتعديل أذونات حساب المستخدم المقترن بمجال VMM بعد إجراء الإعداد الأولي بالفعل.
ويمكن ان يقدم العرض نفسه بهذه الطرائق:
- عدم القدرة الجزئي أو الكامل على نشر الخدمات الجديدة (إنشاء DVS، إنشاء مجموعة المنافذ، تم نشر بعض الكائنات بنجاح ولكن ليس كلها).
- المخزون التشغيلي غير مكتمل أو مفقود من طرق عرض مسؤول ACI.
- تم رفع الأخطاء لعملية vCenter غير مدعومة، أو لأي من السيناريوهات (على سبيل المثال، فشل نشر مجموعة المنافذ).
- يتم الإبلاغ عن وحدة التحكم vCenter كغير متصلة وتشير الأخطاء إلى وجود مشاكل متعلقة بالاتصال أو بيانات الاعتماد.
حل المشكلات المتعلقة ب RBAC
تحقق من منح كافة الأذونات لمستخدم vCenter الذي تم تكوينه في مجال VMM.
طريقة أخرى هي تسجيل الدخول مباشرة إلى VCenter باستخدام نفس بيانات الاعتماد كما هو محدد في تكوين مجال VMM ومحاولة إجراء عمليات مماثلة (بما في ذلك إنشاء مجموعة المنافذ). إذا لم يكن المستخدم قادرا على تنفيذ نفس هذه العمليات أثناء تسجيل الدخول مباشرة إلى vCenter، فمن الواضح أنه لا يتم منح الأذونات الصحيحة للمستخدم.
أستكشاف أخطاء الاتصال وإصلاحها
عند أستكشاف أخطاء اتصال VMM وإصلاحها، من المهم ملاحظة بعض السلوكيات الأساسية لكيفية اتصال ACI ب vCenter.
يتمثل السلوك الأول والأكثر صلة بالموضوع في قيام APIC واحد فقط في المجموعة بإرسال التكوين وجمع المخزون عند أي نقطة معينة. يشار إلى APIC هذا بأنه زعيم الشارد لمجال VMM هذا. على أي حال، تقوم العديد من APICs بالإصغاء لأحداث vCenter من أجل إحتساب سيناريو حيث فشل قائد القناة في حدث لأي سبب من الأسباب. بعد اتباع نفس البنية الموزعة ل APICs، سيكون لمجال VMM محدد APIC معالجة البيانات والوظائف الأساسية (في هذه الحالة، Shard Leader)، ونسختين متماثلتين (في حالة VMM يشار إليهم على أنهم متابعون). لتوزيع معالجة إتصالات ووظائف VMM عبر APICs، يمكن أن يكون لأي مجالين VMM نفس أو أن يكون هناك قادة SHARD مختلف.
يمكن العثور على حالة اتصال vCenter من خلال التنقل إلى وحدة تحكم VMM التي تهتم في واجهة المستخدم الرسومية (GUI) أو باستخدام أمر واجهة سطر الأوامر (CLI) المدرج هنا:
مجال VMWare VMM - حالة اتصال vCenter
apic2# show vmware domain name VDS_Site1 vcenter 10.48.176.69
Name : bdsol-aci37-vc
Type : vCenter
Hostname or IP : 10.48.176.69
Datacenter : Site1
DVS Version : 6.0
Status : online
Last Inventory Sync : 2019-10-02 09:27:23
Last Event Seen : 1970-01-01 00:00:00
Username : administrator@vsphere.local
Number of ESX Servers : 2
Number of VMs : 2
Faults by Severity : 0, 0, 0, 0
Leader : bdsol-aci37-apic1
Managed Hosts:
ESX VMs Adjacency Interfaces
--------------- -------- ---------- ------------------------------------------------
10.48.176.66 1 Direct leaf-101 eth1/11, leaf-102 eth1/11
10.48.176.67 1 Direct leaf-301 eth1/11, leaf-302 eth1/11
إذا تم الإشارة إلى وحدة تحكم VMM على أنها غير متصلة، سيتم إلقاء خطأ مماثل لما يلي:
Fault fltCompCtrlrConnectFailed
Rule ID:130
Explanation:
This fault is raised when the VMM Controller is marked offline. Recovery is in process.
Code: F0130
Message: Connection to VMM controller: hostOrIp with name name in datacenter rootContName in domain: domName is failing repeatedly with error: [remoteErrMsg]. Please verify network connectivity of VMM controller hostOrIp and check VMM controller user credentials are valid.
يمكن إستخدام هذه الخطوات لاستكشاف أخطاء الاتصال وإصلاحها بين VC و APICs.
1 - تحديد هوية زعيم جيش شارد
الخطوة الأولى في أستكشاف أخطاء الاتصال وإصلاحها بين APIC و vCenter هي فهم عنوان APIC الرئيسي لمجال VMM المحدد. أسهل طريقة لتحديد هذه المعلومات هي تشغيل الأمر show vmWare domain name <domain> على أي APIC.
apic1# show vmware domain name VDS_Site1
Domain Name : VDS_Site1
Virtual Switch Mode : VMware Distributed Switch
Vlan Domain : VDS_Site1 (1001-1100)
Physical Interfaces : leaf-102 eth1/11, leaf-301 eth1/11, leaf-302 eth1/11,
leaf-101 eth1/11
Number of EPGs : 2
Faults by Severity : 0, 0, 0, 0
LLDP override : RX: enabled, TX: enabled
CDP override : no
Channel Mode override : mac-pinning
NetFlow Exporter Policy : no
Health Monitoring : no
vCenters:
Faults: Grouped by severity (Critical, Major, Minor, Warning)
vCenter Type Datacenter Status ESXs VMs Faults
-------------------- -------- -------------------- -------- ----- ----- ---------------
10.48.176.69 vCenter Site1 online 2 2 0,0,0,0
APIC Owner:
Controller APIC Ownership
------------ -------- ---------------
bdsol- apic1 Leader
aci37-vc
bdsol- apic2 NonLeader
aci37-vc
bdsol- apic3 NonLeader
aci37-vc
2. التحقق من الاتصال ب vCenter
بعد تحديد APIC الذي يتصل بشكل نشط مع vCenter، تحقق من اتصال IP باستخدام أدوات مثل ping.
apic1# ping 10.48.176.69
PING 10.48.176.69 (10.48.176.69) 56(84) bytes of data.
64 bytes from 10.48.176.69: icmp_seq=1 ttl=64 time=0.217 ms
64 bytes from 10.48.176.69: icmp_seq=2 ttl=64 time=0.274 ms
64 bytes from 10.48.176.69: icmp_seq=3 ttl=64 time=0.346 ms
64 bytes from 10.48.176.69: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 10.48.176.69: icmp_seq=5 ttl=64 time=0.350 ms
^C
--- 10.48.176.69 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4084ms
rtt min/avg/max/mdev = 0.217/0.290/0.350/0.052 ms
إذا تم تكوين vCenter باستخدام FQDN بدلا من عنوان IP، يمكن إستخدام الأمر nslookup للتحقق من تحليل الاسم.
apic1:~> nslookup bdsol-aci37-vc
Server: 10.48.37.150
Address: 10.48.37.150#53
Non-authoritative answer:
Name: bdsol-aci37-vc.cisco.com
Address: 10.48.176.69
3. تأكد من إستخدام OOB أو INB
تحقق من جدول توجيه APIC للتحقق مما إذا كان يفضل الاتصال خارج النطاق أو داخل النطاق الترددي وما هي البوابة التي يتم إستخدامها:
apic1# bash
admin@apic1:~> route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.48.176.1 0.0.0.0 UG 16 0 0 oobmgmt
4. تأكد من السماح بالمنفذ 443 بين جميع أجهزة APIC و vCenter، بما في ذلك أي جدران حماية في مسار الاتصال.
vCenter <-> APIC - HTTPS (منفذ TCP رقم 443) - الاتصال
يمكن إختبار إمكانية الوصول إلى HTTPS العامة من APICs إلى vCenter باستخدام توجيه:
apic2# curl -v -k https://10.48.176.69
* Rebuilt URL to: https://10.48.176.69/* Trying 10.48.176.69...
* TCP_NODELAY set
* Connected to 10.48.176.69 (10.48.176.69) port 443 (#0)
...
تحقق من أن مدير القناة لديه اتصال TCP ثابت على المنفذ 443 باستخدام الأمر netstat.
apic1:~> netstat -tulaen | grep 10.48.176.69
tcp 0 0 10.48.176.57:40806 10.48.176.69:443 ESTABLISHED 600 13062800
5. تنفيذ التقاط حزمة
إن أمكن، أنجزت ربط التقاط على طول الممر بين التقطير رئيس و vCenter في محاولة لتحديد ما إذا كان حركة المرور يتم إرسالها واستقبالها بواسطة أي من الجهازين.
جرد VMware
يعرض هذا الجدول قائمة بمعلمات VDS ل VMWare ويحدد ما إذا كانت هذه المعلمات قابلة للتكوين بواسطة APIC.
معلمات VDS من VMware المدارة بواسطة APIC
| VMware VDS |
القيمة الافتراضية |
قابل للتكوين باستخدام سياسة APIC من Cisco؟ |
| الاسم |
اسم مجال VMM |
نعم (مشتق من المجال) |
| الوصف |
'APIC Virtual Switch' |
لا |
| اسم المجلد |
اسم مجال VMM |
نعم (مشتق من المجال) |
| الإصدار |
أعلى دعم بواسطة تقنية vCenter |
نعم |
| بروتوكول الاستكشاف |
بروتوكول LLDP |
نعم |
| منافذ الوصلات وأسماء الوصلات |
8 |
نعم (من Cisco APIC، الإصدار 4.2(1) |
| بادئة اسم الوصلة |
وصلة |
نعم (من Cisco APIC، الإصدار 4.2(1) |
| الحد الأقصى ل MTU |
9000 |
نعم |
| سياسة LACP |
معطل |
نعم |
| النسخ المتطابق للمنافذ |
0 جلسات |
نعم |
| إنذار |
تمت إضافة تنبيهين على مستوى المجلد |
لا |
يبدي هذا طاولة قائمة ميلان إلى جانب من VMWare VDS أيسر مجموعة معلم ويعين ما إذا هذه يمكن تكوينها بواسطة ال APIC.
معلمات مجموعة المنافذ VMWare VDS المدارة من قبل APIC
| مجموعة منافذ VDS من VMware |
القيمة الافتراضية |
قابل للتكوين باستخدام سياسة APIC |
| الاسم |
اسم المستأجر | اسم ملف تعريف التطبيق | اسم EPG |
نعم (مشتق من EPG) |
| ربط المنفذ |
ربط ساكن |
لا |
| VLAN |
منتقى من تجمع VLAN |
نعم |
| خوارزمية موازنة التحميل |
مستمد من سياسة قناة المنفذ على APIC |
نعم |
| وضع الاختلاط |
معطل |
نعم |
| بث مزور |
معطل |
نعم |
| تغيير MAC |
معطل |
نعم |
| حظر جميع المنافذ |
خطأ |
لا |
أستكشاف أخطاء مخزون VMware وإصلاحها
تحدث أحداث مزامنة المخزون للتأكد من أن APIC على دراية بأحداث vCenter التي تتطلب من APIC تحديث النهج بشكل ديناميكي. هناك نوعان من أحداث مزامنة المخزون التي يمكن أن تحدث بين vCenter و APIC، ومزامنة مخزون كاملة ومزامنة مخزون قائمة على الأحداث. والجدول الافتراضي لمزامنة مخزون كاملة بين APIC و vCenter هو كل 24 ساعة، ومع ذلك يمكن تشغيل هذه العملية يدويا أيضا. ترتبط عمليات مزامنة المخزون المستندة إلى الأحداث عادة بالمهام المشغلة، مثل vMotion. في هذا السيناريو، إذا انتقل جهاز افتراضي من مضيف إلى آخر، وكانت تلك الأجهزة المضيفة متصلة بمحولين طرفيين مختلفين، فإن APIC سوف يستمع لحدث ترحيل VM، وفي سيناريو النشر عند الطلب فورا، إلغاء برمجة EPG على الورقة المصدر، وبرمج EPG على الورقة الوجهة.
وتبعا لوصول نشر مجموعات الطوارئ إلى حيز مراقبة الأجهزة الافتراضية (VMM) فورا، قد يؤدي عدم سحب المخزون من المركز إلى عواقب غير مستصوبة. في السيناريو الذي فشل فيه المخزون في الإكمال أو فشل في الإكمال الجزئي، سيكون هناك دائما خطأ مثار يشير إلى الكائن أو الكائنات التي تسببت في الفشل.
السيناريو 1 - الجهاز الظاهري مع نسخة إحتياطية غير صالحة:
إذا تم نقل جهاز ظاهري من vCenter إلى آخر أو تم تحديد الجهاز الظاهري على أنه يملك نسخة إحتياطية غير صحيحة (على سبيل المثال، مرفق مجموعة منافذ إلى DVS قديم/محذوف)، سيتم الإبلاغ عن وجود مشاكل تشغيلية في vNIC.
Fault fltCompVNicOperationalIssues
Rule ID:2842
Explanation:
This fault is raised when ACI controller failed to update the properties of a VNIC (for instance, it can not find the EPG that the VNIC attached to).
Code: F2842
Message: Operational issues detected for VNic name on VM name in VMM controller: hostOrIp with name name in datacenter rootContName in domain: domName due to error: issues.
Resolution:
Remediate the virtual machines indicated in the fault by assigning a valid port group on the affected vNIC of the VM.
السيناريو 2 — قام مسؤول vCenter بتعديل كائن تتم إدارته باستخدام برنامج VMM على vCenter:
تعديل الكائنات التي تتم إدارتها بواسطة APIC من vCenter ليست عملية مدعومة. يمكن ملاحظة هذا الخطأ إذا تم إجراء عملية غير مدعومة على vCenter.
Fault fltCompCtrlrUnsupportedOperation
Rule ID:133
Explanation:
This fault is raised when deployment of given configuration fails for a Controller.
Code: F0133
Message: Unsupported remote operation on controller: hostOrIp with name name in datacenter rootContName in domain domName detected, error: [deployIssues]
Resolution:
If this scenario is encountered, try to undo the unsupported change in vCenter and then trigger an 'inventory sync' manually.
مجال VMWare VMM - وحدة التحكم vCenter - تشغيل مزامنة المخزون
إصدار VMware DVS
عند إنشاء وحدة تحكم vCenter جديدة كجزء من مجال VMM، سيكون الإعداد الافتراضي لإصدار DVS هو إستخدام "افتراضي vCenter". عند تحديد هذا الخيار، سيتم إنشاء إصدار DVS باستخدام إصدار vCenter.
مجال VMWare VMM - إنشاء وحدة التحكم vCenter
وهذا يعني أنه في مثال vCenter الذي يشغل خوادم 6.5 و ESXi التي تشغل الإصدار 6.0، سيقوم APIC بإنشاء DVS بالإصدار 6.5 وبالتالي لن يتمكن مسؤول vCenter من إضافة خوادم ESXi التي تشغل الإصدار 6.0 في ACI DVS.
DVS المدار من APIC - إضافة مضيف vCenter - قائمة فارغة
DVS المدار من APIC - إضافة مضيف vCenter - مضيفات غير متوافقة
لذلك، عند إنشاء مجال VMM تأكد من تحديد "إصدار DVS" الصحيح بحيث يمكن إضافة خوادم ESXi الضرورية إلى DVS.
الاستكشاف الديناميكي للمضيف
المضيف / عملية اكتشاف الأجهزة الافتراضية
تعمل ميزة دمج الأجهزة الافتراضية (VMM) في قائمة التحكم في الوصول (ACI) على تمييز نفسها عن الإمداد اليدوي من حيث إمكانية اكتشاف البنية بشكل ديناميكي مكان توصيل الأجهزة المضيفة والأجهزة الافتراضية القابلة للتطبيق لسياسة النشر بكفاءة. من خلال هذه العملية الديناميكية، يمكن ل ACI تحسين إستخدام موارد الأجهزة على المحولات الطرفية حيث يتم نشر شبكات VLAN و SVIs وقواعد تقسيم المناطق والمزيد على العقد فقط عندما تكون هناك نقطة نهاية متصلة تتطلب السياسة. تتمثل الميزة لمسؤول الشبكة، من منظور سهولة الاستخدام، في أن قائمة التحكم في الوصول (ACI) ستوفر شبكة VLAN/السياسة التي تتصل بها الأجهزة الافتراضية (VM) بطريقة مؤتمتة. لتحديد أين يجب نشر السياسة، سيستخدم APIC المعلومات من مصادر متعددة. يوضح هذا المخطط الخطوات الأساسية لعملية اكتشاف المضيف عند إستخدام مجال VMM مستند إلى DVS.
مجال VMWare VMM — سير عمل النشر
وباختصار، تحدث هذه الخطوات الرئيسية عندما:
- يتم تبادل بروتوكول LLDP أو CDP بين برنامج hypervisor والمحولات الطرفية.
- يقوم المضيفون بالإبلاغ عن معلومات التجاور إلى vCenter.
- يقوم vCenter بإعلام APIC بمعلومات التجاور:
- تعرف APIC بالمضيف من خلال مزامنة المخزون.
- يدفع APIC السياسة إلى منفذ الورقة:
- يرجى مراجعة القسم الفرعي القرار الفوري لزيادة فهم هذه الشروط.
- إذا تم فقد معلومات تجاور vCenter، يمكن ل APIC إزالة السياسة.
وكما يمكن ملاحظته، يلعب بروتوكول CDP/LLDP دورا أساسيا في عملية الاكتشاف ومن المهم التأكد من تكوين هذه العملية بشكل صحيح وأن كلا الجانبين يستخدمان البروتوكول نفسه.
Fabric LooseNode / المحول الوسيط - حالة الاستخدام
في عملية نشر تستخدم هيكلا نصليا مع محول متوسط بين المحولات الطرفية وبرنامج hypervisor، يحتاج APIC إلى "ربط" التجاور معا. في هذا السيناريو، يمكن إستخدام بروتوكولات اكتشاف متعددة حيث يحتوي المحول الوسيط على متطلبات بروتوكول مختلفة عن المضيف.
في عملية إعداد باستخدام خادم نصلي ومفتاح متوسط (أي محول هيكل نصلي)، يمكن لواجهة برمجة التطبيقات (ACI) اكتشاف المحول الوسيط وتعيين برامج مراقبة الأجهزة الافتراضية وراءه. ويشار إلى المحول الوسيط في واجهة التحكم في الوصول (ACI) على أنه LooseNode أو "عقدة بنية غير مدارة". ويمكن عرض العقد غير المحولة التي تم اكتشافها ضمن البنية > المخزون > عضوية البنية > عقد البنية غير المدارة. بالانتقال إلى واحد من هذا نوع الخادم في ال gui، المستعمل يستطيع شاهدت المسار من ورقة إلى مفتاح متوسط إلى مضيف.
واجهة مستخدم APIC — عقد بنية غير مدارة (LooseNode)
مع وجود اكتشاف بروتوكول LLDP أو CDP، يمكن ل ACI تحديد مخطط مثل LooseNode، نظرا لأن برنامج مراقبة الأجهزة الظاهرية لتدفق البيانات من المحول الوسيط يتم إدارته من خلال تكامل VMM، وأن الشاشة نفسها لديها تجاور للمحول الوسيط من الخادم.
هذا المفهوم موضح في هذه الصورة:
APIC UI — مسار عقدة البنية غير المدارة
القرار الفوري
في السيناريوهات التي تستخدم فيها الخدمات الحيوية محركات الأقراص الثابتة المدمجة في ذاكرة VMM مثل إمكانية الاتصال بالإدارة عبر منفذ vCenter/ESXi، من الحكمة إستخدام حل فوري قبل التوفير. باستخدام هذا الإعداد، تتم إزالة آلية اكتشاف المضيف الديناميكي وبدلا من ذلك، تتم برمجة النهج / شبكات VLAN بشكل ثابت على الواجهات التي تواجه المضيف. في هذا التكوين، سيتم نشر شبكات VLAN الخاصة بوحدات VMM دائما في جميع الواجهات المرتبطة ب AEP المشار إليها بواسطة مجال VMM. هذا يزيل أحتمالية إزالة شبكة VLAN الحرجة (مثل الإدارة) من منفذ ما بسبب حدث تجاور متعلق ببروتوكول الاكتشاف.
أحلت هذا رسم بياني:
مثال النشر قبل التزويد
إذا تم تعيين التوفير المسبق ل EPG في مجال ACI_VDS1 VMM، فسيتم نشر شبكات VLAN على إرتباطات للخادم 1 ولكن ليس للخادم 2 حيث أن AEP الخاصة بالخادم 2 لا تتضمن مجال ACI_VDS1 VMM.
ولتلخيص إعدادات دقة الوضوح الفورية:
- عند الطلب - يتم نشر السياسة عند إنشاء التجاور بين الوحدة الطرفية والمضيف وترتبط VM بمجموعة المنفذ.
- فوري - يتم نشر السياسة عند إنشاء التجاور بين الورقة والمضيف.
- قبل التوفير - يتم نشر السياسة إلى جميع المنافذ باستخدام AEP مع وجود مجال VMM، ولا يلزم وجود تجاور.
سيناريوهات أستكشاف الأخطاء وإصلاحها
يتعذر على VM حل ARP للعبارة الافتراضية الخاصة به
في هذا السيناريو، تم تكوين تكامل VMM وتمت إضافة DVS إلى برنامج مراقبة الأجهزة الافتراضية ولكن لا يمكن ل VM حل ARP للبوابة الخاصة به في قائمة التحكم بالوصول (ACI). للحصول على اتصال الشبكة (VM)، تحقق من إنشاء التجاور ونشر شبكات VLAN.
أولا، يمكن للمستخدم التحقق من أن المضيف قد كشف عن طريق إستخدام إظهار جيران بروتوكول LLDP أو إظهار جيران بروتوكول CDP على الورقة وفقا للبروتوكول المحدد.
Leaf101# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
bdsol-aci37-apic1 Eth1/1 120 eth2-1
bdsol-aci37-apic2 Eth1/2 120 eth2-1
bdsol-aci37-os1 Eth1/11 180 B 0050.565a.55a7
S1P1-Spine201 Eth1/49 120 BR Eth1/1
S1P1-Spine202 Eth1/50 120 BR Eth1/1
Total entries displayed: 5
إذا لزم الأمر من منظور أستكشاف الأخطاء وإصلاحها، يمكن التحقق من صحة ذلك من جانب ESXi على كل من واجهة سطر الأوامر (CLI) وواجهة المستخدم الرسومية (GUI):
[root@host:~] esxcli network vswitch dvs vmware list
VDS_Site1
Name: VDS_Site1
...
Uplinks: vmnic7, vmnic6
VMware Branded: true
DVPort:
Client: vmnic6
DVPortgroup ID: dvportgroup-122
In Use: true
Port ID: 0
Client: vmnic7
DVPortgroup ID: dvportgroup-122
In Use: true
Port ID: 1
[root@host:~] esxcfg-nics -l
Name PCI Driver Link Speed Duplex MAC Address MTU Description
vmnic6 0000:09:00.0 enic Up 10000Mbps Full 4c:77:6d:49:cf:30 9000 Cisco Systems Inc Cisco VIC Ethernet NIC
vmnic7 0000:0a:00.0 enic Up 10000Mbps Full 4c:77:6d:49:cf:31 9000 Cisco Systems Inc Cisco VIC Ethernet NIC
[root@host:~] vim-cmd hostsvc/net/query_networkhint --pnic-name=vmnic6 | grep -A2 "System Name"
key = "System Name",
value = "Leaf101"
}
عميل ويب vCenter - المضيف - تفاصيل التجاور LLDP/CDP vMNIC
إذا تعذر رؤية تجاور بروتوكول LLDP الطرفي من مضيف ESXi، فإن ذلك غالبا ما ينتج عن إستخدام مهايئ شبكة تم تكوينه لإنشاء وحدات بيانات بروتوكول الجسر (LLDPDUs) بدلا من نظام تشغيل ESXi. تأكد من التحقق مما إذا كان محول الشبكة يدعم بروتوكول LLDP ومن ثم يستهلك جميع معلومات بروتوكول LLDP. وفي هذه الحالة، تأكد من تعطيل LLDP على المحول نفسه حتى يمكن التحكم فيه من خلال سياسة vSwitch.
قد يكون هناك سبب آخر هو وجود عدم محاذاة بين بروتوكولات الاكتشاف المستخدمة بين برنامج hypervisor لمراقبة الأجهزة الافتراضية الخاص ب Leaf و ESXi. تأكد من كلا الطرفين لاستخدام نفس بروتوكول الاكتشاف.
للتحقق مما إذا كانت إعدادات CDP/LLDP محاذية بين ACI و DVS في واجهة مستخدم APIC، انتقل إلى الشبكات الظاهرية > مجالات VMM > VMWare > السياسة > سياسة vSwitch. تأكد من تمكين نهج LLDP أو CDP فقط نظرا لأنه خاص بالتبادل.
واجهة مستخدم APIC - مجال VMWare VMM - نهج vSwitch
في Center انتقل إلى: الشبكة > VDS > التكوين.
واجهة مستخدم عميل ويب vCenter - خصائص VDS
قم بتصحيح إعدادات LLDP/CDP إذا لزم الأمر.
ثم قم بالتحقق من أن APIC يلاحظ جوار LLDP/CDP الخاص بمضيف ESXi مقابل المحول الطرفي في واجهة المستخدم تحت الشبكة الظاهرية > مجالات VMM > VMWare > السياسة > وحدة التحكم > برنامج Hypervisor > عام.
واجهة مستخدم APIC - مجال VMWare VMM - تفاصيل برنامج Hypervisor
إن يبدي هذا يكون قيمة متوقع، بعد ذلك المستعمل يستطيع دققت أن ال VLAN يكون حاضر على الميناء نحو المضيف.
S1P1-Leaf101# show vlan encap-id 1035
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
12 Ecommerce:Electronics:APP active Eth1/11
VLAN Type Vlan-mode
---- ----- ----------
12 enet CE
موصل vCenter/ESXi Management VMK مرفق بمحركات أقراص DVS التي تدعم تقنية APIC
في سيناريو يحتاج فيه حركة مرور الإدارة vCenter أو ESXi إلى إستخدام أجهزة DVS المدمجة المزودة بتقنية VMM، من المهم توخي بعض الحذر الإضافي لتجنب حدوث حالة من الجمود في تنشيط التجاور الديناميكي وتنشيط شبكات VLAN المطلوبة.
بالنسبة ل vCenter، الذي يتم بناؤه عادة قبل تكوين تكامل VMM، من المهم إستخدام مجال فعلي ومسار ثابت لضمان أن VCenter VM encap VLAN تتم برمجته دائما على المحولات الطرفية بحيث يمكن إستخدامه قبل إعداد تكامل VMM بالكامل. حتى بعد إعداد تكامل VMM، ينصح بترك هذا المسار الثابت في موضعه لضمان توفر EPG هذا دائما.
بالنسبة لبرامج مراقبة الأجهزة الافتراضية ESXi، وفقا لدليل المحاكاة الافتراضية المرتكزة على التطبيقات من Cisco على Cisco.com، عند الترحيل إلى نظام vDS، من المهم التأكد من نشر مجموعة إدارة مستوى الإدارة (EPG) حيث سيتم توصيل واجهة إدارة الأجهزة الافتراضية (VMK) مع تعيين الدقة بشكل مسبق. وهذا سيضمن برمجة شبكة VLAN دائما على المحولات الطرفية دون الاعتماد على اكتشاف بروتوكول LLDP/CDP الخاص بالأجهزة المضيفة للبروتوكول ESXi.
لم يتم اكتشاف تجاور المضيف خلف LooseNode
الأسباب النموذجية لمشاكل اكتشاف LooseNode هي:
- لم يتم تمكين CDP/LLDP
- يجب تبادل CDP/LLDP بين المحول الوسيط والمحولات الطرفية ومستضيفي ESXi
- بالنسبة إلى Cisco UCS، يتم تحقيق ذلك عبر سياسة التحكم في الشبكة على بطاقة واجهة الشبكة (vNIC)
- يؤدي أي تغيير في إدارة IP الخاصة بجارة بروتوكول LLDP/CDP إلى كسر الاتصال
- سيرى vCenter عنوان IP الخاص بالإدارة الجديدة في تجاور بروتوكول LLDP/CDP، ولكنه لن يقوم بتحديث APIC
- تشغيل مزامنة مخزون يدوية لإصلاحها
- لا تتم إضافة شبكات VLAN VMM إلى المحول الوسيط
- لا يقوم APIC ببرمجة المحولات النصلية/الوسيطة التابعة لجهة خارجية.
- يتوفر تطبيق تكامل Cisco UCSM (ExternalSwitch) في الإصدار 4.1(1).
- يجب تكوين شبكات VLAN وتوصيلها إلى وصلات متصلة بعقد طرفية خاصة بواجهة التحكم بالوصول (ACI) وروابط داخلية متصلة بالأجهزة المضيفة
F606391 - عمليات التجاور المفقودة للمهايئ المادي على المضيف
عند رؤية هذا الخطأ:
Affected Object: comp/prov-VMware/ctrlr-[DVS-DC1-ACI-LAB]-DVS1/hv-host-104
Fault delegate: [FSM:FAILED]: Get LLDP/CDP adjacency information for the physical adapters on the host: bdsol-aci20-os3 (TASK:ifc:vmmmgr:CompHvGetHpNicAdj)
يرجى مراجعة سير العمل في القسم VM لا يمكن حل ARP لبوابة الوصول الافتراضية الخاصة به حيث يعني ذلك أن هناك تجاور CDP/LLDP مفقود. ويمكن التحقق من هذه التجاور من نهاية إلى نهاية.
موازنة حمل وصلة برنامج Hypervisor
عند توصيل برامج مراقبة الأجهزة الافتراضية مثل ESXi بنسيج قائمة التحكم في الوصول (ACI)، سيتم توصيلها عادة بالعديد من الوصلات. وفي الواقع، يوصى بوجود مضيف ESXi متصل بمحولين طرفيين على الأقل. سيؤدي ذلك إلى تقليل تأثير سيناريوهات الفشل أو عمليات الترقية إلى الحد الأدنى.
لتحسين كيفية إستخدام الوصلات من قبل أحمال العمل التي تعمل على برنامج hypervisor، تتيح تكوينات vCenter من VMware تكوين خوارزميات موازنة الأحمال المتعددة لحركة المرور التي تم إنشاؤها بواسطة VM تجاه وصلات برنامج hypervisor.
من المهم للغاية أن تتم محاذاة جميع برامج مراقبة الأجهزة الظاهرية (Hypervisor) ونسيج قائمة التحكم في الوصول (ACI) مع نفس تكوين خوارزمية موازنة الأحمال لضمان توفر الاتصال الصحيح. وقد يؤدي الفشل في القيام بذلك إلى حالات سقوط متقطعة لتدفق حركة المرور وتحركات نقاط النهاية في بنية واجهة التحكم في الوصول (ACI).
ويمكن ملاحظة ذلك في بنية قائمة التحكم في الوصول (ACI) من خلال التنبيهات المفرطة مثل:
F3083 fault
ACI has detected multiple MACs using the same IP address 172.16.202.237.
MACs: Context: 2981888. fvCEps:
uni/tn-BSE_PROD/ap-202_Voice/epg-VLAN202_Voice/cep-00:50:56:9D:55:B2;
uni/tn-BSE_PROD/ap-202_Voice/epg-VLAN202_Voice/cep-00:50:56:9D:B7:01;
or
[F1197][raised][bd-limits-exceeded][major][sys/ctx-[vxlan-2818048]/bd-[vxlan-16252885]/fault-F1197]
Learning is disabled on BD Ecommerce:BD01
سيغطي هذا الفصل اتصال ESXi من VMWare بواجهة برمجة التطبيقات (ACI) ولكنه قابل للتطبيق على معظم برامج مراقبة الأجهزة الافتراضية.
خادم مركب على حامل
عند النظر إلى الطرق المختلفة التي يمكن من خلالها لمضيف ESXi الاتصال بنسيج واجهة وحدة التحكم بالوصول (ACI)، فإنه يتم تقسيمه إلى مجموعتين، خوارزميات موازنة الأحمال المعتمدة على المحولات وغير المعتمدة على المحولات.
تعد خوارزميات موازنة الأحمال غير المعتمدة على المحول بمثابة طرق للاتصال في الحالات التي لا تكون فيها هناك حاجة إلى تكوين محول محدد. بالنسبة لموازنة الأحمال التي تعتمد على المحول، يلزم توفر تكوينات خاصة بالمحول.
تأكد من التحقق من صحة ما إذا كان نهج vSwitch متوافقا مع متطلبات مجموعة سياسات الوصول ل ACI كما هو موضح في هذا الجدول:
نهج تكوين الفرق ومفتاح التحكم في الوصول (ACI)
| وضع VMware Teaming وتجاوز الفشل |
سياسة محول ACI |
الوصف |
مجموعة سياسة الوصول إلى ACI - قناة المنفذ مطلوبة |
| المسار استنادا إلى المنفذ الظاهري الأصلي |
ماك بينينغ |
حدد وصلة استنادا إلى معرفات المنافذ الظاهرية على المحول. بعد أن يقوم المحول الظاهري بتحديد وصلة للجهاز الظاهري أو لمهايئ VMKernel، فإنه يقوم دائما بإعادة توجيه حركة مرور البيانات من خلال نفس الوصلة لهذا الجهاز الظاهري أو لمهايئ VMKernel. |
لا |
| المسار المستند إلى تجزئة MAC المصدر |
غير موجود |
حدد وصلة بناءا على تجزئة من عنوان MAC المصدر |
غير موجود |
| ترتيب واضح لتجاوز الفشل |
إستخدام وضع تجاوز الفشل الصريح |
من قائمة المهايئات النشطة، أستخدم دائما أعلى وصلات الترتيب التي تتجاوز معايير اكتشاف تجاوز الفشل. لا يتم إجراء موازنة حمل فعلية باستخدام هذا الخيار. |
لا |
| تجميع الارتباطات (LAG) - مستند إلى تجزئة IP |
القناة الثابتة - تشغيل الوضع |
حدد وصلة استنادا إلى تجزئة لعناوين IP للمصدر والوجهة لكل حزمة. بالنسبة للحزم غير الخاصة ب IP، يستخدم المحول البيانات في هذه الحقول لحساب التجزئة. يتطلب تكوين فريق يستند إلى IP تكوين قناة/VPC على جانب واجهة وحدة التحكم في الوصول الخاصة بالمنفذ باستخدام "وضع التشغيل". |
نعم (تم تعيين وضع القناة على 'On') |
| تجميع الارتباطات (LAG) - LACP |
LACP نشط / سلبي |
حدد وصلة بناء على تجزئة محددة (يتوفر 20 خيار تجزئة مختلف). يتطلب تكوين فريق قائم على بروتوكول LACP تكوين قناة/VPC على جانب واجهة التحكم في الوصول (ACI) باستخدام تمكين LACP. تأكد من إنشاء سياسة تأخير محسنة في قائمة التحكم في الوصول (ACI) وتطبيقها على سياسة VSwitch. |
نعم (تم تعيين وضع القناة على 'LACP Active/Passive') |
| المسار المستند إلى الحمل الفعلي لبطاقة واجهة الشبكة (LBT) |
تثبيت MAC - التحميل المادي لبطاقة واجهة الشبكة (NIC) |
متوفر لمجموعات المنافذ الموزعة أو المنافذ الموزعة. حدد وصلة استنادا إلى الحمل الحالي لمهايئات الشبكة الفعلية المتصلة بمجموعة المنافذ أو المنفذ. إذا ظلت الوصلة مشغولة بنسبة 75 بالمائة أو أعلى لمدة 30 ثانية، يقوم جهاز المضيف vSwitch بنقل جزء من حركة مرور الجهاز الظاهري إلى مهايئ فعلي ذي سعة حرة. |
لا |
راجع لقطة الشاشة هذه حول كيفية التحقق من سياسة قناة المنفذ كجزء من نهج vSwitch الموجود.
سياسة محول ACI — سياسة قناة المنفذ
ملاحظة: للحصول على وصف أكثر تعمقا لميزات شبكات VMware، يرجى مراجعة ميزة vSphere على العنوان https://docs.vmware.com/en/VMware-vSphere/6.5/com.vmware.vsphere.networking.doc/GUID-D34B1ADD-B8A7-43CD-AA7E-2832A0F7EE76.html
حالة إستخدام Cisco UCS B-Series
عند إستخدام خوادم Cisco UCS من السلسلة B، من المهم ملاحظة أنها تتصل داخل الهيكل الخاص بها بالموصلات البينية الليفية UCS (FIs) التي ليس لها مستوى بيانات موحد. تنطبق حالة الاستخدام هذه أيضا على الموردين الآخرين الذين يستخدمون طبولوجيا مماثلة. ولهذا السبب، يمكن أن يكون هناك فرق بين طريقة موازنة الأحمال المستخدمة من جانب محول صفحة قائمة التحكم في الوصول (ACI) وجانب vSwitch.
هذه طبولوجيا UCS Fi مع ACI:
Cisco UCS Fi مع المحولات الطرفية ل ACI - المخطط
الامور الرئيسية التي يجب ملاحظتها:
- يحتوي كل Cisco UCS Fi على قناة منفذ باتجاه المحولات الطرفية المرتكزة على التطبيقات.
- تتصل UCS FiS بشكل مباشر لأغراض خفقان القلب فقط (غير مستخدمة لمستوى البيانات).
- يتم تثبيت بطاقة واجهة الشبكة (NIC) الخاصة بكل خادم نصلي بمحول UCS Fi معين أو تستخدم مسارا تجاه إحدى المؤسسات المالية (FIs) باستخدام تجاوز فشل بنية UCS (وضع الاستعداد النشط).
- سيؤدي إستخدام خوارزميات تجزئة IP على محول ESXi المضيف إلى حدوث ترددات MAC على شبكات UCS Fi.
لتكوين هذا بشكل صحيح:
عند تكوين تثبيت MAC على سياسة قناة المنفذ كجزء من سياسة vSwitch في واجهة التحكم في الوصول (ACI)، سيقوم هذا بإظهار "المسار استنادا إلى تكوين تكوين تكوين تكوين تكوين تكوين تكوين فريق المنفذ الذي تم إنشاؤه على VDS".
ACI — سياسة قناة المنفذ كجزء من سياسة vSwitch
يتم تسمية نهج قناة المنفذ المستخدم في المثال تلقائيا بواسطة المعالج ومن ثم يسمى "CDS_LACPlagPol" على الرغم من أننا نستخدم الوضع "MAC Pinning".
VMWare vCenter — ACI VDS — مجموعة المنافذ — إعداد موازنة التحميل
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
16-Aug-2024 |
التنسيق، مشاكل النمط، صياغة DEI، الرؤوس |
1.0 |
05-Aug-2022 |
الإصدار الأولي |
التعليقات