ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

NSX-T 3.1.0へのアップグレード後にネットワークの中断が発生する

NSX-T 3.1.0へのアップグレード後にネットワークの中断が発生する事象についての情報になります。

 

症状
・以前のバージョンからアップグレードされたNSX-Tデータセンター3.1.0
・アップグレード前に存在していたポリシーUI / APIから展開されたアクティブ/スタンバイTier-1ゲートウェイ
・アップグレードした直後に、これら2つの症状のいずれかまたは両方が観察される場合があります
 ・Tier-1SNATルールが期待どおりに機能しない可能性があります
 ・Tier-1ゲートウェイのデフォルトの許可ルールで許可されるべきネットワークトラフィックは機能しなくなりました。他のゲートウェイファイアウォールルールで許可されているトラフィックは問題なく機能します。


・アップグレード後に展開されたTier-1ゲートウェイは影響を受けません
・次のように、環境にこの問題を引き起こす問題構成があることを確認します
 ・ManagerUIビューに切り替えます。有効になっていない場合は、[システム]-> [ユーザーインターフェイス設定]で有効にします
 ・[セキュリティ]-> [エッジファイアウォール]に移動します
 ・ドロップダウンからTier-1ゲートウェイを選択します
 ・下部に「Policy_Default .......」という名前の2つのデフォルトポリシーセクションがあることを確認します。
 ・1つのデフォルトポリシーセクションはステートレスであり、1つのデフォルトポリシーセクションはステートフルです
 ・ステートレスポリシーはステートフルポリシーを上回っています
 ・ステートレスセクションを展開し、ルールIDを確認します
 ・ステートフルセクションを展開し、ルールIDが同じであることを確認します

 

 

原因
この問題は、Tier-1ゲートウェイのステートレスデフォルト許可ルールがアップグレードプロセス中に削除に失敗した場合に発生します。
トラフィックの中断は、このデフォルトのステートレスルールがデフォルトのステートフルルールを上回っている場合にのみ観察されます。
IDが重複しているこの問題ルールは、ポリシーUIには表示されず、マネージャーUIにのみ表示されます。

 

解決
これは、NSX-Tデータセンター3.1.0に影響する既知の問題です。現在、解決策はありません。

 

回避策
この問題は、デフォルトのルールで許可されているトラフィックフローでのみ発生します。
影響を受けるトラフィックのデフォルトルールの上に新しいキャッチオール許可ルールを作成すると、問題が修正されるはずです。

問題を永続的に解決するには、[症状]セクションで特定された問題ルールIDをAPIで削除する必要があります。

 

・サービスの中断を防ぐには、最初にUIを介して新しい許可ルールを追加します。これは後で削除できます。
・次を削除「https://NSX_MGR/api/v1/firewall/sections//rules/
 ・Header X-Allow-Overwrite: true


・問題のファイアウォールルールは保護されたポリシーオブジェクトであるため、APIヘッダーX-Allow-Overwrite:trueを使用する必要があります。
・削除操作は、ステートフルおよびステートレスのデフォルトルールを削除します。
・削除操作が完了すると、ポリシーはステートフルデフォルトルールを自動的に再作成しますが、これには数分かかる場合があります。

 

「情報元」

https://kb.vmware.com/s/article/82202?lang=en_US

 

最新 Apple iPad Pro (11インチ, Wi-Fi, 128GB) - シルバー (第2世代)