NSX-T 3.1.0へのアップグレード後にネットワークの中断が発生する事象についての情報になります。
症状
・以前のバージョンからアップグレードされたNSX-Tデータセンター3.1.0
・アップグレード前に存在していたポリシーUI / APIから展開されたアクティブ/スタンバイTier-1ゲートウェイ
・アップグレードした直後に、これら2つの症状のいずれかまたは両方が観察される場合があります
・Tier-1SNATルールが期待どおりに機能しない可能性があります
・Tier-1ゲートウェイのデフォルトの許可ルールで許可されるべきネットワークトラフィックは機能しなくなりました。他のゲートウェイファイアウォールルールで許可されているトラフィックは問題なく機能します。
・アップグレード後に展開されたTier-1ゲートウェイは影響を受けません
・次のように、環境にこの問題を引き起こす問題構成があることを確認します
・ManagerUIビューに切り替えます。有効になっていない場合は、[システム]-> [ユーザーインターフェイス設定]で有効にします
・[セキュリティ]-> [エッジファイアウォール]に移動します
・ドロップダウンからTier-1ゲートウェイを選択します
・下部に「Policy_Default .......」という名前の2つのデフォルトポリシーセクションがあることを確認します。
・1つのデフォルトポリシーセクションはステートレスであり、1つのデフォルトポリシーセクションはステートフルです
・ステートレスポリシーはステートフルポリシーを上回っています
・ステートレスセクションを展開し、ルールIDを確認します
・ステートフルセクションを展開し、ルールIDが同じであることを確認します
原因
この問題は、Tier-1ゲートウェイのステートレスデフォルト許可ルールがアップグレードプロセス中に削除に失敗した場合に発生します。
トラフィックの中断は、このデフォルトのステートレスルールがデフォルトのステートフルルールを上回っている場合にのみ観察されます。
IDが重複しているこの問題ルールは、ポリシーUIには表示されず、マネージャーUIにのみ表示されます。
解決
これは、NSX-Tデータセンター3.1.0に影響する既知の問題です。現在、解決策はありません。
回避策
この問題は、デフォルトのルールで許可されているトラフィックフローでのみ発生します。
影響を受けるトラフィックのデフォルトルールの上に新しいキャッチオール許可ルールを作成すると、問題が修正されるはずです。
問題を永続的に解決するには、[症状]セクションで特定された問題ルールIDをAPIで削除する必要があります。
・サービスの中断を防ぐには、最初にUIを介して新しい許可ルールを追加します。これは後で削除できます。
・次を削除「https://NSX_MGR/api/v1/firewall/sections/
・Header X-Allow-Overwrite: true
・問題のファイアウォールルールは保護されたポリシーオブジェクトであるため、APIヘッダーX-Allow-Overwrite:trueを使用する必要があります。
・削除操作は、ステートフルおよびステートレスのデフォルトルールを削除します。
・削除操作が完了すると、ポリシーはステートフルデフォルトルールを自動的に再作成しますが、これには数分かかる場合があります。
「情報元」
https://kb.vmware.com/s/article/82202?lang=en_US