С 9 марта 2021 года актуальной стала версия 7.0U2 нашего vCenter Server. Новый билд добавил множество полезных и интересных функций, а также неплохо поработал над исправлением ошибок. Однако, некоторые из них все еще не исправлены, к тому же добавились некоторые проблемы и конкретно по этому релизу. Учитывая, что специального материала траблшутингу такой ключевой в виртуализации VMware вещи, как vCenter Server, мы еще не посвящали, поспешим исправить этот недочет прямо сейчас, для удобства разбив всю проблематику по зонам ответственности.
Ошибки безопасности
- Issue: Удаленные HTTPS сервера могут не посылать заголовок ответа HTTP Strict-Transport-Security (HSTS) на порты 5480 и 5580.
Resolve: нет.
- Issue: Если не добавить корневой сертификат AD FS в Trusted Root Certificates Store, AD FS логины не проходят после апгрейда до последней версии vCenter Server.
Resolve: Следовать инструкциям, изложенным здесь. Больше информации можно узнать из этого КБ.
Проблемы с сетью
- Issue: Большие среды vSphere с кол-вом хостов, превышающим 2 000 и 45 000 ВМ требуют более двух часов для синхронизации в облаке с использованием VMware NSX Advanced Load Balancer Controller.
Resolve: нет.
Ошибки хранилища
- Issue: Не получается зарегистрировать Dell EMC Unity 500/600 vSphere API для Storage Awareness (VASA) провайдера в системе vCenter Server (из «Configure» – «Security» – «Storage Providers»). В клиенте vSphere демонстрируется ошибка вида:
A problem was encountered while provisioning a VMware Certificate Authority (VMCA) signed certificate for the provider
Известно, как для свежих инсталляций, так и для апгрейдов среды.
Resolve: Если для Unity 500/600 VASA-провайдер был уже зарегистрирован в версии vCenter Server, предшествующей текущей, нужно проделать следующее:
-
- Вызвать список всех сертификатов, например, вот так:
# uemcli -d <unity500 or 600 host address> -u <username> -p <password> /sys/cert -service VASA_HTTP show -detail
1: ID = vasa_http-vc1-servercert-1
2: ID = vasa_http-vc1-cacert-1
3: ID = vasa_http-vc1-cacert-2
-
- Удалить первый корневой сертификат командой:
#uemcli -d <unity500 or 600 host address> -u <username? -p <password> /sys/cert -id vasa_http-vc1-cacert-1 delete
-
- Зарегистрировать Dell EMC Unity 500/600 VASA-провайдер.
В случае, когда это первая регистрация VASA-провайдера для Dell EMC Unity 500/600, и она не удалась, можно попробовать просто ее повторить, однако, если и это не поможет, на массивах нужно проделать следующее:
-
- Вызвать список сертификатов:
# uemcli -d <unity500 or 600 host address> -u <username> -p <password> /sys/cert -service VASA_HTTP show -detail
1: ID = vasa_http-vc1-servercert-1
2: ID = vasa_http-vc1-cacert-1
3: ID = vasa_http-vc1-cacert-2
-
- Удалить первый корневой СА-сертификат командой:
# uemcli -d <unity500 or 600 host address> -u <username? -p <password> /sys/cert -id vasa_http-vc1-cacert-1 delete
-
- Зарегистрировать VASA-провайдер для Dell EMC Unity 500/600.
Проблемы с инсталляцией, апгрейдом и миграцией
- Issue: Пре-чек апгрейда с vCenter Server 6.5.x/6.7.x через инсталлятор графического интерфейса не удается с ошибкой:
Error in method invocation [Errno 1] Unknown host.
Resolve: Убедиться, что источник vCenter Server и ESXi успешно запускает nslookup (обратный поиск IP-адреса), чтобы соответствующее имя хоста было ассоциировано с предоставленным IP-адресом.
- Issue: Сервис netdump не слышит порт 6500 после апдейта vCenter Server до последней версии.
Resolve: Открыть файл «/etc/sysconfig/netdumper» и поставить в параметре «NETDUMPER_PORT» значение «NETDUMPER_PORT=6500». После чего перезапустить сервис netdump командой:
service-control –restart netdumper
Проблемы с виртуальными машинами
- Issue: Не получается создать кластер vSAN или vCenter Lifecycle Manager при развороте vCenter Server в чистой IPv6-среде. vSAN или vCenter Lifecycle Manager
Resolve: Использовать FQDN вместо IP для настройки кластера vSAN или vCenter Lifecycle Manager. Альтернативно можно использовать IPv4-инфраструктуру.
Разные ошибки
- Issue: Конкурентные API-вызовы Cloud Native Storage (CNS) могут привести к ошибке в задаче апдейта метаданных (vim.vslm.vcenter.VStorageObjectManager). В редких случаях методы API CnsAttachVolume(attach) и CnsUpdateVolumeMetadata, (updateVolumeMetadata), управления жизненным циклом томов контейнеров (vim.cns.VolumeManager) могут бегать на одном и том же томе. В результате задача апдейта метаданных метода (vim.vslm.vcenter.VStorageObjectManager) – updateVstorageObjectMetadataEx – выдает ошибку в клиенте vSphere.
Resolve: Ошибку можно игнорировать, так как драйвер Kubernetes Container Storage Interface (CSI) все равно повторит операцию и в итоге все получится правильно.
- Issue: Если включить Federal Information Processing Standards (FIPS) на vCenter Server с настроенным НА, флажок FIPS не сохраняется после аварийного перезапуска (не реплицируется с активной на пассивную ноду).
Resolve: Запустить FIPS-режим для каждой активной и пассивной ноды.
- Issue: Очистка после тестирования плана восстановления с использованием VMware Site Recovery Manager 8.3.1.1 дает сбой с ошибкой подключения удаленного сервера вида:
The connection to the remote server is down. Operation timed out: 300 seconds
Resolve: Проапгрейдить SRM до версии 8.4.
- Issue: Добавление Active Directory Federation Services (AD FS) в качестве внешнего провайдера идентификации останавливается с ошибкой 503-го кода ответа HTTP. После нажатия на «Finish» в рабочем процессе добавления AD FS операция останавливается с ошибкой в клиенте vSphere:
HTTP response code: 503
Resolve: Нажать на «Finish» еще раз – операция завершится успешно.
Проблемы с vCenter Server и клиентом vSphere
- Issue: В клиенте vSphere задачи vSphere Lifecycle Manager и vSphere с VMware Tanzu не прогрессируют. При использовании комбинации версий vCenter Server 7.0U1 и U2 в переходной среде с включенным Enhanced Linked Mode задачи проверки соответствия образа, хоста или «железа», вызванные из клиента vSphere, могут не показывать прогресса, хотя на самом деле они работают.
Resolve: Использовать соответствующую версию клиента для управления средой. Если версия vCenter Server 7.0 – U1, то и vSphere Client должна быть 7.0U1. Для 7.0U2 – аналогично.
Если в последующих апдейтах вышеизложенные проблемы и ошибки будут исправлены, либо же их список дополнится, эта статья обязательно претерпит соответствующие изменения.