在 DFW 中创建全部拒绝规则后 vCenter Server 访问遭到阻止
Article ID: 339051
Updated On:
Products
VMware NSX
Issue/Introduction
要访问 vCenter Server,请将 DFW 回滚到使用 NSX Manager REST API DELETE 方法设置的默认防火墙规则。
Symptoms:
免责声明:本文为 vCenter Server access is blocked after creating a Deny All rule in DFW (2079620) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
在 NSX Distributed Firewall (DFW) 中创建全部拒绝规则(或修改默认的阻止操作规则)后访问 vCenter Server 遭到阻止。
Environment
VMware NSX for vSphere 6.3.x
VMware NSX for vSphere 6.2.x
VMware NSX for vSphere 6.1.x
VMware NSX for vSphere 6.0.x
VMware NSX for vSphere 6.4.x
Cause
创建群集时,如果使用导航到 NSX主页>安装>主机准备 的方式,则在该群集上部署 vCenter Server 会出现此问题。
创建群集时,DFW 功能会自动应用于群集上运行的所有客户机虚拟机。但是,DFW 功能会自动排除 NSX 组件,比如 NSX Manager、NSX Controller 和 NSX Edge。
创建群集时,DFW 功能会自动应用于群集上运行的所有客户机虚拟机。但是,DFW 功能会自动排除 NSX 组件,比如 NSX Manager、NSX Controller 和 NSX Edge。
Resolution
要解决此问题,请将 DFW 回滚到使用 NSX Manager REST API DELETE 方法设置的默认防火墙规则:
注意:在执行步骤前,请确保:
- 您已使用 NSX Manager Web 凭据(如管理员用户或已授予 NSX 特权的任何 vCenter Server 用户)获得基本授权。
- header: content-type: application/xml 使用 header: content-type: application/xml 和 Accept: application/xml。
Method: DELETE
URL:https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config
URL:https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config
注意:该请求必须返回状态 204。此时会为 DFW 恢复默认策略(使用默认允许规则),然后重新启用对 vCenter Server 和 vSphere Web Client 的访问。
为防止再次出现此问题,请将 vCenter Server 加入到排除列表:
- 使用 vSphere Web Client 登录到 vCenter Server。
- 导航到主页>Networking& Security。
- 选择 NSXManager。
- 在“管理”选项卡中,单击排除列表。
- 选择 + 图标添加 vCenter Server 虚拟机。
Feedback
Yes
No
Powered by
