问题一:
配置分布式防火墙策略不生效或不稳定
排查过程:
1.检查分布式防火墙策略配置,无问题
2.检查虚拟机性能优化工具安装情况,无问题
2.检查虚拟机网络配置,无多余网卡、地址配置无问题
3.检查虚拟机网卡连接位置,发现虚拟机未连接虚拟交换机,直连物理接口,与客户协调窗口期更改虚拟机网卡连接为虚 拟交换机,测试分布式防火墙策略正常
问题原因:
1HCI6.7.0之前版本虚拟机需要桥接在虚拟交换机下分布式防火墙策略才生效(需要区分端口组和虚拟交换机,物理出 口拖动出来会自带端口组,如果虚拟机桥接在端口组也是不生效的 ),如果直连在物理出口端口组下,可在虚拟机和 物理出口端口组之间加一个虚拟交换机保证策略生效。从标准版本HCI6.7.0开始,分布式防火墙策略不在基于分布式 交换机,虚拟机不管连接在哪里,都会受到分布式防火墙策略的限制。
问题二:
HCI的分布式防火墙策略丢失(客户环境SCP与HCI需要共存,但分布式防火墙策略要由HCI创建)
排查进展:
1.检查HCI与SCP操作日志确认是否有管理员人为删除的操作
2.确认有SCP下发给HCI的策略动作
3.经与后端研发确认SCP与HCI的分布式防火墙下发逻辑
HCI的默认策略组:"全局平台直通策略"、"平台直通策略"、“全局控制策略”
SCP的默认策略组:平台直通策略”、“全局控制策略”
SCP给HCI下发策略也是只下发“平台直通策略”和“全局控制策略”里的策略,其他策略不会下发也不会干预,需要保证 HCI上“平台直通策略”和“全局控制策略”始终是前2条策略,用户创建策略不在默认策略里创建都不会受SCP的影响。
问题原因:
客户创建的策略放置默认策略,导致策略丢失
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
