はじめに
このドキュメントには、CX Cloud Agentの操作中に発生する可能性のあるFAQとトラブルシューティングシナリオが記載されています。
導入
Q. cloudfront.netへのURLリダイレクションは、CX Cloudバックエンドドメインへの接続時に想定される動作ですか。
A. はい。特定の導入シナリオでは、cloudfront.netへのリダイレクションが予想されます。これらのFQDNのポート443でリダイレクトを有効にして、インバウンドアクセスを許可する必要があります。
Q. 「Re-install」オプションを使用すると、新しいCX Cloud Agentを新しいIPアドレスで導入できますか。
A.はい
Q.インストールに使用できるファイル形式を教えてください。
A. OVAおよびVHD
Q.インストール可能なを導入できる環境を教えてください。
A. OVAの場合
- VMware ESXi バージョン 5.5 以降
- Oracle Virtual Box 5.2.30以降
VHDの場合
- Windows Hypervisor 2012 ~ 2016
Q. CX Cloud AgentはDHCP環境のIPアドレスを検出できますか。
A. はい、IP設定時のIPアドレスの割り当てが検出されます。ただし、CX Cloud Agentに対して今後予想されるIPアドレスの変更はサポートされていません。お客様のDHCP環境では、CX Cloud Agent用のIPを予約しておくことを推奨します。
Q. CX Cloud Agentは、IPv4とIPv6の両方の設定をサポートしていますか。
A. いいえ、IPV4のみがサポートされています。
Q. IPの設定時に、IPアドレスは検証されますか。
A. はい。IPアドレスの構文と重複IPアドレスの割り当てが検証されます。
Q. OVAの導入とIP設定にはどれくらいの時間がかかりますか。
A. OVAの導入は、データをコピーするネットワークの速度によって異なります。IPの設定には、Kubernetesやコンテナの作成を含め、約8 ~ 10分かかります。
Q.ハードウェアタイプに制限はありますか。
A. OVAが導入されているホストマシンは、CXポータルの設定の一部として提供されている要件を満たす必要があります。CX Cloud Agentは、vCPU対CPU比が2:1に設定されたIntel Xeon E5プロセッサを搭載したハードウェア上で稼働するVMware/仮想ボックスを使用してテストされています。処理能力の低いプロセッサCPUや大きいプロセッサの比率を使用すると、パフォーマンスが低下する可能性があります。
Q.ペアリングコードはいつでも生成できますか。
A. いいえ、ペアコードを生成できるのは、CX Cloud Agentが登録されていない場合だけです。
Q. Cisco Catalyst Center(最大10クラスタまたは20非クラスタ)とCX Cloud Agentの間の帯域幅要件は何ですか。
A.CX Cloud AgentとCisco Catalyst Centerがお客様の環境の同じLAN/WANネットワーク内にある場合、帯域幅の制約はありません。5000台のデバイスのインベントリコレクションに必要な最小ネットワーク帯域幅は2.7 Mbit/秒です。エージェントからCisco Catalyst Centerへの接続には、アクセスポイントが13000台を超える必要があります。Level 2のインサイトのためにsyslogが収集された場合、最小限必要な帯域は3.5 Mbit/秒で、5000台のデバイス+13000台のインベントリ用アクセスポイント、5000台のデバイスのsyslog、および2000台のスキャン用デバイスがカバーされます。これらはすべて、CX Cloud Agentから並行して実行されます。
Q. CX Cloud Agent仮想マシン(VM)を監視するためにエージェントのsyslogにアクセスするには、どのようにすればよいのですか。
A. Agent VMのsyslogには、ローカルVMログインから次の2つのパスを使用してアクセスできます。
/var/log/syslog.1(cxcadminおよびcxcrootログイン経由でアクセス)
/var/log/syslog(rootを使用してアクセス)
リリースとパッチ
Q. CX Cloud Agentのアップグレード用にリストされているバージョンにはどのようなものがありますか。
A. 以下に、リリース済みのCX Cloud Agentのバージョンを示します。
- A.x.0(x は最新の主要な製品機能リリース、例:1.3.0)
- A.x.y(A.x.0は必須であり、増分アップグレードを開始する必要がある場合、xは製品のメジャー機能の最新リリース、yは稼働中の最新のアップグレードパッチです。例:1.3.1)
- A.x.y-z(ここで、A.x.0は必須であり、増分アップグレードを開始する必要があります。xは製品のメジャー機能の最新リリースで、yは稼働中の最新アップグレードパッチ、zは非常に短期間のインスタントフィックスであるスポットパッチです。例:1.3.1-1)
ここで、Aは3 ~ 5年に及ぶ長期リリースです。
Q.最新リリースのCX Cloud Agentバージョンはどこで入手できますか。また、既存のCX Cloud Agentをアップグレードする方法を教えてください。
A. 最新のCX Cloud Agentを見つけてアップグレードするには、次の手順を実行します。
- CX Cloudポータルにログインし、管理センターに移動します。「データ・ソース」ウィンドウが開きます。
- CX Cloud Agentを選択して詳細ビューを開き、Softwareタブをクリックします。
- Choose a software version to upgrade toドロップダウンリストから選択し、Install Updateをクリックします。
認証とプロキシ設定
Q. CX Cloud Agent Applicationのデフォルトユーザは何ですか。
A. cxcadmin。
Q.デフォルトユーザのパスワードはどのように設定されるのですか。
A.パスワードはネットワークの設定時に設定されます。
Q. Day-0の後にパスワードをリセットするオプションはありますか。
A.CX Cloud Agentではパスワードをリセットするための特別なオプションは提供されていませんが、Linuxコマンドを使用してcxcadminのパスワードをリセットできます。
Q. CX Cloud Agentを設定するためのパスワードポリシーにはどのようなものがありますか。
A.パスワードポリシーは次のとおりです。
- 最大経過時間(長さ)を90日に設定
- 最低年齢(長さ)を8日に設定
- 最大長127文字
- 少なくとも1つの大文字と1つの小文字を含める必要があります
- 少なくとも1つの特殊文字を含む必要があります(例: !$%^&*()_+|~-=\'{}[]:";'<>?,/)
- 次の文字は使用できません
- 特殊な8ビットの文字(例:☆√Å √´、√¥、√☆☆√ü)
- Spaces
- 最近使用した10個のパスワードであってはならない
- 正規表現を含めることはできません
- cisco、sanjose、およびsanfranの語句や派生物を含まない
Q. CX Cloud AgentからデバイスへのSecure Shell(SSH)の到達可能性を確認する方法を教えてください。
A. SSHの到達可能性を確認するには、次のコマンドを実行します。
- cxcrootユーザとしてログインします。
- IptablesでSSHポートを有効にするには、次のコマンドを実行します。
Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT
- 次のコマンドを実行して、SSH到達可能性を確認します。
ssh user@ip-address:ポート
上記で有効にしたSSHポートをCX Cloud Agentで無効にするには、次のコマンドを実行します。
- 次のコマンドを実行して、iptablesで有効になっているSSHポートの回線番号を取得します。
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk '{print $1}'
- 次のコマンドを実行して、取得した回線番号を削除します。
iptables -L OUTPUT <行番号>
Q. CX Cloud AgentからデバイスへのSNMP到達可能性を確認するには、どうすればよいのですか。
A. SNMPの到達可能性を確認するには、次のコマンドを実行します。
- cxcrootユーザとしてログインします。
- 次のコマンドを実行して、IptablesのSNMPポートを有効にします。
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT
- 次のsnmpwalk/snmpgetコマンドを実行して、SNMPの到達可能性を確認します。
snmpwalk -v2c -c cisco IPアドレス
上記で有効にしたSNMPポートをCX Cloud Agentで無効にするには、次のコマンドを実行します。
- 次のコマンドを実行して、有効なSNMPポートの回線番号を取得します(応答として2つの回線番号が生成されます)。
iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk '{print $1}'
- 次のコマンドを実行して、行番号を削除します(降順)。
iptables -L OUTPUT <行番号2 Number>
iptables -L OUTPUT <行番号1 Number>
Q. Grubのパスワードはどのように設定するのですか。
A. Grubパスワードを設定するには:
- .sshをcxcrootとして実行し、トークンを提供します[cxcrootトークンを入手するには、サポートチームにお問い合わせください]。
- sudo suを実行して、同じトークンを指定します。
- grub-mkpasswd-pbkdf2コマンドを実行し、Grubパスワードを設定します。入力したパスワードのハッシュが印刷され、内容がコピーされます。
- vi を /etc/grub.d/00_header ファイルに追加します。
- ファイルの最後に移動し、ハッシュ出力の後ろにコンテンツpassword_pbkdf2 root *****を置き換え、手順3で取得したパスワード用に取得したハッシュを使用します。
- :wq!コマンドを使用してファイルを保存します。
- update-grubコマンドを実行します。
Q. cxcadmin パスワードの有効期限はどのくらいですか。
A.パスワードの有効期限は90日です。
Q.ログインに連続して失敗した後、システムによってアカウントが無効にされますか。
A.はい。5回連続して認証に失敗すると、アカウントは無効になります。ロックアウト時間は 30 分です。
Q.パスフレーズを生成するにはどうすればよいですか。
A.パスフレーズを生成するには、次の手順に従います。
- .sshを実行し、cxcadminユーザとしてログインします。
- remoteaccount cleanup -fコマンドを実行します。
- remoteaccount createコマンドを実行します。
Q.プロキシホストはホスト名とIPの両方をサポートしていますか。
A.はい。ただし、ホスト名を使用するには、ネットワーク設定時にユーザがドメインネームサーバ(DNS)のIPを指定する必要があります。
セキュアシェル(SSH)
Q. sshシェルではどのような暗号がサポートされていますか。
A. 次の暗号がサポートされています。
- chacha20-poly1305@openssh.com
- aes256-gcm@openssh.com
- aes128-gcm@openssh.com
- aes256-ctr
- aes192-ctr
- aes128-ctr
Q.コンソールにはどのようにログインするのですか。
A.ログインするには:
- cxcadminユーザとしてログインします。
- cxcadminパスワードを入力します
Q. SSHログインは記録されますか。
A.はい。これらは「var/logs/audit/audit.log」ファイルの一部として記録されます
Q.アイドルセッションタイムアウトとは何ですか。
A. CX Cloud Agentが5分間アイドル状態にあると、SSHセッションタイムアウトが発生します。
ポートとサービス
Q. CX Cloud Agentで開いたままになっているポートはどれですか。
A.次のポートが使用可能です。
- アウトバウンドポート:導入されたCX Cloud Agentは、HTTPSポート443の表に示すようにシスコのバックエンドに接続するか、またはプロキシ経由で接続して、次の表に示すようにシスコにデータを送信できます。導入されたCX Cloud Agentは、HTTPSポート443でCisco Catalyst Centerに接続できます。
AMERICAS
|
EMEA
|
APJC
|
cloudsso.cisco.com
|
cloudsso.cisco.com
|
cloudsso.cisco.com
|
api-cx.cisco.com
|
api-cx.cisco.com
|
api-cx.cisco.com
|
agent.us.csco.cloud(クラウド)
|
エージェント.emea.csco.cloud
|
エージェント.apjc.csco.cloud
|
ng.acs.agent.us.csco.cloud(クラウド)
|
ng.acs.agent.emea.csco.cloud
|
ng.acs.agent.apjc.csco.cloud
|
注:上記のドメインに加えて、EMEAまたはAPJCのお客様がCX Cloud Agentを再インストールする際には、agent.us.csco.cloudドメインをお客様のファイアウォールで許可する必要があります。
agent.us.csco.cloudドメインは、再インストールが正常に完了した後は不要になります。
注:リターントラフィックはポート443で許可する必要があります。
着信ポート
:CX Cloud Agentのローカル管理では、514(Syslog)と22(ssh)にアクセスできる必要があります。お客様は、ファイアウォールのポート443がCX Cloudからのデータを受信できるようにする必要があります。
Cisco Catalyst Centerおよびその他のアセットとのCX Cloud Agent Connection
Q. Cisco Catalyst CenterとCX Cloud Agentの目的と関係を教えてください。
A. Cisco Catalyst Centerは、顧客宅内ネットワークデバイスを管理するクラウドエージェントです。CX Cloud Agentは、設定されたCisco Catalyst Centerからデバイスインベントリ情報を収集し、CX CloudのAsset Viewで使用可能なインベントリ情報をアップロードします。
Q. Cisco Catalyst Centerでは、CX Cloud Agentについての詳細情報はどこで入手できますか。
A. 0日目のCX Cloud Agentのセットアップでは、CX CloudポータルからCisco Catalyst Centerの詳細を追加できます。N日目の操作中は、Admin Settings > Data Source
の順に選択して、Cisco Catalyst Centerを追加できます。
Q. Cisco Catalyst Centerはいくつ追加できますか。
A. Cisco Catalyst Centerクラスタを10個、またはCisco Catalyst Center非クラスタを20個追加できます。
Q.接続されているCisco Catalyst CenterをCX Cloud Agentから削除する方法を教えてください。
A.接続されているCisco Catalyst CenterをCX Cloud Agentから削除するには、Technical Assistance Center(TAC)に連絡して、CX Cloudポータルからサポートケースをオープンしてください。
Q. Cisco Catalyst Centerユーザの役割は何ですか。
A.ユーザロールはadminまたはobserverのいずれかです。
Q.接続されているCisco Catalyst Centerのクレデンシャルの変更によって、CX Cloud Agentに変更が反映される方法を教えてください。
A. CX Cloud Agentコンソールから、cxcli agent modifyControllerコマンドを実行します。
Cisco Catalyst Centerクレデンシャルの更新中に発生した問題については、サポートにお問い合わせください。
Q. Cisco Catalyst Centerおよびシードファイルのアセット詳細はCX Cloud Agentにどのように保存されますか。
A. CX Cloud Agentに接続されたコントローラ(Cisco Catalyst Centerなど)および直接接続されたアセット(シードファイル経由、IP範囲など)のクレデンシャルを含むすべてのデータは、AES-256を使用して暗号化され、セキュアなユーザIDとパスワードで保護されたCX Cloud Agentデータベースに保存されます。
Q. 他の資産を追加するときにIP範囲を入力する際に制限はありますか。
A.はい。CX Cloud Agentでは、より大きなサブネットIP範囲での検出処理を処理できません。シスコでは、IPアドレスの数を10,000に制限して、最小限のサブネット範囲を使用することを推奨しています。
Q. パブリックサブネットは、クラスタおよびサービスカスタムサブネット用のCX Cloud Agent v2.4の導入に使用できますか。
A.次の理由から、パブリックIPサブネットの使用は推奨されません。
- セキュリティリスク:パブリックIPアドレスは、クラスタとサービスをインターネットに公開するため、不正アクセス、攻撃、データ漏洩の可能性のリスクが高まります。
- IPアドレスの競合:パブリックIPサブネットを使用すると、特にインターネット上の他の場所に同じIPアドレスが割り当てられている場合にIP競合が発生し、接続の問題や予期しない動作を引き起こす可能性があります。
- ネットワーク設定の複雑さ:パブリックIPアドレスを扱う際に、ネットワークポリシー、ファイアウォールルール、およびルーティングの管理がより複雑になります。これにより、設定ミスやメンテナンスオーバーヘッドの増加が発生する可能性があります。
パブリックIPサブネットは、カスタマーの組織に割り当てられ、カスタマーのネットワークを介して設定される場合にのみ使用できます。
Q. 再検出操作をどのくらいの頻度で開始できますか。
A.再検出操作は、顧客のネットワークに変更がある場合(たとえば、ネットワーク内でデバイスを追加または削除した後)にのみ実行する必要があります。
Q. シードファイルのアップロード時に「Other Assets as a Data Source」を追加するワークフローを教えてください。
A.ワークフローは次のとおりです。
- シードファイルをCX Cloudにアップロードします。
- シードファイルはCisco Cloud AWS S3バケットに一時的に保存されます(SSE暗号化を有効にした状態)。
- シードファイルがCX Cloud Agentにプッシュされ、シードファイルがS3バケットから削除されます
- CX Cloud Agentは、シードファイルエントリを処理し、AES 256キー(このキーはCX Cloud Agentごとに一意)を使用してクレデンシャルを暗号化します。 これらの暗号化されたクレデンシャルは、CX Cloud Agentデータベースに保存されます。
- シードファイルエントリが処理されると、CX Cloud Agentからシードファイルが削除されます。
Q. CX Cloud AgentからCisco Catalyst Center APIにアクセスする際、どのような暗号化が使用されますか。
A. HTTPS over TLS 1.2は、Cisco Catalyst CenterとCX Cloud Agent間の通信に使用されます。
Q.統合されたCisco Catalyst Center Cloud Agent上でCX Cloud Agentによって実行される処理は何ですか。
A. CX Cloud Agentは、ネットワークデバイスに関するデータをCisco Catalyst Centerから収集し、Cisco Catalyst Center Command Runner Interface(CLI;コマンドランナーインターフェイス)を使用してエンドデバイスと対話し、CLIコマンド(showコマンド)を実行します。 config change コマンドは実行されません。
Q. Cisco Catalyst Centerから収集され、バックエンドにアップロードされるデフォルトデータは何ですか。
A.
- ネットワークエンティティ
- Modules
- Show version
- config
- デバイスイメージ情報
- タグ
Q. Cisco Catalyst Centerから収集され、シスコのバックエンドにアップロードされるその他のデータにはどのようなものがありますか。
A.詳細は、このドキュメントを参照してください。
Q.インベントリデータはどのようにバックエンドにアップロードされますか。
A. CX Cloud Agentは、インベントリデータをTLS 1.2プロトコル経由でシスコバックエンドサーバにアップロードします。
Q.インベントリのアップロード頻度はどのくらいですか。
A.収集はユーザ定義のスケジュールに従ってトリガーされ、シスコのバックエンドにアップロードされます。
Q.ユーザはインベントリのスケジュールを変更できますか。
A.はい。スケジュール情報を変更するには、Admin Center > Data Sourcesのオプションを使用できます。
Q. Cisco Catalyst CenterとCloud Agentの間で接続タイムアウトが発生するのはいつですか。
A.タイムアウトは次のように分類されます。
- 初期接続の場合、タイムアウトは最大300秒です。Cisco Catalyst CenterとCloud Agentの間で最大5分以内に接続が確立されない場合、接続は終了します。
- 繰り返し、標準、または更新の場合:応答タイムアウトは1800秒です。応答が受信されないか、30分以内に読み取れない場合、接続は終了します。
Q. CXエージェントを使用する場合、ビジネスクリティカルサービス(BCS)とライフサイクルサービス(LCS)のレポートには、Catalyst Centerで管理されるすべてのデバイスが含まれますか。
A.いいえ。既知の制限があります。CXエージェントがCatalyst Centerに接続され、BCSおよびLCS用に構成されている場合、Catalyst Centerによって管理されるデバイスが完全にレポートに含まれない場合があり、その結果、レポートが不完全になります。
CX Cloud Agent で診断スキャンを使用
Q.デバイスではどのようなスキャンコマンドが実行されますか。
A.スキャンのためにデバイス上で実行する必要があるコマンドは、スキャンプロセス中に動的に決定されます。コマンドのセットは、同じデバイスでも時間の経過とともに変更される可能性があります(診断スキャンの制御下にない)。
Q.スキャン結果はどこに保存され、プロファイルされますか。
A.スキャン結果は、シスコバックエンドに保存され、プロファイルが作成されます。
Q. Cisco Catalyst Centerのソースが接続されている場合、Cisco Catalyst Centerでの重複(ホスト名またはIPによる)は診断スキャンに追加されますか。
A.いいえ。重複はフィルタリングされ、一意のデバイスだけが抽出されます。
Q.いずれかのコマンドスキャンが失敗するとどうなりますか。
A.デバイススキャンが完全に停止し、失敗とマークされます。
Q. 複数のスキャンがオーバーラップするとどうなりますか。
A.複数の診断スキャンを同時に実行すると、スキャンプロセスの速度が低下し、スキャンが失敗する可能性があります。シスコでは、インベントリ収集スケジュールと重複しないように、診断スキャンをスケジュールするか、インベントリ収集スケジュールとは少なくとも6 ~ 7時間空けてオンデマンドスキャンを開始することを推奨します。
CX Cloud Agent システムログ
Q. CX Cloudポータルにはどのようなヘルス情報が送信されますか。
A.アプリケーションログ、ポッドステータス、Cisco Catalyst Centerの詳細、監査ログ、システムの詳細、ハードウェアの詳細。
Q.システムとハードウェアの詳細は何が収集されますか。
A.出力例:
system_details":{
「os_details」:{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"operatingSystem":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
「free_memory」:「9994MB」、
"hdd_size":"214G",
「free_hdd_size」:「202G」
}
}
}
Q.ヘルスデータはどのようにバックエンドに送信されますか。
A. CX Cloud Agentを使用すると、ヘルスサービス(サービサビリティ)によってデータがシスコのバックエンドにストリーミングされます。
Q. CX Cloud Agentのバックエンドのヘルスデータログ保持ポリシーはどのようなものですか。
A.バックエンドでのCX Cloudエージェントのヘルスデータログ保持ポリシーは120日です。
Q.どのような種類のアップロードが利用できますか。
A.
- 在庫のアップロード
- Syslogのアップロード
- エージェントの状態のアップロード(状態のアップロードを含む)
- サービスの健全性:5分ごと
- ポッドログ – 1時間ごと
- 監査ログ – 1時間ごと
トラブルシューティング
問題:設定されたIPにアクセスできない。
解決策:設定したIPを使用してsshを実行します。接続がタイムアウトした場合、考えられる原因はIPの設定ミスです。この場合は、有効な IP を設定して再インストールします。これは、管理
Centerページで提供される再インストールオプションを使用してポータルで実行できます。
問題:登録後にサービスが稼働していることを確認するにはどうすればいいですか。
解決策:ポッドが起動して実行中であることを確認するには、次の手順に従います。
- cxcadminとして設定されたIPにsshします。
- パスワードを入力します
- kubectl get podsコマンドを実行します
ポッドは、任意の状態(実行中、初期化中、またはコンテナ作成中)にすることができます。 20分後、ポッドはRunning状態である必要があります。
状態が実行されていない場合、またはPod Initializingの場合は、kubectl describe pod <podname> コマンドを使用してポッドの説明を確認します。
出力には、ポッドのステータスに関する情報が表示されます。
問題:顧客プロキシでSSLインターセプタが無効になっているかどうかを確認する方法
解決策:サーバ証明書のセクションを確認するには、ここに示されているcurlコマンドを実行します。 応答には、concsowebサーバの証明書の詳細が含まれます。
curl -v —header 'Authorization: Basic xxxxxx' https://concsoweb-prd.cisco.com/
* サーバ証明書:
* 件名: C=US; ST=California; L=San Jose; O=Cisco Systems, Inc.; CN=concsoweb-prd.cisco.com
* 開始日:2021年2月16日11:55:11 GMT
* 有効期限:2022年2月16日12:05:00 GMT
* subjectAltName:ホスト「concsoweb-prd.cisco.com」が証明書「concsoweb-prd.cisco.com」と一致
* 発行者:C=US、O=HydrantID(Avalanche Cloud Corporation)、CN=HydrantID SSL CA G3
* SSL証明書の確認は正常です。
> GET / HTTP/1.1
Issue: kubectlコマンドが失敗し、「The connection to the server X.X.X.X:6443 was refused - did you specify the right host or port」というエラーが表示されます。
ソリューション:
- リソースの可用性を確認します。[例:CPU、メモリ]。
- Kubernetesサービスが起動するまで待ちます。
問題:コマンド/デバイスの収集エラーの詳細を取得する方法
ソリューション:
- kubectl get podsを実行して、収集ポッド名を取得します。
- kubectl logs <collectionPodName>を実行して、コマンドまたはデバイス固有の詳細を取得します。
問題: kubectlコマンドがエラー「[authentication.go:64] Unable to authenticate the request due to an error: [x509: certificate has has has not yet valid, x509: certificate has expired or is not yet valid]」で動作しない
解決策:次に示すコマンドをcxcrootユーザとして実行します
rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json(登録ユーザ専用)
systemctl restart k3s
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3s
収集失敗の応答
収集失敗の原因は、追加されたコントローラまたはコントローラ内に存在するデバイスで発生した制約や問題であると考えられます。
ここに示す表には、収集プロセス中のCollection microserviceの下に表示される使用例に対するエラースニペットがあります。
使用例
|
コレクション マイクロサービスのログスニペット
|
要求されたデバイスがCisco Catalyst Centerで見つからない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", 「errorMessage」:「 No device found with id 02eb08be-b13f-4d25-9d63-eaf4e882f71a 」 }
|
要求されたデバイスにCisco Catalyst Centerから到達できない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "コマンドの実行中にエラーが発生しました: show version\nデバイスへの接続エラー[ホスト: 172.21.137.221:22]ホストへのルートがありません:ホストへのルートがありません" }
|
要求されたデバイスにCisco Catalyst Centerから到達できない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "Error occured while executing command : show version\nError connecting to device [Host: X.X.X.X]Connection timed out: /X.X.X.X:22 : Connection timed out: /X.X.X.X:22" }
|
要求されたコマンドがデバイスで使用できない場合
|
{ "コマンド": "show run-config", "status": "成功", "commandResponse": " Error occured while executing command : show run-config\n\nshow run-config\n ^\n% Invalid input detected at \u0027^\u0027 marker.\n\nXXCT5760#", "エラーメッセージ": "" }
|
要求されたデバイスにSSHv2がなく、Cisco Catalyst CenterがSSHv2を使用してデバイスを接続しようとした場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "コマンドの実行中にエラーが発生しました: show version\nSSH2 channel closed :リモートパーティが互換性のないプロトコルを使用しています。これはSSH-2互換ではありません。" }
|
コレクション マイクロサービスでコマンドが無効になっている場合
|
{ "コマンド": "config paging disable", "status": "Command_Disabled", "commandResponse": "コマンドコレクションは無効です", "エラーメッセージ": "" }
|
Command Runner Taskが失敗し、タスクURLがCisco Catalyst Centerから返されない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "デバイス%sのコマンドランナタスクが失敗しました。タスクURLが空です。 }
|
Cisco Catalyst Centerでコマンドランナタスクを作成できなかった場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "デバイス%sのコマンドランナタスクが失敗しました。RequestURL: %s。タスクの詳細はありません。」 }
|
CollectionマイクロサービスがCisco Catalyst CenterからのCommand Runner要求に対する応答を受信していない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "デバイス%sのコマンドランナタスクが失敗しました。RequestURL: %s。" }
|
Cisco Catalyst Centerが、設定されたタイムアウト(Collection microserviceのコマンドごとに5分)内にタスクを完了しない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "操作のタイムアウト。デバイス%s、RequestURL: %sのコマンドランナタスクが失敗しました。進行状況の詳細はありません。」 }
|
Cisco Catalyst Centerによって送信されたタスクのCommand Runner Taskが失敗し、ファイルIDが空の場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "デバイス%sのコマンドランナタスクが失敗しました。RequestURL: %s。ファイルIDが空です。 }
|
コマンドランナタスクが失敗し、Cisco Catalyst CenterからファイルIDタグが返されない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "デバイス%sのコマンドランナタスクが失敗しました。RequestURL: %s。ファイルIDの詳細はありません。」 }
|
デバイスがコマンドランナーの実行に適格でない場合
|
{ "コマンド": "config paging disable", "ステータス": "失敗", "commandResponse": "", "errorMessage": "要求されたデバイスがインベントリにありません。インベントリ内の使用可能な他のデバイスで試してください" }
|
コマンドランナーがユーザーに対して無効になっている場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "{\"message\":\"ロールにAPIにアクセスするための有効な権限がありません\"}\n" }
|
診断スキャン失敗の応答
スキャンの失敗と原因は、リストされているコンポーネントのいずれでも発生する可能性があります。
ユーザがポータルからスキャンを開始すると、「failed: Internal server error」と表示されることがあります。
問題の原因は、リストされているコンポーネントの1つです
- コントロールポイント
- ネットワーク データ ゲートウェイ
- コネクタ
- 診断スキャン
- CX Cloud Agent マイクロサービス(デバイスマネージャ、コレクション)
- Cisco Catalystセンター
- APix
- Mashery
- Ping アクセス
- IRONBANK
- IRONBANK GW
- ビッグデータブローカー(BDB)
ログを表示するには、次の手順を実行します。
- CX Cloud Agentコンソールにログインします。
- kubectl get podsを実行します。
- コレクション、コネクタ、およびサービサビリティのポッド名を取得します。
- 収集、コネクタ、およびサービサビリティマイクロサービスログを確認します。
- kubectl logs <collectionpodname>を実行します。
- kubectl logs <connector>を実行します。
- kubectl logs <servicability>を実行します。
次の表は、コンポーネントの問題や制約が原因で発生するCollection microserviceおよびservicability microserviceのログに表示されるエラースニペットを示しています。
使用例
|
コレクション マイクロサービスのログスニペット
|
デバイスは到達可能でサポートされていますが、そのデバイスで実行するコマンドは収集マイクロサービスにブロックリストされています
|
{ "コマンド": "config paging disable", "status": "Command_Disabled", "commandResponse": "コマンドコレクションは無効です", }
|
スキャン用のデバイスが使用できない場合。
ポータル、診断スキャン、CXコンポーネント、Cisco Catalyst Centerなどのコンポーネント間で同期の問題が発生した場合に発生します。
|
ID 02eb08be-b13f-4d25-9d63-eaf4e882f71aのデバイスが見つかりません
|
スキャン対象のデバイスがビジー状態の場合、(シナリオでは)同じデバイスが他のジョブの一部であり、Cisco Catalyst Centerからそのデバイスに対する並行要求が処理されません
|
要求されたすべてのデバイスは、既に別のセッションのコマンドランナーによって照会されています。他のデバイスを試してください
|
デバイスでスキャンがサポートされていない場合
|
要求されたデバイスがインベントリにありません。インベントリ内の使用可能な他のデバイスで試してください
|
スキャンを試行したデバイスが到達不能な場合
|
「Error occurred while executing command: show udi\nError connecting to device [Host: x.x.x.x:22] No route to host : No route to host」
|
Cloud AgentからCisco Catalyst Centerに到達できない場合、またはCloud AgentのCollection MicroserviceがCisco Catalyst CenterからのCommand Runner要求に対する応答を受信しない場合
|
{ "コマンド": "show version", "ステータス": "失敗", "commandResponse": "", "errorMessage": "デバイス%sのコマンドランナタスクが失敗しました。RequestURL: %s。" }
|
使用例
|
コントロール ポイント エージェントのマイクロサービスのログスニペット
|
スキャン要求にスケジュールの詳細がない場合
|
要求を実行できませんでした
{"message":"23502:列\"schedule\"のnull値がnull以外の制約に違反しています"}
|
スキャン要求にデバイスの詳細が含まれていない場合
|
スキャンポリシーを作成できませんでした。要求に有効なデバイスがありません
|
CPA との接続がダウンしている場合
|
要求を実行できませんでした
|
要求されたスキャン対象デバイスで診断スキャンを利用できない場合
|
スキャン要求を送信できませんでした。Reason = {\"message\":\"Device with Hostname=x.x.x.x' was not found\"}
|