CX雲代理常見問題和故障排除指南

簡介

本文檔包括使用者使用CX雲代理時可能遇到的常見問題和故障排除方案。

部署

問：連線到CX Cloud後端域時，是否將URL重定向到cloudfront.net是預期行為？

答：是，對於某些特定部署方案，應重定向到cloudfront.net。在啟用這些FQDN的埠443上的重定向的情況下，應允許非繫結訪問。

問：使用「重新安裝」選項，使用者是否可以使用新的IP地址部署新的CX雲代理？

A.是

問：可以使用哪些檔案格式進行安裝？

A.OVA和VHD

問：可以在哪個環境中部署可安裝軟體？

A.OVA

• VMWare ESXi版本5.5或更高版本
• Oracle Virtual Box 5.2.30或更高版本

適用於VHD

• Windows虛擬機器監控程式2012至2016

問： CX雲代理能否在DHCP環境中檢測IP地址？

A.是，檢測到IP配置期間的IP地址分配。但是，不支援將來CX雲代理的IP地址更改。建議客戶在其DHCP環境中為CX雲代理保留IP。

問： CX雲代理是否同時支援IPv4和IPv6配置？

A.否，僅支援IPV4。

問：在IP配置過程中，是否驗證了IP地址？

A.是，驗證IP地址語法和重複IP地址分配。

問：OVA部署和IP配置需要多長時間？

答：OVA部署取決於網路複製資料的速度。IP配置大約需要8-10分鐘，包括Kubernetes和容器建立。

問：任何硬體型別都有任何限制嗎？

A.部署OVA的主機必須滿足作為CX門戶設定的一部分提供的要求。CX Cloud Agent是在運行在Intel Xeon E5處理器硬體上的VMware/Virtual機箱上測試的，該硬體將vCPU與CPU的比率設定為2:1。如果使用效能較低的處理器CPU或較大的比率，效能可能會下降。

可以隨時生成配對代碼嗎？

答：否，僅當未註冊CX雲代理時才能生成配對代碼。

問：Cisco Catalyst中心（最多10個集群或20個非集群）與CX雲代理之間的頻寬要求是什麼？

A.當CX雲代理和Cisco Catalyst中心在客戶環境中的同一個LAN/WAN網路中時，頻寬不是限制條件。對於5000台裝置的資產收集，所需的最小網路頻寬為2.7Mbit/秒，對於Agent到Cisco Catalyst Center的連線，則需要13000個接入點。13000如果為第2級見解收集系統日誌，則對於5000台裝置，最低所需頻寬為3.5 Mbits/秒，其中5000台裝置為清單收集無線接入點，5000台裝置為系統日誌，2000台裝置為掃描收集無線接入點 — 所有裝置都從CX雲代理並行運行。

問：如何訪問代理系統以監視CX雲代理虛擬機器(VM)?

A.可以使用以下兩條路徑從本地VM登入訪問Agent VM的Syslogs:

/var/log/syslog.1（通過cxcadmin和cxcroot登入訪問）

/var/log/syslog（使用根目錄訪問）

版本與修補程式

問：為CX雲代理的升級列出了哪些不同型別的版本?

A.此處顯示列出的CX雲代理的已發佈版本集：

• A.x.0（其中 x 是最新生產主要功能版本，例如：1.3.0）
• A.x.y（其中A.x.0是強制性的，需要啟動增量升級），x是最新生產主要功能版本，y是最新啟用的升級修補程式，例如：1.3.1）
• A.x.y-z(其中A.x.0是必須啟動的增量升級， x是最新生產主要功能版本， y是最新啟用的升級補丁程式， z是即時修復程式，時間跨度非常短，例如：1.3.1-1）

其中A是長期版本，分佈於3到5年。

問：在哪裡可以找到最新發行的CX雲代理版本，以及如何升級現有的CX雲代理？

A.要找到並升級到最新的CX雲代理，請執行以下操作：

1. 登入到CX雲門戶並導航到Admin Center。將打開「數據源」視窗。
2. 選擇CX Cloud Agent以開啟詳細資訊檢視，然後按一下Software頁籤。
3. 從Choose a software version to upgrade to下拉選單中進行選擇，然後按一下Install Update。

驗證與 Proxy 組態

問： CX雲代理應用程式的預設使用者是什麼？

A. cxcadmin。

問：如何為預設使用者設定密碼？

A.在網路配置期間設定密碼。

問：是否有0天後重置密碼的選項？

A. CX雲代理未提供特定選項來重置密碼，但您可以使用Linux命令來重置cxcadmin的密碼。

問：配置CX雲代理的密碼策略是什麼？

A.密碼策略為：

• 最大使用期限（長度）設定為90天
• 最短使用期限（長度）設定為8天
• 最大長度為127個字元
• 必須至少包括一個大寫和一個小寫字元
• 必須至少包含一個特殊字元(例如，!$%^&*()_+|~-=\'{}[]:";'<>?,/)
• 不允許使用以下字元
• 特殊的8位字元(例如¬£、√å√´、√¥、√¬ø、√ü)
• Spaces
• 不能是最近使用的最後10個密碼
• 不得包含正規表示式
• 不得含有下列詞語或衍生物：cisco 、 sanjose和sanfran

問：如何確認安全外殼(SSH)可以從CX雲代理連線到裝置？

A.確認SSH可達性：

1. 以cxcroot使用者身份登入。
2. 執行以下命令以啟用Iptables中的SSH埠：

     Iptables -A OUTPUT -p tcp -m tcp —dport 22 -j ACCEPT

3. 執行以下命令以確認SSH可達性：

     ssh user@ip-address：埠

要在CX雲代理中禁用以上啟用的SSH埠，請執行以下操作：

1. 執行以下命令，獲取iptables中啟用的SSH埠的行號：

     iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」

2. 執行以下命令刪除獲得的行號：

     iptables -L OUTPUT <行號>

問：如何確認從CX雲代理到裝置的SNMP可訪問性？

A.確認SNMP可達性：

1. 以cxcroot使用者身份登入。
2. 執行以下命令啟用Iptables中的SNMP埠：

      iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT

      iptables -A OUTPUT -p udp -m udp —dport 161 -j ACCEPT

3. 執行以下snmpwalk/snmpget命令以確認SNMP可達性：

      snmpwalk -v2c -c cisco IPADDRESS

要在CX雲代理中禁用以上啟用的SNMP埠，請執行以下操作：

1. 執行以下命令以獲取已啟用的SNMP埠的行號（生成兩個行號作為響應）：

iptables -L OUTPUT —line-number | grep dpt | grep ssh | awk「{print $1}」

2. 執行以下命令以刪除行號（按降序排列）:

iptables -L OUTPUT <行號2編號>

iptables -L OUTPUT <行號1編號>

如何設定Grub密碼？

A.設定Grub密碼：

1. 以cxcroot身份運行.ssh並提供令牌[請與支援團隊聯絡以獲取cxcroot令牌]。
2. 執行sudo su以提供相同的令牌。
3. 執行grub-mkpasswd-pbkdf2命令並設定Grub密碼。將列印提供之密碼的雜湊，複製該內容。
4. vi to the file /etc/grub.d/00_header。 
5. 導航到檔案末尾，用步驟3中獲取的密碼的已獲取雜湊替換雜湊輸出，後跟內容password_pbkdf2根文*****。
6. 使用命令：wq！儲存檔案。
7. 執行update-grub命令。

cxcadmin 密碼的過期時間是多少？

A.密碼將在90天後過期。

問：在連續嘗試登入失敗後，系統是否禁用該帳戶？

A.是，該帳戶在連續五(5)次失敗嘗試後被禁用。鎖定期間為 30 分鐘。

如何產生密碼短語？

A.生成密碼短語：

1. 運行.ssh並以cxcadmin使用者身份登入。
2. 執行remoteaccount cleanup -f命令。
3. 執行remoteaccount create命令。

問：代理主機是否同時支援主機名和IP?

答：是，但是要使用主機名，使用者必須在網路配置期間提供域名伺服器(DNS)IP。

安全殼層 SSH

問： ssh shell支援哪些密碼？

A.支持以下密碼：

• chacha20-poly1305@openssh.com
• aes256-gcm@openssh.com
• aes128-gcm@openssh.com
• aes256-ctr
• aes192-ctr
• aes128-ctr

問：如何登入控制檯？

A.登入：

1. 以cxcadmin使用者身份登入
2. 提供cxcadmin密碼

問：是否記錄了SSH登入？

A.是，它們作為「var/logs/audit/audit.log」的一部分登記。檔案

問：什麼是空閒會話超時？

A.如果CX雲代理空閒五(5)分鐘，則會發生SSH會話超時。

連接埠與服務

問： CX雲代理上的哪些埠保持開啟狀態？

A.以下埠可用：

• 傳出連接埠：部署的CX雲代理可以連線到HTTPS埠443上表所示的思科後端，也可以通過代理將資料傳送到思科，如下表所示。部署的CX雲代理可以連線到HTTPS埠443上的Cisco Catalyst Center。

附註：除了列出的域外，當EMEA或APJC客戶重新安裝CX雲代理時，客戶防火牆中必須允許agent.us.csco.cloud域。
成功重新安裝後，不再需要agent.us.csco.cloud域。

附註：確保必須在埠443上允許返回流量。

• Inbound port:對於CX雲代理的本地管理，必須可以訪問514(Syslog)和22(ssh)。客戶必須允許其防火牆中的埠443從CX雲接收資料。

與Cisco Catalyst Center和其他資產的CX雲代理連線

問：Cisco Catalyst Center與CX雲代理的用途和關係是什麼？

A.  Cisco Catalyst Center是管理客戶駐地網路裝置的雲代理。CX雲代理從已配置的Cisco Catalyst中心收集裝置清單資訊，並上傳CX雲的資產檢視中可用的清單資訊。

問：使用者可以在何處提供有關CX雲代理的Cisco Catalyst Center詳細資訊？

A.在第0天 — CX雲代理設定期間，使用者可以從CX雲門戶新增Cisco Catalyst Center詳細資訊。在第N天運行期間，使用者可以從新增其他Cisco Catalyst中心Admin Settings > Data Source。

問：可以新增多少個Cisco Catalyst Center?

答：可以新增十(10)個Cisco Catalyst Center集群或20個Cisco Catalyst Center非集群。

問：如何從CX雲代理中刪除已連線的Cisco Catalyst Center? 

A.若要從CX雲代理中刪除已連線的Cisco Catalyst Center，請聯絡技術支援中心(TAC)，從CX雲門戶開啟支援案例。

問：Cisco Catalyst Center使用者可擔任什麼角色？

A.使用者角色可以是admin或observer。

問：由於連接的Cisco Catalyst中心憑證發生更改，CX雲代理中如何反映修改?

A.從CX雲代理控制台執行cxcli agent modifyController命令：

    在Cisco Catalyst Center憑證更新期間發生任何問題，請聯絡支援人員。

問：Cisco Catalyst Center和種子檔案資產詳細資訊如何儲存在CX雲代理中？

A.所有資料(包括CX Cloud Agent連線的控制器(例如Cisco Catalyst Center)和直連資產(例如，通過種子檔案、IP範圍)的憑證)都使用AES-256進行加密，並儲存在CX Cloud Agent資料庫中，CX Cloud Agent資料庫使用安全的使用者ID和密碼進行保護。

問：添加其他資產時，輸入IP範圍是否存在任何限制？

A.是，CX雲代理無法處理更大子網IP範圍的發現操作。Cisco建議使用最小的子網範圍，IP地址不超過10,000。

問：是否可以將公共子網用於群集和服務自定義子網的CX雲代理v2.4部署？

A.出於以下原因，思科建議不要使用公共IP子網：

• 安全風險:公有IP地址將群集和服務暴露於網際網路，增加了未經授權的訪問、攻擊和潛在的資料洩露的風險。
• IP地址衝突:使用公共IP子網可能會導致IP衝突，尤其是當同一IP地址被分配到Internet上的其他位置時，這會導致連線問題和意外行為。
• 網路配置的複雜性:在處理公共IP地址時，管理網路策略、防火牆規則和路由會變得更加複雜。這可能會導致配置錯誤和增加維護開銷。

如果公有IP子網僅分配給客戶組織並通過客戶網路進行設定，則可以使用公有IP子網。

問：重新發現操作的啟動頻率如何？

A.只有在客戶網路發生變化時（例如，在網路中新增或刪除裝置後），才應執行重新發現操作。

問：上傳種子檔案時，新增「其他資產作為資料來源」的工作流程是什麼？

A.工作流程如下：

1. 將種子檔案上傳到CX雲中。
2. 種子檔案臨時儲存在Cisco Cloud AWS S3儲存桶中（啟用SSE加密）。
3. 種子檔案被推送到CX雲代理，並且種子檔案從S3儲存桶中刪除
4. CX雲代理處理種子檔案條目並使用AES 256金鑰（該金鑰對於每個CX雲代理是唯一的）加密憑據。 這些加密憑據儲存在CX雲代理資料庫中。
5. 一旦處理了種子檔案條目，就會從CX雲代理中刪除該種子檔案。

問：從CX雲代理訪問Cisco Catalyst中心API時使用哪種加密？

A.通過TLS 1.2的HTTPS用於Cisco Catalyst Center和CX雲代理之間的通訊。

問：CX雲代理在整合的Cisco Catalyst中心雲代理上執行哪些操作？

A. CX雲代理從Cisco Catalyst中心收集有關網路裝置的資料，並使用Cisco Catalyst中心命令runner介面與終端裝置對話並執行CLI命令（show命令）。不執行任何配置更改命令。

問：從Cisco Catalyst Center收集哪些預設資料並上傳到後端？

A. 

• 網路實體
• 模組
• 顯示版本
• 設定
• 裝置影像資訊
• 標記

問：從Cisco Catalyst Center收集哪些其他資料並上傳到Cisco後端？

A.如需詳細資訊，請參閱本檔案。 

問：如何將庫存資料上傳到後端？

A. CX雲代理通過TLS 1.2協定將清單資料上傳到思科後端伺服器。

問：清單上傳頻率是多少？

A.收集根據使用者定義的計畫觸發，並上傳到思科後端。 

問：使用者能否重新計畫庫存？

答是，管理中心>資料來源中提供了用於修改計畫資訊的選項。

問：Cisco Catalyst Center和雲代理之間的連線超時何時發生？

A.超時分類如下：

• 對於初始連線，超時時間最長300秒。如果在最多五(5)分鐘內未在Cisco Catalyst Center和雲代理之間建立連線，則連線終止。
• 對於定期、一般或更新：回應逾時為 1800 秒。如果未收到響應或者在30分鐘內無法讀取，連線將終止。

問：使用CX代理時，業務關鍵服務(BCS)和生命週期服務(LCS)報告是否包括Catalyst Center管理的所有裝置？

A.不，有一個已知的限制。當CX代理連線到Catalyst Center並配置為BCS和LCS時，報告可能不能完全覆蓋Catalyst Center管理的裝置，從而導致報告不完整。

CX Cloud Agent 使用的診斷掃描

問：在裝置上執行了哪些掃描命令？

A.  在掃描過程中，動態地確定需要在裝置上執行的用於掃描的命令。即使對於同一裝置（而不是對診斷掃描進行控制），命令集也可能會隨著時間而變化。

問：掃描結果在哪裡儲存和描述？

A.掃描的結果儲存在思科後端並加以分析。

問：Cisco Catalyst Center中的重複項（按主機名或IP）是否在Cisco Catalyst Center源插入時新增到診斷掃描中？

A.否，過濾重複項，以便僅提取唯一裝置。

如果其中一個命令掃描失敗，會出現什麼情況？

A.裝置掃描完全停止並標籤為不成功。

當多個掃描重疊時，會出現什麼情況？

A.同時執行多個診斷掃描可能會減慢掃描過程並可能導致掃描失敗。思科建議計畫診斷掃描或啟動按需掃描，這些掃描與資產收集計畫至少相隔6-7小時，這樣它們就不會重疊。

CX Cloud Agent 系統日誌

問：向CX雲門戶傳送了哪些運行狀況資訊？

A.應用日誌、Pod狀態、Cisco Catalyst Center詳細資訊、稽核日誌、系統詳細資訊和硬體詳細資訊。

問：收集了哪些系統詳細資訊和硬體詳細資訊？

A.輸出範例： 

system_details":{
"os_details":{
"containerRuntimeVersion":"docker://19.3.12",
"kernelVersion":"5.4.0-47-generic",
"kubeProxyVersion":"v1.15.12",
"kubeletVersion":"v1.15.12",
"machineID":"81edd7df1c1145e7bcc1ab4fe778615f",
"作業系統":"linux",
"osImage":"Ubuntu 20.04.1 LTS",
"systemUUID":"42002151-4131-2ad8-4443-8682911bdadb"
},
"hardware_details":{
"total_cpu":"8",
"cpu_utilization":"12.5%",
"total_memory":"16007MB",
"free_memory":"9994MB",
"hdd_size":"214G",
"free_hdd_size":"202G"
}
}
}

問：如何向後端傳送健康資料？

A.藉助CX雲代理，運行狀況服務（可服務性）將資料流傳輸到思科後端。

問：後端的CX雲代理運行狀況資料日誌保留策略是什麼？

A.後端的CX雲代理運行狀況資料日誌保留策略為120天。

問：有哪些型別的上傳可用？

A. 

1. 庫存上傳
2. 系統日誌上傳
3. 代理運行狀況上傳，包括運行狀況上傳
   1. 服務運行狀況 — 每五(5)分鐘
   2. Podlog — 每一(1)小時
   3. 稽核日誌 — 每一(1)小時

疑難排解

問題：無法存取設定的 IP。

解決方案：使用設定的 IP 執行 ssh。如果連線超時，可能原因是IP配置錯誤。在這種情況下，可設定有效 IP 來重新安裝。這可以通過使用頁面中提供的重新安裝選項通過門戶來Admin Center完成。

問題：註冊後，如何驗證服務是否啟動並運行？

解決方案：按照以下步驟確認電源盒已啟動並正在運行：

1. 通過ssh連線到已配置的IP(cxcadmin)
2. 提供密碼
3. 執行kubectl get pods 命令

Pod可以處於任何狀態（「正在運行」、「正在初始化」或「正在建立容器」）。 20分鐘後，Pod必須處於「正在運行」狀態。

如果狀態未運行或Pod 正在初始化，請使用kubectl describe pod <podname>命令檢查Pod描述。

輸出將包含有關Pod狀態的資訊。

問題：如何驗證客戶代理上是否禁用了SSL攔截器？
解決方案：執行此處顯示的curl命令以驗證伺服器證書部分。響應包含consoweb伺服器的證書詳細資訊。

curl -v —header 'Authorization:基本xxxxxx' https://concsoweb-prd.cisco.com/

*伺服器證書：

*主題：C=US;ST=加利福尼亞；L=聖何塞；O=Cisco Systems， Inc.;CN=concsoweb-prd.cisco.com

*開始日期：2月16日11:55:11 2021格林尼治標準時

*到期日期：2月16日12:05:00 2022格林尼治標準時

* subjectAltName:主機「concsoweb-prd.cisco.com」與證書的「concsoweb-prd.cisco.com」匹配

*發行人：C=US;O=HydrantID(Avalanche Cloud Corporation);CN=HydrantID SSL CA G3

* SSL證書驗證正常。

> GET/HTTP/1.1

問題：kubectl命令失敗，並將錯誤顯示為「The connection to the server X.X.X.X:6443 was rejected - dy you specify the right host or port（與伺服器X.X.X.X:6443的連線被拒絕 — 是否指定了正確的主機或埠）」
解決方案：

• 驗證資源可用性。[例如：CPU、記憶體]。
• 等待 Kubernetes 服務開始.

問題：如何取得命令/裝置的收集失敗詳細資料?

解決方案：

• 執行kubectl get pod並獲取集合pod名稱。
• 執行kubectl logs <collectionPodName>以獲取命令/裝置特定的詳細資訊。

問題：kubectl 命令無法運作，發生錯誤「[authentication.go:64] 無法驗證要求，因為發生錯誤：[x509:憑證已到期或尚未生效，x509：憑證已到期或尚未生效]」

解決方案：以cxcroot使用者身份運行此處顯示的命令

rm /var/lib/rancher/k3s/server/tls/dynamic-cert.json
systemctl restart k3
kubectl —insecure-skip-tls-verify=true delete secret -n kube-system k3s-serving
systemctl restart k3

收集失敗回應

收集失敗的原因可能是任何限制，或已新增控制器或控制器中出現的裝置問題。

此處顯示的表包含收集過程中在收集微服務下可見的使用案例的錯誤片段。

診斷掃描失敗回應

掃描失敗及其原因可能來自列出的任何元件。

當使用者從門戶啟動掃描時，有時會顯示「失敗：內部伺服器錯誤「 」。

問題的原因是列出的元件之一

• 控制點
• 網路資料閘道
• 聯結器
• 診斷掃描
• CX Cloud Agent 微服務 [devicemanager, collection]
• Cisco Catalyst Center
• APIX
• Mashery
• Ping 存取
• IRONBANK
• IRONBANK GW
• 大資料代理(BDB) 

要檢視日誌，請執行以下操作：

1. 登入到CX雲代理控制檯。
2. 執行kubectl get pods。 
3. 獲取集合、聯結器及可維護性的Pod名稱。
4. 驗證收集、聯結器和服務性微服務日誌。

• 執行kubectl logs <collectionpodname>  
• 執行kubectl logs <connector>
• 執行kubectl logs <servicability>

下表顯示了由於元件問題/約束而出現的在收集微服務和可服務性微服務日誌下顯示的錯誤片段。