VDT(VCF Diagnostic Tool) for vSphereを使ってみた

VDTについての関連記事&KB

vSphere Diagnostic Tool updated and renamed VCF Diagnostic Tool for vSphere (VDT) | VMware

Using the VCF Diagnostic Tool for vSphere (VDT) (83896) (vmware.com)

Using the VCF Diagnostic Tool on SDDC Manager (94141) (vmware.com)

 

 

 

VDT for vSphere の実行例

 

出力例(IPアドレスやドメインなどは RFC5737-IPv4 Address Blocks Reserved for DocumentationRFC6761-Special-Use Domain Names の範囲でマスク済み)

 

root@vc [ ~/vdt-v2.0.1-01_05_2024_2 ]# python vdt.py

________________________________

   "VDT FOR VCENTER (V2.0.1)"

 

        Today: Wednesday, January 10 23:46:53

        Log Level: DEBUG

 

 

Provide password for administrator@vsphere.local:

 

_______________________________

   APPLIANCE INFO AND CONFIG

 

 

        [INFO]    vCenter Basic Info

 

                        Current Time: 2024-01-10 23:47:05.339900

                        vCenter Uptime: up 15 days

                        vCenter Load Average: 0.31, 0.16, 0.06

                        Number of CPUs: 4

                        Total Memory: 18.59

                        vCenter Hostname: vc.example.com

                        vCenter PNID: vc.example.com

                        vCenter IP Address: 192.0.2.100

                        NTP Servers: ntp.example.com

                        vCenter Version: 7.0.3.01700 - 22357613

                        vCenter SSO Domain: vsphere.local

                        vCenter AD Domain: No DOMAIN

                        Disabled Plugins: None

 

        [INFO]    Inventory Summary

 

                        Number of ESXi Hosts: 4

                        Number of Virtual Machines: 11

                        Number of Clusters: 1

 

 

        [PASS]    vCenter PNID Check

 

        [PASS]    vCenter Proxy Check (Not Enabled)

 

        [PASS]    Root Account Check (Exp: never)

 

 

________________

   NTP CHECKS

 

 

        [PASS]    NTP Service Check

                        NTP service is running

 

        [PASS]    NTP Server Check

 

                                ntp.example.com - OK

 

        [INFO]    NTP Status Check

 

                        +-----------------------------------LEGEND-----------------------------------+

                        | remote: NTP peer server                                                    |

                        | refid: server that this peer gets its time from                            |

                        | when: number of seconds passed since last response                         |

                        | poll: poll interval in seconds                                             |

                        | delay: round-trip delay to the peer in milliseconds                        |

                        | offset: time difference between the server and client in milliseconds      |

                        +-----------------------------------PREFIX-----------------------------------+

                        | * Synchronized to this peer                                                |

                        | # Almost synchronized to this peer                                         |

                        | + Peer selected for possible synchronization                               |

                        | Peer is a candidate for selection                                        |

                        | ~ Peer is statically configured                                            |

                        +----------------------------------------------------------------------------+

                            remote           refid      st t when poll reach   delay   offset  jitter

                        ==============================================================================

                        *192.0.2.101   .GPS.            1 u  753 1024  377  167.550   -0.799   1.038

 

 

 

________________

   DNS CHECKS

 

 

        [INFO]    Entries in /etc/hosts

 

                        127.0.0.1  vc.example.com vc localhost

                        ::1  vc.example.com vc localhost ipv6-localhost ipv6-loopback

 

        [PASS]    Checking for non-standard /etc/hosts entries

 

 

        Nameserver Checks

 

 

            192.0.2.102

 

                [PASS]    DNS with UDP - testing if vc.example.com resolves to 192.168.80.15

 

                [PASS]    DNS with TCP - testing if vc.example.com resolves to 192.168.80.15

 

                [PASS]    Reverse DNS - testing if 192.168.80.15 resolves to vc.example.com

 

                [INFO]    Commands used:

                          dig +short <fqdn> <nameserver>

                          dig +noall +answer -x <ip> <namserver>

                          dig +short +tcp <fqdn> <nameserver>

 

 

 

________________________

   FILE SYSTEM CHECKS

 

 

        [PASS]    Disk Space Check

 

        [PASS]    Inode Check

 

 

_____________________

   CORE FILE CHECK

 

 

        [INFO]    Core File Check

 

                        These core files are older than 72 hours.  consider deleting them

                        at your discretion to reduce the size of log bundles.

 

 

                    Core files:

                        /storage/core/core.python.55996 Size: 271.5MB Last Modified: 2023-11-06T15:22:06

                        /storage/core/core.python.42154 Size: 245.3MB Last Modified: 2023-10-25T11:29:35

                        /storage/core/core.python.41314 Size: 271.55MB Last Modified: 2023-09-28T06:08:41

 

        [PASS]    HPROF File Check

 

 

__________________________

   SERVICE STATUS CHECK

 

 

        [PASS]    Services Check

 

 

__________________

   SYSLOG CHECK

 

 

        [INFO]    Remote Syslog config: None Configured

 

        [PASS]    Local Syslog Functional Check

 

 

_____________________

   POSTGRES CHECKS

 

 

        [INFO]    Top 20 Largest Tables

 

                                     relation              | total_size

                        -----------------------------------+------------

                         vc.vpx_proc_log                   | 23 MB

                         vumdbc.vci_scanresults_confresupd | 18 MB

                         vc.vpx_host_vm_config_option      | 18 MB

                         vumdbc.vci_scanhistory_targets    | 9808 kB

                         vc.vpx_event_arg_30               | 5544 kB

                         vc.vpx_event_arg_40               | 4992 kB

                         vc.vpx_event_arg_22               | 4928 kB

                         vc.vpx_event_arg_31               | 4808 kB

                         vc.vpx_event_arg_37               | 4784 kB

                         vc.vpx_event_arg_45               | 4696 kB

                         vc.vpx_event_arg_28               | 4680 kB

                         vc.vpx_event_arg_34               | 4640 kB

                         vc.vpx_event_arg_25               | 4584 kB

                         vc.vpx_event_arg_43               | 4552 kB

                         vc.vpx_event_arg_38               | 4472 kB

                         vc.vpx_event_arg_16               | 4456 kB

                         vc.vpx_event_arg_32               | 4432 kB

                         vc.vpx_event_arg_23               | 4424 kB

                         vc.vpx_event_arg_29               | 4416 kB

                         vc.vpx_event_arg_19               | 4376 kB

 

 

        [INFO]    Total Postgres Size

 

                        479M     Interpreted by Postgres

                        198M    /storage/db/vpostgres/

                        329M    /storage/seat/vpostgres/

 

 

__________________________

   VCENTER CERTIFICATES

 

 

 

        VC VECS Check

 

 

            MACHINE_SSL_CERT

 

 

                __MACHINE_CERT

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-10-2025)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            MACHINE

 

 

                machine

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            VSPHERE-WEBCLIENT

 

 

                vsphere-webclient

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            VPXD

 

 

                vpxd

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            VPXD-EXTENSION

 

 

                vpxd-extension

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            HVC

 

 

                hvc

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            DATA-ENCIPHERMENT

 

 

                data-encipherment

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                    [INFO]    Certificate SAN Check

                                    SAN contains hostname but not IP.

 

 

            SMS

 

 

                sms_self_signed

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Expiration Check - (Expires 09-11-2033)

 

 

            WCP

 

 

                 wcp

 

                    [PASS]    Certificate SAN Check

 

                    [PASS]    Certificate Trust Check (TRUSTED BY ISSUER NAME)

 

                    [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

 

        VC Root CA Check

 

 

            0eae7b25868972d1843a6aa6c8d33329c9ab6f91

 

                [PASS]    Certificate SAN Check

 

                [PASS]    Certificate Trust Check (SELF-SIGNED)

 

                [PASS]    Certificate Expiration Check - (Expires 09-05-2033)

 

                [PASS]    Certificate Authority Parameter Check

 

 

        VC CRLs Check

 

            [PASS]    TRUSTED_ROOT_CRLS Check [Count: 1]

 

 

        ESXi Certificate Mode Check

 

            [PASS]    ESXi Certificate Mode Check [vmca]

 

 

        VC Extensions Check

 

            [PASS]    VPXD Extension Thumbprint Check

 

                            [PASS]      com.vmware.vim.eam: thumbprint match

                            [PASS]      com.vmware.rbd: thumbprint match

                            [INFO]      com.vmware.imagebuilder is not in use.

 

 

        VC STS Certificate Check

 

            [PASS]    STS Certificate Check

 

 

________________

   SSO CHECKS

 

 

 

        VC Lookup Service Check

 

 

            SSO Site: default-first-site

 

 

                [PASS]    vc.example.com (VC Server or CGW)

 

 

        VC Machine ID Check

 

            [PASS]    Machine ID Check

 

 

____________________________

   IDENTITY SOURCE CHECKS

 

 

        [PASS]    Local OS identity source exists

 

 

___________________

   IWA/AD CHECKS

 

 

 

        Detected Domain Checks

 

            [INFO]    Joined Domain Report (No domain(s) detected)

 

 

        Other Domain Checks

 

            [INFO]    Domain Exclusions (None)

 

            [INFO]    DC Exclusions (None)

 

 

__________________

   VMDIR CHECKS

 

 

 

        Local VMdir Checks

 

            [INFO]    VMdir database size: 32.54MB

 

            [PASS]    VMdir Arguments Check

 

            [PASS]    Stale PSC HA Check

 

            [PASS]    VMdir DFL Check

 

            [PASS]    VMdir Local State Check (Normal)

 

 

        VMdir Replication Checks

 

            [INFO]    No partners

 

 

_________________

   VCHA CHECKS

 

 

        [INFO]    'VCHA Check' Skipped [Reason: service disabled]

 

 

    ---

Report location: /var/log/vmware/vdt/vdt.log-2024-01-10-234705

JSON location:  /var/log/vmware/vdt/vdt.log-2024-01-10-234705.json

Log location:  /var/log/vmware/vdt/vdt.log

Feedback Contact: vcf-gs-sa-vdt.PDL@broadcom.com

    ---

 

 

所感

VCF Diagnostic Tool for vSphere (formerly vSphere Diagnostic Tool) という名前の割にはvSphere環境全体のアラームやvSANヘルスチェックは含まれず、vCenter Server Applianceのヘルスチェックしかしていない。

そのため、有事の際のvCenterのヘルスチェックやトラブルシューティングツールとしては使えるが、定常運用でのヘルスチェックツールとしては力不足であると思う。

ただし、問題を引き起こしがちな証明書期限切れのチェックは一通り網羅されておりExpire Dateも表示してくれるのはよいと思う。

最近はvSphere Clientに証明書が切れそうなタイミングで通知をしてくれるようになってはいるが、証明書の網羅性や、更新手順の煩雑さ、更新後のチェックを考慮するとGUIだけに頼らずこのツールを併用して確認することが推奨と思われる。

 


コメント

コメントを投稿

このブログの人気の投稿

vSwitchにSTPが不要な理由

イメージ
  ** 知っている人にとっては当たり前の内容です**     ESXiは多くの場合、冗長構成をとるために二つ以上のNICを利用し、それぞれ単一、もしくは別個の物理スイッチに接続されていると思います。 ESXiの物理NICはuplinkまたはvmnicとよばれ、ESXi内部にある仮想スイッチ(vSwitch)につながっています。 vSwitchはL2SWとしての役割をするため、物理スイッチをESXiの接続はスイッチ間接続となります。   図1:ネットワークトポロジ     vSwitchが物理スイッチと同等の動作をすると仮定した場合、この構成はループに相当します。 L2レベルでループがある場合は、ブロードキャストストームなどの問題が発生するためにSpanning Tree Protocol(STP)を設定する必要(最近では必ずしもそうとは言い切れないようですが。。。)があります。   ではvSwitchの場合でもSpanning Treeに参加する(ネットワークは専門外なので表現が間違っていたらすみません。。。)必要があるのでしょうか? 表題からもわかるように答えはNoです。 L2ネットワークでBPDUと呼ばれるパケットをやり取りすることで Spanning Treeが構成されますが、実際に、vSwitchではこのBPDUをDropしますので、vSwitchのUplinkがBlockされることはありません。   ではなぜ、vSwitchではトポロジ的にLoopであるにもかかわらずSpanning Treeが不要なのでしょうか?Loopによる問題は発生しないのでしょうか?   実はvSwitchはFloodingが必要な通信に対して特殊な動作をします。 その特殊動作のため、トポロジ的にLoopであっても問題は発生せず、Spanning Treeに参加する必要がないのです。   たとえば、ARPなどの外部からのブロードキャストフレームをuplink経由でvSwitchが受け取った場合、vSwitchに接続されるVMに対してはフレームを転送しますが、ほかのUplinkに対してはフレームを転送しません。   下図ではUplink1からBroadcast Packetを受信した際の動作を示しています。 Broadcast Packetは仮想スイッチに接続されるVMに対して転送
続きを読む

ESXi に DNS サーバを何個まで登録できるか

イメージ
ESXi の DNS サーバの最大登録可能数を調べる vSphere 構築経験のある多くの方は2つまでとお答えになるかもしれない。 なぜならば、DCUI や vSphere Client から設定した場合、Primary DNS と Alternative DNS の2つまでしか設定できないからだ。 GUI から設定する場合、苦し紛れにカンマ区切りなどで3つ以上登録しようと試みても無駄である。GUI でエラーになってはじかれるだけだ。 ならば、CLI はどうか。 /etc/resolv.conf に手動で追記していくだけであればストレージの許す限り記載することはできるだろうが、 この方法は当然ながら標準的な手順ではない。 esxcli を利用して DNS を登録することも可能である。具体的には以下のコマンドを利用する esxcli network ip dns server add -s <ip_address> 上記のコマンドを利用してどこまで登録可能かを試してみた。 具体的には以下のコマンドを用いて255個のDNSサーバを追加してみた for i in `seq 1 255`; do esxcli network ip dns server add -s 192.0.2.$i ;done なお、本ブログで記載される IP Address は例示用に予約されたものであり、RFC5737 から拝借している。 結果として、少々時間はかかるが登録自体は問題なく成功した。 実環境においてこれほど多くの DNS の登録をすることはあり得ないので、事実上制限なしと考えられる。 なお、参考のために他ベンダーも含める形で DNS 登録数の最大数を調べたところ、2 か 3 にしているところが多いようだ。 DNS を大量に登録した際の動作を調べる DNS クエリのタイムアウト時間:5 秒則 ESXi の DNS Client は最近の systemd-resolved などではなく、レガシーなソフトウェアであるため、 resolv.conf の上から順番に問い合わせていき、問合せ先の DNS に到達できなかった場合に次の DNS サーバに問い合わせる動作になる。 次の DNS サーバに問い合わせる条件はあくまでも到達できなかった場合であり、到達できた
続きを読む

障害でVDSから切断されたVCSAの復旧方法

この投稿は vExpert Advent Calendarの10日目です。 https://adventar.org/calendars/6689 本記事では以下の状況と、簡易な復旧方法について説明します。 環境 vCSAは自身が管理するvSphere Cluster上に存在する。 vCSAは自身が管理する vDSに接続される vCSAが接続されるdvportgroupはEphemeralではない 該当のvCSA以外にvSphere Clusterを管理できる vCSA は存在しない  障害状況 vCSAは何らかの理由により、もともと存在していたESXiから、別のESXiに再登録されている。 vCSAはvDSから切断されてしまっている。 解説 上記の状況は、ESXiの障害などによって副次的に発生しうる状況です。もともと、vCSA は vDS に接続されていましたが、ESXi の障害などにより、いったん Guest OS から Shutdown され、Host Client を利用して別の ESXi に再登録したうえで起動しています。 この場合、もともとvCSAが接続されていたdvportは別の ESXi 上のポートであるため、起動時にvCSAはvNICを接続することができず、切断状態となります。 vCSAが切断状態になり、かつESXiのHost Clientからは仮想マシンをvDSに接続することができないため(Ephemeral Port を除く)、vCSAの復旧が困難となります。  この状況において有効な解決策としては事前に用意しておいたEphemeral Port を利用するか、もしくは一時的にVSSを作成して復旧する方法が一般的な方法です。 事前にEphemeral Port の準備がない場合には、VSSを作成することになりますが、Uplinkに空きがない場合は、Uplinkを付け替える必要があり、手順は複雑になります。 今回はVSSを利用しない簡易な復旧方法についてご紹介します。 簡易な復旧方法 完結に手順を示すと以下です。 vNICが切断されているVCSAをShutdown  vCSAが存在する ESXi を Maintenance Mode~Reboot  vCSA を再度起動~vNICが接続状態であることを確認  上記に示した通り、ESXiをリブート
続きを読む