VCF_Upgrade_NSX – Das Beenden des Point-NSX-T-Upgrades schlägt am Anfang fehl

Zusammenfassung: Während eines NSX-T-Upgrades, das über SDDC Manager (Software-Defined Data Center) initiiert wird, schlägt der Prozess fehl. Dieses Problem tritt in der Regel bei einem SSL-Handshake-Fehler zwischen VCF Lifecycle Manager (LCM) und VxRail Manager auf. Dies kann auf ein nicht vertrauenswürdiges oder fehlendes Zertifikat im Java-Truststore zurückzuführen sein. ...

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Symptome

Fehler:
"Retrieving update detail failed. VCF services are not available. Unable to retrieve aggregated upgrade details: Cannot read properties of undefined (reading 'nsxt-mgmt.local:vcenter.local:domain-c7')"

In der SDDC Manager-Benutzeroberfläche schlägt das Upgrade mit den folgenden Fehlern fehl:

  • Upgrade element resourceType: NSX_T_PARALLEL_CLUSTER resourceId: nsxt-mgr.local:_ParallelClusterUpgradeElement status changed to COMPLETED_WITH_FAILURE

  • 9/3/25, 2:38 PM Upgrade element resourceType: NSX_T_HOSTCLUSTER resourceId: nsxt-mgmt.local:vcenter-mgmt.local:domain-c9 status changed to SKIPPED
Im lcm-debug.logwerden die folgenden Fehler beobachtet:

2025-09-03T11:38:43.532+0000 INFO  [vcf_lcm,0000000000000000,0000,upgradeId=0d7315ba-b55a-44f5-97af-e830e5ee351c,resourceType=NSX_T_PARALLEL_CLUSTER,resourceId=nsxt-mgmt.local:_ParallelClusterUpgradeElement,bundleElementId=d047696f-0b52-4fa7-8897-5a085bfd4c2b] [o.a.h.c.h.i.c.HttpRequestRetryExec,Upgrade-1] Recoverable I/O exception (javax.net.ssl.SSLHandshakeException) caught when processing request to {s}->https://vxrail-mgr.local:443

2025-09-03T11:38:43.562+0000 ERROR [vcf_lcm,0000000000000000,0000,upgradeId=0d7315ba-b55a-44f5-97af-e830e5ee351c,resourceType=NSX_T_PARALLEL_CLUSTER,resourceId=nsxt-mgmt.local:_ParallelClusterUpgradeElement,bundleElementId=d047696f-0b52-4fa7-8897-5a085bfd4c2b] [c.v.e.s.l.p.impl.vxm.VxManagerClient,Upgrade-1] General exception in executeVxManagerHttpRequest PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

2025-09-03T11:38:43.562+0000 ERROR [vcf_lcm,0000000000000000,0000,upgradeId=0d7315ba-b55a-44f5-97af-e830e5ee351c,resourceType=NSX_T_PARALLEL_CLUSTER,resourceId=nsxt-mgmt.local:_ParallelClusterUpgradeElement,bundleElementId=d047696f-0b52-4fa7-8897-5a085bfd4c2b] [c.v.e.s.l.p.i.nsxt.NsxtUpgradeUtil,Upgrade-1] Unhandled exception during NSX component upgrade:

javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target.

Schlüsselfehler:

javax.net.ssl.SSLHandshakeException: PKIX path building failed:

sun.security.provider.certpath.SunCertPathBuilderException:

unable to find valid certification path to requested target

  • Dies weist darauf hin, dass der VCF Lifecycle Manager (LCM) versucht, mit VxRail Manager zu kommunizieren unter https://vxrail-mgr.local:443, aber der SSL-Handshake schlägt aufgrund eines nicht vertrauenswürdigen oder fehlenden Zertifikats im Java-Truststore fehl.

Ursache

Der VCF Lifecycle Manager (LCM) versucht, mit VxRail Manager zu kommunizieren unter: https://vxrail-mgr.local:443

Der SSL-Handshake schlägt jedoch fehl, da das von VxRail Manager präsentierte Zertifikat eine der folgenden Eigenschaften aufweist:

  • Selbstsigniert
Oder
  • Fehlt im Java-Truststore, der von VCF verwendet wird

Infolgedessen kann der Upgradeprozess aufgrund mangelnder Vertrauenswürdigkeit in der Zertifikatkette nicht fortgesetzt werden.

Lösung

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

Schritt 1: Exportieren Sie das VxRail Manager-Zertifikat.

Führen Sie im SDDC Manager den folgenden Befehl aus:

echo | openssl s_client -connect vxrail-mgr.local:443 -showcerts

  • Kopieren Sie die gesamte Zertifikatskette (alles zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----)
  • Speichern Sie es in einer Datei, z. B. /tmp/vxrail.crt
Schritt 2: Importieren Sie das Zertifikat in den VCF-Truststore.

Befolgen Sie die Anweisungen im folgenden Artikel der Broadcom Knowledge Base: Aktualisieren von SDDC Manager, wenn ein VxRail Manager-Zertifikat ersetzt wurde (externer Link) 

  • Sie können überprüfen, ob das Zertifikat jetzt vertrauenswürdig ist, indem Sie Folgendes ausführen: openssl s_client -connect vxrail-mgr.local:443, und überprüfen, ob die Zertifikatskette verifiziert ist.

Schritt 3: Starten Sie die VCF-Services neu.

Starten Sie nach dem Importieren des Zertifikats die VCF-Services neu, um die Änderungen anzuwenden:

/opt/vmware/vcf/operationsmanager/scripts/cli/sddcmanagerrestartservices.sh

Schritt 4: Wiederholen Sie das NSX-T-Upgrade.

Kehren Sie zur SDDC Manager-Benutzeroberfläche zurück und wiederholen Sie das Upgrade für den parallelen NSX-T-Cluster. Vergewissern Sie sich, dass das Upgrade über den zuvor fehlgeschlagenen Punkt hinaus fortgesetzt wird.

Schritt 5:

Überwachen Sie das Upgrade, um sicherzustellen, dass es erfolgreich abgeschlossen wird.

Weitere Informationen

  • Dieses Problem tritt häufig in Umgebungen auf, in denen selbstsignierte Zertifikate verwendet werden oder Zertifikatsketten nicht ordnungsgemäß verwaltet werden.
  • Durch die regelmäßige Aktualisierung und Validierung von Zertifikaten in der Umgebung können solche Probleme während Lebenszyklusvorgängen verhindert werden.

Betroffene Produkte

VxRail, VxRail G Series Nodes, VxRail P Series Nodes, VxRail S Series Nodes, VxRail V Series Nodes
Artikeleigenschaften
Artikelnummer: 000364829
Artikeltyp: Solution
Zuletzt geändert: 20 Okt. 2025
Version:  2
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.