VxRail : Les connexions HTTPS vCenter à distance dépassent la valeur maximale autorisée après le redémarrage

Dans un environnement vCenter fourni par le client (également appelé vCenter externe), vCenter peut gérer plusieurs clusters VxRail.
Après un redémarrage de vCenter, vous pouvez observer une erreur indiquant que les gestionnaires VxRail n’ont pas réussi à se connecter à vCenter.

Vérifier le fichier VxRail Manager /var/log/mystic/web.log. Recherchez le texte Remote host terminated the handshake comme le montre le fait que VxRail Manager n’a pas pu se connecter au vCenter.

2023-05-16 09:35:37.378+0000 ERROR [myScheduler-6] com.graphql_java_generator.client.QueryExecutorImpl QueryExecutorImpl.doJsonRequestExecution:148 - {"message":"Failed to connect to vCenter None"," locations":[{"line":1,"column":8,"sourceName":null}],"description":null,"validationErrorType":null,"queryPath":null,"errorType":null,"path":["cluster"],"extensions":null}

2023-05-16 09:35:37.378+0000 INFO  [myScheduler-6] com.vce.commons.domainowner.cluster.VCRepository VCRepository.getDeploymentTypeAndHostSummary:135 - failed to get deployment type and host summary.com.graphql_java_generator.client.response.GraphQLExecutionException: 1 errors occured: {"message":"Failed to connect to vCenter None","locations":[{"line":1,"column":8,"sourceName":null}],"description":null,"validationErrorType":null,"queryPath":null,"errorType":null,"path":["cluster"],"extensions":null}

Caused by: javax.net.ssl.SSLHandshakeException: Remote host terminated the handshake
        at sun.security.ssl.SSLSocketImpl.handleEOF(SSLSocketImpl.java:1696) ~[?:?]
        at sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1514) ~[?:?]
        at sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1416) ~[?:?]

Vérifier le fichier vCenter /var/log/vmware/envoy/envoy.log. Recherchez le texte remote https connections exceed max allowed: 2048. Le message suivant indique ensuite que vCenter ferme des connexions à partir de l’adresse IP du VxRail Manager x.x.x.x.

2023-05-16T08:55:26.142Z warning envoy[2436] [Originator@6876 sub=filter] [C28710] remote https connections exceed max allowed: 2048
2023-05-16T08:55:26.142Z warning envoy[2436] [Originator@6876 sub=filter] [C28710] closing connection TCP<x.x.x.x:52018, y.y.y.y:443>

Une fois le vCenter redémarré, tous les VxRail Manager sous ce vCenter tentent de s’y reconnecter. Chaque VxRail Manager peut tenter de lancer entre 80 et 110 connexions HTTPS. Le paramètre par défaut de vCenter pour le nombre maximal de connexions https autorisées est 2 048. Si le nombre de VxRail Managers qui tentent de se connecter à un seul vCenter est trop important, vCenter ne peut pas gérer le nombre de demandes de connexion. Le résultat final est que le nombre maximal de connexions autorisées est dépassé et que vCenter commence à fermer les connexions de certains VxRail Manager.

VxRail 7.0.480 dispose d’une amélioration visant à réduire les connexions https à vCenter lors du redémarrage de vCenter.
Si vous rencontrez toujours ce problème, suivez les étapes ci-dessous comme solution de contournement.

Si le nombre de clusters VxRail gérés par vCenter est inférieur à 25, suivez les instructions de l’article VMware 344920 Épuisement de la connexion HTTPS dans les logs Envoy du serveur vCenter pour augmenter le maximum RemoteHttpsConnections Limite à 3 072, puis redémarrez vCenter rhttpproxy service.

Si vCenter gère plus de 25 clusters VxRail, n’essayez pas d’augmenter maximum RemoteHttpsConnections Limite à un nombre supérieur à 3 072. VMware ne le recommande pas, car cela peut avoir un impact négatif sur les performances de vCenter.

Suivez les étapes ci-dessous pour contourner ce problème :

1. Mettez tous les VxRail Managers hors tension pour permettre à vCenter de libérer les connexions HTTPS.
2. Démarrez 10 gestionnaires VxRail et attendez que le numéro de connexion soit stable. Vous pouvez exécuter la commande ci-dessous sur le vCenter pour surveiller le numéro de connexion.

netstat -tnep | grep envoy | grep "<VCSA IP address>:443"| wc -l

3. Démarrez cinq autres gestionnaires VxRail et attendez que le numéro de connexion soit stable.
4. Répétez l’étape 3 jusqu’à ce que tous les gestionnaires VxRail soient démarrés.