VMware ortamlarında cold migration yani kapalı durumdaki bir sanal makinenin (VM) bir ESXi hosttan diğerine taşınması, sıkça kullanılan ve oldukça güvenilir bir işlemdir.
Ancak bazı durumlarda bu işlem aynı vCenter Server içerisinde bile başarısız olabilir. Kullanıcılar genellikle migration işleminin yaklaşık %39 seviyesinde şu hata ile karşılaşır:
Cannot connect to hostCold migration sırasında aşağıdaki durumlar gözlemlenebilir:
- Yeni bir vCenter’a powered-off VM import etmeye çalıştığınızda işlem %39’da başarısız olur.
- Aynı vCenter’daki iki ESXi host arasında powered-off VM taşınamaz.
- VM template’ten yeni bir VM deploy etmeye çalıştığınızda işlem benzer şekilde durur.
- Kaynak ESXi host üzerindeki
/var/run/log/hostd.logdosyasında şu hatalar kaydedilir:
Cnx_Connect: Error message: Failed to connect to server X.X.X.X:902
[NFC ERROR] NfcNewAuthdConnectionEx: Failed to connect to server X.X.X.X:902
[NFC ERROR] NfcEstablishAuthCnxToServer: Failed to create new AuthD connection
[NFC ERROR] Nfc_BindAndEstablishAuthdCnx3: Failed to create a connection with server X.X.X.X:902
error hostd[PID] Unable to connect to NFC server: Failed to connect to server X.X.X.X:902Bu log satırları migration işleminin NFC (Network File Copy) protokolü üzerinden bağlantı kurmaya çalışırken başarısız olduğunu gösterir.
Cold migration işlemleri sırasında VM dosyaları NFC (Network File Copy) üzerinden kaynak ESXi’den hedef ESXi hosta aktarılır.
- Bu trafik, TCP 902 portu üzerinden gerçekleştirilir.
- Varsayılan olarak management vmkernel interface (vmk0) kullanılır.
- Eğer ortamda dedicated provisioning vmkernel interface yapılandırılmışsa, bu trafik oradan yönlendirilir.
Bu nedenle kaynak host -> hedef hostun 902 numaralı portuna erişemediğinde NFC oturumu kurulamaz ve migration işlemi başarısız olur.
Firewall Kurallarını Kontrol Edilmesi
İlk olarak ESXi hostlar arasında TCP 902 portunun açık olduğundan emin olunuz.
- Arada network firewall, security appliance veya host-based firewall engeli olabilir.
- vSphere ortamında ESXi hostlar arası TCP 902 portunun açık olması migration için zorunludur.
Port Erişimini Test Edilmesi
Kaynak hosttan hedef hosta 902 portuna bağlantıyı test ediniz.
nc -zv <destination_host_IP> 902
veya
telnet <destination_host_IP> 902
Eğer bağlantı kurulamazsa sorun ağ veya firewall yapılandırmasından kaynaklanmaktadır.
Provisioning Interface Kontrolü
- Eğer özel bir provisioning vmkernel interface yapılandırıldıysa doğru network üzerinde bulunduğundan ve 902 portuna çıkış izni olduğundan emin olun.
- Yanlış yapılandırılmış provisioning interface migration trafiğinin engellenmesine neden olabilir.
Ağ ve Güvenlik Politikalarını İnceleyin
- Bazı ortamlarda güvenlik politikaları gereği ESXi hostlar arası sadece belirli portlara izin verilir.
- Migration, VM template deploy ve cold clone gibi işlemler için TCP 902 mutlaka whitelist’e eklenmelidir.
Bu sorun yalnızca cold migration işlemlerinde değil, VM template dağıtımı sırasında da görülebilir. Sorunun kök nedeni her zaman NFC trafiğinin TCP 902 üzerinden engellenmesidir. vSphere’in NFC servisi (Authd), hem vCenter hem de ESXi hostlar üzerinde VM dosyalarının taşınması için kritik öneme sahiptir.