VMware NSX Data Center for vSphere 6.4.12 | 2021 年 12 月 21 日发行 | 内部版本 19066632

请参见本文的修订历史

发行说明内容

本发行说明包含以下主题:

NSX Data Center for vSphere 6.4.12 的新增功能

VMware NSX Data Center for vSphere 6.4.12 修补程序是一项强制安全更新,适用于运行 NSX for vSphere 6.4.x 版本的所有部署,用于解决 VMSA-2021-0028 中记录的安全漏洞。Log4j 的版本已更新到 2.16。

有关当前的已知问题,请参见 VMware NSX Data Center for vSphere 6.4.11 发行说明

版本、系统要求和安装说明

注意:

  • 下表列出了建议的 VMware 软件版本。这些建议只是常规建议,具体应考虑特定的环境需求。此信息为截至本文档发布之日的最新信息。

  • 有关 NSX 和其他 VMware 产品的最低支持版本,请参见 VMware 产品互操作性列表。VMware 的最低支持版本声明基于内部测试。

产品或组件 版本
NSX Data Center for vSphere

对于新部署,VMware 建议使用最新的 NSX 版本。

在升级现有部署时,请在计划升级之前参考 NSX Data Center for vSphere 发行说明,或者与 VMware 技术支持代表联系以了解某些特定问题的详细信息。

vSphere

对于 vSphere 6.5
推荐:6.5 Update 3
注意:vSphere 6.5 Update 1 解决了 EAM 由于内存不足而失败的问题。有关详细信息,请参见 VMware 知识库文章 2135378
重要信息:

  • 如果您要在 vSphere 6.5 上使用多播路由,建议使用 vSphere 6.5 Update 2 或更高版本。
  • 如果您要在 vSphere 6.5 上使用 NSX 客户机侦测,建议使用 vSphere 6.5 P03 或更高版本。

对于 vSphere 6.7:
推荐:6.7 Update 2
重要信息: 

  • 如果您要在 vSphere 6.7 上使用 NSX 客户机侦测,请在安装 NSX 6.4.6 之前参阅知识库文章 57248,并咨询 VMware 客户支持以了解详细信息。

注意:NSX 6.4 不支持 vSphere 5.5。

注意:vSphere 6.0 已终止支持,从 NSX 6.4.7 开始将不支持 vSphere 6.0。

适用于 Windows 的客户机侦测

在升级 NSX for vSphere 之前,建议您将 VMware Tools 升级到 10.3.10。

适用于 Linux 的客户机侦测

确保客户机虚拟机安装了支持的 Linux 版本。有关支持的 Linux 版本的最新列表,请参见《VMware NSX 管理指南》

系统要求和安装说明

有关 NSX 安装必备条件的完整列表,请参见《NSX 安装指南》中的 NSX 的系统要求一节。

有关安装说明,请参见《NSX 安装指南》《跨 vCenter NSX 安装指南》

已弃用和已停用的功能

产品周期终止和支持期终止警告

有关必须尽快升级的 NSX 和其他 VMware 产品的信息,请参见 VMware 生命周期产品列表

  • NSX for vSphere 6.1.x 于 2017 年 1 月 15 日终止提供 (EOA) 和终止支持 (EOGS)。(另请参见 VMware 知识库文章 2144769。)

  • 不再支持 vCNS Edge。在升级到 NSX 6.3 或更高版本之前,您必须先升级到 NSX Edge。

  • NSX for vSphere 6.2.x 已于 2018 年 8 月 20 日终止支持 (EOGS)。

  • 根据安全建议,在 NSX Edge IPsec VPN 服务中不再支持将 3DES 作为加密算法
    建议您切换到 IPsec 服务中提供的某个安全密码。这个有关加密算法的更改适用于 IPsec 站点的 IKE SA(阶段 1)以及 IPsec SA(阶段 2)协商。
     
    如果在升级到已移除 3DES 支持的版本时 NSX Edge IPsec 服务正在使用 3DES 加密算法,则此密码将被另一个建议的密码取代,因此正在使用 3DES 的 IPsec 站点将不会出现,除非将远程对等方上的配置修改为与 NSX Edge 中使用的加密算法匹配。
     
    如果使用 3DES 加密,请在 IPsec 站点配置中修改加密算法以将 3DES 替换为支持的某种 AES 变体 (AES/AES256/AES-GCM)。例如,对于将 3DES 作为加密算法的每种 IPsec 站点配置,请将其替换为 AES。在对等端点对 IPsec 配置进行相应的更新。

常规行为变化

如果具有多个 vSphere Distributed Switch,并在其中的一个 vSphere Distributed Switch 上配置了 VXLAN,您必须将任何分布式逻辑路由器接口连接到该 vSphere Distributed Switch 上的端口组。从 NSX 6.4.1 开始,将在 UI 和 API 中实施该配置。在早期版本中,不会禁止您创建无效的配置。  如果您升级到 NSX 6.4.1 或更高版本,并且错误地连接了 DLR 接口,则需要采取相应的措施来解决此问题。有关详细信息,请参见升级说明

用户界面移除和更改

  • 在 NSX 6.4.1 中,移除了服务编排画布。
  • 在 NSX 6.4.7 中,vSphere Client 7.0 中已弃用以下功能:
    • NSX Edge:SSL VPN-Plus(请参见知识库文章 79929 以了解详细信息)
    • 工具:端点监控(所有功能)
    • 工具:流量监控(流量监控仪表板、按服务列出详细信息以及配置)
    • 系统事件:NSX 票证记录器

安装行为变化

从版本 6.4.2 开始,在具有使用 ixgbe 驱动程序的物理网卡的主机上安装 NSX Data Center for vSphere 时,默认情况下在 ixgbe 驱动程序中不启用接收方调整 (RSS)。您必须先在主机上手动启用 RSS,才能安装 NSX Data Center。请确保只在具有使用 ixgbe 驱动程序的网卡的主机上启用 RSS。有关启用 RSS 的详细步骤,请参见 VMware 知识库文章 https://kb.vmware.com/s/article/2034676。此知识库文章介绍了提高 VXLAN 数据包吞吐量的建议 RSS 设置。

仅当在 ESXi 主机上全新安装内核模块(VIB 文件)时此新行为才适用。在将 NSX 管理的主机升级到 6.4.2 时,不需要进行任何更改。

API 移除和行为变化

NSX 6.4.2 中的弃用项

以下项已弃用,并且可能会从未来的版本中移除:

  • GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog。改用 GET/PUT /api/2.0/vdn/controller/cluster/syslog

NSX 6.4.1 中的行为变化

如果使用 POST /api/2.0/services/ipam/pools/scope/globalroot-0 创建新的 IP 池,或使用 PUT /api/2.0/services/ipam/pools/ 修改现有的 IP 池, 并且该池定义了多个 IP 范围,则会执行验证以确保范围不会发生重叠。以前,不会执行该验证。

NSX 6.4.0 中的弃用项
以下各项已弃用,并可能会在未来的版本中移除。

  • GET /api/4.0/edges/edgeID/status 中的 systemStatus 参数已弃用。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ 已弃用。现改为使用 GET /api/2.0/services/policy/serviceprovider/firewall/info
  • 分布式防火墙的全局配置部分中的 tcpStrict 设置已弃用。从 NSX 6.4.0 开始,tcpStrict 将在区域级别进行定义。注意:如果您升级到 NSX 6.4.0 或更高版本,全局配置设置 tcpStrict 将用来在每个现有的第 3 层区域配置 tcpStrict。tcpStrict 在第 2 层区域和第 3 层重定向区域设置为 false。有关详细信息,请参见《NSX API 指南》中的“使用分布式防火墙配置”。

NSX 6.4.0 中的行为变化
在 NSX 6.4.0 中,使用 POST /api/2.0/vdn/controller 创建控制器时,需要 <name> 参数。

NSX 6.4.0 引入了以下错误处理变化:

  • 以前,POST /api/2.0/vdn/controller 会响应为“201 已创建”(201 Created) 以指示控制器创建作业完成。但是,控制器的创建可能会失败。从 NSX 6.4.0 开始,响应变为“202 已接受”(202 Accepted)
  • 以前,如果您发送的 API 请求不允许在转换或独立模式下使用,响应状态为“400 错误请求”(400 Bad Request)。从 6.4.0 开始,响应状态变为“403 已禁止”(403 Forbidden)。

CLI 移除和行为变化

不要在 NSX Controller 节点上使用不支持的命令
不要使用未列出的命令在 NSX Controller 节点上配置 NTP 和 DNS。这些命令不受支持,不要在 NSX Controller 节点上使用这些命令。请仅使用 NSX CLI 指南中列出的命令。

升级说明

注意:有关影响安装和升级的已知问题列表,请参见安装和升级已知问题

常规升级说明

  • 将 vCSA 或 ESXi 升级到 7.0+ 后,主机上的虚拟机遇到东西向和南北向连接问题。有关详细信息,请参见 VMware 知识库文章 85070
  • 升级到 NSX Data Center for vSphere 6.4.11 后,使用较弱密码调用 NSX Controller API 的第三方集成可能会停止工作。
  • 要升级 NSX,您必须执行完整的 NSX 升级,包括主机集群升级(将升级主机 VIB)。有关说明,请参见《NSX 升级指南》,其中包括“升级主机集群”部分。

  • 不支持使用 VUM 升级主机集群上的 NSX VIB。请使用升级协调器、主机准备或相关联的 REST API 升级主机集群上的 NSX VIB。

  • 系统要求:有关安装和升级 NSX 时的系统要求信息,请参见 NSX 文档中的 NSX 的系统要求部分。

  • NSX 升级途径:VMware 产品互操作性列表提供了有关从 VMware NSX 升级的途径的详细信息。
  • 《NSX 升级指南》中介绍了跨 vCenter NSX 升级

  • 不支持降级:
    • 请务必先备份 NSX Manager,然后再执行升级。

    • 成功升级 NSX 后,无法对 NSX 进行降级。

  • 要验证是否成功升级到 NSX 6.4.x,请参见知识库文章 2134525
  • 不支持从 vCloud Networking and Security 升级到 NSX 6.4.x。您必须先升级到支持的 6.2.x 版。

  • 互操作性:在升级之前,请检查 VMware 产品互操作性列表以了解所有相关的 VMware 产品。
    • 升级到 NSX Data Center for vSphere 6.4.7:由于存在多个规模问题,VIO 与 NSX 6.4.7 不兼容。
    • 升级到 NSX Data Center for vSphere 6.4:NSX 6.4 与 vSphere 5.5 不兼容。
    • 升级到 NSX Data Center for vSphere 6.4.5:如果将 NSX 与 VMware Integrated OpenStack (VIO) 一起部署,请将 VIO 升级到 4.1.2.2 或 5.1.0.1,因为 6.4.5 与以前的版本不兼容,这是由于 Spring 软件包更新为 5.0 版。
    • 升级到 vSphere 6.5:要升级到 vSphere 6.5a 或更高的 6.5 版本时,您必须先升级到 NSX 6.3.0 或更高版本。NSX 6.2.x 与 vSphere 6.5 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
    • 升级到 vSphere 6.7:要升级到 vSphere 6.7 时,您必须先升级到 NSX 6.4.1 或更高版本。早期版本的 NSX 与 vSphere 6.7 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。 
  • 合作伙伴服务兼容性:如果您的站点使用 VMware 合作伙伴服务实施客户机侦测或网络侦测,您必须在升级之前查阅《VMware 兼容性指南》以确认供应商的服务与此版本的 NSX 兼容。
  • Networking and Security 插件:在升级 NSX Manager 后,您必须注销并重新登录到 vSphere Web Client。如果未正确显示 NSX 插件,请清除浏览器缓存和历史记录。如果 Networking and Security 插件未显示在 vSphere Web Client 中,请重置 vSphere Web Client 服务器,如《NSX 升级指南》中所述。
  • 无状态环境:在无状态主机环境中执行 NSX 升级时,新的 VIB 将在 NSX 升级过程中预先添加到主机映像配置文件。因此,无状态主机上的 NSX 升级过程遵循以下顺序:

    在 NSX 6.2.0 之前,您只能在 NSX Manager 上通过单个 URL 找到适用于特定版本的 ESX 主机的 VIB。(这意味着管理员只需知道一个 URL,而不管使用的是哪种 NSX 版本。)在 NSX 6.2.0 和更高版本中,新的 NSX VIB 通过不同的 URL 提供。要找到合适的 VIB,您必须执行以下步骤:

    1. https://<nsxmanager>/bin/vdn/nwfabric.properties 中找到新的 VIB URL。
    2. 从相应的 URL 获取所需 ESX 主机版本的 VIB。
    3. 将这些 VIB 添加到主机映像配置文件。
  • 在使用 vSphere Client 7.0 的 NSX 6.4.7 UI 中,不支持服务定义功能
    例如,如果您在 vSphere 6.5 或 6.7 中注册了旧的 Trend Micro 服务定义,请按照以下两个选项之一进行操作:
    • 选项 1:在升级到 vSphere 7.0 之前,导航到 vSphere Web Client 中的服务定义选项卡,将服务定义编辑为 7.0,然后升级到 vSphere 7.0。
    • 选项 2:升级到 vSphere 7.0 后,运行以下 NSX API 以添加服务定义 7.0 或将服务定义编辑为 7.0。

                      POST https://<nsmanager>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec

NSX 组件的升级说明

NSX 组件支持虚拟机硬件版本 11

  • 如果是新安装 NSX Data Center for vSphere 6.4.2,NSX 组件(Manager、Controller、Edge 和客户机侦测)将运行在虚拟机硬件版本 11 上。
  • 如果是升级到 NSX Data Center for vSphere 6.4.2,NSX Edge 和客户机侦测组件会自动升级到虚拟机硬件版本 11。NSX Manager 和 NSX Controller 组件在升级后仍保留在虚拟机硬件版本 8 上。用户可以选择将虚拟机硬件升级到版本 11。有关升级虚拟机硬件版本的说明,请参阅知识库文章 (https://kb.vmware.com/s/article/1010675)。
  • 如果是新安装 NSX 6.3.x、6.4.0 和 6.4.1,NSX 组件(Manager、Controller、Edge、客户机侦测)将运行在虚拟机硬件版本 8 上。

NSX Manager 升级

  • 重要信息:如果您要将 NSX 6.2.0、6.2.1 或 6.2.2 升级到 NSX 6.3.5 或更高版本,则在开始升级之前,您必须完成一个解决办法。有关详细信息,请参见 VMware 知识库文章 000051624

  • 如果从 NSX 6.3.3 升级到 NSX 6.3.4 或更高版本,您必须先按照 VMware 知识库文章 2151719 中的解决办法说明进行操作。

  • 如果使用 SFTP 进行 NSX 备份,请在升级到 6.3.0 或更高版本后更改为 hmac-sha2-256,因为不支持 hmac-sha1。有关支持的安全算法列表,请参见 VMware 知识库文章 2149282

  • 在将 NSX Manager 升级到 NSX 6.4.1 时,将在升级过程中自动创建备份并保存在本地。有关详细信息,请参见升级 NSX Manager

  • 升级到 NSX 6.4.0 时,会保留 TLS 设置。如果只启用了 TLS 1.0,您将能够在 vSphere Web Client 中查看 NSX 插件,但 NSX Manager 不可见。这不会影响数据路径,但您无法更改任何 NSX Manager 配置。登录到 NSX 设备管理 Web UI(网址为 https://nsx-mgr-ip/),并启用 TLS 1.1 和 TLS 1.2。这会重新引导 NSX Manager 设备。

控制器升级

  • NSX Controller 集群必须包含三个控制器节点。如果少于三个控制器,您必须在开始升级之前添加控制器。请参见部署 NSX Controller 集群以了解相应的说明。
  • 在 NSX 6.3.3 中,NSX Controller 的底层操作系统发生变化。这意味着,从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本而不是执行就地软件升级时,将每次删除一个现有的控制器,并使用相同的 IP 地址部署基于 Photon OS 的新控制器。

    在删除控制器时,还会删除任何关联的 DRS 反关联性规则。您必须在 vCenter 中创建新的反关联性规则,以防止新的控制器虚拟机位于同一主机上。

    有关控制器升级的详细信息,请参见升级 NSX Controller 集群

主机集群升级

  • 如果您从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本,NSX VIB 名称会发生更改。
    如果在 ESXi 6.0 或更高版本上安装了 NSX 6.3.3 或更高版本,esx-vxlan 和 esx-vsip VIB 将替换为 esx-nsxv。

  • 主机上无重新引导的升级和卸载:在 vSphere 6.0 和更高版本上,从 NSX 6.2.x 升级到 NSX 6.3.x 或更高版本后,任何后续的 NSX VIB 更改都不需要重新引导,但主机必须进入维护模式才能完成 VIB 更改。这会同时影响 NSX 主机集群升级和 ESXi 升级。有关详细信息,请参见《NSX 升级指南》

NSX Edge 升级

  • 在 NSX 6.4.1 中添加了验证步骤,以禁止无效的分布式逻辑路由器配置:在配置了 VXLAN 且具有多个 vSphere Distributed Switch 的环境中,只能将分布式逻辑路由器接口连接到配置了 VXLAN 的 vSphere Distributed Switch。在这些环境中,如果 DLR 将接口连接到未配置 VXLAN 的 vSphere Distributed Switch,将 DLR 升级到 NSX 6.4.1 或更高版本将失败。使用 API 将任何配置不正确的接口连接到配置了 VXLAN 的 vSphere Distributed Switch 上的端口组。在有效配置后,再次尝试进行升级。您可以使用 PUT /api/4.0/edges/{edgeId}PUT /api/4.0/edges/{edgeId}/interfaces/{index} 更改接口配置。有关详细信息,请参见《NSX API 指南》。
  • 在将 UDLR 从 6.2.7 升级到 6.4.5 之前,从 vCenter Server 中删除与辅助 NSX Manager 关联的 UDLR 控制虚拟机:
    在多 vCenter 环境中,如果在 UDLR 控制虚拟机上启用了 HA,在将 NSX UDLR 从 6.2.7 升级到 6.4.5 时,辅助 NSX Manager 上的 UDLR 虚拟设备(UDLR 控制虚拟机)升级将会失败。在升级期间,将从 NSX 数据库中移除在 HA 对中具有 HA 索引 0 的虚拟机;但该虚拟机在 vCenter Server 上仍然存在。因此,在辅助 NSX Manager 上升级 UDLR 控制虚拟机时,升级失败,因为虚拟机名称与 vCenter Server 上的现有虚拟机发生冲突。要解决该问题,请从 vCenter Server 中删除与辅助 NSX Manager 上的 UDLR 关联的控制虚拟机,然后将 UDLR 从 6.2.7 升级到 6.4.5。

  • 在升级 NSX Edge 设备之前,必须为 NSX 准备主机集群:从 6.3.0 开始,不再支持通过 VIX 通道在 NSX Manager 和 Edge 之间进行的管理平面通信。仅支持消息总线通道。从 NSX 6.2.x 或更低版本升级到 NSX 6.3.0 或更高版本时,您必须确认为 NSX 准备了部署 NSX Edge 设备的主机集群,并且消息基础架构状态为绿色。如果没有为 NSX 准备主机集群,NSX Edge 设备升级将失败。有关详细信息,请参见《NSX 升级指南》中的“升级 NSX Edge”。

  • 升级 Edge 服务网关 (ESG):
    从 NSX 6.2.5 开始,将在升级 NSX Edge 时执行资源预留。如果在资源不足的集群上启用 vSphere HA,由于违反 vSphere HA 限制,升级操作可能会失败。

    为了避免此类升级失败,请在升级 ESG 之前执行以下步骤:

    如果在安装或升级时没有明确设置值,NSX Manager 将使用以下资源预留。

    NSX Edge
    规格大小
    CPU 预留 内存预留
    精简 1000MHz 512 MB
    中型 2000MHz 1024 MB
    大型 4000MHz 2048 MB
    超大型 6000MHz 8192 MB
    1. 始终确保您的安装遵循为 vSphere HA 建议的最佳做法。请参见 VMware 知识库文章 1002080 文档。

    2. 使用 NSX 优化配置 API:
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      确保 edgeVCpuReservationPercentageedgeMemoryReservationPercentage 值在相应规格大小的可用资源范围内(请参见上表以了解默认值)。

  • 在启用 vSphere HA 并部署 Edge 时,请禁用 vSphere 的虚拟机启动选项。在将 6.2.4 或更低版本的 NSX Edge 升级到 6.2.5 或更高版本后,您必须为已启用 vSphere HA 并部署 Edge 的集群中的每个 NSX Edge 禁用 vSphere 虚拟机启动选项。为此,请打开 vSphere Web Client,找到 NSX Edge 虚拟机所在的 ESXi 主机,单击“管理”>“设置”并在“虚拟机”下面选择“虚拟机启动/关机”,单击“编辑”并确保该虚拟机处于手动模式(即,确保该虚拟机未添加到自动启动/关机列表中)。

  • 在升级到 NSX 6.2.5 或更高版本之前,确保所有的负载均衡器密码列表均以冒号分隔。如果密码列表使用逗号等其他分隔符,请对 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles 执行 PUT 调用,将 <clientssl> </clientssl><serverssl> </serverssl> 中的每个 <ciphers> </ciphers> 列表替换为以冒号分隔的列表。例如,请求正文中的相关分段可能类似于以下内容。对所有的应用程序配置文件重复此过程:

    <applicationProfile>
      <name>https-profile</name>
      <insertXForwardedFor>false</insertXForwardedFor>  
      <sslPassthrough>false</sslPassthrough> 
      <template>HTTPS</template>  
      <serverSslEnabled>true</serverSslEnabled>  
      <clientSsl> 
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <clientAuth>ignore</clientAuth>  
        <serviceCertificate>certificate-4</serviceCertificate> 
      </clientSsl>  
      <serverSsl> 
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <serviceCertificate>certificate-4</serviceCertificate> 
      </serverSsl>
      ...
    </applicationProfile>
  • 在早于 6.2.0 的 vROPs 版本中为负载均衡的客户端设置正确的密码版本:早于 6.2.0 的 vROPs 版本中的 vROPs 池成员使用 TLS 版本 1.0,因此,您必须在 NSX 负载均衡器配置中设置 "ssl-version=10" 以显式设置监控扩展值。有关说明,请参见《NSX 管理指南》中的“创建服务监控器”。
    {
                                  "expected" : null,
                                  "extension" : "ssl-version=10",
                                  "send" : null,
                                  "maxRetries" : 2,
                  "name" : "sm_vrops",
                  "url" : "/suite-api/api/deployment/node/status",
                  "timeout" : 5,
                  "type" : "https",
                  "receive" : null,
                  "interval" : 60,
                  "method" : "GET"
               }
  • 升级到 NSX 6.4.6 后,DLR 上的 L2 网桥和接口无法连接到属于不同传输区域的逻辑交换机:  在 NSX 6.4.5 或更低版本中,分布式逻辑路由器 (DLR) 上的 L2 网桥实例和接口支持使用属于不同传输区域的逻辑交换机。从 NSX 6.4.6 开始,不支持此配置。DLR 上的 L2 网桥实例和接口必须连接到单个传输区域中的逻辑交换机。如果使用多个传输区域中的逻辑交换机,则在将 NSX 升级到 6.4.6 时的升级前验证检查期间,将会阻止 Edge 升级。要解决此 Edge 升级问题,请确保 DLR 上的网桥实例和接口连接到单个传输区域中的逻辑交换机。

  • 升级到 NSX 6.4.7 后,DLR 上的网桥和接口无法连接到属于不同 VDS 的 dvPortGroup:如果存在此类配置,执行升级前验证检查时将阻止 NSX Manager 升级到 6.4.7。要解决此问题,请确保 DLR 的接口和 L2 网桥连接到单个 VDS。

  • 升级到 NSX 6.4.7 后,如果 DLR 连接到的逻辑交换机的传输区域跨多个 VDS,则无法将 DLR 连接到支持 VLAN 的端口组:这是为了确保 DLR 实例与主机中的逻辑交换机 dvPortGroup 正确对齐。如果存在此类配置,执行升级前验证检查时将阻止 NSX Manager 升级到 6.4.7。要解决此问题,请确保没有逻辑接口连接到支持 VLAN 的端口组(如果属于跨多个 VDS 的传输区域的逻辑交换机存在逻辑接口)。 

  • 升级到 NSX 6.4.7 后,不同 DLR 的接口和 L2 网桥不能位于同一网络上:如果存在此类配置,执行升级前验证检查时将阻止 NSX Manager 升级到 6.4.7。要解决此问题,请确保仅在单个 DLR 中使用某一网络。

FIPS 的升级说明

从 NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在完成升级之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在 OS X Yosemite 和 OS X El Capitan 上支持的密码:如果在 OS X 10.11 (EL Capitan) 上使用 SSL VPN 客户端,您可以使用 AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHAAES128-SHA 密码进行连接,使用 OS X 10.10 (Yosemite) 的客户端只能使用 AES256-SHAAES128-SHA 进行连接。

  • 在完成到 NSX 6.3.x 的升级之前,不要启用 FIPS。有关详细信息,请参阅《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在启用 FIPS 之前,请确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见《VMware 兼容性指南》和相关的合作伙伴文档。

FIPS 合规性

如果配置正确,NSX 6.4 将对所有与安全相关的加密使用经由 FIPS 140-2 验证的加密模块。

注意:

  • 控制器和集群 VPN:NSX Controller 使用 IPsec VPN 连接控制器集群。IPsec VPN 使用 VMware Linux 内核加密模块(VMware Photon OS 1.0 环境),目前正在对该模块进行 CMVP 验证。
  • Edge IPsec VPN:NSX Edge IPsec VPN 使用 VMware Linux 内核加密模块(VMware NSX OS 4.4 环境),目前正在对该模块进行 CMVP 验证。

文档修订历史

2021 年 12 月 21 日:第一版。

已解决的问题

  • 已修复问题 2407662:Apache Log4j 已更新到版本 2.16 以解决 CVE-2021-44228 和 CVE-2021-45046。

    VMware NSX for vSphere 6.4.12 修补程序是一项强制安全更新,适用于运行 NSX for vSphere 6.4.x 版本的所有部署,用于解决 VMSA-2021-0028 中记录的安全漏洞。Log4j 的版本已更新到 2.16。

  • 已修复问题 2835975:由于缺少默认路由配置,无法从外部对新部署或升级到 NSX for vSphere 6.4.11 的控制器进行 ping 操作。

    有关详细信息,请参见 VMware 知识库文章 86011

check-circle-line exclamation-circle-line close-line
Scroll to top icon