VMware NSX for vSphere 6.4.0 | 2018 年 1 月 16 日发行 | 内部版本 7564187

请参见本文的修订历史

发行说明内容

本发行说明包含以下主题:

NSX 6.4.0 的新增功能

NSX for vSphere 6.4.0 添加了可维护性增强功能,并解决了一些特定的客户问题。有关详细信息,请参见已解决的问题

NSX for vSphere 6.4.0 中引入了以下更改:

安全服务:

  • 身份防火墙:身份防火墙 (IDFW) 现在支持远程桌面和应用程序服务器 (RDSH) 上的用户会话共享一个 IP 地址,新的“快速路径”架构提高了 IDFW 规则的处理速度。Active Directory 集成现在允许进行选择性同步以加快 AD 更新。

  • 分布式防火墙:分布式防火墙 (DFW) 添加了基于第 7 层应用程序的上下文,以用于控制流量和规划微分段。应用程序规则管理器 (ARM) 现在可建议安全组和策略,以制定统一的可管理微分段策略。

  • 现在,可在每个 DFW 区域级别将分布式防火墙规则创建为无状态规则。

  • 分布式防火墙支持在管理程序中实现虚拟机 IP。这允许用户验证特定的虚拟机 IP 是否属于在 DFW 规则的源、目标或应用对象字段中使用的安全组/群集/资源池/主机的一部分。

  • 虚拟机的 IP 地址发现机制:根据虚拟机名称或其他基于 vCenter 的属性授权实施安全策略时,要求 NSX 知晓虚拟机的 IP 地址。NSX 6.2 提供了一个使用 DHCP 侦听或 ARP 侦听发现虚拟机 IP 地址的选项。在 NSX 6.4.0 中,ARP 发现的 IP 数量已增至最多 128 个,该数量可在 1 到 128 之间进行配置。  通过这些新的发现机制,NSX 能够对未安装 VMware Tools 的虚拟机强制实施基于 IP 地址的安全规则。

  • Guest Introspection: 对于 vCenter 6.5 和更高版本,Guest Introspection (GI) 虚拟机将命名为 Guest Introspection (XX.XX.XX.XX),其中 XX.XX.XX.XX 是 GI 计算机所在的主机的 IPv4 地址。在 GI 初始部署期间,将会出现该问题。

NSX 用户界面:

  • vSphere Client (HTML5) 支持:引入了适用于 vSphere Client (HTML5) 的 VMware NSX UI 插件。有关支持的功能列表,请参阅 vSphere Client 中的 VMware NSX for vSphere UI 插件功能
  • HTML5 与 vSphere Web Client (Flash) 的兼容性:采用 HTML5 开发的 NSX 功能(例如仪表板)保持与 vSphere Client 和 vSphere Web Client 均兼容,可为无法立即转换到 vSphere Client 的用户提供无缝式体验。
  • 改进的导航菜单:减少了访问“分组对象”、“标记”、“排除列表”和“系统配置”等关键功能所需的单击次数。

操作和故障排除:

  • 升级协调器提供了一个简化 NSX 升级计划和执行的门户。  升级协调器提供了当前和目标版本的所有 NSX 组件的完整系统视图、升级进度指示、一键式或自定义升级计划以及升级前和升级后检查。
  • 许多新组件附带改进的新 HTML5 仪表板。仪表板现在是您的默认主页。  您还可以自定义现有的系统定义小组件,并能够通过 API 创建您自己的自定义小组件。
  • 新的系统规模仪表板收集有关当前系统规模的信息,并显示所支持规模参数的最高配置。  此外,还可配置在接近或超出限制时发出警告和警示。
  • Guest Introspection 可靠性和故障排除增强。  EAM 状态通知、升级进度、SVM 的自定义名称、额外内存等功能增强了 GI 部署的可靠性和故障排除。
  • 用于逻辑交换机、逻辑路由器和 Edge 分布式防火墙的中央 CLI 可提供对分布式网络功能的集中访问,从而缩短故障排除时间。
  • 新的支持包选项卡可帮助您通过 UI 一键式收集支持包。您现在可以收集 NSX Manager、主机、Edge 和控制器等 NSX 组件的支持包数据。您既可以下载此汇总支持包,也可以将此包直接上载到远程服务器。您可以查看数据收集的整体状态,以及每个组件的单独状态。
  • 新的数据包捕获选项卡可用于通过 UI 捕获数据包。如果有主机未处于正常运行状态,您可以获取该主机的数据包转储,之后管理员可以检查该数据包信息以便进一步调试。
  • 您现在可以从辅助站点上的管理选项卡中启用控制器断连操作 (CDO) 模式,以避免出现临时性连接问题。CDO 模式可确保当多站点环境中的主站点断开连接时,该环境中的数据层面连接不会受到影响。 
  • 多 syslog 支持,最多支持 5 个 syslog 服务器。
  • API 改进,包括 JSON 支持。  NSX 现在提供 JSON 或 XML 数据格式选项。  XML 将保留默认设置,以实现向后兼容性。
  • 某些 NSX Edge 系统事件消息现在包含 Edge ID 和/或虚拟机 ID 参数。例如,事件代码 30100、30014、30031。
    这些消息参数不可用于较旧的系统事件。否则,事件消息会将 Edge ID 和/或虚拟机 ID 参数显示为 {0} 或 {1}。
  • 您现在可以使用 NSX API 来了解管理程序的状态。监控管理程序隧道运行状况对于快速解决问题非常有用。API 响应包括 pNIC 状态、隧道状态、管理程序到控制层面的连接状态以及管理程序到管理层面的连接状态。

NSX Edge 增强:

  • 增强了 Edge 负载平衡器运行状况检查。添加了三个新的运行状况检查监控器:DNS、LDAP 和 SQL。
  • 您现在可以根据目标 IP 的前缀长度中的 LE/GE,筛选重新分发的路由。
  • 支持通过 GRE 隧道的 BGP 和静态路由配置。
  • NAT64 提供了 IPv6 到 IPv4 转换。
  • 加快了 Edge 路由服务的故障切换速度。
  • 路由事件现在会在 NSX Manager 中生成系统事件。
  • 改进了 L3 VPN 性能和弹性。

 

版本、系统要求和安装说明

注意:

  • 下表列出了建议的 VMware 软件版本。这些建议只是常规建议,具体应考虑特定的环境需求。

  • 此信息为截至本文档发布之日的最新信息。

  • 有关 NSX 和其他 VMware 产品的最低支持版本,请参见 VMware 产品互操作性列表。VMware 的最低支持版本声明基于内部测试。

产品或组件 版本
NSX for vSphere

对于新部署,VMware 建议使用最新的 NSX 版本。

在升级现有部署时,请在计划升级之前参考 NSX 发行说明,或者与 VMware 技术支持代表联系以了解某些特定问题的详细信息。

vSphere

  • 对于 vSphere 6.0:
    支持:6.0 Update 2、6.0 Update 3
    推荐:6.0 Update 3。vSphere 6.0 Update 3 解决了在重新引导 vCenter Server 后 ESXi 主机中出现重复 VTEP 的问题。有关详细信息,请参见 VMware 知识库文章 2144605

  • 对于 vSphere 6.5:
    支持:6.5a、6.5 Update 1
    推荐:6.5 Update 1。vSphere 6.5 Update 1 解决了 EAM 由于内存不足而失败的问题。有关详细信息,请参见 VMware 知识库文章 2135378。 

注意:NSX 6.4.0 不支持 vSphere 5.5。

适用于 Windows 的 Guest Introspection 支持所有版本的 VMware Tools。某些基于 Guest Introspection 的功能需要使用较新的 VMware Tools 版本:
  • 使用 VMware Tools 10.0.9 和 10.0.12 启用 VMware Tools 附带的可选瘦代理网络自检驱动程序组件。
  • 升级到 VMware Tools 10.0.8 和更高版本,以解决在 NSX/vCloud Networking and Security 中升级 VMware Tools 后虚拟机速度缓慢问题(请参见 VMware 知识库文章 2144236)。
  • 使用 VMware Tools 10.1.0 和更高版本以支持 Windows 10。
  • 使用 VMware Tools 10.1.10 和更高版本以支持 Windows Server 2016。
适用于 Linux 的 Guest Introspection 该 NSX 版本支持以下 Linux 版本:
  • RHEL 7 GA(64 位)
  • SLES 12 GA(64 位)
  • Ubuntu 14.04 LTS(64 位)

系统要求和安装说明

有关 NSX 安装必备条件的完整列表,请参见《NSX 安装指南》中的 NSX 的系统要求一节。

有关安装说明,请参见《NSX 安装指南》《跨 vCenter NSX 安装指南》

已弃用和已停用的功能

产品周期终止和支持期终止警告

有关必须尽快升级的 NSX 和其他 VMware 产品的信息,请参见 VMware 生命周期产品列表

  • NSX for vSphere 6.1.x 于 2017 年 1 月 15 日终止提供 (EOA) 和终止支持 (EOGS)。(另请参见 VMware 知识库文章 2144769。)

  • 不再支持 vCNS Edge。在升级到 NSX 6.3 或更高版本之前,您必须先升级到 NSX Edge。

  • NSX for vSphere 6.2.x 将于 2018 年 8 月 20 日终止支持 (EOGS)。

API 移除和行为变化

NSX 6.4.0 中的弃用项
以下各项已弃用,并可能会在未来的版本中移除。

  • GET /api/4.0/edges/edgeID/status 中的 systemStatus 参数已弃用。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ 已弃用。现改为使用 GET /api/2.0/services/policy/serviceprovider/firewall/info
  • 分布式防火墙的全局配置部分中的 tcpStrict 设置已弃用。从 NSX 6.4.0 开始,tcpStrict 将在区域级别进行定义。注意:如果您升级到 NSX 6.4.0 或更高版本,全局配置设置 tcpStrict 将用来在每个现有的第 3 层区域配置 tcpStrict。tcpStrict 在第 2 层区域和第 3 层重定向区域设置为 false。有关详细信息,请参见《NSX API 指南》中的“使用分布式防火墙配置”。

NSX 6.4.0 中的行为变化
在 NSX 6.4.0 中,使用 POST /api/2.0/vdn/controller 创建控制器时,需要 <name> 参数。

NSX 6.4.0 引入了以下错误处理变化:

  • 以前,POST /api/2.0/vdn/controller 会响应为“201 已创建”(201 Created) 以指示控制器创建作业完成。但是,控制器的创建可能会失败。从 NSX 6.4.0 开始,响应变为“202 已接受”(202 Accepted)
  • 以前,如果您发送的 API 请求不允许在转换或独立模式下使用,响应状态为“400 错误请求”(400 Bad Request)。从 6.4.0 开始,响应状态变为“403 已禁止”(403 Forbidden)。

CLI 移除和行为变化

不要在 NSX Controller 节点上使用不支持的命令
不要使用未列出的命令在 NSX Controller 节点上配置 NTP 和 DNS。这些命令不受支持,不要在 NSX Controller 节点上使用这些命令。请仅使用 NSX CLI 指南中列出的命令。

升级说明

注意:有关影响安装和升级的已知问题列表,请参见安装和升级已知问题一节。

常规升级说明

  • 要升级 NSX,您必须执行完整的 NSX 升级,包括主机群集升级(将升级主机 VIB)。有关说明,请参见《NSX 升级指南》,包括“升级主机群集”部分。

  • 不支持使用 VUM 升级主机群集上的 NSX VIB。请使用升级协调器、主机准备或相关联的 REST API 升级主机群集上的 NSX VIB。

  • 系统要求:有关安装和升级 NSX 时的系统要求信息,请参见 NSX 文档中的 NSX 的系统要求部分。

  • NSX 升级途径:VMware 产品互操作性列表提供了有关从 VMware NSX 升级的途径的详细信息。
  • 《NSX 升级指南》中介绍了跨 vCenter NSX 升级

  • 不支持降级:
    • 请务必先备份 NSX Manager,然后再执行升级。

    • 成功升级 NSX 后,无法对 NSX 进行降级。

  • 要验证是否成功升级到 NSX 6.4.x,请参见知识库文章 2134525
  • 不支持从 vCloud Networking and Security 升级到 NSX 6.4.x。您必须先升级到支持的 6.2.x 版。

  • 互操作性:在升级之前,请检查 VMware 产品互操作性列表以了解所有相关的 VMware 产品。
    • 升级到 NSX 6.4:NSX 6.4 与 vSphere 5.5 不兼容。
    • 升级到 vSphere 6.5a 或更高版本:从 vSphere 6.0 升级到 vSphere 6.5a 或更高版本时,您必须先升级到 NSX 6.3.0 或更高版本。NSX 6.2.x 与 vSphere 6.5 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
  • 合作伙伴服务兼容性:如果您的站点使用 VMware 合作伙伴服务实施 Guest Introspection 或网络自检,您必须在升级之前查阅《VMware 兼容性指南》以确认供应商的服务与此版本的 NSX 兼容。
  • Networking and Security 插件:在升级 NSX Manager 后,您必须注销并重新登录到 vSphere Web Client。如果未正确显示 NSX 插件,请清除浏览器缓存和历史记录。如果 Networking and Security 插件未显示在 vSphere Web Client 中,请重置 vSphere Web Client 服务器,如《NSX 升级指南》中所述。
  • 无状态环境:在无状态主机环境中执行 NSX 升级时,新的 VIB 将在 NSX 升级过程中预先添加到主机映像配置文件。因此,无状态主机上的 NSX 升级过程遵循以下顺序:

    在 NSX 6.2.0 之前,您只能在 NSX Manager 上通过单个 URL 找到适用于特定版本的 ESX 主机的 VIB。(这意味着管理员只需知道一个 URL,而不管使用的是哪种 NSX 版本。)在 NSX 6.2.0 和更高版本中,新的 NSX VIB 通过不同的 URL 提供。要找到合适的 VIB,您必须执行以下步骤:

    1. https://<nsxmanager>/bin/vdn/nwfabric.properties 中找到新的 VIB URL。
    2. 从相应的 URL 获取所需 ESX 主机版本的 VIB。
    3. 将这些 VIB 添加到主机映像配置文件。
       

NSX 组件的升级说明

NSX Manager 升级

  • 重要信息:如果您要将 NSX 6.2.0、6.2.1 或 6.2.2 升级到 NSX 6.3.5 或更高版本,则在开始升级之前,您必须完成一个解决办法。有关详细信息,请参见 VMware 知识库文章 000051624

  • 如果使用 SFTP 进行 NSX 备份,请在升级到 6.3.0 或更高版本后更改为 hmac-sha2-256,因为不支持 hmac-sha1。有关支持的安全算法列表,请参见 VMware 知识库文章 2149282

控制器升级

  • NSX Controller 群集必须包含三个控制器节点才能升级到 NSX 6.3.3。如果少于三个控制器,您必须在开始升级之前添加控制器。请参见部署 NSX Controller 群集以了解相应的说明。
  • 在 NSX 6.3.3 中,NSX Controller 的底层操作系统发生变化。这意味着,从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本而不是执行就地软件升级时,将每次删除一个现有的控制器,并使用相同的 IP 地址部署基于 Photon OS 的新控制器。

    在删除控制器时,还会删除任何关联的 DRS 反关联性规则。您必须在 vCenter 中创建新的反关联性规则,以防止新的控制器虚拟机位于同一主机上。

    有关控制器升级的详细信息,请参见升级 NSX Controller 群集

主机群集升级

  • 如果您从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本,NSX VIB 名称会发生更改。
    如果在 ESXi 6.0 或更高版本上安装了 NSX 6.3.3 或更高版本,esx-vxlan 和 esx-vsip VIB 将替换为 esx-nsxv。

  • 主机上无重新引导的升级和卸载:在 vSphere 6.0 和更高版本上,从 NSX 6.2.x 升级到 NSX 6.3.x 或更高版本后,任何后续的 NSX VIB 更改都不需要重新引导,但主机必须进入维护模式才能完成 VIB 更改。这会同时影响 NSX 主机群集升级和 ESXi 升级。有关详细信息,请参见《NSX 升级指南》

NSX Edge 升级

  • 在升级 NSX Edge 设备之前,必须为 NSX 准备主机群集:从 6.3.0 开始,不再支持通过 VIX 通道在 NSX Manager 和 Edge 之间进行的管理层面通信。仅支持消息总线通道。从 NSX 6.2.x 或更低版本升级到 NSX 6.3.0 或更高版本时,您必须确认为 NSX 准备了部署 NSX Edge 设备的主机群集,并且消息基础架构状态为绿色。如果没有为 NSX 准备主机群集,NSX Edge 设备升级将失败。有关详细信息,请参见《NSX 升级指南》中的升级 NSX Edge

  • 升级 Edge 服务网关 (ESG):
    从 NSX 6.2.5 开始,将在升级 NSX Edge 时执行资源预留。如果在资源不足的群集上启用 vSphere HA,由于违反 vSphere HA 限制,升级操作可能会失败。

    为了避免此类升级失败,请在升级 ESG 之前执行以下步骤:

    如果在安装或升级时没有明确设置值,NSX Manager 将使用以下资源预留。

    NSX Edge
    规格大小
    CPU 预留 内存预留
    精简 1000MHz 512 MB
    中型 2000MHz 1024 MB
    大型 4000MHz 2048 MB
    超大型 6000MHz 8192 MB
    1. 始终确保您的安装遵循为 vSphere HA 建议的最佳做法。请参见 VMware 知识库文章 1002080 文档。

    2. 使用 NSX 优化配置 API:
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      确保 edgeVCpuReservationPercentageedgeMemoryReservationPercentage 值在相应规格大小的可用资源范围内(请参见上表以了解默认值)。

  • 在启用 vSphere HA 并部署 Edge 时,请禁用 vSphere 的虚拟机启动选项。在将 6.2.4 或更低版本的 NSX Edge 升级到 6.2.5 或更高版本后,您必须为已启用 vSphere HA 并部署 Edge 的群集中的每个 NSX Edge 禁用 vSphere 虚拟机启动选项。为此,请打开 vSphere Web Client,找到 NSX Edge 虚拟机所在的 ESXi 主机,单击“管理”>“设置”并在“虚拟机”下面选择“虚拟机启动/关机”,单击“编辑”并确保该虚拟机处于手动模式(即,确保该虚拟机未添加到自动启动/关机列表中)。

  • 在升级到 NSX 6.2.5 或更高版本之前,确保所有的负载平衡器密码列表均以冒号分隔。如果密码列表使用逗号等其他分隔符,请对 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles 执行 PUT 调用,将 <clientssl> </clientssl><serverssl> </serverssl> 中的每个 <ciphers> </ciphers> 列表替换为以冒号分隔的列表。例如,请求正文中的相关分段可能类似于以下内容。对所有的应用程序配置文件重复此过程:

    <applicationProfile>
      <name>https-profile</name>
      <insertXForwardedFor>false</insertXForwardedFor>
      <sslPassthrough>false</sslPassthrough>
      <template>HTTPS</template>
      <serverSslEnabled>true</serverSslEnabled>
      <clientSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <clientAuth>ignore</clientAuth>
        <serviceCertificate>certificate-4</serviceCertificate>
      </clientSsl>
      <serverSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <serviceCertificate>certificate-4</serviceCertificate>
      </serverSsl>
      ...
    </applicationProfile>
  • 在早于 6.2.0 的 vROPs 版本中为负载平衡的客户端设置正确的密码版本:早于 6.2.0 的 vROPs 版本中的 vROPs 池成员使用 TLS 版本 1.0,因此,您必须在 NSX 负载平衡器配置中设置 "ssl-version=10" 以显式设置监控扩展值。请参见《NSX 管理指南》中的“创建服务监控器”以了解相应的说明。
    {
                    "expected" : null,
                    "extension" : "ssl-version=10",
                    "send" : null,
                    "maxRetries" : 2,
                  "name" : "sm_vrops",
                  "url" : "/suite-api/api/deployment/node/status",
                  "timeout" : 5,
                  "type" : "https",
                  "receive" : null,
                  "interval" : 60,
                  "method" : "GET"
               }

Guest Introspection 升级

  • 现在,Guest Introspection 虚拟机在计算机上的 XML 文件中包含额外的主机标识信息。在登录到 Guest Introspection 虚拟机时,“/opt/vmware/etc/vami/ovfEnv.xml”文件应包含主机标识信息。

FIPS 的升级说明

从 NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在完成升级之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在 OS X Yosemite 和 OS X El Capitan 上支持的密码:如果在 OS X 10.11 (EL Capitan) 上使用 SSL VPN 客户端,您可以使用 AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHAAES128-SHA 密码进行连接,使用 OS X 10.10 (Yosemite) 的客户端只能使用 AES256-SHAAES128-SHA 进行连接。

  • 在完成到 NSX 6.3.x 的升级之前,不要启用 FIPS。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在启用 FIPS 之前,请确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见《VMware 兼容性指南》和相关的合作伙伴文档。

FIPS 合规性

如果配置正确,NSX 6.4 将对所有与安全相关的加密使用经由 FIPS 140-2 验证的加密模块。

注意:

  • 控制器和群集 VPN:NSX Controller 使用 IPsec VPN 连接控制器群集。IPsec VPN 使用 VMware Linux 内核加密模块(VMware Photon OS 1.0 环境),目前正在对该模块进行 CMVP 验证。
  • Edge IPsec VPN:NSX Edge IPsec VPN 使用 VMware Linux 内核加密模块(VMware NSX OS 4.4 环境),目前正在对该模块进行 CMVP 验证。

文档修订历史

2018 年 1 月 16 日:第一版。 
2018 年 1 月 17 日:第二版。添加了已解决的问题 1461421、1499978、1628679、1634215、1716464、1753621、1777792、1787680、1792548、1801685 和 1849043。
2018 年 1 月 22 日:第三版。添加了已知问题 2036024。
2018 年 1 月 24 日:第四版。更新了升级说明。
2018 年 2 月 1 日:第五版。更新了 FIPS 合规性信息。
2018 年 2 月 22 日:第六版。添加了已解决的问题 1773240、1839953、1920574、1954964 和 1965589。添加了已知问题 2013820、2016689、2017806 和 2026069。
2018 年 3 月 2 日:第七版。更新了“新增功能”部分。
2018 年 4 月 6 日:第八版。添加了已知问题 2014400。添加了已解决的问题 2029693 和 2003453。更新了行为变化和弃用项。
2018 年 4 月 27 日:第九版。更新了行为变化和弃用项。
2018 年 5 月 7 日:第十版。添加了已解决的问题 1772473 和 1954628。添加了已知问题 1993691、2005900 和 2007991。
2018 年 9 月 14 日:第十一版。添加了已知问题 2006576。
2018 年 10 月 5 日:第十二版。添加了已知问题 2164138。

已解决的问题

已解决的问题分为以下几类。

已解决的一般问题
  • 已修复问题 1783528:NSX Manager CPU 占用率在每个星期五晚上/星期六早上达到峰值

    在每个星期五晚上,NSX 轮询 LDAP 以执行完全同步。没有配置特定 Active Directory 组织单位或容器的选项,因此,NSX 会同步与提供的域相关的所有对象。

  • 已修复问题 1801685:从 6.2.x 升级到 6.3.0 后因无法连接到主机而看不到 ESXi 上的筛选器
    在从 NSX 6.2.x 升级到 6.3.0 并将群集 VIB 升级到 6.3.0 之后,即使安装状态显示成功并且启用了防火墙,“通信通道运行状况”也会将“NSX Manager 到防火墙代理”连接和“NSX Manager 到控制层面代理”连接显示为关闭。这将导致防火墙规则发布和安全策略发布失败,以及 VXLan 配置无法发送到主机。
  • 已修复问题 1780998:NSX Manager 仅保留 100,000 个审核日志条目,而不是记录的 1,000,000 个条目

    审核日志中仅提供 100,000 个日志条目。

  • 已修复问题 1874735:如果群集存在警报,则不会显示“可升级”链接

    由于缺少该链接,用户无法将新的服务规范推送到 EAM,而不会升级该服务。

  • 已修复问题 1893299:对块设备和字符设备之类的非常规文件进行 ODS 扫描时,可能会触发系统崩溃或挂起

    ODS 仅扫描常规文件和符号链接。它不会直接访问块设备和字符文件之类的非常规文件,但如果这些文件是符号链接的目标,则可以访问它们。访问这些文件可能会导致意外行为,例如系统崩溃、系统挂起等。

  • 已修复问题 1897878:USVM 上的内存(有时还包括 CPU)使用率高,进而导致同一主机上的虚拟机出现操作问题

    高内存使用率导致虚拟机无响应,且无法登录。

  • 已修复问题 1882345:CPU 使用率随时间不断增长,最终达到并停留在 100%

    如果启用 ARP 侦听作为 IP 检测机制,并且环境中存在每个虚拟网卡具有多个 IP 地址的虚拟机,则 CPU 使用率会不断增长,最终达到 100%,同时性能则会严重降低。 

  • 已修复问题 1920343:可以创建没有私钥的服务器证书

    如果证书内容中提供了私钥数据,将会忽略该私钥。 

  • 已修复问题 1926060:即使在外部单击,也会选中“防火墙”>“指定源或目标”页上的“取消源”复选框 

    在将对象从“可用对象”列表移到“选定的对象”列表时,会选中“取消源”复选框。 

  • 已修复问题 1965589:在 6.4.0 上发布从 6.4.0 之前版本中生成的 DFW 草稿失败

    从 6.4 之前版本中创建的草稿不含具有无状态标记属性的第 2 层区域。在 6.4 配置中加载/发布这类草稿时,该操作失败,因为在 NSX 6.4 之后的版本中,第 2 层区域会将无状态标记设为 true。由于缺少属性而导致使用默认值(即 false),配置验证失败,从而导致发布失败。

已解决的逻辑网络和 NSX Edge 问题
  • 已修复问题:控制器日志包含大量网桥“无法添加/删除不存在的网桥实例的 MAC 记录 MacRecord”(Fail to add/delete a mac record MacRecord for non-existing bridge instance) 错误。

    在分片发生变化时,网桥无法将“加入”命令发送到控制器。6.4.0 中已修复此问题

  • 已修复问题 2014400:在禁用 Edge 上的防火墙功能后,备用 NSX Edge 开始响应 IPv6 流量。

    在 NSX Edge 上启用了 IPv6 的情况下,如果触发故障切换,将使用备用 Edge 的 MAC 更新上游设备,因此,南北向流量可能会转发到不正确的 Edge。6.4.0 中已修复此问题

     

  • 已修复问题 1783065:无法同时使用 IPv4 和 IPv6 地址来针对 UDP 端口及 TCP 配置负载平衡器
    UDP 仅支持 ipv4-ipv4、ipv6-ipv6(前端-后端)。NSX Manager 中存在一个错误,即使将 IPv6 链路本地地址以分组对象 IP 地址的形式读取和推送,您也无法选择要在 LB 配置中使用的 IP 协议。

    以下是一个用于展示此问题的示例 LB 配置:
    在负载平衡器配置中,池“vCloud_Connector”将分组对象 (vm-2681) 配置为池成员,并且此对象同时包含 IPv4 和 IPv6 地址,LB L4 引擎不支持这种情况。

     

    {
        "algorithm" : {
            ...
        },
                  "members" : [
            {
                ...  ,
                ...
            }
                  ],
                  "applicationRules" : [],
                  "name" : "vCloud_Connector",
                  "transparent" : {
                     "enable" : false
                  }
            }
    
      {
                  "value" : [
                     "fe80::250:56ff:feb0:d6c9",
                     "10.204.252.220"
                  ],
                  "id" : "vm-2681"
                }

     

  • 已修复问题 1764258:在配置了子接口的 NSX Edge 上进行 HA 故障切换或强制同步后,流量产生黑洞长达八分钟之久
    如果通过子接口触发 HA 故障切换或启动强制同步,流量会产生黑洞长达八分钟之久。

     

  • 已修复问题 1850773:在负载平衡器配置中使用多个端口时,NSX Edge NAT 报告无效的配置
    每次为负载平衡器虚拟服务器配置多个端口时,都会出现该问题。因此,在受影响的 NSX Edge 存在该配置状态时,无法管理 NAT。

     

  • 已修复问题 1733282:NSX Edge 不再支持静态设备路由
    NSX Edge 不支持配置下一跃点地址为空的静态路由。

     

  • 已修复问题 1711013:在重新引导备用虚拟机后,大约需要 15 分钟在活动/备用 NSX Edge 之间同步 FIB。
    在关闭备用 NSX Edge 电源后,不会在活动和备用模式之间关闭 TCP 会话。在发生保持连接 (KA) 故障后(15 分钟),活动 Edge 才会检测到备用 Edge 已关闭。在 15 分钟后,将与备用 Edge 之间建立新的套接字连接并在活动/备用 Edge 之间同步 FIB。

     

  • 已修复问题 1781438:在 ESG 或 DLR NSX Edge 设备上,如果多次收到 BGP 路径属性 MULTI_EXIT_DISC,路由服务不会发送错误消息。
    如果多次收到 BGP 路径属性 MULTI_EXIT_DISC,Edge 路由器或分布式逻辑路由器不会发送错误消息。根据 RFC 4271 [第 5 节],相同的属性(具有相同类型的属性)不能在特定更新消息的“路径属性”字段中多次出现。

     

  • 已修复问题 1860583:如果无法访问 DNS,应避免将远程系统日志记录程序作为 FQDN。
    在 NSX Edge 上,如果使用 FQDN 配置远程系统日志记录程序并且无法访问 DNS,则路由功能可能会受到影响。可能不会持续出现该问题。

     

  • 已修复问题 1242207:在 OSPF 拓扑中未反映在运行时更改的路由器 ID

    如果尝试更改路由器 ID 而不禁用 OSPF,不会使用该路由器 ID 重新生成新的外部链接状态通告 (LSA),从而导致 OSPF 外部路由丢失。

  • 已修复问题 1767135:在尝试访问负载平衡器中的证书和应用程序配置文件时出错
    具有安全管理员权限和 Edge 范围的用户无法访问负载平衡器中的证书和应用程序配置文件。vSphere Web Client 将显示错误消息。
  • 已修复问题 1844546:在 DLR HA 接口上配置的用户分配 IP 地址无法正常工作

    为 DLR 的 HA 接口输入一个特定的用户分配 IP 地址不起作用。输入多个 IP 地址会导致出现“内部服务器错误”(Internal server error)。

  • 已修复问题 1874782:由于在连接到消息总线时出现问题,无法管理 NSX Edge

    如果 NSX Edge 在连接到消息总线时遇到问题,NSX Manager 将无法更改配置,也无法从 NSX Edge 中检索信息。

  • 已修复问题 1461421:NSX Edge 的“show ip bgp neighbor”命令输出保留以前建立连接的历史计数

    “show ip bgp neighbor”命令显示 BGP 状态计算机在给定对等连接中转换到“已建立”状态的次数。更改基于 MD5 身份验证的密码会导致对等连接被损毁并重新创建,这转而将清除计数器。Edge DLR 不会发生此问题。

  • 已修复问题 1499978:Edge syslog 消息无法到达远程 syslog 服务器
    Edge syslog 服务器无法在部署后立即解析任何已配置的远程 syslog 服务器的主机名。
  • 已修复问题 1916360:如果安装超过 100 个路由,HA 故障切换可能会由于磁盘已满而失败。

    如果安装超过 100 个路由,备用 Edge 上的 vmtools 守护进程将每隔 30 秒提交 2 个警告日志消息。这些日志保存到名为 /var/log/vmware-vmsvc.log 的文件中,该文件可能会最终增长到完全填满日志分区。没有为该日志文件配置日志轮换。在出现该问题时,HA 故障切换可能会失败。

  • 已修复问题 1634215:OSPF CLI 命令输出不指示是否已禁用路由

    禁用 OSPF 后,路由 CLI 命令输出不显示任何指示“OSPF 已禁用”(OSPF is disabled) 的消息。输出为空。

  • 已修复问题 1716464:NSX 负载平衡器不会路由到使用安全标记新标记的虚拟机。
    如果我们部署两个具有给定标记的虚拟机,然后配置一个 LB 以路由到该标记,该 LB 将成功路由到这两个虚拟机。但是,如果我们随后部署第三个具有该标记的虚拟机,该 LB 仅路由到前两个虚拟机。
  • 已修复问题 1935204:DLR 需要 1 到 1.5 秒的时间来解析 ARP

    当 ARP 抑制失败时,本地 DLR 为远程主机中运行的虚拟机执行的 ARP 解析大约需要 1 到 1.5 秒的时间。 

  • 已修复问题 1777792:设置为“ANY”的对等端点导致 IPSec 连接失败
    当 NSX Edge 上的 IPSec 配置将远程对等端点设置为“ANY”时,Edge 将充当 IPSec“服务器”,并等待远程对等端点启动连接。但是,如果启动程序使用 PSK 和 XAUTH 发送身份验证请求,则 Edge 显示以下错误消息:“在 XXX.XXX.XX.XX:500 上收到初始主模式消息,但是连接没有通过 policy=PSK+XAUTH 进行授权”(initial Main Mode message received on XXX.XXX.XX.XX:500 but no connection has been authorized with policy=PSK+XAUTH),并且无法建立 IPSec。
  • 已修复问题 1881348:配置 BGP 本地自治系统号 (ASN) 的 AS_TRANS (ASN 23456) 时出现问题

    配置 BGP 本地自治系统号 (ASN) 的 AS_TRANS (ASN 23456) 时,出现一些 ESG/DLR 相关问题,并且 
    BGP 邻居不会启动,即使在将自治系统号 (ASN) 恢复为任何有效号码后也是如此。

  • 已修复问题 1792548:NSX Controller 可能会停滞并显示以下消息:“正在等待加入群集”(Waiting to join cluster)
    NSX Controller 可能会停滞并显示以下消息:“正在等待加入群集”(Waiting to join cluster)(CLI 命令:show control-cluster status)。出现该问题是因为,在控制器启动时,为控制器的 eth0breth0 接口配置了相同的 IP 地址。您可以在控制器上使用以下命令验证是否存在这种情况:show network interface
  • 已修复问题 1983497:如果在网桥进行故障切换的同时更改网桥配置,将显示紫色屏幕

    如果在网桥进行故障切换的同时更改网桥配置,可能会导致死锁并显示紫色屏幕。产生死锁的可能性很小。 

  • 已修复问题 1849042/1849043:在 NSX Edge 设备上配置密码时效后,管理员帐户锁定
    如果在 NSX Edge 设备上为管理员用户配置了密码时效,在密码过期后的 7 天内,将在用户登录到设备时要求其更改密码。如果未更改密码,将导致锁定该帐户。此外,如果在登录时在 CLI 提示符下更改密码,新密码可能不符合 UI 和 REST 实施的强密码策略。
  • 已修复问题 1982690:当活动 L2 网桥控制虚拟机正在 ESXi 主机上运行时,NSX Controller 不会在该 ESXi 主机上存储工作负载虚拟机的 MAC 条目。

    当活动桥接控制虚拟机在管理程序中运行时,可能会丢弃该管理程序上安装的所有工作负载虚拟机的流量。 

  • 已修复问题 1753621:在具有专用本地 AS 的 Edge 将路由发送到 EBGP 对等项时,将从发送的 BGP 路由更新中删除所有专用 AS 路径

    NSX for vSphere 目前存在一个限制,即,在 AS 路径仅包含专用 AS 路径时,无法与 eBGP 邻居共享完整 AS 路径。虽然这在大多数情况下是预期行为,但在某些情况下,管理员可能希望与外部 BGP 邻居共享专用 AS 路径。此项修复允许您更改外部 BGP 对等项的“专用 AS 路径”行为。此功能的默认行为是“移除专用 ASN”,这与之前版本的 NSX for vSphere 是一致的。

  • 已修复问题 1954964:出现脑裂状况后备用 ESG 上未正确更新 HA 引擎状态

    某些情况下,在脑裂恢复后,备用 ESG 配置引擎状态可能没有正确更新。这是一种不一致的状态,在这种状态下,客户流量可能会出现间歇性丢失。

  • 已修复问题 1920574:无法为 Edge 配置子接口

    使用 NSX for vSphere 6.3.2/6.3.3 在 Edge 上创建子接口失败(无法通过 IP 发布子接口)。

  • 已修复问题 1772473:SSLVPN 客户端无法从 IP 池中获取 IP

    由于未从 IP 池中获得任何 IP,客户端无法连接到专用网络。自动重新连接时需要使用 IP 池中的 IP。

    客户端无法连接到专用网络,因为客户端自动重新连接到服务器时,不会从 IP 池分配任何 IP。而且不会清理从 IP 池分配给客户端的旧 IP。

已解决的 NSX Manager 问题
  • 已修复问题 1804116:在与 NSX Manager 通信中断的主机上,逻辑路由器进入错误状态
    如果在与 NSX Manager 通信中断的主机(因 NSX VIB 升级/安装失败或主机通信问题所致)上打开或重新部署逻辑路由器,此逻辑路由器将进入错误状态,而且通过强制同步执行的持续自动恢复操作将失败。
  • 已修复问题 1786515:具有“安全管理员”特权的用户无法通过 vSphere Web Client UI 编辑负载平衡器配置。
    具有特定 NSX Edge 的“安全管理员”特权的用户无法使用 vSphere Web Client UI 编辑该 Edge 的全局负载平衡器配置。将显示以下错误消息:“未授权用户访问对象 Global 和功能 si.service,请查看用户的对象访问范围和功能权限。(User is not authorized to access object Global and feature si.service, please check object access scope and feature permissions for the user.)”
  • 已修复问题 1801325:由于较高的 CPU 和/或磁盘使用率,在 NSX Manager 中生成“严重”系统事件和日志记录
    如果在 NSX Manager 上具有较高的磁盘空间使用率、较高的作业数据改动量或较高的作业队列大小,您可能会遇到一个或多个以下问题:
    • 在 vSphere Web Client 中存在“严重”系统事件
    • NSX Manager 上的 /common 分区具有较高的磁盘使用率
    • 较长时间或每隔一段时间存在较高的 CPU 使用率
    • 对 NSX Manager 性能造成不利影响

    解决办法:与 VMware 客户支持人员联系。有关详细信息,请参见 VMware 知识库文章 2147907

  • 已修复问题 1902723:在每次发布后,不会从 /common/tmp 目录中删除 NSX Edge 文件包,从而导致 /common 目录填满

    由于不会从 /common/tmp 中删除 NSX Edge 文件包 (sslvpn-plus config),/common 目录填满并且 NSX Manager 空间不足。

  • 已修复问题 1954628:在 /common 磁盘已满后,还原操作失败

    如果在 /common 磁盘已满的 NSX Manager 上还原备份,还原可能会失败。将在设备的摘要页面上报告失败。NSX Manager 达到不一致状态,无法从中进行恢复。

已解决的安全服务问题
  • 已修复问题 2029693:在 DFW 大型环境(具有 65K+ 个规则)中,用户可能花费更长的时间发布 DFW 规则。

    在发布 10-15 分钟后,防火墙规则才会生效。6.4.0 中已修复此问题

  • 已修复问题 1662020:发布操作失败导致在 DFW UI 的“常规”和“合作伙伴安全服务”部分中显示错误消息“上次在主机 host number 上发布失败”(Last publish failed on host host number)

    更改任何规则后,UI 都会显示“上次在主机 host number 上发布失败”(Last publish failed on host host number)。UI 上所列主机的防火墙规则版本可能不正确,从而导致安全性缺乏和/或网络中断。

    通常在以下场景中会出现此问题:

    • 从旧版 NSX 升级到最新版本之后。
    • 将主机移出群集后再将其移回时。
    • 将主机从一个群集移动到另一个群集时。
  • 已修复问题 1496273:UI 允许创建无法应用到 Edge 的入站/出站 NSX 防火墙规则
    当 NSX 防火墙规则包含按“入站”或“出站”方向传输的流量并且数据包类型为 IPV4 或 IPV6 时,Web Client 错误地允许创建该规则并将其应用到一个或多个 NSX Edge。UI 不应允许创建此类规则,因为 NSX 无法将其应用到 NSX Edge。
  • 已修复问题 1854661:在跨 VC 设置中,在 NSX Manager 之间切换时,筛选的防火墙规则不显示索引值
    如果将规则筛选条件应用于某个 NSX Manager,然后切换到不同的 NSX Manager,所有筛选的规则的规则索引显示为“0”,而不是显示实际的规则位置。
  • 已修复问题 2000749:在特定的防火墙配置下,分布式防火墙停留在“正在发布”状态

    如果您拥有的安全组所包含的 IPSet 中使用 0.0.0.0/0 作为排除成员、包含成员,或作为“包含交集 (AND) 的动态成员资格”的一部分,则分布式防火墙将停留在“正在发布”状态。

  • 已修复问题 1628679:使用基于身份标识的防火墙时,已移除用户的虚拟机会继续保持在安全组中

    将用户从 AD 服务器上的组中移除后,该用户登录的虚拟机继续保持在这个安全组中。这会在管理程序上保留虚拟机虚拟网卡的防火墙策略,因此,会授予用户对服务的完全访问权限。

  • 已修复问题 1787680:在 NSX Manager 处于转换模式时,删除通用防火墙区域失败
    在尝试从处于转换模式的 NSX Manager 的 UI 中删除通用防火墙区域并进行发布时,发布将失败,因而无法将 NSX Manager 设置为独立模式。
  • 已修复问题 1773240:不允许安全管理员角色编辑和发布服务插入/重定向规则

    如果具有安全管理员角色/特权的用户尝试创建/修改/发布服务插入规则,该操作将失败。

  • 已修复问题 1845174:分配安全策略后,所有安全组均从 UI 中消失

    分配安全策略后,所有安全组均从 UI 中消失。

  • 已修复问题 1839953:针对客户机虚拟机子接口 IP 地址的 ARP 抑制失败

    第一次对这些接口进行 ARP 解析比平时所需的时间(1 秒)要稍长一些。

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 1931236:系统文本显示在 UI 选项卡中

    系统文本显示在 UI 选项卡中,例如显示“Dashboard.System.Scale.Title”而不是“系统规模”。

    解决办法:清除浏览器 Cookie 并刷新浏览器,或注销 vSphere Client 后重新登录。

  • 在 vSphere Web Client 中,当打开一个与 HTML 视图重叠的 Flex 组件时,该视图将变得不可见。

    在打开菜单或对话框之类的 Flex 组件时,如果该组件与 HTML 视图重叠,该视图会暂时隐藏起来。
    (参考:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues

    解决办法:无。 

  • 问题 1944031:DNS 监控器使用默认端口 53 执行运行状况检查,而不使用其他端口

    池成员中的监控端口由服务监控器用来针对后端服务器执行运行状况检查。无论定义的监控端口是什么,DNS 监控器都会使用默认端口 53。请勿将后端 DNS 服务器侦听端口更改为 53 以外的值,否则 DNS 监控器将会失败。

  • 问题 1874863:在本地身份验证服务器上禁用/启用 sslvpn 服务后,无法使用更改的密码进行身份验证

    在禁用并重新启用 SSL VPN 服务以及使用本地身份验证时,用户无法使用更改的密码登录。

    有关详细信息,请参见 VMware 知识库文章 2151236

  • 问题 1702339:漏洞扫描程序可能会报告 Quagga bgp_dump_routes 漏洞 CVE-2016-4049

    漏洞扫描程序可能会在 NSX for vSphere 中报告 Quagga bgp_dump_routes 漏洞 CVE-2016-4049。NSX for vSphere 使用 Quagga,但未启用 BGP 功能(包括漏洞)。可以放心地忽略该漏洞警示。

    解决办法:由于该产品不存在漏洞,因此,不需要解决办法。

  • 问题 1926467:使用 Chrome 版本 59.0.3071.115 时,在 NSX Manager 设备管理器中看不到光标

    使用 Chrome 版本 59.0.3071.115 打开 NSX Manager 设备时,看不到用于输入用户名/密码的光标。即使光标不可见,仍然可以键入凭据。 

    解决办法:将 Chrome 浏览器升级到 61.0.3163.100 或 64.0.3253.0 或更高版本。 

  • 问题 2015520:网桥名称的长度超过 40 个字符时,桥接配置会失败

    网桥名称的长度超过 40 个字符时,桥接配置会失败。

    解决办法:在配置网桥时,不要使网桥名称的长度超过 40 个字符。

  • 问题 1934704:网桥名称不支持非 ascii 名称

    如果在 VDR 的网桥名称中配置非 ascii 字符,网桥配置在主机中将不可见,并且网桥数据路径也将无法正常工作。

    解决办法:在网桥名称中使用 ascii 字符。

  • 问题 1529178:上载不包含常用名称的服务器证书会返回消息“内部服务器错误”(internal server error)

    如果上载的服务器证书不包含常用名称,会显示消息“内部服务器错误”(internal server error)。

  • 问题 2013820:无法与使用不同 IP 筛选器策略的不同池共享分组对象池成员

    无法与使用不同 IP 筛选器策略的不同池共享分组对象池成员。

    解决办法:

    1. 如果必须在池之间共享分组对象池成员,请确保所有池均使用相同的 IP 筛选器策略。
    2. 如果必须与使用不同 IP 筛选器策略的不同池共享分组对象池成员,请直接使用分组对象的 IP 地址作为池成员。
  • 问题 2016689:RDSH 用户不支持 SMB 应用程序

    如果创建一个 RDSH 防火墙规则以阻止/允许 SMB 应用程序,该规则将不会触发。

    解决办法:无。

  • 问题 2007991:DFW 没有将远程桌面 (RDP) 服务器或客户端版本 4.0、5.0、5.1、5.2 和 6.0 划分为 L7 协议

    如果客户环境使用 RDP 服务器或客户端版本 4.0、5.0、5.1、5.2 和 6.0,将 APP_RDP 作为服务的第 7 层 DFW 规则不会将 RDP 流量划分或识别为 RDP 流量。如果期望通过 DFW 规则阻止 RDP 流量,则可能无法实现。

    解决办法:使用第 4 层 RDP 服务创建第 4 层规则,以便匹配 RDP 流量。

  • 问题 1993691:如果移除主机时未先将其作为复制节点移除,可能会导致 NSX Manager 中出现失效条目

    如果某主机作为硬件 VTEP 的复制节点,需要将其从父群集中移除时,应先确保它不再是复制节点,再将其从群集中移除。如果未完成该操作,在某些情况下,NSX Manager 数据库中将会保留其作为复制节点的状态,当进一步处理复制节点时,可能会导致错误。

    解决办法:有关详细信息,请参见知识库文章 52418

  • 问题 2164138:为 NSX 准备群集时,将在具有运行 ixgbe 驱动程序的物理网卡的主机上重新加载 ixgbe 驱动程序

    ixgbe 驱动程序会重新加载以启用 RSS(接收方调整)选项来提高 vxlan 吞吐量。ixgbe 驱动程序重新加载会导致使用 ixgbe 驱动程序的 vmnic 关闭几秒并进行备份。在极少数情况下,ixgbe 驱动程序可能无法重新加载,此时使用 ixgbe 驱动程序的 vmnic 将一直保持关闭,直到重新引导 ESXi 主机为止。

    解决办法:有关详细信息,请参见 VMware 知识库文章 52980

安装和升级已知问题

升级之前,请阅读本文档前文的升级说明一节。

  • 问题 2036024:由于数据库磁盘使用率问题,导致 NSX Manager 升级停滞在“正在验证已上载的文件”阶段

    升级日志文件 vsm-upgrade.log 中还包含以下消息:“Database disk usage is at 75%, but it should be less than 70%”。您可以在 NSX Manager 支持包中查看 vsm-upgrade.log。导航到网络和安全 > 支持包,然后选择包含 NSX Manager 日志。

    解决办法:与 VMware 客户支持人员联系。

  • 问题 2033438:如果升级到 NSX 6.4.0 并且只启用了 TLS 1.0,vSphere Web Client 会显示“没有可用的 NSX Manager”(No NSX Manager available)

    升级到 NSX 6.4.0 时,会保留 TLS 设置。如果只启用了 TLS 1.0,您将能够在 vSphere Web Client 中查看 NSX 插件,但 NSX Manager 不可见。这不会影响数据路径,但您无法更改任何 NSX Manager 配置。

    解决办法:登录到 NSX 设备管理 Web UI(网址为 https://nsx-mgr-ip/),并启用 TLS 1.1 和 TLS 1.2。这会重新引导 NSX Manager 设备。

  • 问题 2006028:如果在主机升级期间重新引导 vCenter Server 系统,主机升级可能会失败

    如果在主机升级期间重新引导关联的 vCenter Server 系统,主机升级可能会失败,并将主机置于维护模式。单击“解决”无法使主机退出维护模式。群集状态为“未就绪”。

    解决办法:手动使主机退出维护模式。在群集上,单击“未就绪”,然后再单击“解决所有”。

  • 问题 1959940:使用 ovftool 部署 NSX Manager OVF 时出现错误:“在网络映射中指定的 OVF 名称 (VSMgmt) 无效”(Invalid OVF name (VSMgmt) specified in net mapping)

    从 NSX 6.4.0 开始,VSMgmt 不再是设备 OVF 中的网络映射的有效名称,它将被替换为“Management Network”。

    解决办法:请改为使用“Management Network”。例如,不要使用 --net:VSMgmt='VM Network',而是使用 --net:'Management Network=VM Network'。

  • 问题 2001988:在 NSX 主机群集升级期间,在升级群集中的每个主机时,“主机准备”选项卡中的“安装状态”为整个群集交替显示“未就绪”和“正在安装”

    在 NSX 升级期间,为 NSX 准备的群集单击“可升级”将触发主机升级。对于配置了 DRS 全自动的群集,“安装状态”交替显示“正在安装”和“未就绪”,即使在后台正常升级了主机也是如此。

    解决办法:这是一个用户界面问题,可以将其忽略。等待继续执行主机群集升级。

  • 问题 1859572:在 vCenter 6.0.0 版管理的 ESXi 主机上卸载 NSX VIB 6.3.x 版期间,主机继续处于维护模式
    如果在群集上卸载 NSX VIB 6.3.x 版,工作流包括将主机置于维护模式,卸载 VIB 以及 EAM 服务将主机退出维护模式。不过,如果此类主机由 vCenter Server 6.0.0 版进行管理,则会导致在卸载 VIB 后主机停滞在维护模式。负责卸载 VIB 的 EAM 服务将主机置于维护模式,但无法将主机退出维护模式。

    解决办法:手动将主机退出维护模式。如果主机由 vCenter Server 6.5a 及更高版本进行管理,则不会出现该问题。

  • 问题 1797929:消息总线通道在主机群集升级后出现故障
    在主机群集升级后,vCenter 6.0(和更低版本)不会生成事件“重新连接”,因此,NSX Manager 也不会在主机上设置消息基础架构。vCenter 6.5 中已修复此问题。

    解决办法:重新同步消息基础架构,如下所示:
    POST https://<ip>:/api/2.0/nwfabric/configure?action=synchronize

    <nwFabricFeatureConfig>
            <featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
            <resourceConfig>
                <resourceId>host-15</resourceId>
            </resourceConfig>
        </nwFabricFeatureConfig>
  • 问题 1263858:SSL VPN 不向远程客户端发送升级通知
    SSL VPN 网关不向用户发送升级通知。管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并通知用户必须更新其客户端。

    解决办法:用户需要手动卸载旧版本的客户端并安装最新版本。

  • 问题 1979457:如果在升级过程中以向后兼容模式删除或移除了 GI-SVM,通过 Guest Introspection (GI) 的身份防火墙将无法正常工作,除非升级了 GI 群集。

    身份防火墙将无法正常工作,并且不显示与身份防火墙相关的任何日志。身份防火墙保护将挂起,除非升级了群集。 

    解决办法:升级群集,以便所有主机运行新版本的 GI-SVM。

    启用日志采集器以使身份防火墙正常工作。

  • 问题 2016824:在安装和/或升级 Guest Introspection 后,NSX 上下文引擎启动失败

    如果在主机准备完成之前安装或升级了 Guest Introspection (GI),将会出现此问题。如果上下文引擎未启动,用于 RDSH 虚拟机的身份防火墙将无法正常工作。

    解决办法:有关详细信息,请参见 VMware 知识库文章 51973

  • 问题 2027916:升级协调器可能会显示升级失败的控制器已成功升级

    对于三节点控制器群集,如果第三个控制器在升级期间失败并被移除,则即使升级失败,整个控制器群集升级也可能会被标记为成功。

    解决办法:先检查“安装和升级”>“管理”选项卡,并确保所有控制器都显示为“已升级”,然后再升级其他组件(主机、Edge 等)。

NSX Manager 已知问题
  • 问题 1991125:将 NSX Manager 升级到 6.4.0 后,在 6.3.x 上的应用程序规则管理器会话中创建的分组对象不会反映在仪表板中

    将 NSX Manager 升级到 6.4.0 后,在 6.3.x 上的应用程序规则管理器会话中创建的分组对象不会反映在仪表板中。

    解决办法:将 NSX Manager 升级到 6.4.0 后,在 6.3.x 上的应用程序规则管理器会话中创建的分组对象将可以使用。这些分组对象位于“分组对象”部分的相应页面下方。

  • 问题 1892999:无法修改唯一选择条件,即使未将任何虚拟机附加到通用安全标记

    如果删除了附加到通用安全标记的虚拟机,表示虚拟机的内部对象仍会附加到通用安全标记。这会导致通用选择条件更改失败,并出现“通用安全标记仍附加到虚拟机”错误。

    解决办法:删除所有通用安全标记,然后更改通用选择条件。

逻辑网络和 NSX Edge 已知问题
  • 问题 1983902:在规模设置环境中,当 NSX Manager 重新引导后,netcpad 不会立即连接到 vsfwd

    这对数据路径没有任何影响。系统会在 13 分钟后恢复,而无需进行干预。

    解决办法:

  • 问题 1747978:在 NSX Edge HA 故障切换后,删除了具有 MD5 身份验证的 OSPF 邻接
    在为 NSX Edge 配置了 HA、配置了 OSPF 正常重新启动并使用 MD5 进行身份验证的 NSX for vSphere 6.2.4 环境中,OSPF 无法正常启动。只有在失效定时器在 OSPF 邻居节点上到期后,才会形成邻接。

    解决办法:无

  • 问题 1525003:使用不正确的密码短语还原 NSX Manager 备份时将会静默失败,因为无法访问关键引导文件夹

    解决办法:无。

  • 问题 1995142:从 VC 清单中移除主机后,没有将其从复制群集中移除

    如果用户将主机添加到复制群集中,然后在将主机从群集中移除之前先将其从 VC 清单中移除,旧版主机将保留在群集中。

    解决办法:每次移除主机时,请先确保已将其从复制群集中移除(如果有)。

  • 问题 2005973:删除一些 GRE 隧道,接着从管理层面强制同步 Edge 节点后,路由守护进程 MSR 丢失所有路由配置

    在通过 GRE 隧道进行 BGP 会话的 Edge 上可能会发生此问题。在删除了一些 GRE 隧道,接着从管理层面强制同步 Edge 后,Edge 会丢失所有路由配置。

    解决办法:重新引导 Edge 节点。

  • 问题 2015368:在某些情况下,防火墙日志记录可能会导致内存不足问题

    如果在高规模配置中启用了 Edge 防火墙,并且在部分或所有规则中启用了防火墙日志记录,则 Edge 可能会遇到内存不足 (OOM) 情况,不过这种情况并不常见。这种情况尤其会发生在有许多流量命中日志记录规则时。如果发生 OOM 情况,Edge 虚拟机将会自动重新引导。

    解决办法:防火墙日志记录最适合用于调试目的,之后可以再次禁用它以便正常使用。要避免出现此 OOM 问题,请禁用所有防火墙日志记录。

  • 问题 2005900:当所有 GRE 隧道在 8 向 iBGP/多跃点 BGP ECMP 规模拓扑中发生抖动时,Edge 上的路由守护进程 MSR 停滞在 100% CPU

    在规模拓扑中,如果在 ESG 上配置了 iBGP 或多跃点 BGP 并在很多 GRE 隧道上运行多个邻居,则可能会出现该问题。在多个 GRE 隧道发生抖动时,MSR 可能会无限期停滞在 100% CPU。

    解决办法:重新引导 Edge 节点。

安全服务已知问题
  • 问题 1948648:AD 组成员资格中的更改不会对使用 RDSH 身份防火墙规则的已登录用户立即生效。

    首先,创建了 RDSH 身份防火墙规则。Active Directory 用户登录到其 RDS 桌面,防火墙规则生效。之后,AD 管理员对 AD 用户的组成员资格进行了更改,并且在 NSX Manager 上执行了增量同步。但是,AD 组成员资格更改不会立即被已登录的用户看到,并且也不会导致用户的有效防火墙规则发生更改。此行为是 Active Directory 存在的一个限制。

    解决办法:用户必须注销后重新登录,才能使 AD 组成员资格更改生效。 

  • 问题 2017806:在向由安全策略中 RDSH 防火墙区域使用的安全组添加成员时,错误消息不够清晰明确

    如果安全组由安全策略中的 RDSH 防火墙区域使用,则您只能向其中添加目录组成员。如果您尝试添加目录组以外的任何成员,将显示以下错误消息:
    “服务编排和防火墙正在使用安全组,无法修改该安全组”(Security group is being used by service composer, Firewall and cannot be modified)

    此错误消息未能表达出由于安全组被安全策略中的 RDSH 防火墙区域使用而无法进行修改的意思。

    解决办法:无。

  • 问题 2026069:使用三重 DES 密码作为 NSX Edge IPsec VPN 服务中的加密算法时,可能导致升级后到任何 IPsec 站点的 IPsec 隧道丢失

    出于安全原因,VMware 不建议使用 3DES 作为 NSX Edge IPsec VPN 服务中的加密算法。但出于互操作性考虑,此密码一直可在各个 NSX 版本中使用,直到版本 6.4 为止。根据安全建议,将从 NSX for vSphere 的下一版本中移除对此密码的支持。因此,您需要停止使用三重 DES 作为加密算法,改为使用 IPsec 服务中可用的安全密码之一。这个有关加密算法的更改适用于 IPsec 站点的 IKE SA(阶段 1)以及 IPsec SA(阶段 2)协商。

    如果在升级到已移除 3DES 支持的版本时 NSX Edge IPsec 服务正在使用 3DES 加密算法,则此密码将被另一个建议的密码取代,因此正在使用 3DES 的 IPsec 站点将不会出现,除非将远程对等方上的配置修改为与 NSX Edge 中使用的加密算法匹配。

    解决办法:修改 IPsec 站点配置中的加密算法,将三重 DES 替换为受支持的 AES 变体之一 (AES / AES256 / AES-GCM)。例如,对于每个使用三重 DES 作为加密算法的 IPsec 站点配置,请将其替换为 AES。在对等端点对 IPsec 配置进行相应的更新。

  • 问题 1648578:在创建基于 NetX 主机的新服务实例时,NSX 强制添加群集/网络/存储
    从 vSphere Web Client 中为基于 NetX 主机的服务(例如,防火墙、IDS 和 IPS)创建新的服务实例时,将强制添加群集/网络/存储,即使不需要使用这些群集/网络/存储也是如此。

    解决办法:在创建新的服务实例时,您可以为群集/网络/存储添加任何信息以填写这些字段。这样,就可以创建服务实例了,并且您可以根据需要继续操作。

  • 问题 2018077:当规则具有自定义 L7 ALG 服务而没有目标端口和协议时,防火墙发布失败

    如果在不提供目标端口和协议的情况下选择以下任意 L7 ALG APP(APP_FTP、APP_TFTP、APP_DCERPC、APP_ORACLE)来创建 L7 服务,然后在防火墙规则中使用这些服务,防火墙规则发布会失败。

    解决办法:在为以下 ALG 服务创建自定义 L7 服务时,请提供相应的目标端口和协议 (TCP/UDP) 值:

    • APP_FTP:端口 21 协议:TCP
    • APP_TFTP:端口 69 协议:UDP
    • APP_DCERPC:端口 135 协议:TCP
    • APP_ORACLE:端口 1521 协议:TCP
  • 问题 1980551:NSX Manager 默认不支持 TLSv1

    如果尝试使用 TLSv1 连接到 NSX Manager,该操作会失败。 

    解决办法:使用更高版本的 TLS:TLSv1.1 或 TLSv1.2。 

    不建议使用 TLSv1.0,而且我们已计划在将来的版本中将其移除,但是可以为 NSX Manager 启用它。有关说明,请参见《NSX for vSphere API 指南》中的“使用安全设置”。请注意,更改安全设置将会导致 NSX Manager 重新引导。 

  • 问题 2006576:将设置了服务插入筛选器的客户机虚拟机从一个群集移动到另一个群集时(假设两个群集部署了相同的服务),所保存的状态(为命中服务插入筛选器的流量存储的连接信息)会丢失。

    如果 vMotion 的目标群集与原始群集不同,配置了 NetX(服务插入)规则的客户机虚拟机会暂时丢失这些 NetX 规则。

    解决办法:限制只能在群集内对设置了服务插入筛选器的客户机虚拟机执行 vMotion 操作。

监控服务已知问题
  • 问题 1466790:无法使用 NSX 跟踪流工具选择桥接网络上的虚拟机
    无法使用 NSX 跟踪流工具选择未连接到逻辑交换机的虚拟机。这意味着无法按虚拟机名称选择 L2 桥接网络上的虚拟机来作为跟踪流检测的源或目标地址。

    解决办法:对于连接到 L2 桥接网络的虚拟机,请使用要作为跟踪流检测目标的接口的 IP 地址或 MAC 地址。您无法选择将连接到 L2 桥接网络的虚拟机作为源。有关详细信息,请参见知识库文章 2129191

check-circle-line exclamation-circle-line close-line
Scroll to top icon