VMware NSX for vSphere 6.4.1 | 2018 年 5 月 24 日发行 | 内部版本 8599035 请参见本文的修订历史。 |
发行说明内容
本发行说明包含以下主题:
NSX 6.4.1 的新增功能
NSX for vSphere 6.4.1 添加了可用性和可维护性增强功能,并解决了一些特定的客户问题。有关详细信息,请参见已解决的问题。
NSX for vSphere 6.4.1 中引入了以下更改:
安全服务
- 上下文感知防火墙:
- 额外的第 7 层应用程序上下文支持:SYMUPD(Symantec LiveUpdate 流量,包括间谍软件定义、防火墙规则、防病毒特征码文件和软件更新)、MAXDB(对 MaxDB SQL 服务器进行的 SQL 连接和查询)和 GITHUB(基于 Web 的 Git 或版本控制存储库和 Internet 托管服务)。
- 扩展了身份防火墙的操作系统支持:现已扩展远程桌面和应用程序服务器 (RDSH) 上的用户会话的身份防火墙支持,包括装有 VMware Tools 10.2.5 的 Windows Server 2012 以及装有 VMware Tools 10.2.5 的 Windows 2012 R2。
NSX 用户界面
- VMware NSX - vSphere Client (HTML) 功能更新:
- 现在,可以通过 vSphere Client 使用以下 VMware NSX 功能:安装、组和标记、防火墙、服务编排、应用程序规则管理器、SpoofGuard、IPFIX、流量监控。有关支持的功能列表,请参见 vSphere Client 中的 VMware NSX for vSphere UI 插件功能。
- 防火墙 - UI 增强功能:
- 提高了可见性:状态摘要、操作工具栏、防火墙表中的组成员详细信息视图
- 高效地创建规则:行中编辑、克隆规则、多重选择和批量操作支持、简化的规则配置
- 高效地管理区域:拖放、区域和规则的定位插入、滚动时的区域定位
- 撤消操作:在 UI 客户端上恢复未发布的规则和区域更改
- 防火墙超时设置:简要显示协议值,而无需使用弹出对话框。
- 应用程序规则管理器 - UI 增强功能:
- 会话管理:查看一组会话及其相应的状态(正在收集数据、分析完成)和持续时间。
- 规则计划:查看分组对象和防火墙规则计数摘要;查看通用防火墙规则建议
- 分组对象增强功能:
- 提高了使用分组对象时的可见性
- 按虚拟机、IP、MAC 和 vNIC 查看有效组成员列表
- SpoofGuard - UI 增强功能:
- 批量操作支持:一次批准或清除多个 IP
NSX Edge 增强功能
- 负载平衡器扩展:将 LB 池成员支持从 32 个增加到 256 个
操作和故障排除
- 安装 - UI 增强功能:
- 按状态筛选群集列表:全部、已安装: 正常、已安装: 需要注意、未安装
- 群集摘要视图:显示通信通道运行状况
- 证书到期警报:在证书到期前后生成系统事件和 SNMP 警示。可以配置时间间隔,默认为到期前 7 天。
- 在升级之前自动备份:在将 NSX Manager 升级到 NSX 6.4.1 时,将在升级过程中自动创建备份并保存在本地。有关详细信息,请参见升级 NSX Manager 和管理在升级期间创建的 NSX Manager 备份。
解决方案互操作性
- vSphere 6.7 支持:要升级到 vSphere 6.7 时,您必须先安装或升级到 NSX for vSphere 6.4.1 或更高版本。请参见《NSX 升级指南》中的在 NSX 环境中升级 vSphere 以及知识库文章 53710(vSphere 6.7 及其兼容的 VMware 产品的更新顺序)。
NSX 许可证版本
- VMware NSX Data Center 许可证:增加了对 2018 年 6 月引入的新 VMware NSX Data Center 许可证(Standard 版、Professional 版、Advanced 版、Enterprise Plus 版和 Remote Office Branch Office 版)的支持,并将继续支持以前的 VMware NSX for vSphere 许可证密钥。有关 NSX 许可证的详细信息,请参阅 VMware 知识库文章 2145269。
版本、系统要求和安装说明
注意:
-
下表列出了建议的 VMware 软件版本。这些建议只是常规建议,具体应考虑特定的环境需求。
-
此信息为截至本文档发布之日的最新信息。
-
有关 NSX 和其他 VMware 产品的最低支持版本,请参见 VMware 产品互操作性列表。VMware 的最低支持版本声明基于内部测试。
产品或组件 | 版本 |
NSX for vSphere | 对于新部署,VMware 建议使用最新的 NSX 版本。 在升级现有部署时,请在计划升级之前参考 NSX 发行说明,或者与 VMware 技术支持代表联系以了解某些特定问题的详细信息。 |
vSphere |
注意:NSX 6.4 不支持 vSphere 5.5。 |
适用于 Windows 的 Guest Introspection | 支持所有版本的 VMware Tools。某些基于 Guest Introspection 的功能需要使用较新的 VMware Tools 版本:
|
适用于 Linux 的 Guest Introspection | 该 NSX 版本支持以下 Linux 版本:
|
系统要求和安装说明
有关 NSX 安装必备条件的完整列表,请参见《NSX 安装指南》中的 NSX 的系统要求一节。
有关安装说明,请参见《NSX 安装指南》或《跨 vCenter NSX 安装指南》。
已弃用和已停用的功能
产品周期终止和支持期终止警告
有关必须尽快升级的 NSX 和其他 VMware 产品的信息,请参见 VMware 生命周期产品列表。
-
NSX for vSphere 6.1.x 于 2017 年 1 月 15 日终止提供 (EOA) 和终止支持 (EOGS)。(另请参见 VMware 知识库文章 2144769。)
-
不再支持 vCNS Edge。在升级到 NSX 6.3 或更高版本之前,您必须先升级到 NSX Edge。
-
NSX for vSphere 6.2.x 将于 2018 年 8 月 20 日终止支持 (EOGS)。
-
根据安全建议,在 NSX Edge IPsec VPN 服务中不再支持将 3DES 作为加密算法。
建议您切换到 IPsec 服务中提供的某个安全密码。这个有关加密算法的更改适用于 IPsec 站点的 IKE SA(阶段 1)以及 IPsec SA(阶段 2)协商。
如果在升级到已移除 3DES 支持的版本时 NSX Edge IPsec 服务正在使用 3DES 加密算法,则此密码将被另一个建议的密码取代,因此正在使用 3DES 的 IPsec 站点将不会出现,除非将远程对等方上的配置修改为与 NSX Edge 中使用的加密算法匹配。
如果使用 3DES 加密,请在 IPsec 站点配置中修改加密算法以将 3DES 替换为支持的某种 AES 变体 (AES/AES256/AES-GCM)。例如,对于将 3DES 作为加密算法的每种 IPsec 站点配置,请将其替换为 AES。在对等端点对 IPsec 配置进行相应的更新。
常规行为变化
如果具有多个 vSphere Distributed Switch,并在其中的一个 vSphere Distributed Switch 上配置了 VXLAN,您必须将任何分布式逻辑路由器接口连接到该 vSphere Distributed Switch 上的端口组。从 NSX 6.4.1 开始,将在 UI 和 API 中实施该配置。在早期版本中,不会禁止您创建无效的配置。
用户界面移除和更改
在 NSX 6.4.1 中,移除了服务编排画布。
API 移除和行为变化
NSX 6.4.1 中的行为变化
如果使用 POST /api/2.0/services/ipam/pools/scope/globalroot-0
创建新的 IP 池,或使用 PUT /api/2.0/services/ipam/pools/ 修改现有的 IP 池,
并且该池定义了多个 IP 范围,则会执行验证以确保范围不会发生重叠。以前,不会执行该验证。
NSX 6.4.0 中的弃用项
以下各项已弃用,并可能会在未来的版本中移除。
GET /api/4.0/edges/edgeID/status
中的 systemStatus 参数已弃用。GET /api/2.0/services/policy/serviceprovider/firewall/
已弃用。现改为使用GET /api/2.0/services/policy/serviceprovider/firewall/info
。- 分布式防火墙的全局配置部分中的 tcpStrict 设置已弃用。从 NSX 6.4.0 开始,tcpStrict 将在区域级别进行定义。注意:如果您升级到 NSX 6.4.0 或更高版本,全局配置设置 tcpStrict 将用来在每个现有的第 3 层区域配置 tcpStrict。tcpStrict 在第 2 层区域和第 3 层重定向区域设置为 false。有关详细信息,请参见《NSX API 指南》中的“使用分布式防火墙配置”。
NSX 6.4.0 中的行为变化
在 NSX 6.4.0 中,使用 POST /api/2.0/vdn/controller
创建控制器时,需要 <name>
参数。
NSX 6.4.0 引入了以下错误处理变化:
- 以前,
POST /api/2.0/vdn/controller
会响应为“201 已创建”(201 Created) 以指示控制器创建作业完成。但是,控制器的创建可能会失败。从 NSX 6.4.0 开始,响应变为“202 已接受”(202 Accepted)。
- 以前,如果您发送的 API 请求不允许在转换或独立模式下使用,响应状态为“400 错误请求”(400 Bad Request)。从 6.4.0 开始,响应状态变为“403 已禁止”(403 Forbidden)。
CLI 移除和行为变化
不要在 NSX Controller 节点上使用不支持的命令
不要使用未列出的命令在 NSX Controller 节点上配置 NTP 和 DNS。这些命令不受支持,不要在 NSX Controller 节点上使用这些命令。请仅使用 NSX CLI 指南中列出的命令。
升级说明
注意:有关影响安装和升级的已知问题列表,请参见安装和升级已知问题一节。
常规升级说明
-
要升级 NSX,您必须执行完整的 NSX 升级,包括主机群集升级(将升级主机 VIB)。有关说明,请参见《NSX 升级指南》,包括“升级主机群集”部分。
-
不支持使用 VUM 升级主机群集上的 NSX VIB。请使用升级协调器、主机准备或相关联的 REST API 升级主机群集上的 NSX VIB。
-
系统要求:有关安装和升级 NSX 时的系统要求信息,请参见 NSX 文档中的 NSX 的系统要求部分。
- NSX 升级途径:VMware 产品互操作性列表提供了有关从 VMware NSX 升级的途径的详细信息。
-
在《NSX 升级指南》中介绍了跨 vCenter NSX 升级。
- 不支持降级:
-
请务必先备份 NSX Manager,然后再执行升级。
-
成功升级 NSX 后,无法对 NSX 进行降级。
-
- 要验证是否成功升级到 NSX 6.4.x,请参见知识库文章 2134525。
-
不支持从 vCloud Networking and Security 升级到 NSX 6.4.x。您必须先升级到支持的 6.2.x 版。
- 互操作性:在升级之前,请检查 VMware 产品互操作性列表以了解所有相关的 VMware 产品。
- 升级到 NSX 6.4:NSX 6.4 与 vSphere 5.5 不兼容。
- 升级到 vSphere 6.5:要升级到 vSphere 6.5a 或更高的 6.5 版本时,您必须先升级到 NSX 6.3.0 或更高版本。NSX 6.2.x 与 vSphere 6.5 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
- 升级到 vSphere 6.7:要升级到 vSphere 6.7 时,您必须先升级到 NSX 6.4.1 或更高版本。早期版本的 NSX 与 vSphere 6.7 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
- 合作伙伴服务兼容性:如果您的站点使用 VMware 合作伙伴服务实施 Guest Introspection 或网络自检,您必须在升级之前查阅《VMware 兼容性指南》以确认供应商的服务与此版本的 NSX 兼容。
- Networking and Security 插件:在升级 NSX Manager 后,您必须注销并重新登录到 vSphere Web Client。如果未正确显示 NSX 插件,请清除浏览器缓存和历史记录。如果 Networking and Security 插件未显示在 vSphere Web Client 中,请重置 vSphere Web Client 服务器,如《NSX 升级指南》中所述。
- 无状态环境:在无状态主机环境中执行 NSX 升级时,新的 VIB 将在 NSX 升级过程中预先添加到主机映像配置文件。因此,无状态主机上的 NSX 升级过程遵循以下顺序:
在 NSX 6.2.0 之前,您只能在 NSX Manager 上通过单个 URL 找到适用于特定版本的 ESX 主机的 VIB。(这意味着管理员只需知道一个 URL,而不管使用的是哪种 NSX 版本。)在 NSX 6.2.0 和更高版本中,新的 NSX VIB 通过不同的 URL 提供。要找到合适的 VIB,您必须执行以下步骤:
- 从 https://<nsxmanager>/bin/vdn/nwfabric.properties 中找到新的 VIB URL。
- 从相应的 URL 获取所需 ESX 主机版本的 VIB。
- 将这些 VIB 添加到主机映像配置文件。
NSX 组件的升级说明
NSX Manager 升级
-
重要信息:如果您要将 NSX 6.2.0、6.2.1 或 6.2.2 升级到 NSX 6.3.5 或更高版本,则在开始升级之前,您必须完成一个解决办法。有关详细信息,请参见 VMware 知识库文章 000051624。
-
如果从 NSX 6.3.3 升级到 NSX 6.3.4 或更高版本,您必须先按照 VMware 知识库文章 2151719 中的解决办法说明进行操作。
-
如果使用 SFTP 进行 NSX 备份,请在升级到 6.3.0 或更高版本后更改为 hmac-sha2-256,因为不支持 hmac-sha1。有关支持的安全算法列表,请参见 VMware 知识库文章 2149282。
-
在将 NSX Manager 升级到 NSX 6.4.1 时,将在升级过程中自动创建备份并保存在本地。有关详细信息,请参见升级 NSX Manager。
-
升级到 NSX 6.4.0 时,会保留 TLS 设置。如果只启用了 TLS 1.0,您将能够在 vSphere Web Client 中查看 NSX 插件,但 NSX Manager 不可见。这不会影响数据路径,但您无法更改任何 NSX Manager 配置。登录到 NSX 设备管理 Web UI(网址为 https://nsx-mgr-ip/),并启用 TLS 1.1 和 TLS 1.2。这会重新引导 NSX Manager 设备。
控制器升级
- NSX Controller 群集必须包含三个控制器节点。如果少于三个控制器,您必须在开始升级之前添加控制器。请参见部署 NSX Controller 群集以了解相应的说明。
-
在 NSX 6.3.3 中,NSX Controller 的底层操作系统发生变化。这意味着,从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本而不是执行就地软件升级时,将每次删除一个现有的控制器,并使用相同的 IP 地址部署基于 Photon OS 的新控制器。
在删除控制器时,还会删除任何关联的 DRS 反关联性规则。您必须在 vCenter 中创建新的反关联性规则,以防止新的控制器虚拟机位于同一主机上。
有关控制器升级的详细信息,请参见升级 NSX Controller 群集。
分布式逻辑路由器升级
- 在 NSX 6.4.1 中添加了验证步骤,以确保在配置了 VXLAN 并具有多个 vSphere Distributed Switch 的环境中,只能将分布式逻辑路由器接口连接到配置了 VXLAN 的 vSphere Distributed Switch。在这些环境中,如果 DLR 将接口连接到未配置 VXLAN 的 vSphere Distributed Switch,将 DLR 升级到 NSX 6.4.1 或更高版本将失败。UI 不再显示不支持的 vSphere Distributed Switch。
主机群集升级
-
如果您从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本,NSX VIB 名称会发生更改。
如果在 ESXi 6.0 或更高版本上安装了 NSX 6.3.3 或更高版本,esx-vxlan 和 esx-vsip VIB 将替换为 esx-nsxv。 -
主机上无重新引导的升级和卸载:在 vSphere 6.0 和更高版本上,从 NSX 6.2.x 升级到 NSX 6.3.x 或更高版本后,任何后续的 NSX VIB 更改都不需要重新引导,但主机必须进入维护模式才能完成 VIB 更改。这会同时影响 NSX 主机群集升级和 ESXi 升级。有关详细信息,请参见《NSX 升级指南》。
NSX Edge 升级
-
在升级 NSX Edge 设备之前,必须为 NSX 准备主机群集:从 6.3.0 开始,不再支持通过 VIX 通道在 NSX Manager 和 Edge 之间进行的管理层面通信。仅支持消息总线通道。从 NSX 6.2.x 或更低版本升级到 NSX 6.3.0 或更高版本时,您必须确认为 NSX 准备了部署 NSX Edge 设备的主机群集,并且消息基础架构状态为绿色。如果没有为 NSX 准备主机群集,NSX Edge 设备升级将失败。有关详细信息,请参见《NSX 升级指南》中的升级 NSX Edge。
-
升级 Edge 服务网关 (ESG):
从 NSX 6.2.5 开始,将在升级 NSX Edge 时执行资源预留。如果在资源不足的群集上启用 vSphere HA,由于违反 vSphere HA 限制,升级操作可能会失败。为了避免此类升级失败,请在升级 ESG 之前执行以下步骤:
如果在安装或升级时没有明确设置值,NSX Manager 将使用以下资源预留。
NSX Edge
规格大小CPU 预留 内存预留 精简 1000MHz 512 MB 中型 2000MHz 1024 MB 大型 4000MHz 2048 MB 超大型 6000MHz 8192 MB -
始终确保您的安装遵循为 vSphere HA 建议的最佳做法。请参见 VMware 知识库文章 1002080 文档。
-
使用 NSX 优化配置 API:
PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
确保 edgeVCpuReservationPercentage 和 edgeMemoryReservationPercentage 值在相应规格大小的可用资源范围内(请参见上表以了解默认值)。
-
-
在启用 vSphere HA 并部署 Edge 时,请禁用 vSphere 的虚拟机启动选项。在将 6.2.4 或更低版本的 NSX Edge 升级到 6.2.5 或更高版本后,您必须为已启用 vSphere HA 并部署 Edge 的群集中的每个 NSX Edge 禁用 vSphere 虚拟机启动选项。为此,请打开 vSphere Web Client,找到 NSX Edge 虚拟机所在的 ESXi 主机,单击“管理”>“设置”并在“虚拟机”下面选择“虚拟机启动/关机”,单击“编辑”并确保该虚拟机处于手动模式(即,确保该虚拟机未添加到自动启动/关机列表中)。
-
在升级到 NSX 6.2.5 或更高版本之前,确保所有的负载平衡器密码列表均以冒号分隔。如果密码列表使用逗号等其他分隔符,请对 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles 执行 PUT 调用,将 <clientssl> </clientssl> 和 <serverssl> </serverssl> 中的每个 <ciphers> </ciphers> 列表替换为以冒号分隔的列表。例如,请求正文中的相关分段可能类似于以下内容。对所有的应用程序配置文件重复此过程:
<applicationProfile> <name>https-profile</name> <insertXForwardedFor>false</insertXForwardedFor> <sslPassthrough>false</sslPassthrough> <template>HTTPS</template> <serverSslEnabled>true</serverSslEnabled> <clientSsl> <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers> <clientAuth>ignore</clientAuth> <serviceCertificate>certificate-4</serviceCertificate> </clientSsl> <serverSsl> <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers> <serviceCertificate>certificate-4</serviceCertificate> </serverSsl> ... </applicationProfile>
- 在早于 6.2.0 的 vROPs 版本中为负载平衡的客户端设置正确的密码版本:早于 6.2.0 的 vROPs 版本中的 vROPs 池成员使用 TLS 版本 1.0,因此,您必须在 NSX 负载平衡器配置中设置 "ssl-version=10" 以显式设置监控扩展值。请参见《NSX 管理指南》中的“创建服务监控器”以了解相应的说明。
{ "expected" : null, "extension" : "ssl-version=10", "send" : null, "maxRetries" : 2, "name" : "sm_vrops", "url" : "/suite-api/api/deployment/node/status", "timeout" : 5, "type" : "https", "receive" : null, "interval" : 60, "method" : "GET" }
Guest Introspection 升级
- 现在,Guest Introspection 虚拟机在计算机上的 XML 文件中包含额外的主机标识信息。在登录到 Guest Introspection 虚拟机时,“/opt/vmware/etc/vami/ovfEnv.xml”文件应包含主机标识信息。
FIPS 的升级说明
从 NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在完成升级之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。
-
在 OS X Yosemite 和 OS X El Capitan 上支持的密码:如果在 OS X 10.11 (EL Capitan) 上使用 SSL VPN 客户端,您可以使用 AES128-GCM-SHA256、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA38、AES256-SHA 和 AES128-SHA 密码进行连接,使用 OS X 10.10 (Yosemite) 的客户端只能使用 AES256-SHA 和 AES128-SHA 进行连接。
-
在完成到 NSX 6.3.x 的升级之前,不要启用 FIPS。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。
- 在启用 FIPS 之前,请确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见《VMware 兼容性指南》和相关的合作伙伴文档。
FIPS 合规性
如果配置正确,NSX 6.4 将对所有与安全相关的加密使用经由 FIPS 140-2 验证的加密模块。
注意:
- 控制器和群集 VPN:NSX Controller 使用 IPsec VPN 连接控制器群集。IPsec VPN 使用 VMware Linux 内核加密模块(VMware Photon OS 1.0 环境),目前正在对该模块进行 CMVP 验证。
- Edge IPsec VPN:NSX Edge IPsec VPN 使用 VMware Linux 内核加密模块(VMware NSX OS 4.4 环境),目前正在对该模块进行 CMVP 验证。
文档修订历史
2018 年 5 月 24 日:第一版。
2018 年 5 月 29 日:第二版。添加了已知问题 2127813。
2018 年 6 月 8 日:第三版:添加了有关 NSX Data Center 许可证的信息,以及已知问题 2130563。
2018 年 7 月 20 日:第四版。添加了已知问题 2147002。
2018 年 9 月 5 日:第五版。添加了已知问题 2186968 和 2183584。
2018 年 9 月 19 日:第六版。在“系统要求”表中添加了已知问题 2197754 和相关说明。
2018 年 10 月 5 日:第七版。添加了已知问题 2164138。
已解决的问题
已解决的问题分为以下几类。
已解决的一般问题- 已修复问题 1993691、1995142:从 VC 清单中移除主机后,没有将其从复制群集中移除
如果用户将主机添加到复制群集中,然后在将主机从群集中移除之前先将其从 VC 清单中移除,旧版主机将保留在群集中。
- 已修复问题 1809387:移除了弱安全传输协议 TLS v1.0 支持
从 NSX-v 6.4.1 开始,不再支持 TLS v1.0。
- 已修复问题 2002679:在主站点上部署了硬件 VTEP 的跨 vCenter NSX 环境中,在辅助 NSX Manager 重新启动时,桥接的流量可能会发生网络中断
在主站点上部署了硬件 VTEP 的跨 vCenter NSX 环境中,在辅助 NSX Manager 重新启动时,桥接的流量可能会发生网络中断。
- 已修复问题 2065225:在 NSX 6.4.0 环境中安装 NSX Guest Introspection 失败并出现以下错误:“指定的参数不是正确的 Property.info.key[9]”(a specified parameter is not correct Property.info.key[9])
GI 部署为多个主机显示“失败”安装状态和“未知”服务状态。
- 已修复问题 2094364:USVM 进程在崩溃后无法重新启动,因为监视程序进程无法重新启动 USVM 进程
在进程终止后,USVM 将被置于警告状态。
- 已修复问题 2105632:USVM 尝试与 Google(外部)NTP 服务器同步时间
已修改时间同步服务以防止出现该行为。
- 已修复问题 2031099:NSX 主机准备失败并出现以下 EAM 错误:“主机不再位于 vCenter 清单中”(Host is no longer in vCenter inventory)
有关详细信息,请参见 VMware 知识库文章 52550。
- 已修复问题 2064298:如果月份包含重音字母,则无法下载技术支持日志
如果 NSX Manager 使用法语区域设置,则无法在短月份名称包含重音字母的月份下载技术支持日志。
- 已修复问题 2017141:Edge 范围用户无法访问全局范围 (globalroot-0) 证书
在 Edge 范围用户尝试访问 Edge 负载平衡器功能时,显示以下错误消息:
“未授权用户访问对象 Global 和功能 truststore.trustentity_management,请查看用户的对象访问范围和功能权限。”
(User is not authorized to access object Global and feature truststore.trustentity_management, please check object access scope and feature permissions for the user.)
- 已修复问题 1907141:在发送 ARP 请求时,接受将 GARP 作为有效的回复
某些旧设备将 GARP 作为 ARP 请求回复发送。该修复解决了接受将 GARP 作为有效 ARP 响应的问题。
- 已修复问题 2039443:在创建没有任何接口的 DLR 时,不会在主机上创建 DLR 实例,但控制虚拟机仍尝试连接到主机
如果创建没有 LIF 的 DLR,则不会在主机上创建 VDR 实例。在此类配置中,DLR 控制虚拟机尝试建立 VMCI 连接,该操作将会失败。该问题不会影响数据路径,可以将其忽略。
- 已修复问题 2070281:在启用 DNS 功能后,发生缓慢内存泄露,并且名称解析由于“无法访问网络”错误而失败
Edge 日志填满名称解析错误。在经过一段时间后,系统事件显示 Edge 虚拟机内存使用率较高 (> 90%)。
- 已修复问题 2084281:在 VPN 闲置超时过期后,从 ESG 后启动流量传输时,VPN 隧道无法成功建立
由于错误的逻辑删除 IPSEC spd 条目,VPN 隧道保持关闭状态。
- 已修复问题 2092730:在 /var/log 分区达到 100% 磁盘使用率时,NSX Edge 停止响应
在活动 Edge 上,NSX Edge 网关 /var/log 填满。
- 已修复问题 1984392:通用对象(传输区域、UDLR、ULS 和分段)无法与辅助 NSX Manager 同步
将数据复制到辅助 NSX Manager 的复制程序线程停滞,而无法处理新请求。
- 已修复问题 2064258:NetBios 名称验证失败
在 6.4.0 中,在域同步功能中引入了一个新参数。该参数为 NetBios 名称,它由 NSX 后端进行验证。在某些 AD 结构中,NetBios 名称验证失败,例如,非根域之间的特殊信任配置(称为快捷信任)以及根域和非根域之间的信任关系(称为树根信任)。
- 已修复问题 1971683:NSX Manager 记录虚假的重复 IP 消息
改进了误报问题的日志记录。
- 已修复问题 2085654:如果在同一集合中具有重复的动态条件(具体来说,值 = 空),动态条件升级将失败
在升级后,NSX Manager 无法启动。在升级后,无法管理 NSX。
- 已修复问题 1991702:在某些情况下,显示“无法在没有虚拟机的 SG 上启动数据收集”(Unable to start data collection on SG with no VMs) 错误消息
在映射到 AD 组的基于身份的 SG 上启动端点监控会话时,显示以下错误:“无法在没有虚拟机的 SG 上启动数据收集”(Unable to start data collection on SG with no VMs)
- 已修复问题 2052634:在转换具有排除成员的嵌套安全组时,返回不正确的结果
如果使用具有嵌套和排除成员的安全组,防火墙规则错误地阻止或允许流量。
- 已修复问题 2089957:对于引用删除的 AD 组的安全组,虚拟机转换引发空指针异常
如果删除一个 AD 组,并且某个安全组引用删除的 AD 组,安全组->虚拟机转换将引发空指针异常。规则发布失败。
- 已修复问题 2035026:在 Edge 升级时,发现网络中断大约 40-50 秒
在 Edge 升级期间,网络中断减少到 10-20 秒。
- 已修复问题 2027916:升级协调器可能会显示升级失败的控制器已成功升级
对于三节点控制器群集,如果第三个控制器在升级期间失败并被移除,则即使升级失败,整个控制器群集升级也可能会被标记为成功。
已知问题
已知问题分为以下几类。
一般已知问题- 问题 2197754:将 vSphere Distributed Switch 升级到 6.6 后,主机显示紫色诊断屏幕
如果安装了 NSX 6.4,并将 vSphere Distributed Switch 升级到版本 6.6,ESXi 会显示紫色诊断屏幕。使用 vSphere Distributed Switch 6.6 新安装的 vSphere 6.7 不受影响。
解决办法:升级到 vSphere 6.7 时,使用 vSphere Distributed Switch 版本 6.5 或更低版本。
- 问题 2130563:分配 NSX Data Center 许可证时,会显示以下警告消息:“选定的许可证不支持许可资产当前可用的一些功能”(The selected license does not support some of the features that are currently available to the licensed assets)
如果您分配有 NSX for vSphere 许可证,然后又被分配了 NSX Data Center 许可证,您会看到以下警告消息:“选定的许可证不支持许可资产当前可用的一些功能”(The selected license does not support some of the features that are currently available to the licensed assets)。这是因为两个许可证定义的 NSX 功能不同。如果您被分配的许可证版本定义的功能与当前许可证所许可的功能相同,可以放心地忽略此消息。
有关 NSX 许可证的详细信息,请参阅 VMware 知识库文章 2145269。
解决办法:确认新许可证支持所需的功能,并忽略该警告消息。
- 问题 2127813:在使用 vSphere Client (HTML5) 时,无法选择 NSX 许可证密钥并将其分配给 NSX Manager
如果登录到 vSphere Client (HTML5) 并添加一个 NSX 许可证密钥,您无法从许可证 > 资产 > 解决方案中分配该密钥。因为新的许可证密钥并不显示。
解决办法:使用 vSphere Web Client 添加并分配许可证。
- 在 vSphere Web Client 中,当打开一个与 HTML 视图重叠的 Flex 组件时,该视图将变得不可见。
在打开菜单或对话框之类的 Flex 组件时,如果该组件与 HTML 视图重叠,该视图会暂时隐藏起来。
(参考:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)解决办法:无。
- 问题 1874863:在本地身份验证服务器上禁用/启用 sslvpn 服务后,无法使用更改的密码进行身份验证
在禁用并重新启用 SSL VPN 服务以及使用本地身份验证时,用户无法使用更改的密码登录。
有关详细信息,请参见 VMware 知识库文章 2151236。
- 问题 1702339:漏洞扫描程序可能会报告 Quagga bgp_dump_routes 漏洞 CVE-2016-4049
漏洞扫描程序可能会在 NSX for vSphere 中报告 Quagga bgp_dump_routes 漏洞 CVE-2016-4049。NSX for vSphere 使用 Quagga,但未启用 BGP 功能(包括漏洞)。可以放心地忽略该漏洞警示。
解决办法:由于该产品不存在漏洞,因此,不需要解决办法。
- 问题 1993691:如果移除主机时未先将其作为复制节点移除,可能会导致 NSX Manager 中出现失效条目
如果某主机作为硬件 VTEP 的复制节点,需要将其从父群集中移除时,应先确保它不再是复制节点,再将其从群集中移除。如果未完成该操作,在某些情况下,NSX Manager 数据库中将会保留其作为复制节点的状态,当进一步处理复制节点时,可能会导致错误。
解决办法:有关详细信息,请参见知识库文章 52418。
- 问题 2147002:在 NSX for vSphere 6.4.1 上安装 Guest Introspection 后服务和性能受到影响
启用 Guest Introspection 后,如果在主机之间对虚拟机执行 vMotion 或 Storage vMotion 操作需要很长时间,即意味着出现了此问题。
在虚拟机 vmware.log 中频繁观察到“Mux is disconnected”事件日志,并在主机 syslog 中看到“PANIC: NamespaceDb.cpp:AccessNamespaceDb():83 Function call to read_key failed”错误消息。解决办法:有关详细信息,请参见 VMware 知识库文章 56734。
- 问题 2164138:为 NSX 准备群集时,将在具有运行 ixgbe 驱动程序的物理网卡的主机上重新加载 ixgbe 驱动程序
ixgbe 驱动程序会重新加载以启用 RSS(接收方调整)选项来提高 vxlan 吞吐量。ixgbe 驱动程序重新加载会导致使用 ixgbe 驱动程序的 vmnic 关闭几秒并进行备份。在极少数情况下,ixgbe 驱动程序可能无法重新加载,此时使用 ixgbe 驱动程序的 vmnic 将一直保持关闭,直到重新引导 ESXi 主机为止。
解决办法:有关详细信息,请参见 VMware 知识库文章 52980。
升级之前,请阅读本文档前文的升级说明一节。
- 问题 2036024:由于数据库磁盘使用率问题,导致 NSX Manager 升级停滞在“正在验证已上载的文件”阶段
升级日志文件 vsm-upgrade.log 中还包含以下消息:“Database disk usage is at 75%, but it should be less than 70%”。您可以在 NSX Manager 支持包中查看 vsm-upgrade.log。导航到网络和安全 > 支持包,然后选择包含 NSX Manager 日志。
解决办法:与 VMware 客户支持人员联系。
- 问题 2006028:如果在主机升级期间重新引导 vCenter Server 系统,主机升级可能会失败
如果在主机升级期间重新引导关联的 vCenter Server 系统,主机升级可能会失败,并将主机置于维护模式。单击“解决”无法使主机退出维护模式。群集状态为“未就绪”。
解决办法:手动使主机退出维护模式。在群集上,单击“未就绪”,然后再单击“解决所有”。
- 问题 2001988:在 NSX 主机群集升级期间,在升级群集中的每个主机时,“主机准备”选项卡中的“安装状态”为整个群集交替显示“未就绪”和“正在安装”
在 NSX 升级期间,为 NSX 准备的群集单击“可升级”将触发主机升级。对于配置了 DRS 全自动的群集,“安装状态”交替显示“正在安装”和“未就绪”,即使在后台正常升级了主机也是如此。
解决办法:这是一个用户界面问题,可以将其忽略。等待继续执行主机群集升级。
- 问题 1859572:在 vCenter 6.0.0 版管理的 ESXi 主机上卸载 NSX VIB 6.3.x 版期间,主机继续处于维护模式
如果在群集上卸载 NSX VIB 6.3.x 版,工作流包括将主机置于维护模式,卸载 VIB 以及 EAM 服务将主机退出维护模式。不过,如果此类主机由 vCenter Server 6.0.0 版进行管理,则会导致在卸载 VIB 后主机停滞在维护模式。负责卸载 VIB 的 EAM 服务将主机置于维护模式,但无法将主机退出维护模式。解决办法:手动将主机退出维护模式。如果主机由 vCenter Server 6.5a 及更高版本进行管理,则不会出现该问题。
问题 1797929:消息总线通道在主机群集升级后出现故障
在主机群集升级后,vCenter 6.0(和更低版本)不会生成事件“重新连接”,因此,NSX Manager 也不会在主机上设置消息基础架构。vCenter 6.5 中已修复此问题。解决办法:重新同步消息基础架构,如下所示:
POST https://<ip>:/api/2.0/nwfabric/configure?action=synchronize<nwFabricFeatureConfig> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <resourceConfig> <resourceId>host-15</resourceId> </resourceConfig> </nwFabricFeatureConfig>
问题 1263858:SSL VPN 不向远程客户端发送升级通知
SSL VPN 网关不向用户发送升级通知。管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并通知用户必须更新其客户端。解决办法:用户需要手动卸载旧版本的客户端并安装最新版本。
- 问题 1979457:如果在升级过程中以向后兼容模式删除或移除了 GI-SVM,通过 Guest Introspection (GI) 的身份防火墙将无法正常工作,除非升级了 GI 群集。
身份防火墙将无法正常工作,并且不显示与身份防火墙相关的任何日志。身份防火墙保护将挂起,除非升级了群集。
解决办法:升级群集,以便所有主机运行新版本的 GI-SVM。
或
启用日志采集器以使身份防火墙正常工作。
- 问题 2106417:将 NSX Manager 从 6.3.0 升级到 6.4.1 后,GI SVM 变为“失败”状态
如果使用 vCenter Server 6.5 u1,并将 NSX Manager 从 6.3.0 升级到 6.4.1,GI SVM 升级状态可能为“失败”。
解决办法:在出现该问题后,删除 GI SVM 并重新部署。
- 问题 2088315:NSX Manager 备份操作失败
备份文件 S01_NSX_00_00_00_Fri23Mar2018 中包含的 rabbitmq 证书已过期。请使用以下步骤检查备份证书。
openssl enc -md sha512 -d -aes-256-cbc -salt -in S01_NSX_00_00_00_Fri23Mar2018 -out backup.tar -pass 'pass:
)' tar -xvf backup.tar openssl x509 -enddate -noout -in home/secureall/secureall/.store/.rabbitmq_cert.pem
输出为过期日期:
notAfter=Dec 26 20:20:40 1978 GMT请与支持部门联系。支持部门将会创建一个新证书。
- 问题 1747978:在 NSX Edge HA 故障切换后,删除了具有 MD5 身份验证的 OSPF 邻接
在为 NSX Edge 配置了 HA、配置了 OSPF 正常重新启动并使用 MD5 进行身份验证的 NSX for vSphere 6.2.4 环境中,OSPF 无法正常启动。只有在失效定时器在 OSPF 邻居节点上到期后,才会形成邻接。解决办法:无
- 问题 2005973:删除一些 GRE 隧道,接着从管理层面强制同步 Edge 节点后,路由守护进程 MSR 丢失所有路由配置
在通过 GRE 隧道进行 BGP 会话的 Edge 上可能会发生此问题。在删除了一些 GRE 隧道,接着从管理层面强制同步 Edge 后,Edge 会丢失所有路由配置。
解决办法:重新引导 Edge 节点。
- 问题 2015368:在某些情况下,防火墙日志记录可能会导致内存不足问题
如果在高规模配置中启用了 Edge 防火墙,并且在部分或所有规则中启用了防火墙日志记录,则 Edge 可能会遇到内存不足 (OOM) 情况,不过这种情况并不常见。这种情况尤其会发生在有许多流量命中日志记录规则时。如果发生 OOM 情况,Edge 虚拟机将会自动重新引导。
解决办法:防火墙日志记录最适合用于调试目的,之后可以再次禁用它以便正常使用。要避免出现此 OOM 问题,请禁用所有防火墙日志记录。
- 问题 2005900:当所有 GRE 隧道在 8 向 iBGP/多跃点 BGP ECMP 规模拓扑中发生抖动时,Edge 上的路由守护进程 MSR 停滞在 100% CPU
在规模拓扑中,如果在 ESG 上配置了 iBGP 或多跃点 BGP 并在很多 GRE 隧道上运行多个邻居,则可能会出现该问题。在多个 GRE 隧道发生抖动时,MSR 可能会无限期停滞在 100% CPU。
解决办法:重新引导 Edge 节点。
- 问题 2186968:静态 IPset 未报告给 containerset API 调用
如果有服务设备,则 NSX 可能会在与合作伙伴服务管理器通信时忽略 IP 集。 这可能会导致合作伙伴防火墙错误地允许或拒绝连接。
解决办法:有关解决办法,请与 VMware 客户支持联系。有关详细信息,请参见 VMware 知识库文章 57834。
- 问题 2183584:在应用程序规则管理器会话中创建的安全组未显示在建议规则的“应用对象”列下拉菜单中
在应用程序规则管理器会话中创建的安全组未显示在建议规则的“应用对象”列下拉菜单中。
解决办法:有关解决办法,请参见 VMware 知识库文章 57837。
- 问题 2017806:在向由安全策略中 RDSH 防火墙区域使用的安全组添加成员时,错误消息不够清晰明确
如果安全组由安全策略中的 RDSH 防火墙区域使用,则您只能向其中添加目录组成员。如果您尝试添加目录组以外的任何成员,将显示以下错误消息:
“服务编排和防火墙正在使用安全组,无法修改该安全组”(Security group is being used by service composer, Firewall and cannot be modified)
此错误消息未能表达出由于安全组被安全策略中的 RDSH 防火墙区域使用而无法进行修改的意思。解决办法:无。
- 问题 1648578:在创建基于 NetX 主机的新服务实例时,NSX 强制添加群集/网络/存储
从 vSphere Web Client 中为基于 NetX 主机的服务(例如,防火墙、IDS 和 IPS)创建新的服务实例时,将强制添加群集/网络/存储,即使不需要使用这些群集/网络/存储也是如此。解决办法:在创建新的服务实例时,您可以为群集/网络/存储添加任何信息以填写这些字段。这样,就可以创建服务实例了,并且您可以根据需要继续操作。
- 问题 2018077:当规则具有自定义 L7 ALG 服务而没有目标端口和协议时,防火墙发布失败
如果在不提供目标端口和协议的情况下选择以下任意 L7 ALG APP(APP_FTP、APP_TFTP、APP_DCERPC、APP_ORACLE)来创建 L7 服务,然后在防火墙规则中使用这些服务,防火墙规则发布会失败。
解决办法:在为以下 ALG 服务创建自定义 L7 服务时,请提供相应的目标端口和协议 (TCP/UDP) 值:
- APP_FTP:端口 21 协议:TCP
- APP_TFTP:端口 69 协议:UDP
- APP_DCERPC:端口 135 协议:TCP
- APP_ORACLE:端口 1521 协议:TCP
- 问题 1466790:无法使用 NSX 跟踪流工具选择桥接网络上的虚拟机
无法使用 NSX 跟踪流工具选择未连接到逻辑交换机的虚拟机。这意味着无法按虚拟机名称选择 L2 桥接网络上的虚拟机来作为跟踪流检测的源或目标地址。解决办法:对于连接到 L2 桥接网络的虚拟机,请使用要作为跟踪流检测目标的接口的 IP 地址或 MAC 地址。您无法选择将连接到 L2 桥接网络的虚拟机作为源。有关详细信息,请参见知识库文章 2129191。