This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

VMware NSX Data Center for vSphere 6.4.2 | 2018 年 8 月 21 日发行 | 内部版本 9643711

请参见本文的修订历史

发行说明内容

本发行说明包含以下主题:

VMware NSX Data Center for vSphere 6.4.2 的新增功能

重要信息:安装或升级到 NSX Data Center for vSphere 6.4.2 之后,在具有多个 PSC 或 STS 证书的环境中,NSX Data Center for vSphere 无法连接到 SSO。有关详细信息,请参见 VMware 知识库文章 57770

重要信息:NSX for vSphere 现名为 NSX Data Center for vSphere。

NSX Data Center for vSphere 6.4.2 版本加强了可用性和可维护性功能,并解决了一些特定的客户问题。有关详细信息,请参见已解决的问题

NSX Data Center for vSphere 6.4.2 中引入了以下更改:

网络连接和 Edge 服务

  • 多播支持:通过支持 IGMPv2 和 PIM 稀疏模式,增加了在分布式逻辑路由器和 Edge 服务网关上配置 L3 IPv4 多播的功能。
  • 硬件 VTEP:增加了多 PTEP 群集功能,以更好地支持多 vCenter 的环境
  • SoftRSS:提高了不支持 DRSS 的物理网卡上的桥接吞吐量

安全服务

  • 上下文感知防火墙:额外支持第 7 层应用程序上下文(EPIC、MSSQL、BLAST AppID)
  • 防火墙规则命中计数:监控规则使用情况,轻松识别可清理的未使用规则
  • 防火墙区域锁定:允许多个安全管理员同时对防火墙进行操作
  • NSX 应用程序规则管理器:将每会话 vNIC 数扩展到了 100 个,进一步简化了为现有应用程序创建安全组和将防火墙规则加入白名单的过程。

NSX 用户界面

操作和故障排除

  • 身份验证与授权:引入了 2 个新角色(网络工程师和安全工程师)。增加了启用/禁用基本身份验证的功能。
  • NSX 系统级仪表板:可查看 25 项新衡量指标。可编辑使用情况警告阈值和筛选超出限制的对象。
  • NSX Controller 群集设置:指定要应用于 NSX Controller 群集的通用设置(DNS、NTP 和 Syslog)。
  • NSX 组件支持虚拟机硬件版本 11:如果是新安装 NSX 6.4.2,NSX 设备(Manager、Controller、Edge、Guest Introspection)将安装在虚拟机硬件版本 11 中。如果是升级到 NSX 6.4.2,请参见“升级说明”以了解更多详细信息。

版本、系统要求和安装说明

注意:

  • 下表列出了建议的 VMware 软件版本。这些建议只是常规建议,具体应考虑特定的环境需求。

  • 此信息为截至本文档发布之日的最新信息。

  • 有关 NSX 和其他 VMware 产品的最低支持版本,请参见 VMware 产品互操作性列表。VMware 的最低支持版本声明基于内部测试。

产品或组件 版本
NSX Data Center for vSphere

对于新部署,VMware 建议使用最新的 NSX 版本。

在升级现有部署时,请在计划升级之前参考 NSX Data Center for vSphere 发行说明,或者与 VMware 技术支持代表联系以了解某些特定问题的详细信息。

vSphere

 

  • 对于 vSphere 6.0:
    支持:6.0 Update 2、6.0 Update 3
    推荐:6.0 Update 3。vSphere 6.0 Update 3 解决了在重新引导 vCenter Server 后 ESXi 主机中出现重复 VTEP 的问题。有关详细信息,请参见 VMware 知识库文章 2144605

  • 对于 vSphere 6.5:
    支持:6.5a、6.5 Update 1 和 6.5 Update 2。
    推荐:6.5 Update 1。vSphere 6.5 Update 1 解决了 EAM 由于内存不足而失败的问题。有关详细信息,请参见 VMware 知识库文章 2135378
    如果您要在 vSphere 6.5 上使用多播路由,建议使用 vSphere 6.5 Update 2。

  • 对于 vSphere 6.7
    支持:6.7、6.7 Update 1
    推荐:6.7 Update 1
    重要信息:如果将现有 vSphere 安装升级到 vSphere 6.7,请勿将 vSphere Distributed Switch 升级到 6.6。(有关详细信息,请参见已知问题 2197754。) 

注意:NSX 6.4 不支持 vSphere 5.5。

适用于 Windows 的 Guest Introspection 支持所有版本的 VMware Tools。某些基于 Guest Introspection 的功能需要使用较新的 VMware Tools 版本:
  • 使用 VMware Tools 10.0.9 和 10.0.12 启用 VMware Tools 附带的可选瘦代理网络自检驱动程序组件。
  • 升级到 VMware Tools 10.0.8 和更高版本,以解决在 NSX/vCloud Networking and Security 中升级 VMware Tools 后虚拟机速度缓慢问题(请参见 VMware 知识库文章 2144236)。
  • 使用 VMware Tools 10.1.0 和更高版本以支持 Windows 10。
  • 使用 VMware Tools 10.1.10 和更高版本以支持 Windows Server 2016。
适用于 Linux 的 Guest Introspection 该 NSX 版本支持以下 Linux 版本:
  • RHEL 7 GA(64 位)
  • SLES 12 GA(64 位)
  • Ubuntu 14.04 LTS(64 位)

系统要求和安装说明

有关 NSX 安装必备条件的完整列表,请参见《NSX 安装指南》中的 NSX 的系统要求一节。

有关安装说明,请参见《NSX 安装指南》《跨 vCenter NSX 安装指南》

已弃用和已停用的功能

产品周期终止和支持期终止警告

有关必须尽快升级的 NSX 和其他 VMware 产品的信息,请参见 VMware 生命周期产品列表

  • NSX for vSphere 6.1.x 于 2017 年 1 月 15 日终止提供 (EOA) 和终止支持 (EOGS)。(另请参见 VMware 知识库文章 2144769。)

  • 不再支持 vCNS Edge。在升级到 NSX 6.3 或更高版本之前,您必须先升级到 NSX Edge。

  • NSX for vSphere 6.2.x 已于 2018 年 8 月 20 日终止支持 (EOGS)。

  • 根据安全建议,在 NSX Edge IPsec VPN 服务中不再支持将 3DES 作为加密算法
    建议您切换到 IPsec 服务中提供的某个安全密码。这个有关加密算法的更改适用于 IPsec 站点的 IKE SA(阶段 1)以及 IPsec SA(阶段 2)协商。
     
    如果在升级到已移除 3DES 支持的版本时 NSX Edge IPsec 服务正在使用 3DES 加密算法,则此密码将被另一个建议的密码取代,因此正在使用 3DES 的 IPsec 站点将不会出现,除非将远程对等方上的配置修改为与 NSX Edge 中使用的加密算法匹配。
     
    如果使用 3DES 加密,请在 IPsec 站点配置中修改加密算法以将 3DES 替换为支持的某种 AES 变体 (AES/AES256/AES-GCM)。例如,对于将 3DES 作为加密算法的每种 IPsec 站点配置,请将其替换为 AES。在对等端点对 IPsec 配置进行相应的更新。

常规行为变化

如果具有多个 vSphere Distributed Switch,并在其中的一个 vSphere Distributed Switch 上配置了 VXLAN,您必须将任何分布式逻辑路由器接口连接到该 vSphere Distributed Switch 上的端口组。从 NSX 6.4.1 开始,将在 UI 和 API 中实施该配置。在早期版本中,不会禁止您创建无效的配置。如果您升级到 NSX 6.4.1 或更高版本,并且错误地连接了 DLR 接口,则需要采取相应的措施来解决此问题。有关详细信息,请参见升级说明

用户界面移除和更改

在 NSX 6.4.1 中,移除了服务编排画布。

安装行为变化

从版本 6.4.2 开始,在具有使用 ixgbe 驱动程序的物理网卡的主机上安装 NSX Data Center for vSphere 时,默认情况下在 ixgbe 驱动程序中不启用接收方调整 (RSS)。您必须先在主机上手动启用 RSS,才能安装 NSX Data Center。请确保只在具有使用 ixgbe 驱动程序的网卡的主机上启用 RSS。有关启用 RSS 的详细步骤,请参见 VMware 知识库文章 https://kb.vmware.com/s/article/2034676。此知识库文章介绍了提高 VXLAN 数据包吞吐量的建议 RSS 设置。

仅当在 ESXi 主机上全新安装内核模块(VIB 文件)时此新行为才适用。在将 NSX 管理的主机升级到 6.4.2 时,不需要进行任何更改。

API 移除和行为变化

NSX 6.4.2 中的弃用项

以下项已弃用,并且可能会从未来的版本中移除:

  • GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog。改用 GET/PUT /api/2.0/vdn/controller/cluster/syslog

NSX 6.4.1 中的行为变化

如果使用 POST /api/2.0/services/ipam/pools/scope/globalroot-0 创建新的 IP 池,或使用 PUT /api/2.0/services/ipam/pools/ 修改现有的 IP 池, 并且该池定义了多个 IP 范围,则会执行验证以确保范围不会发生重叠。以前,不会执行该验证。

NSX 6.4.0 中的弃用项
以下各项已弃用,并可能会在未来的版本中移除。

  • GET /api/4.0/edges/edgeID/status 中的 systemStatus 参数已弃用。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ 已弃用。现改为使用 GET /api/2.0/services/policy/serviceprovider/firewall/info
  • 分布式防火墙的全局配置部分中的 tcpStrict 设置已弃用。从 NSX 6.4.0 开始,tcpStrict 将在区域级别进行定义。注意:如果您升级到 NSX 6.4.0 或更高版本,全局配置设置 tcpStrict 将用来在每个现有的第 3 层区域配置 tcpStrict。tcpStrict 在第 2 层区域和第 3 层重定向区域设置为 false。有关详细信息,请参见《NSX API 指南》中的“使用分布式防火墙配置”。

NSX 6.4.0 中的行为变化
在 NSX 6.4.0 中,使用 POST /api/2.0/vdn/controller 创建控制器时,需要 <name> 参数。

NSX 6.4.0 引入了以下错误处理变化:

  • 以前,POST /api/2.0/vdn/controller 会响应为“201 已创建”(201 Created) 以指示控制器创建作业完成。但是,控制器的创建可能会失败。从 NSX 6.4.0 开始,响应变为“202 已接受”(202 Accepted)
  • 以前,如果您发送的 API 请求不允许在转换或独立模式下使用,响应状态为“400 错误请求”(400 Bad Request)。从 6.4.0 开始,响应状态变为“403 已禁止”(403 Forbidden)。

CLI 移除和行为变化

不要在 NSX Controller 节点上使用不支持的命令
不要使用未列出的命令在 NSX Controller 节点上配置 NTP 和 DNS。这些命令不受支持,不要在 NSX Controller 节点上使用这些命令。请仅使用 NSX CLI 指南中列出的命令。

升级说明

注意:有关影响安装和升级的已知问题列表,请参见安装和升级已知问题

常规升级说明

  • 要升级 NSX,您必须执行完整的 NSX 升级,包括主机群集升级(将升级主机 VIB)。有关说明,请参见《NSX 升级指南》,包括“升级主机群集”部分。

  • 不支持使用 VUM 升级主机群集上的 NSX VIB。请使用升级协调器、主机准备或相关联的 REST API 升级主机群集上的 NSX VIB。

  • 系统要求:有关安装和升级 NSX 时的系统要求信息,请参见 NSX 文档中的 NSX 的系统要求部分。

  • NSX 升级途径:VMware 产品互操作性列表提供了有关从 VMware NSX 升级的途径的详细信息。
  • 《NSX 升级指南》中介绍了跨 vCenter NSX 升级

  • 不支持降级:
    • 请务必先备份 NSX Manager,然后再执行升级。

    • 成功升级 NSX 后,无法对 NSX 进行降级。

  • 要验证是否成功升级到 NSX 6.4.x,请参见知识库文章 2134525
  • 不支持从 vCloud Networking and Security 升级到 NSX 6.4.x。您必须先升级到支持的 6.2.x 版。

  • 互操作性:在升级之前,请检查 VMware 产品互操作性列表以了解所有相关的 VMware 产品。
    • 升级到 NSX Data Center for vSphere 6.4:NSX 6.4 与 vSphere 5.5 不兼容。
    • 升级到 vSphere 6.5:要升级到 vSphere 6.5a 或更高的 6.5 版本时,您必须先升级到 NSX 6.3.0 或更高版本。NSX 6.2.x 与 vSphere 6.5 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
    • 升级到 vSphere 6.7:要升级到 vSphere 6.7 时,您必须先升级到 NSX 6.4.1 或更高版本。早期版本的 NSX 与 vSphere 6.7 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
  • 合作伙伴服务兼容性:如果您的站点使用 VMware 合作伙伴服务实施 Guest Introspection 或网络自检,您必须在升级之前查阅《VMware 兼容性指南》以确认供应商的服务与此版本的 NSX 兼容。
  • Networking and Security 插件:在升级 NSX Manager 后,您必须注销并重新登录到 vSphere Web Client。如果未正确显示 NSX 插件,请清除浏览器缓存和历史记录。如果 Networking and Security 插件未显示在 vSphere Web Client 中,请重置 vSphere Web Client 服务器,如《NSX 升级指南》中所述。
  • 无状态环境:在无状态主机环境中执行 NSX 升级时,新的 VIB 将在 NSX 升级过程中预先添加到主机映像配置文件。因此,无状态主机上的 NSX 升级过程遵循以下顺序:

    在 NSX 6.2.0 之前,您只能在 NSX Manager 上通过单个 URL 找到适用于特定版本的 ESX 主机的 VIB。(这意味着管理员只需知道一个 URL,而不管使用的是哪种 NSX 版本。)在 NSX 6.2.0 和更高版本中,新的 NSX VIB 通过不同的 URL 提供。要找到合适的 VIB,您必须执行以下步骤:

    1. https://<nsxmanager>/bin/vdn/nwfabric.properties 中找到新的 VIB URL。
    2. 从相应的 URL 获取所需 ESX 主机版本的 VIB。
    3. 将这些 VIB 添加到主机映像配置文件。

NSX 组件的升级说明

NSX 组件支持虚拟机硬件版本 11

  • 如果是新安装 NSX Data Center for vSphere 6.4.2,NSX 组件(Manager、Controller、Edge 和 Guest Introspection)将运行在虚拟机硬件版本 11 上。
  • 如果是升级到 NSX Data Center for vSphere 6.4.2,NSX Edge 和 Guest Introspection 组件会自动升级到虚拟机硬件版本 11。NSX Manager 和 NSX Controller 组件在升级后仍保留在虚拟机硬件版本 8 上。用户可以选择将虚拟机硬件升级到版本 11。有关升级虚拟机硬件版本的说明,请参阅知识库文章 (https://kb.vmware.com/s/article/1010675)。
  • 如果是新安装 NSX 6.3.x、6.4.0 和 6.4.1,NSX 组件(Manager、Controller、Edge、Guest Introspection)将运行在虚拟机硬件版本 8 上。

NSX Manager 升级

  • 重要信息:如果您要将 NSX 6.2.0、6.2.1 或 6.2.2 升级到 NSX 6.3.5 或更高版本,则在开始升级之前,您必须完成一个解决办法。有关详细信息,请参见 VMware 知识库文章 000051624

  • 如果从 NSX 6.3.3 升级到 NSX 6.3.4 或更高版本,您必须先按照 VMware 知识库文章 2151719 中的解决办法说明进行操作。

  • 如果使用 SFTP 进行 NSX 备份,请在升级到 6.3.0 或更高版本后更改为 hmac-sha2-256,因为不支持 hmac-sha1。有关支持的安全算法列表,请参见 VMware 知识库文章 2149282

  • 在将 NSX Manager 升级到 NSX 6.4.1 时,将在升级过程中自动创建备份并保存在本地。有关详细信息,请参见升级 NSX Manager

  • 升级到 NSX 6.4.0 时,会保留 TLS 设置。如果只启用了 TLS 1.0,您将能够在 vSphere Web Client 中查看 NSX 插件,但 NSX Manager 不可见。这不会影响数据路径,但您无法更改任何 NSX Manager 配置。登录到 NSX 设备管理 Web UI(网址为 https://nsx-mgr-ip/),并启用 TLS 1.1 和 TLS 1.2。这会重新引导 NSX Manager 设备。

控制器升级

  • NSX Controller 群集必须包含三个控制器节点。如果少于三个控制器,您必须在开始升级之前添加控制器。请参见部署 NSX Controller 群集以了解相应的说明。
  • 在 NSX 6.3.3 中,NSX Controller 的底层操作系统发生变化。这意味着,从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本而不是执行就地软件升级时,将每次删除一个现有的控制器,并使用相同的 IP 地址部署基于 Photon OS 的新控制器。

    在删除控制器时,还会删除任何关联的 DRS 反关联性规则。您必须在 vCenter 中创建新的反关联性规则,以防止新的控制器虚拟机位于同一主机上。

    有关控制器升级的详细信息,请参见升级 NSX Controller 群集

主机群集升级

  • 如果您从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本,NSX VIB 名称会发生更改。
    如果在 ESXi 6.0 或更高版本上安装了 NSX 6.3.3 或更高版本,esx-vxlan 和 esx-vsip VIB 将替换为 esx-nsxv。

  • 主机上无重新引导的升级和卸载:在 vSphere 6.0 和更高版本上,从 NSX 6.2.x 升级到 NSX 6.3.x 或更高版本后,任何后续的 NSX VIB 更改都不需要重新引导,但主机必须进入维护模式才能完成 VIB 更改。这会同时影响 NSX 主机群集升级和 ESXi 升级。有关详细信息,请参见《NSX 升级指南》

NSX Edge 升级

  • 在 NSX 6.4.1 中添加了验证步骤,以禁止无效的分布式逻辑路由器配置:在配置了 VXLAN 且具有多个 vSphere Distributed Switch 的环境中,只能将分布式逻辑路由器接口连接到配置了 VXLAN 的 vSphere Distributed Switch。在这些环境中,如果 DLR 将接口连接到未配置 VXLAN 的 vSphere Distributed Switch,将 DLR 升级到 NSX 6.4.1 或更高版本将失败。使用 API 将任何配置不正确的接口连接到配置了 VXLAN 的 vSphere Distributed Switch 上的端口组。在有效配置后,再次尝试进行升级。您可以使用 PUT /api/4.0/edges/{edgeId}PUT /api/4.0/edges/{edgeId}/interfaces/{index} 更改接口配置。有关详细信息,请参见《NSX API 指南》。
  • 在升级 NSX Edge 设备之前,必须为 NSX 准备主机群集:从 6.3.0 开始,不再支持通过 VIX 通道在 NSX Manager 和 Edge 之间进行的管理层面通信。仅支持消息总线通道。从 NSX 6.2.x 或更低版本升级到 NSX 6.3.0 或更高版本时,您必须确认为 NSX 准备了部署 NSX Edge 设备的主机群集,并且消息基础架构状态为绿色。如果没有为 NSX 准备主机群集,NSX Edge 设备升级将失败。有关详细信息,请参见《NSX 升级指南》中的升级 NSX Edge

  • 升级 Edge 服务网关 (ESG):
    从 NSX 6.2.5 开始,将在升级 NSX Edge 时执行资源预留。如果在资源不足的群集上启用 vSphere HA,由于违反 vSphere HA 限制,升级操作可能会失败。

    为了避免此类升级失败,请在升级 ESG 之前执行以下步骤:

    如果在安装或升级时没有明确设置值,NSX Manager 将使用以下资源预留。

    NSX Edge
    规格大小
    CPU 预留 内存预留
    精简 1000MHz 512 MB
    中型 2000MHz 1024 MB
    大型 4000MHz 2048 MB
    超大型 6000MHz 8192 MB
    1. 始终确保您的安装遵循为 vSphere HA 建议的最佳做法。请参见 VMware 知识库文章 1002080 文档。

    2. 使用 NSX 优化配置 API:
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      确保 edgeVCpuReservationPercentageedgeMemoryReservationPercentage 值在相应规格大小的可用资源范围内(请参见上表以了解默认值)。

  • 在启用 vSphere HA 并部署 Edge 时,请禁用 vSphere 的虚拟机启动选项。在将 6.2.4 或更低版本的 NSX Edge 升级到 6.2.5 或更高版本后,您必须为已启用 vSphere HA 并部署 Edge 的群集中的每个 NSX Edge 禁用 vSphere 虚拟机启动选项。为此,请打开 vSphere Web Client,找到 NSX Edge 虚拟机所在的 ESXi 主机,单击“管理”>“设置”并在“虚拟机”下面选择“虚拟机启动/关机”,单击“编辑”并确保该虚拟机处于手动模式(即,确保该虚拟机未添加到自动启动/关机列表中)。

  • 在升级到 NSX 6.2.5 或更高版本之前,确保所有的负载平衡器密码列表均以冒号分隔。如果密码列表使用逗号等其他分隔符,请对 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles 执行 PUT 调用,将 <clientssl> </clientssl><serverssl> </serverssl> 中的每个 <ciphers> </ciphers> 列表替换为以冒号分隔的列表。例如,请求正文中的相关分段可能类似于以下内容。对所有的应用程序配置文件重复此过程:

    <applicationProfile>
      <name>https-profile</name>
      <insertXForwardedFor>false</insertXForwardedFor>
      <sslPassthrough>false</sslPassthrough>
      <template>HTTPS</template>
      <serverSslEnabled>true</serverSslEnabled>
      <clientSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <clientAuth>ignore</clientAuth>
        <serviceCertificate>certificate-4</serviceCertificate>
      </clientSsl>
      <serverSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <serviceCertificate>certificate-4</serviceCertificate>
      </serverSsl>
      ...
    </applicationProfile>
  • 在早于 6.2.0 的 vROPs 版本中为负载平衡的客户端设置正确的密码版本:早于 6.2.0 的 vROPs 版本中的 vROPs 池成员使用 TLS 版本 1.0,因此,您必须在 NSX 负载平衡器配置中设置 "ssl-version=10" 以显式设置监控扩展值。请参见《NSX 管理指南》中的“创建服务监控器”以了解相应的说明。
    {
                    "expected" : null,
                    "extension" : "ssl-version=10",
                    "send" : null,
                    "maxRetries" : 2,
                  "name" : "sm_vrops",
                  "url" : "/suite-api/api/deployment/node/status",
                  "timeout" : 5,
                  "type" : "https",
                  "receive" : null,
                  "interval" : 60,
                  "method" : "GET"
               }

Guest Introspection 升级

  • 现在,Guest Introspection 虚拟机在计算机上的 XML 文件中包含额外的主机标识信息。在登录到 Guest Introspection 虚拟机时,“/opt/vmware/etc/vami/ovfEnv.xml”文件应包含主机标识信息。

FIPS 的升级说明

从 NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在完成升级之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在 OS X Yosemite 和 OS X El Capitan 上支持的密码:如果在 OS X 10.11 (EL Capitan) 上使用 SSL VPN 客户端,您可以使用 AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHAAES128-SHA 密码进行连接,使用 OS X 10.10 (Yosemite) 的客户端只能使用 AES256-SHAAES128-SHA 进行连接。

  • 在完成到 NSX 6.3.x 的升级之前,不要启用 FIPS。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在启用 FIPS 之前,请确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见《VMware 兼容性指南》和相关的合作伙伴文档。

FIPS 合规性

如果配置正确,NSX 6.4 将对所有与安全相关的加密使用经由 FIPS 140-2 验证的加密模块。

注意:

  • 控制器和群集 VPN:NSX Controller 使用 IPsec VPN 连接控制器群集。IPsec VPN 使用 VMware Linux 内核加密模块(VMware Photon OS 1.0 环境),目前正在对该模块进行 CMVP 验证。
  • Edge IPsec VPN:NSX Edge IPsec VPN 使用 VMware Linux 内核加密模块(VMware NSX OS 4.4 环境),目前正在对该模块进行 CMVP 验证。

文档修订历史

2018 年 8 月 21 日:第一版。
2018 年 9 月 5 日:第二版。添加了安装/升级说明(已知问题 2186945)。添加了已知问题 2166571、2164495、2186968 和 2183584。添加了已解决的问题 2141490 和 2167554。
2018 年 9 月 11 日:第三版。添加了已解决的问题 2160695。
2018 年 9 月 19 日:第四版。在“系统要求”表中添加了已知问题 2197754 和相关说明。
2018 年 12 月 13 日:第五版:更新了“新增功能”部分,从中移除了不正确的限制信息,并添加了 SoftRSS 信息。

已解决的问题

已解决的问题分为以下几类。

已解决的一般问题
  • 已修复问题 2133183:API /api/3.0/ai/directorygroup 无法正常工作

    后端抛出 NullPointerException 异常,并且 API 返回错误。无法自动执行工作流。

  • 已修复问题 1993691:如果移除主机时未先将其作为复制节点移除,可能会导致 NSX Manager 中出现失效条目

    如果某主机作为硬件 VTEP 的复制节点,需要将其从父群集中移除时,应先确保它不再是复制节点,再将其从群集中移除。如果未完成该操作,在某些情况下,NSX Manager 数据库中将会保留其作为复制节点的状态,当进一步处理复制节点时,可能会导致错误。

    解决办法:有关详细信息,请参见知识库文章 52418

  • 已修复问题 2123783:在跨 VC NSX 环境中无法创建或编辑网络自检规则

    在主/辅助 NSX Manager 版本为 NSX 6.3.x 和 NSX 6.4.x 混合的跨 VC NSX 环境中,用户无法创建和编辑网络自检规则。

  • 已修复问题 2139594:在某些情况下,DaD ping 会被转发回来,从而导致 DaD 进程检测到重复的 IP 地址

    系统事件报告虚假的检测到重复 IP 的信息。

  • 已修复问题 1874863:在本地身份验证服务器上禁用/启用 sslvpn 服务后,无法使用更改的密码进行身份验证

    在禁用并重新启用 SSL VPN 服务以及使用本地身份验证时,用户无法使用更改的密码登录。

    有关详细信息,请参见 VMware 知识库文章 2151236

  • 已修复问题 2147002:在 NSX for vSphere 6.4.1 上安装 Guest Introspection 后服务和性能受到影响

    启用 Guest Introspection 后,如果在主机之间对虚拟机执行 vMotion 或 Storage vMotion 操作需要很长时间,即意味着出现了此问题。
    在虚拟机 vmware.log 中频繁观察到“Mux is disconnected”事件日志,并在主机 syslog 中看到“PANIC: NamespaceDb.cpp:AccessNamespaceDb():83 Function call to read_key failed”错误消息。

  • 已修复问题 2082892:如果 vCenter 上不存在虚拟机,通过编辑设备设置或者更改设备位置来执行还原操作,会导致虚拟机滞留,从而导致网络中断

    启用 HA 后,流量发生中断,或者同一 Edge 在 vCenter 中有 2 个以上的虚拟机。

  • 已修复问题 2046427:更改 vmknic 或 LS dvs 端口组绑定策略会导致 DP 中断

    在主机准备 (VXLAN) 过程中,如果设置 vmknic 绑定策略,会相应地设置 DVS 上的上行链路绑定策略。所创建的任何新逻辑交换机 dvs pg 也会收到此绑定策略。

  • 已修复问题 2141490:NSX Manager 和 Controller 上的 ToR 绑定不同步

    无法修改逻辑交换机上的 HW 绑定或删除配置。UI 显示以下错误:“未能在控制器上执行该操作。{0} (Failed to do operation on the Controller. {0})”

  • 已修复问题 2164495:  如果虚拟机请求的多播组超过 255 个,同时 VDS 处于 IGMP 侦听模式,则到达 ESXi 主机的所有多播流量都将会发送到此虚拟机,因为该虚拟机被置于“所有多播”模式。

    如果虚拟机请求的多播组超过 255 个,同时 VDS 处于 IGMP 侦听模式,则虚拟机端口将被置于“所有多播”模式,从而可能会收到未请求的其他组的流量。一旦端口进入“所有多播”模式,就无法将其从该状态清除。
            

  • 已修复问题 2160695:通过合作伙伴服务 UI 设置网络自检不重定向(允许)规则时错误地要求配置 DSCP 标记。

    通过合作伙伴服务 UI 设置网络自检不重定向(允许)规则时错误地要求配置 DSCP 标记。

已解决的安装和升级问题
  • 已修复问题 2045149:如果将时区设置为 JST,在从 6.2.9 升级到 6.4.0 后,NSX 管理服务不启动

    升级后,NSX Manager 会停止并出现异常。升级后更改时区不起作用。

  • 已修复问题 2013290:在使用 CA 证书的环境中,升级到 NSX for vSphere 6.3.5 的过程可能会失败

    NSX Manager 设备用户界面可能无法加载,或者继续显示旋转的滚轮,指示正在进行升级。但是,刷新网页后,页面未能加载。

  • 已修复问题 2155816:将 NSX Manager 升级到 6.4.0/6.4.1 后,如果 Manager 数据库中存在无效/不一致的配置条目,DLR 实例会被从主机上移除

    如果有关将 DLR 的 LIF 连接到其他范围的逻辑交换机的配置无效,或者范围不同于有效条目的 LIF 条目已过期,则迁移脚本在填充数据库表中的范围信息时会失败,因为每个 DLR 实例应该只有一个范围。这会导致不能将 DLR 实例发布到主机。

  • 已修复问题 2036024:由于数据库磁盘使用率问题,导致 NSX Manager 升级停滞在“正在验证已上载的文件”阶段

    升级日志文件 vsm-upgrade.log 中还包含以下消息:“Database disk usage is at 75%, but it should be less than 70%”。您可以在 NSX Manager 支持包中查看 vsm-upgrade.log。导航到网络和安全 > 支持包,然后选择包含 NSX Manager 日志。

    解决办法:与 VMware 客户支持人员联系。

已解决的逻辑网络和 NSX Edge 问题
  • 已修复问题 2132361:查看证书类型为空的 Edge 证书时,Web Client 无响应

    该 NSX 6.3.6 和 6.4.1 插件无法管理其 <certificateType> 为空的证书,例如,旧的 PSC 证书。

  • 已修复问题 1874863:在本地身份验证服务器上禁用/启用 sslvpn 服务后,无法使用更改的密码进行身份验证

    在禁用并重新启用 SSL VPN 服务以及使用本地身份验证时,用户无法使用更改的密码登录。

  • 已修复问题 2091636:Edge 上的 Nginx 需要从 1.12.0 升级到稳定的最新版本 (1.12.2)

    Edge 使用的 Nginx 版本是 1.12.0,我们发现此版本受到 CVE-2017-7529 的影响。

已解决的 NSX Manager 问题
  • 已修复问题 2088315:NSX Manager 备份操作失败

    备份文件 S01_NSX_00_00_00_Fri23Mar2018 中包含的 rabbitmq 证书已过期。请使用以下步骤检查备份证书。
    openssl enc -md sha512 -d -aes-256-cbc -salt -in S01_NSX_00_00_00_Fri23Mar2018 -out backup.tar -pass 'pass: )' tar -xvf backup.tar
    openssl x509 -enddate -noout -in home/secureall/secureall/.store/.rabbitmq_cert.pem

    输出为过期日期:
    notAfter=Dec 26 20:20:40 1978 GMT

    请与支持部门联系。支持部门将会创建一个新证书。

  • 已修复问题 2028485:CPU 峰值导致 NSX Manager 崩溃并与 vCenter 断开连接

    为每个 vNIC 分配大量 IP 地址会导致内存不足问题。

  • 已修复问题 2016363:提取升级包失败

    由于出现“提取升级包失败”(Upgrade bundle extraction failed) 错误,或者升级 tar 包中缺少文件,导致无法继续升级。日志文件中可能包含以下消息:“Error: ./snmp/snmp.xml missing from upgrade tarball.Please check your upgrade tarball.”

  • 已修复问题 2167554:在“服务编排”>“安全策略”>“添加/编辑网络自检”屏幕中,如果未定义服务配置文件中的供应商模板(配置文件配置),UI 会挂起

    UI 一直处于持续加载状态,且阻止添加/编辑网络自检服务。

已解决的安全服务问题
  • 已修复问题 2161412:DFW 规则发布失败,并显示错误“在配置中发现不匹配的规则”(Unmatched rules found in the configuration)

    修改 DFW 部分后全局发布 DFW 时,某些不属于所修改部分的规则会出现匹配错误,从而导致 DFW 规则发布失败。

  • 已修复问题 1702339:漏洞扫描程序可能会报告 Quagga bgp_dump_routes 漏洞 CVE-2016-4049

    漏洞扫描程序可能会在 NSX for vSphere 中报告 Quagga bgp_dump_routes 漏洞 CVE-2016-4049。NSX for vSphere 使用 Quagga,但未启用 BGP 功能(包括漏洞)。可以放心地忽略该漏洞警示。

  • 已修复问题 1979457:如果升级过程中在向后兼容模式下删除或移除了 GI-SVM,通过 Guest Introspection (GI) 的身份防火墙将无法正常工作,除非升级了 GI 群集

    身份防火墙将无法正常工作,并且不显示与身份防火墙相关的任何日志。身份防火墙保护将挂起,除非升级了群集。

  • 已修复问题 2017806:在向由安全策略中 RDSH 防火墙区域使用的安全组添加成员时,错误消息不够清晰明确

    如果安全组由安全策略中的 RDSH 防火墙区域使用,则您只能向其中添加目录组成员。如果您尝试添加目录组以外的任何成员,将显示以下错误消息:
    “服务编排和防火墙正在使用安全组,无法修改该安全组”(Security group is being used by service composer, Firewall and cannot be modified)

    此错误消息未能表达出由于安全组被安全策略中的 RDSH 防火墙区域使用而无法进行修改的意思。

    解决办法:无。

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 2197754:将 vSphere Distributed Switch 升级到 6.6 后,主机显示紫色诊断屏幕

    如果安装了 NSX 6.4,并将 vSphere Distributed Switch 升级到版本 6.6,ESXi 会显示紫色诊断屏幕。使用 vSphere Distributed Switch 6.6 新安装的 vSphere 6.7 不受影响。

    解决办法:升级到 vSphere 6.7 时,使用 vSphere Distributed Switch 版本 6.5 或更低版本。

  • 问题 2186945:在特定条件下,NSX Data Center for vSphere 6.4.2 将会导致 SSO 功能丢失

    安装或升级到 NSX Data Center for vSphere 6.4.2 之后,在具有多个 PSC 或 STS 证书的环境中,NSX Data Center for vSphere 无法连接到 SSO。

    解决办法:有关详细信息和解决办法,请参见 VMware 知识库文章 57770

  • 问题 2130563:分配 NSX Data Center 许可证时,会显示以下警告消息:“选定的许可证不支持许可资产当前可用的一些功能”(The selected license does not support some of the features that are currently available to the licensed assets)

    如果您分配有 NSX for vSphere 许可证,然后又被分配了 NSX Data Center 许可证,您会看到以下警告消息:“选定的许可证不支持许可资产当前可用的一些功能”(The selected license does not support some of the features that are currently available to the licensed assets)。这是因为两个许可证定义的 NSX 功能不同。如果您被分配的许可证版本定义的功能与当前许可证所许可的功能相同,可以放心地忽略此消息。

    有关 NSX 许可证的详细信息,请参阅 VMware 知识库文章 2145269

    解决办法:确认新许可证支持所需的功能,并忽略该警告消息。

  • 问题 2127813:在使用 vSphere Client (HTML5) 时,无法选择 NSX 许可证密钥并将其分配给 NSX Manager

    如果登录到 vSphere Client (HTML5) 并添加一个 NSX 许可证密钥,您无法从许可证 > 资产 > 解决方案中分配该密钥。因为新的许可证密钥并不显示。

    解决办法:使用 vSphere Web Client 添加并分配许可证。

  • 在 vSphere Web Client 中,当打开一个与 HTML 视图重叠的 Flex 组件时,该视图将变得不可见。

    在打开菜单或对话框之类的 Flex 组件时,如果该组件与 HTML 视图重叠,该视图会暂时隐藏起来。
    (参考:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues

    解决办法:无。 

  • 问题 2166571:在对虚拟机执行 vMotion 操作时,可能会出现 1 到 2 秒的多播丢失。

    与单播流量类似,在执行 vMotion 操作的过程中,工作负载可能会出现 1 到 2 秒的多播丢失。

  • 问题 2134192:交换机上无端口时,会引发错误

    如果硬件网关的物理交换机无端口,当尝试从交换机获取端口时,NSX 会抛出错误。尝试获取端口时,您会看到错误“无法获取清单信息”(Unable to fetch inventory information)。

    解决办法:在交换机上创建至少一个端口。

  • 问题 2126743:将虚拟机添加到安全组后,虚拟机的 IP 地址未发布到 addrset

    将虚拟机添加到安全组后,虚拟机的 IP 未显示在 addrset 中。流量将无法成功传输,因为未将正确的策略应用于虚拟机,即使虚拟机所属的安全组已正确配置,也是如此。

    解决办法:

    1. 重新启动 NSX Manager。
    2. 从 NSX 主机准备页面强制同步主机。
  • 问题 2118255:DLR 控制虚拟机未加入多播路由

    DLR 控制虚拟机未加入多播路由;所有多播相关的 cli 都将在控制虚拟机中显示空 cli。

  • 问题 2145540:对于 ESX 版本 6.7,主机加入的底层多播组总数不能超过 128 个

    在配置 DLR 下的多播路由时,建议使用的复制多播范围为 64 个或更少(CIDR /26 或更高)。

安装和升级已知问题

升级之前,请阅读本文档前文的升级说明一节。

  • 问题 2006028:如果在主机升级期间重新引导 vCenter Server 系统,主机升级可能会失败

    如果在主机升级期间重新引导关联的 vCenter Server 系统,主机升级可能会失败,并将主机置于维护模式。单击“解决”无法使主机退出维护模式。群集状态为“未就绪”。

    解决办法:手动使主机退出维护模式。在群集上,单击“未就绪”,然后再单击“解决所有”。

  • 问题 2001988:在 NSX 主机群集升级期间,在升级群集中的每个主机时,“主机准备”选项卡中的“安装状态”为整个群集交替显示“未就绪”和“正在安装”

    在 NSX 升级期间,为 NSX 准备的群集单击“可升级”将触发主机升级。对于配置了 DRS 全自动的群集,“安装状态”交替显示“正在安装”和“未就绪”,即使在后台正常升级了主机也是如此。

    解决办法:这是一个用户界面问题,可以将其忽略。等待继续执行主机群集升级。

  • 问题 1859572:在 vCenter 6.0.0 版管理的 ESXi 主机上卸载 NSX VIB 6.3.x 版期间,主机继续处于维护模式
    如果在群集上卸载 NSX VIB 6.3.x 版,工作流包括将主机置于维护模式,卸载 VIB 以及 EAM 服务将主机退出维护模式。不过,如果此类主机由 vCenter Server 6.0.0 版进行管理,则会导致在卸载 VIB 后主机停滞在维护模式。负责卸载 VIB 的 EAM 服务将主机置于维护模式,但无法将主机退出维护模式。

    解决办法:手动将主机退出维护模式。如果主机由 vCenter Server 6.5a 及更高版本进行管理,则不会出现该问题。

  • 问题 1797929:消息总线通道在主机群集升级后出现故障
    在主机群集升级后,vCenter 6.0(和更低版本)不会生成事件“重新连接”,因此,NSX Manager 也不会在主机上设置消息基础架构。vCenter 6.5 中已修复此问题。

    解决办法:重新同步消息基础架构,如下所示:
    POST https://<ip>:/api/2.0/nwfabric/configure?action=synchronize

    <nwFabricFeatureConfig>
            <featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
            <resourceConfig>
                <resourceId>host-15</resourceId>
            </resourceConfig>
        </nwFabricFeatureConfig>
  • 问题 1263858:SSL VPN 不向远程客户端发送升级通知
    SSL VPN 网关不向用户发送升级通知。管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并通知用户必须更新其客户端。

    解决办法:用户需要手动卸载旧版本的客户端并安装最新版本。

  • 问题 2106417:将 NSX Manager 从 6.3.0 升级到 6.4.1 后,GI SVM 变为“失败”状态

    如果使用 vCenter Server 6.5 u1,并将 NSX Manager 从 6.3.0 升级到 6.4.1,GI SVM 升级状态可能为“失败”。

    解决办法:在出现该问题后,删除 GI SVM 并重新部署。

NSX Manager 已知问题
  • 问题 2171182:无法从 NSX 用户界面的“硬件设备”选项卡中创建或管理多个复制群集

    通过 NSX 用户界面,您可以查看和管理单个默认复制群集,但是却不能查看和管理多个复制群集。

    解决办法:当前只能通过 API 来实现对多个复制群集的支持。使用 NSX API 可管理多个复制群集。

逻辑网络和 NSX Edge 已知问题
  • 问题 1747978:在 NSX Edge HA 故障切换后,删除了具有 MD5 身份验证的 OSPF 邻接
    在为 NSX Edge 配置了 HA、配置了 OSPF 正常重新启动并使用 MD5 进行身份验证的 NSX for vSphere 6.2.4 环境中,OSPF 无法正常启动。只有在失效定时器在 OSPF 邻居节点上到期后,才会形成邻接。

    解决办法:无

  • 问题 2005973:删除一些 GRE 隧道,接着从管理层面强制同步 Edge 节点后,路由守护进程 MSR 丢失所有路由配置

    在通过 GRE 隧道进行 BGP 会话的 Edge 上可能会发生此问题。在删除了一些 GRE 隧道,接着从管理层面强制同步 Edge 后,Edge 会丢失所有路由配置。

    解决办法:重新引导 Edge 节点。

  • 问题 2015368:在某些情况下,防火墙日志记录可能会导致内存不足问题

    如果在高规模配置中启用了 Edge 防火墙,并且在部分或所有规则中启用了防火墙日志记录,则 Edge 可能会遇到内存不足 (OOM) 情况,不过这种情况并不常见。这种情况尤其会发生在有许多流量命中日志记录规则时。如果发生 OOM 情况,Edge 虚拟机将会自动重新引导。

    解决办法:防火墙日志记录最适合用于调试目的,之后可以再次禁用它以便正常使用。要避免出现此 OOM 问题,请禁用所有防火墙日志记录。

  • 问题 2005900:当所有 GRE 隧道在 8 向 iBGP/多跃点 BGP ECMP 规模拓扑中发生抖动时,Edge 上的路由守护进程 MSR 停滞在 100% CPU

    在规模拓扑中,如果在 ESG 上配置了 iBGP 或多跃点 BGP 并在很多 GRE 隧道上运行多个邻居,则可能会出现该问题。在多个 GRE 隧道发生抖动时,MSR 可能会无限期停滞在 100% CPU。

    解决办法:重新引导 Edge 节点。

  • 问题 1993241:不支持使用静态路由的 IPSEC 隧道冗余

    如果主隧道发生故障,IPSEC 流量将无法成功传输,从而导致流量中断。

    解决办法:禁用后再启用此服务。

安全服务已知问题
  • 问题 2186968:静态 IPset 未报告给 containerset API 调用

    如果有服务设备,则 NSX 可能会在与合作伙伴服务管理器通信时忽略 IP 集。  这可能会导致合作伙伴防火墙错误地允许或拒绝连接。

    解决办法:有关解决办法,请与 VMware 客户支持联系。有关详细信息,请参见 VMware 知识库文章 57834

  • 问题 2183584:在应用程序规则管理器会话中创建的安全组未显示在建议规则的“应用对象”列下拉菜单中

    在应用程序规则管理器会话中创建的安全组未显示在建议规则的“应用对象”列下拉菜单中。

    解决办法:有关解决办法,请参见 VMware 知识库文章 57837

  • 问题 1648578:在创建基于 NetX 主机的新服务实例时,NSX 强制添加群集/网络/存储
    从 vSphere Web Client 中为基于 NetX 主机的服务(例如,防火墙、IDS 和 IPS)创建新的服务实例时,将强制添加群集/网络/存储,即使不需要使用这些群集/网络/存储也是如此。

    解决办法:在创建新的服务实例时,您可以为群集/网络/存储添加任何信息以填写这些字段。这样,就可以创建服务实例了,并且您可以根据需要继续操作。

  • 问题 2018077:当规则具有自定义 L7 ALG 服务而没有目标端口和协议时,防火墙发布失败

    如果在不提供目标端口和协议的情况下选择以下任意 L7 ALG APP(APP_FTP、APP_TFTP、APP_DCERPC、APP_ORACLE)来创建 L7 服务,然后在防火墙规则中使用这些服务,防火墙规则发布会失败。

    解决办法:在为以下 ALG 服务创建自定义 L7 服务时,请提供相应的目标端口和协议 (TCP/UDP) 值:

    • APP_FTP:端口 21 协议:TCP
    • APP_TFTP:端口 69 协议:UDP
    • APP_DCERPC:端口 135 协议:TCP
    • APP_ORACLE:端口 1521 协议:TCP
  • 问题 2066629:升级到 NSX-v 6.4.0 后,您会看到错误:“可能在主机上发生了 DHCP DOS 攻击。请参阅 NSX Manager 和虚拟机内核日志以了解详细信息。”(Possible DHCP DOS attack seen on the host. Please refer to NSX Manager and VM Kernel logs for details.)

    出现此问题是因为 NSX-v 6.4.0 中引入了一个与 DHCP DoS 有关的新安全功能,此功能可能会发生误报。这些只是警告消息,对您的环境没有任何运营影响。

    解决办法:有关详细信息,请参见 VMware 知识库文章 53914

监控服务已知问题
  • 问题 1466790:无法使用 NSX 跟踪流工具选择桥接网络上的虚拟机
    无法使用 NSX 跟踪流工具选择未连接到逻辑交换机的虚拟机。这意味着无法按虚拟机名称选择 L2 桥接网络上的虚拟机来作为跟踪流检测的源或目标地址。

    解决办法:对于连接到 L2 桥接网络的虚拟机,请使用要作为跟踪流检测目标的接口的 IP 地址或 MAC 地址。您无法选择将连接到 L2 桥接网络的虚拟机作为源。有关详细信息,请参见知识库文章 2129191

check-circle-line exclamation-circle-line close-line
Scroll to top icon