check-circle-line exclamation-circle-line close-line

VMware NSX Data Center for vSphere 6.4.6 | 2019 年 10 月 10 日发行 | 内部版本 14819921

请参见本文的修订历史

发行说明内容

本发行说明包含以下主题:

NSX Data Center for vSphere 6.4.6 的新增功能

重要信息:NSX for vSphere 现名为 NSX Data Center for vSphere。

NSX Data Center for vSphere 6.4.6 版本加强了可用性和可维护性功能,并解决了一些特定的客户问题。有关详细信息,请参见已解决的问题

NSX Data Center for vSphere 6.4.6 中引入了以下更改:

  • VMware NSX - vSphere Client (HTML) 功能更新:现在,可以通过 vSphere Client 使用以下 VMware NSX 功能:Edge 服务(Edge 防火墙、L2 VPN、IPSEC VPN、NSX 配置)。有关支持的功能列表,请参见 vSphere Client 中的 VMware NSX for vSphere UI 插件功能
  • NSX Manager 的审核员角色现在有权使用 Skyline Log Assist 收集 NSX Edge 支持日志包。此权限得到增强后,具有审核员角色的用户可以不受限制地从 NSX Manager 和 Edge 节点下载支持日志包。有关角色和权限的完整列表,请参见《NSX 管理指南》

版本、系统要求和安装说明

注意:

  • 下表列出了建议的 VMware 软件版本。这些建议只是常规建议,具体应考虑特定的环境需求。此信息为截至本文档发布之日的最新信息。

  • 有关 NSX 和其他 VMware 产品的最低支持版本,请参见 VMware 产品互操作性列表。VMware 的最低支持版本声明基于内部测试。

产品或组件 版本
NSX Data Center for vSphere

对于新部署,VMware 建议使用最新的 NSX 版本。

在升级现有部署时,请在计划升级之前参考 NSX Data Center for vSphere 发行说明,或者与 VMware 技术支持代表联系以了解某些特定问题的详细信息。

vSphere

对于 vSphere 6.0
推荐:6.0 Update 3
vSphere 6.0 Update 3 解决了在重新引导 vCenter Server 后 ESXi 主机中出现重复 VTEP 的问题。有关详细信息,请参见 VMware 知识库文章 2144605

对于 vSphere 6.5
推荐:6.5 Update 3
注意:vSphere 6.5 Update 1 解决了 EAM 由于内存不足而失败的问题。有关详细信息,请参见 VMware 知识库文章 2135378
重要信息:

  • 如果您要在 vSphere 6.5 上使用多播路由,建议使用 vSphere 6.5 Update 2 或更高版本。
  • 如果您要在 vSphere 6.5 上使用 NSX Guest Introspection,建议使用 vSphere 6.5 P03 或更高版本。

对于 vSphere 6.7:
推荐:6.7 Update 2
重要信息: 

  • 如果您要在 vSphere 6.7 上使用 NSX Guest Introspection,请在安装 NSX 6.4.6 之前参阅知识库文章 57248,并咨询 VMware 客户支持以了解详细信息。

注意:NSX 6.4 不支持 vSphere 5.5。

适用于 Windows 的 Guest Introspection

在升级 NSX for vSphere 之前,建议您将 VMware Tools 升级到 10.3.10。

适用于 Linux 的 Guest Introspection 该 NSX 版本支持以下 Linux 版本:
  • RHEL 7 GA(64 位)
  • SLES 12 GA(64 位)
  • Ubuntu 14.04 LTS(64 位)

系统要求和安装说明

有关 NSX 安装必备条件的完整列表,请参见《NSX 安装指南》中的 NSX 的系统要求一节。

有关安装说明,请参见《NSX 安装指南》《跨 vCenter NSX 安装指南》

已弃用和已停用的功能

产品周期终止和支持期终止警告

有关必须尽快升级的 NSX 和其他 VMware 产品的信息,请参见 VMware 生命周期产品列表

  • NSX for vSphere 6.1.x 于 2017 年 1 月 15 日终止提供 (EOA) 和终止支持 (EOGS)。(另请参见 VMware 知识库文章 2144769。)

  • 不再支持 vCNS Edge。在升级到 NSX 6.3 或更高版本之前,您必须先升级到 NSX Edge。

  • NSX for vSphere 6.2.x 已于 2018 年 8 月 20 日终止支持 (EOGS)。

  • 根据安全建议,在 NSX Edge IPsec VPN 服务中不再支持将 3DES 作为加密算法
    建议您切换到 IPsec 服务中提供的某个安全密码。这个有关加密算法的更改适用于 IPsec 站点的 IKE SA(阶段 1)以及 IPsec SA(阶段 2)协商。
     
    如果在升级到已移除 3DES 支持的版本时 NSX Edge IPsec 服务正在使用 3DES 加密算法,则此密码将被另一个建议的密码取代,因此正在使用 3DES 的 IPsec 站点将不会出现,除非将远程对等方上的配置修改为与 NSX Edge 中使用的加密算法匹配。
     
    如果使用 3DES 加密,请在 IPsec 站点配置中修改加密算法以将 3DES 替换为支持的某种 AES 变体 (AES/AES256/AES-GCM)。例如,对于将 3DES 作为加密算法的每种 IPsec 站点配置,请将其替换为 AES。在对等端点对 IPsec 配置进行相应的更新。

常规行为变化

如果具有多个 vSphere Distributed Switch,并在其中的一个 vSphere Distributed Switch 上配置了 VXLAN,您必须将任何分布式逻辑路由器接口连接到该 vSphere Distributed Switch 上的端口组。从 NSX 6.4.1 开始,将在 UI 和 API 中实施该配置。在早期版本中,不会禁止您创建无效的配置。  如果您升级到 NSX 6.4.1 或更高版本,并且错误地连接了 DLR 接口,则需要采取相应的措施来解决此问题。有关详细信息,请参见升级说明

用户界面移除和更改

在 NSX 6.4.1 中,移除了服务编排画布。

安装行为变化

从版本 6.4.2 开始,在具有使用 ixgbe 驱动程序的物理网卡的主机上安装 NSX Data Center for vSphere 时,默认情况下在 ixgbe 驱动程序中不启用接收方调整 (RSS)。您必须先在主机上手动启用 RSS,才能安装 NSX Data Center。请确保只在具有使用 ixgbe 驱动程序的网卡的主机上启用 RSS。有关启用 RSS 的详细步骤,请参见 VMware 知识库文章 https://kb.vmware.com/s/article/2034676。此知识库文章介绍了提高 VXLAN 数据包吞吐量的建议 RSS 设置。

仅当在 ESXi 主机上全新安装内核模块(VIB 文件)时此新行为才适用。在将 NSX 管理的主机升级到 6.4.2 时,不需要进行任何更改。

API 移除和行为变化

NSX 6.4.2 中的弃用项

以下项已弃用,并且可能会从未来的版本中移除:

  • GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog。改用 GET/PUT /api/2.0/vdn/controller/cluster/syslog

NSX 6.4.1 中的行为变化

如果使用 POST /api/2.0/services/ipam/pools/scope/globalroot-0 创建新的 IP 池,或使用 PUT /api/2.0/services/ipam/pools/ 修改现有的 IP 池, 并且该池定义了多个 IP 范围,则会执行验证以确保范围不会发生重叠。以前,不会执行该验证。

NSX 6.4.0 中的弃用项
以下各项已弃用,并可能会在未来的版本中移除。

  • GET /api/4.0/edges/edgeID/status 中的 systemStatus 参数已弃用。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ 已弃用。现改为使用 GET /api/2.0/services/policy/serviceprovider/firewall/info
  • 分布式防火墙的全局配置部分中的 tcpStrict 设置已弃用。从 NSX 6.4.0 开始,tcpStrict 将在区域级别进行定义。注意:如果您升级到 NSX 6.4.0 或更高版本,全局配置设置 tcpStrict 将用来在每个现有的第 3 层区域配置 tcpStrict。tcpStrict 在第 2 层区域和第 3 层重定向区域设置为 false。有关详细信息,请参见《NSX API 指南》中的“使用分布式防火墙配置”。

NSX 6.4.0 中的行为变化
在 NSX 6.4.0 中,使用 POST /api/2.0/vdn/controller 创建控制器时,需要 <name> 参数。

NSX 6.4.0 引入了以下错误处理变化:

  • 以前,POST /api/2.0/vdn/controller 会响应为“201 已创建”(201 Created) 以指示控制器创建作业完成。但是,控制器的创建可能会失败。从 NSX 6.4.0 开始,响应变为“202 已接受”(202 Accepted)
  • 以前,如果您发送的 API 请求不允许在转换或独立模式下使用,响应状态为“400 错误请求”(400 Bad Request)。从 6.4.0 开始,响应状态变为“403 已禁止”(403 Forbidden)。

CLI 移除和行为变化

不要在 NSX Controller 节点上使用不支持的命令
不要使用未列出的命令在 NSX Controller 节点上配置 NTP 和 DNS。这些命令不受支持,不要在 NSX Controller 节点上使用这些命令。请仅使用 NSX CLI 指南中列出的命令。

升级说明

注意:有关影响安装和升级的已知问题列表,请参见安装和升级已知问题

常规升级说明

  • 要升级 NSX,您必须执行完整的 NSX 升级,包括主机群集升级(将升级主机 VIB)。有关说明,请参见《NSX 升级指南》,包括“升级主机群集”部分。

  • 不支持使用 VUM 升级主机群集上的 NSX VIB。请使用升级协调器、主机准备或相关联的 REST API 升级主机群集上的 NSX VIB。

  • 系统要求:有关安装和升级 NSX 时的系统要求信息,请参见 NSX 文档中的 NSX 的系统要求部分。

  • NSX 升级途径:VMware 产品互操作性列表提供了有关从 VMware NSX 升级的途径的详细信息。
  • 《NSX 升级指南》中介绍了跨 vCenter NSX 升级

  • 不支持降级:
    • 请务必先备份 NSX Manager,然后再执行升级。

    • 成功升级 NSX 后,无法对 NSX 进行降级。

  • 要验证是否成功升级到 NSX 6.4.x,请参见知识库文章 2134525
  • 不支持从 vCloud Networking and Security 升级到 NSX 6.4.x。您必须先升级到支持的 6.2.x 版。

  • 互操作性:在升级之前,请检查 VMware 产品互操作性列表以了解所有相关的 VMware 产品。
    • 升级到 NSX Data Center for vSphere 6.4:NSX 6.4 与 vSphere 5.5 不兼容。
    • 升级到 NSX Data Center for vSphere 6.4.5:如果将 NSX 与 VMware Integrated OpenStack (VIO) 一起部署,请将 VIO 升级到 4.1.2.2 或 5.1.0.1,因为 6.4.5 与以前的版本不兼容,这是由于 Spring 软件包更新为 5.0 版。
    • 升级到 NSX Data Center for vSphere 6.4.6:如果将 NSX 与 VMware Integrated OpenStack (VIO) 一起部署,请勿升级到 NSX Data Center for vSphere 6.4.6。有关详细信息,请参见已知问题 2442884。
    • 升级到 vSphere 6.5:要升级到 vSphere 6.5a 或更高的 6.5 版本时,您必须先升级到 NSX 6.3.0 或更高版本。NSX 6.2.x 与 vSphere 6.5 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
    • 升级到 vSphere 6.7:要升级到 vSphere 6.7 时,您必须先升级到 NSX 6.4.1 或更高版本。早期版本的 NSX 与 vSphere 6.7 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。 
  • 合作伙伴服务兼容性:如果您的站点使用 VMware 合作伙伴服务实施 Guest Introspection 或网络自检,您必须在升级之前查阅《VMware 兼容性指南》以确认供应商的服务与此版本的 NSX 兼容。
  • Networking and Security 插件:在升级 NSX Manager 后,您必须注销并重新登录到 vSphere Web Client。如果未正确显示 NSX 插件,请清除浏览器缓存和历史记录。如果 Networking and Security 插件未显示在 vSphere Web Client 中,请重置 vSphere Web Client 服务器,如《NSX 升级指南》中所述。
  • 无状态环境:在无状态主机环境中执行 NSX 升级时,新的 VIB 将在 NSX 升级过程中预先添加到主机映像配置文件。因此,无状态主机上的 NSX 升级过程遵循以下顺序:

    在 NSX 6.2.0 之前,您只能在 NSX Manager 上通过单个 URL 找到适用于特定版本的 ESX 主机的 VIB。(这意味着管理员只需知道一个 URL,而不管使用的是哪种 NSX 版本。)在 NSX 6.2.0 和更高版本中,新的 NSX VIB 通过不同的 URL 提供。要找到合适的 VIB,您必须执行以下步骤:

    1. https://<nsxmanager>/bin/vdn/nwfabric.properties 中找到新的 VIB URL。
    2. 从相应的 URL 获取所需 ESX 主机版本的 VIB。
    3. 将这些 VIB 添加到主机映像配置文件。

NSX 组件的升级说明

NSX 组件支持虚拟机硬件版本 11

  • 如果是新安装 NSX Data Center for vSphere 6.4.2,NSX 组件(Manager、Controller、Edge 和 Guest Introspection)将运行在虚拟机硬件版本 11 上。
  • 如果是升级到 NSX Data Center for vSphere 6.4.2,NSX Edge 和 Guest Introspection 组件会自动升级到虚拟机硬件版本 11。NSX Manager 和 NSX Controller 组件在升级后仍保留在虚拟机硬件版本 8 上。用户可以选择将虚拟机硬件升级到版本 11。有关升级虚拟机硬件版本的说明,请参阅知识库文章 (https://kb.vmware.com/s/article/1010675)。
  • 如果是新安装 NSX 6.3.x、6.4.0 和 6.4.1,NSX 组件(Manager、Controller、Edge、Guest Introspection)将运行在虚拟机硬件版本 8 上。

NSX Manager 升级

  • 重要信息:如果您要将 NSX 6.2.0、6.2.1 或 6.2.2 升级到 NSX 6.3.5 或更高版本,则在开始升级之前,您必须完成一个解决办法。有关详细信息,请参见 VMware 知识库文章 000051624

  • 如果从 NSX 6.3.3 升级到 NSX 6.3.4 或更高版本,您必须先按照 VMware 知识库文章 2151719 中的解决办法说明进行操作。

  • 如果使用 SFTP 进行 NSX 备份,请在升级到 6.3.0 或更高版本后更改为 hmac-sha2-256,因为不支持 hmac-sha1。有关支持的安全算法列表,请参见 VMware 知识库文章 2149282

  • 在将 NSX Manager 升级到 NSX 6.4.1 时,将在升级过程中自动创建备份并保存在本地。有关详细信息,请参见升级 NSX Manager

  • 升级到 NSX 6.4.0 时,会保留 TLS 设置。如果只启用了 TLS 1.0,您将能够在 vSphere Web Client 中查看 NSX 插件,但 NSX Manager 不可见。这不会影响数据路径,但您无法更改任何 NSX Manager 配置。登录到 NSX 设备管理 Web UI(网址为 https://nsx-mgr-ip/),并启用 TLS 1.1 和 TLS 1.2。这会重新引导 NSX Manager 设备。

控制器升级

  • NSX Controller 群集必须包含三个控制器节点。如果少于三个控制器,您必须在开始升级之前添加控制器。请参见部署 NSX Controller 群集以了解相应的说明。
  • 在 NSX 6.3.3 中,NSX Controller 的底层操作系统发生变化。这意味着,从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本而不是执行就地软件升级时,将每次删除一个现有的控制器,并使用相同的 IP 地址部署基于 Photon OS 的新控制器。

    在删除控制器时,还会删除任何关联的 DRS 反关联性规则。您必须在 vCenter 中创建新的反关联性规则,以防止新的控制器虚拟机位于同一主机上。

    有关控制器升级的详细信息,请参见升级 NSX Controller 群集

主机群集升级

  • 如果您从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本,NSX VIB 名称会发生更改。
    如果在 ESXi 6.0 或更高版本上安装了 NSX 6.3.3 或更高版本,esx-vxlan 和 esx-vsip VIB 将替换为 esx-nsxv。

  • 主机上无重新引导的升级和卸载:在 vSphere 6.0 和更高版本上,从 NSX 6.2.x 升级到 NSX 6.3.x 或更高版本后,任何后续的 NSX VIB 更改都不需要重新引导,但主机必须进入维护模式才能完成 VIB 更改。这会同时影响 NSX 主机群集升级和 ESXi 升级。有关详细信息,请参见《NSX 升级指南》

NSX Edge 升级

  • 在 NSX 6.4.1 中添加了验证步骤,以禁止无效的分布式逻辑路由器配置:在配置了 VXLAN 且具有多个 vSphere Distributed Switch 的环境中,只能将分布式逻辑路由器接口连接到配置了 VXLAN 的 vSphere Distributed Switch。在这些环境中,如果 DLR 将接口连接到未配置 VXLAN 的 vSphere Distributed Switch,将 DLR 升级到 NSX 6.4.1 或更高版本将失败。使用 API 将任何配置不正确的接口连接到配置了 VXLAN 的 vSphere Distributed Switch 上的端口组。在有效配置后,再次尝试进行升级。您可以使用 PUT /api/4.0/edges/{edgeId}PUT /api/4.0/edges/{edgeId}/interfaces/{index} 更改接口配置。有关详细信息,请参见《NSX API 指南》。
  • 在将 UDLR 从 6.2.7 升级到 6.4.5 之前,从 vCenter Server 中删除与辅助 NSX Manager 关联的 UDLR 控制虚拟机:
    在多 vCenter 环境中,如果在 UDLR 控制虚拟机上启用了 HA,在将 NSX UDLR 从 6.2.7 升级到 6.4.5 时,辅助 NSX Manager 上的 UDLR 虚拟设备(UDLR 控制虚拟机)升级将会失败。在升级期间,将从 NSX 数据库中移除在 HA 对中具有 HA 索引 0 的虚拟机;但该虚拟机在 vCenter Server 上仍然存在。因此,在辅助 NSX Manager 上升级 UDLR 控制虚拟机时,升级失败,因为虚拟机名称与 vCenter Server 上的现有虚拟机发生冲突。要解决该问题,请从 vCenter Server 中删除与辅助 NSX Manager 上的 UDLR 关联的控制虚拟机,然后将 UDLR 从 6.2.7 升级到 6.4.5。

  • 在升级 NSX Edge 设备之前,必须为 NSX 准备主机群集:从 6.3.0 开始,不再支持通过 VIX 通道在 NSX Manager 和 Edge 之间进行的管理层面通信。仅支持消息总线通道。从 NSX 6.2.x 或更低版本升级到 NSX 6.3.0 或更高版本时,您必须确认为 NSX 准备了部署 NSX Edge 设备的主机群集,并且消息基础架构状态为绿色。如果没有为 NSX 准备主机群集,NSX Edge 设备升级将失败。有关详细信息,请参见《NSX 升级指南》中的升级 NSX Edge

  • 升级 Edge 服务网关 (ESG):
    从 NSX 6.2.5 开始,将在升级 NSX Edge 时执行资源预留。如果在资源不足的群集上启用 vSphere HA,由于违反 vSphere HA 限制,升级操作可能会失败。

    为了避免此类升级失败,请在升级 ESG 之前执行以下步骤:

    如果在安装或升级时没有明确设置值,NSX Manager 将使用以下资源预留。

    NSX Edge
    规格大小
    CPU 预留 内存预留
    精简 1000MHz 512 MB
    中型 2000MHz 1024 MB
    大型 4000MHz 2048 MB
    超大型 6000MHz 8192 MB
    1. 始终确保您的安装遵循为 vSphere HA 建议的最佳做法。请参见 VMware 知识库文章 1002080 文档。

    2. 使用 NSX 优化配置 API:
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      确保 edgeVCpuReservationPercentageedgeMemoryReservationPercentage 值在相应规格大小的可用资源范围内(请参见上表以了解默认值)。

  • 在启用 vSphere HA 并部署 Edge 时,请禁用 vSphere 的虚拟机启动选项。在将 6.2.4 或更低版本的 NSX Edge 升级到 6.2.5 或更高版本后,您必须为已启用 vSphere HA 并部署 Edge 的群集中的每个 NSX Edge 禁用 vSphere 虚拟机启动选项。为此,请打开 vSphere Web Client,找到 NSX Edge 虚拟机所在的 ESXi 主机,单击“管理”>“设置”并在“虚拟机”下面选择“虚拟机启动/关机”,单击“编辑”并确保该虚拟机处于手动模式(即,确保该虚拟机未添加到自动启动/关机列表中)。

  • 在升级到 NSX 6.2.5 或更高版本之前,确保所有的负载平衡器密码列表均以冒号分隔。如果密码列表使用逗号等其他分隔符,请对 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles 执行 PUT 调用,将 <clientssl> </clientssl><serverssl> </serverssl> 中的每个 <ciphers> </ciphers> 列表替换为以冒号分隔的列表。例如,请求正文中的相关分段可能类似于以下内容。对所有的应用程序配置文件重复此过程:

    <applicationProfile>
      <name>https-profile</name>
      <insertXForwardedFor>false</insertXForwardedFor>
      <sslPassthrough>false</sslPassthrough>
      <template>HTTPS</template>
      <serverSslEnabled>true</serverSslEnabled>
      <clientSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <clientAuth>ignore</clientAuth>
        <serviceCertificate>certificate-4</serviceCertificate>
      </clientSsl>
      <serverSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <serviceCertificate>certificate-4</serviceCertificate>
      </serverSsl>
      ...
    </applicationProfile>
  • 在早于 6.2.0 的 vROPs 版本中为负载平衡的客户端设置正确的密码版本:早于 6.2.0 的 vROPs 版本中的 vROPs 池成员使用 TLS 版本 1.0,因此,您必须在 NSX 负载平衡器配置中设置 "ssl-version=10" 以显式设置监控扩展值。请参见《NSX 管理指南》中的“创建服务监控器”以了解相应的说明。
    {
                    "expected" : null,
                    "extension" : "ssl-version=10",
                    "send" : null,
                    "maxRetries" : 2,
                  "name" : "sm_vrops",
                  "url" : "/suite-api/api/deployment/node/status",
                  "timeout" : 5,
                  "type" : "https",
                  "receive" : null,
                  "interval" : 60,
                  "method" : "GET"
               }

 

FIPS 的升级说明

从 NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在完成升级之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在 OS X Yosemite 和 OS X El Capitan 上支持的密码:如果在 OS X 10.11 (EL Capitan) 上使用 SSL VPN 客户端,您可以使用 AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHAAES128-SHA 密码进行连接,使用 OS X 10.10 (Yosemite) 的客户端只能使用 AES256-SHAAES128-SHA 进行连接。

  • 在完成到 NSX 6.3.x 的升级之前,不要启用 FIPS。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。

  • 在启用 FIPS 之前,请确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见《VMware 兼容性指南》和相关的合作伙伴文档。

FIPS 合规性

如果配置正确,NSX 6.4 将对所有与安全相关的加密使用经由 FIPS 140-2 验证的加密模块。

注意:

  • 控制器和群集 VPN:NSX Controller 使用 IPsec VPN 连接控制器群集。IPsec VPN 使用 VMware Linux 内核加密模块(VMware Photon OS 1.0 环境),目前正在对该模块进行 CMVP 验证。
  • Edge IPsec VPN:NSX Edge IPsec VPN 使用 VMware Linux 内核加密模块(VMware NSX OS 4.4 环境),目前正在对该模块进行 CMVP 验证。

文档修订历史

2019 年 10 月 10 日:第一版。
2019 年 11 月 6 日。第二版。添加了已知问题 2442884 和相关升级说明。
2019 年 12 月 3 日。第三版。添加了已知问题 2367906 的解决办法链接。

已解决的问题

  • 已修复问题 1648578 - 在创建基于 NetX 主机的新服务实例时,NSX 强制添加群集/网络/存储。
    从 vSphere Web Client 中为基于 NetX 主机的服务(例如,防火墙、IDS 和 IPS)创建新的服务实例时,将强制添加群集/网络/存储,即使不需要使用这些群集/网络/存储也是如此。
  • 已修复问题 2001988 - 在 NSX 主机群集升级期间,升级群集中的每个主机时,“主机准备”选项卡中的“安装状态”交替显示整个群集“未就绪”和“正在安装”。

    在 NSX 升级期间,为 NSX 准备的群集单击“可升级”将触发主机升级。对于配置了 DRS 全自动的群集,“安装状态”交替显示“正在安装”和“未就绪”,即使在后台正常升级了主机也是如此。

  • 已修复问题 2005973 - 删除一些 GRE 隧道,接着从管理层面强制同步 Edge 节点后,路由守护进程 MSR 丢失所有路由配置。

    在通过 GRE 隧道进行 BGP 会话的 Edge 上可能会发生此问题。在删除了一些 GRE 隧道,接着从管理层面强制同步 Edge 后,Edge 会丢失所有路由配置。

  • 已修复问题 2005900 - 当所有 GRE 隧道在 8 向 iBGP/多跃点 BGP ECMP 规模拓扑中发生抖动时,Edge 上的路由守护进程 MSR 停滞在 100% CPU。

    在规模拓扑中,如果在 ESG 上配置了 iBGP 或多跃点 BGP 并在很多 GRE 隧道上运行多个邻居,则可能会出现该问题。在多个 GRE 隧道发生抖动时,MSR 可能会无限期停滞在 100% CPU。

  • 已修复问题 2118255 - DLR 控制虚拟机未加入多播路由。

    DLR 控制虚拟机未加入多播路由;所有多播相关的 cli 都将在控制虚拟机中显示空 cli。

  • 已修复问题 2189417 - 事件日志数量超出支持的限制。

    当事件达到一定规模时,有些事件会丢失,从而导致 IDFW 功能缺失(仅适用于物理工作负载)。

  • 已修复问题 2312793 - HTTP 标头中的 etag 值用双引号引起。

    如果在响应中包含 etag 值,REST API 将失败。

  • 已修复问题 2279045 - 在 vNIC 连接到支持 VLAN 网络的 dvportgroup 时,阻止设置 end2end 延迟。

    end2end 延迟对基于 VLAN 网络的 dvportgroup 不提供支持,在设置此类端口组上的延迟配置时,它将显示异常。只能使用基于覆盖网络的 dvportgroup。

  • 已修复问题 2265909 - 在 REST API URI 中不再支持双斜杠。

    REST API 调用失败,并显示错误 500:内部服务器错误。如果 URI 包含双斜杠,REST API 将失败。

  • 已修复问题 2319867 - 在将新主机添加到启用了 end2end 延迟的 VDS 后,没有在新主机上自动配置 end2end 延迟。

    如果已在 VDS 上配置 end2end 延迟并添加新主机,则不会在新主机上自动配置 end2end 延迟。无法监控该主机上的延迟。

  • 已修复问题 2331068 - 由于防火墙分组对象更新消息太多,无法管理 NSX Edge。

    NSX Edge 变得难以管理;但是,数据层面可以正常工作。管理员无法进行配置更改,也无法查询 Edge 状态。

  • 已修复问题 2320171 - 当将 Edge 设备移动到其他群集或资源池时,Edge 设备的“资源预留”会重置为“无预留”。

    将 Edge 设备移至其他群集或资源池后,管理员必须通过运行 API 请求手动重置 Edge 设备预留。

  • 已修复问题 2349110 - 保存密码功能在 Mac 计算机上的 SSL VPN-Plus 客户端中不起作用。

    即使选择了“保存密码”选项,SSL VPN 用户每次也必须重新输入用户名和密码才能登录到 SSL VPN 服务器。

  • 已修复问题 2360114 - 在多站点跨 VC NSX 环境中,辅助 NSX Manager 管理的 Edge 的“路由重新分发”页面不可用。 

    仅在基于 HTML5 的 vSphere Client 中存在该问题。vSphere Web Client 不存在此问题。

  • 已修复问题 2337437 - CPU 内核锁定时间延长。

    CPU 有 N 秒不会收到检测信号,并且性能会下降。

  • 已修复问题 2305079 - NSX 身份防火墙间歇性运行。NSX 上下文引擎无法在 ESXi 主机上运行。

    使用 NSX Guest Introspection 检测网络事件时,NSX 身份防火墙会间歇性运行。当 NSX 上下文引擎在 ESXi 主机上运行时,身份防火墙将按预期正常工作。但是,当上下文引擎未运行时,身份防火墙将不起作用。

  • 已修复问题 2375249 - 如果源 IP 地址和目标 IP 地址字段中存在多余的空格,则无法发布防火墙规则。

    vsfwd 日志文件通过“string2ip”函数显示无效的防火墙配置。

  • 已修复问题 2305989 - 执行“show ip bgp”和“show ip bgp neighbors”CLI 命令时,在 dcsms 进程中发生内存泄漏。

    动态群集安全移动多播 (dcsms) 进程达到了非常高的内存占用率,并且会影响正常处理。Edge 将进入内存不足情况,并导致 Edge 重新加载。

  • 已修复问题 2379274 - 当 DLR 的接口或网桥连接到位于不同传输区域中的逻辑交换机时,某些主机上缺少 VDR 实例。

    虚拟机无法访问其默认网关,数据路径流量会关闭。

  • 已修复问题 2291285 - 当在已配置多播的 DLR 接口上配置网桥时,不会从已配置的多播接口中移除该接口。

    在 vCenter UI 中,DLR 上作为源已配置多播 IGMP 和桥接的接口显示为“已断开连接”。

  • 已修复问题 2377057 - 发布分布式防火墙规则会导致 NSX Manager 由于 CPU 使用率过高而发生故障。

    NSX Manager 上的 CPU 使用率过高会导致性能下降。

  • 已修复问题 2391802 - 将新虚拟机添加到列表时,虚拟机会从 NSX 排除列表中消失。

    如果在 UI 中加载排除列表中的现有虚拟机列表之前添加了新虚拟机,则将移除排除列表中的现有虚拟机。

  • 已修复问题 2389897 - 由于第三方库使用 log4j,log4j 和 log4j2 配置出现冲突。

    vsm.log 中缺少 NSX 生成的日志。缺少 NSX 日志会增加调试问题的难度。

  • 已修复问题 2273837 - 在将 NSX 升级到 6.4.0 或更高版本后,不显示将 IP 集、应用程序或应用程序组与数据中心范围结合使用的防火墙规则。

    在 NSX 6.4.0 和更高版本中,当防火墙规则将 IP 集、应用程序或应用程序组与“数据中心”范围结合使用时,NSX 日志中会显示以下错误消息:
    [Firewall] 分组 ObjectId 无效。此对象不存在或不可用 ([Firewall] Invalid grouping ObjectId. This object does not exist or is not available)。

  • 已修复问题 2319561 - 主 NSX Manager 上的同步错误。

    UI 和 NSX 日志中显示以下错误消息: 
    REST API 失败: instance_uuid 的 uuid 格式无效 (REST API failed: The uuid format of instance_uuid is invalid)。

  • 已修复问题 2327330 - 在 RabbitMQ 端口 5671 上启用了 TLS 1.1。

    支持 TLS 1.1 以实现向后兼容性。如果不需要,用户可以明确移除 TLS 1.1。
    要移除 TLS 1.1,请编辑位于 /etc/rabbitmq/ 中的 rabbitmq.config 文件,然后在管理器上重新启动代理。

  • 已修复问题 2341214 - 在启用 HA 的情况下部署了一个 Edge 设备,并且满足所有 HA 启用条件;但是,在将第二个配置更改发布到该 Edge 设备之前,HA 仍在该 Edge 上保持禁用状态。

    如果在启用 HA 的情况下创建了 Edge (ESG/DLR/UDLR),并部署了设备(配置了其他功能的批量配置),则会在禁用 HA 的情况下将该配置发布到 Edge 设备。管理层面显示 HA 已启用,但在 Edge 设备上实际仍禁用 HA。

  • 已修复问题 2392371 - 在 Edge 设备上未运行 VMware Tools 时,Edge 虚拟设备无法重新引导。

    在某些情况下,重新引导 Edge 设备可能会失败。例如,在启用或禁用 FIPS 时,如果在 Edge 上尝试强制同步,则会报告错误的系统状态。

  • 已修复问题 2273242 - 在已建立的会话上接收 SYN 时,使用 NETX 的筛选器未在该连接上发送 ACK。

    启用 NetX 的情况下,在已建立的会话上将 SYN 数据包转发到服务实例。TCP 会话可能会挂起。

  • 已修复问题 2285624 - 从 Linux 执行 proxy_set 失败。

    Linux sslvpn 客户端上不存在代理支持。

  • 已修复问题 2287017 - ESX 可能会显示 PSOD,伴随指向未知目标的 ARP 风暴。

    伴随指向未知目标的 ARP 风暴,ESX 会在将广播 ARP 复制到网络中的多个虚拟机时显示 PSOD。

  • 已修复问题 2287578 - 收集规则统计信息导致分布式防火墙 (DFW) 数据路径速度下降。

    每次发布规则或收集规则统计信息时,受 DFW 保护的虚拟机都可能会遇到虚拟机网络性能下降问题。

  • 已修复问题 2315879 - 具有相同本地端点、对等端点、对等子网但本地子网不同的多个 IPSec 站点导致 Edge 不路由流量。

    缺少路由或未安装路由。Edge 不路由流量。

  • 已修复问题 2329851 - 使用 Radius for SSLVPN Plus 客户端的 RSA SecureID 身份验证失败,并显示页面内部服务器错误。

    登录 SSLVPN 门户后,会看到找不到页面错误。使用 RADIUS 服务器的 RSA 失败。

  • 已修复问题 2331796 - 即使在部署独立 Edge 期间指定了“HA 失效时间”值,HA 配置中也仍未设置该值。

    部署独立 Edge 后,HA 配置会错误地在“HA 检测信号间隔”字段中显示“HA 失效时间”值。用户也不能使用 CLI 重新配置“HA 失效时间”值。而“HA 检测信号间隔”则会获得设置。

  • 已修复问题 2332763 - 在配置“sysctl.net.ipv4.tcp_tw_recycle”系统控制属性时,Edge 升级到 NSX 6.4.2 或更高版本失败。

    发布 Edge 设备失败,并显示以下错误消息:
    ​ERROR :: VseCommandHandler :: Command failed eventually.Error: [C_UTILS][73001][65280] sysctl net.ipv4.tcp_tw_recycle="0" failed : sysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle: No such file or directory.

  • 已修复问题 2342497 - 使用 IP 哈希组策略时,VTEP 无法正常工作。

    NSX VTEP 无法相互通信。

  • 已修复问题 2350465 - 由于内存不足,Edge 出现数据包丢失并进行重新引导。

    如果启用了 IPSec,在高流量情况下会出现内存不足的情况。

  • 已修复问题 2351224 - 在 Linux 计算机上成功安装了 SSL VPN-Plus 客户端,但该客户端却无法正常工作。

    Linux 计算机上缺少 Net-tools 软件包。

  • 已修复问题 2367084 - 在网桥上,无法从支持 VLAN 网络的虚拟机访问覆盖虚拟机。

    当 DLR 控制虚拟机和覆盖虚拟机位于同一个 ESXi 主机上时,VLAN 上的虚拟机无法解析来自覆盖网络中虚拟机的 ARP 请求。

  • 已修复问题 - SynFloodProtection 会导致绕过防火墙规则。

    在 NSX Edge 上启用 SynFloodProtection 后,如果流量的目标是 Edge 本身,则会绕过防火墙规则检查。

  • 已修复问题 2381632 - 无法在未部署 Edge 设备虚拟机的 DLR 中添加静态路由。

    vSphere Web Client 会为未部署 Edge 设备虚拟机的 DLR 显示“管理距离”值。

  • 已修复问题 2385541 - 将 clear ForceStandby 标记发送到不正确的虚拟机时,NSX Edge 会进入脑裂状况。

    当尝试强制同步并重新引导虚拟机时,会将 clear ForceStandby 发送到错误的虚拟机。其对等项会设置 ForceStandby。
    清除 ForceStandby 标记将失败,从而导致调用强制同步任务。虚拟机会在强制同步操作过程中重新引导,这是因为 Edge 报告了系统错误状态。

  • 已修复问题 2385739 - NSX Manager 中出现死锁。

    Zookeeper 引发错误,这会使 NSX Manager 无响应。复制程序会在辅助 NSX Manager 上删除并重新创建 NSX Controller。最后一步会发生死锁。

  • 已修复问题 2387720 - IPSec VPN 配置中的合规性套件“Suite-B-GMAC-128”和“Suite-B-GMAC-256”不提供数据加密。

    这些套件使用空加密,这种加密是非常不安全的。从 NSX 6.4.6 开始,已弃用这两个合规性套件。

  • 已修复问题 2390308 - 在部署支持 FIPS 标准的 Edge 时,首次引导后需要重新引导;但是,重新引导操作有时会失败。

    在 NSX 日志中记录了以下错误消息:
    无法完成操作,因为该虚拟机未运行 VMware Tools (Cannot complete operation because VMware Tools is not running in this virtual machine)。

  • 已修复问题 2406853 - 在 Edge 上添加中继接口时,在 UI 中会将默认 MTU 大小错误设置为 1500。

    由于默认 MTU 大小已减少,因此会影响跨 Edge 接口的数据层面流量。

  • 在以下情况下,DLR 路由表中存在失效条目:DLR 逻辑接口中使用了 dvportgroup;从 vCenter 中删除了网桥;迁移或删除了虚拟分布式交换机。

    DLR 升级失败。Edge 升级可用时,Edge 重新部署将失败。Edge 配置更新也可能会失败。

  • 已修复问题 2412632 - 在服务器 SSL 设置中未选择服务证书的情况下,无法保存类型为“HTTPS 端到端”的负载平衡器应用程序配置文件。

    将 NSX Edge 从 6.4.4 升级到 6.4.5 后,会出现此问题。在 NSX 6.4.5 中,指定服务器 SSL 设置时,必须选择服务证书。

  • 已修复问题 2314438 - 主 NSX Manager 出现同步问题,并显示以下错误:“REST API 失败: instance_uuid 的 uuid 格式无效”(REST API failed: The uuid format of instance_uuid is invalid)。

    多 VC 环境中的某些虚拟机尽管在 NSX Manager 上带有通用标记,仍不会复制到辅助 NSX Manager。

  • 已修复问题 VMSA-2019-0010 - TCP 选择性确认 (SACK) 中的 Linux 内核漏洞 CVE-2019-11477 和 CVE-2019-11478

    所有 NSX-V 6.4.6 组件均包含针对 TCP 选择性确认 (SACK) 中的 Linux 内核漏洞(CVE-2019-11477 和 CVE-2019-11478)的修复。客户可以升级到 6.4.6 及更高版本,以永久解决上述 CVE 的问题。知识库文章 71311 附带有关该问题的其他信息。

  • 已修复问题 2324338 - 如果配置的 DFW 规则包含具有 IPv4 和 IPv6 地址的有效 vNIC,则其中一种地址类型的更新也会删除其他 IP 地址,从而导致相应的 DFW 规则出现异常行为。

    任何一种 IP 地址类型变化都会覆盖存在的两种 IP 地址类型。如果提供的更新仅具有 IPv6 地址,则数据库记录将会更新,并且现有 IPv4 和 IPv6 都会被替换为新的 IPv6 地址。

已知问题

已知问题分为以下几类。

安装和升级已知问题

升级之前,请阅读本文档前文的升级说明一节。

  • 问题 1859572 - 在 vCenter 6.0.0 版管理的 ESXi 主机上卸载 NSX VIB 6.3.x 版期间,主机仍处于维护模式
    如果在群集上卸载 NSX VIB 6.3.x 版,工作流包括将主机置于维护模式,卸载 VIB 以及 EAM 服务将主机退出维护模式。不过,如果此类主机由 vCenter Server 6.0.0 版进行管理,则会导致在卸载 VIB 后主机停滞在维护模式。负责卸载 VIB 的 EAM 服务将主机置于维护模式,但无法将主机退出维护模式。

    解决办法:手动将主机退出维护模式。如果主机由 vCenter Server 6.5a 及更高版本进行管理,则不会出现该问题。

  • 问题 1263858 - SSL VPN 不会向远程客户端发送升级通知

    SSL VPN 网关不向用户发送升级通知。管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并通知用户必须更新其客户端。

    解决办法:用户需要手动卸载旧版本的客户端并安装最新版本。

  • 问题 2006028 - 如果在主机升级期间重新引导 vCenter Server 系统,主机升级可能会失败。

    如果在主机升级期间重新引导关联的 vCenter Server 系统,主机升级可能会失败,并将主机置于维护模式。单击“解决”无法使主机退出维护模式。群集状态为“未就绪”。

    解决办法:手动使主机退出维护模式。在群集上,单击“未就绪”,然后再单击“解决所有”。

  • 问题 2429861 - 升级到 NSX-v 6.4.6 后,vRNI UI 上不显示 end2end 延迟。

    vRNI 4.2 和 vRNI 5.0 的 vRNI 互操作性导致 end2end 延迟与中断。

    解决办法:将 vRNI 升级到 5.0.0-P2。

NSX Manager 已知问题
  • 问题 2233029 - ESX 不支持 10K 路由。

    ESX 不需要支持 10K 路由。按照设计,ESX 上的最大限制为 2K 路由。

    解决办法:无。

  • 问题 2391153 - 在 vmknic dvportgroup 上执行 vCenter 操作后,NSX Manager 不会更新 vdn_vmknic_portgroup 和 vdn_cluster 表。

    当您运行 PUT https://nsx_manager_ip/api/2.0/nwfabric/configure API 请求时,在 vmknic 分布式虚拟端口组上执行 vCenter 操作后,NSX Manager 不会更新 vdn_vmknic_portgroup 和 vdn_cluster 表。vCenter UI 仍显示旧的 VLAN ID。 

    解决办法:无

一般已知问题
  • 在 vSphere Web Client 中,当打开一个与 HTML 视图重叠的 Flex 组件时,该视图将变得不可见。

    在打开菜单或对话框之类的 Flex 组件时,如果该组件与 HTML 视图重叠,该视图会暂时隐藏起来。
    (参考:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues

    解决办法:无。 

  • 问题 2367906 - 在负载平衡器上为 HTTP 服务监控器配置“no-body”扩展时,NSX Edge 上的 CPU 占用率达到 100%。

    当为 HTTP 服务监控器配置“no-body”扩展,而负载平衡器中使用的是“nagios”插件时,会出现此问题。负载平衡器会与所有后端服务器断开连接,并且会中断用户的请求。

    解决办法:请参见知识库文章 71168,以了解详细信息。

解决方案互操作性已知问题
  • 问题 2442884:NSX 6.4.6 与 VMware Integrated Openstack 不兼容

    从 NSX 6.4.6 开始,无法创建目标 IP 为 0.0.0.0/0 的防火墙规则。这会导致 NSX 6.4.6 与所有版本的 vSphere Integrated Openstack 不兼容。有关兼容的版本,请参见 VMware 产品互操作性列表