VMware NSX Data Center for vSphere 6.4.7 | 2020 年 7 月 9 日发行 | 内部版本 16509800 请参见本文的修订历史。 |
发行说明内容
本发行说明包含以下主题:
NSX Data Center for vSphere 6.4.7 的新增功能
关于 NSX for vSphere 6.4.7 的重要信息
注意:VMware 发现 VMware NSX for vSphere 6.4.7 中存在一个问题,该问题会影响新的 NSX 客户以及从 NSX 的先前版本升级的客户。因此,VMware 决定不再分发 NSX 6.4.7。当前可用的 NSX for vSphere 版本为 6.4.6。VMware 正在积极地解决问题,以期尽快发布下一个版本来替代 NSX for vSphere 6.4.7。
有关更多详细信息,请参见 VMware 知识库文章 80238。
NSX Data Center for vSphere 6.4.7 版本加强了可用性和可维护性功能,并解决了一些特定的客户问题。有关详细信息,请参见已解决的问题。
NSX Data Center for vSphere 6.4.7 中引入了以下更改:
- vSphere 7.0 支持
- 多播增强:添加了对以下各项的支持:
- 在一个 GRE 隧道上支持 PIM,同时排除任何其他上行链路上的 PIM。
- 由单播连接使用的静态路由。
- 活动-备用模式。
- 适用于多播的 Edge 防火墙。
- 适用于多播的分布式防火墙。
- VMware NSX - vSphere Client (HTML) 功能更新:有关支持的功能列表,请参见 vSphere Client 中的 VMware NSX for vSphere UI 插件功能。
版本、系统要求和安装说明
注意:
-
下表列出了建议的 VMware 软件版本。这些建议只是常规建议,具体应考虑特定的环境需求。此信息为截至本文档发布之日的最新信息。
-
有关 NSX 和其他 VMware 产品的最低支持版本,请参见 VMware 产品互操作性列表。VMware 的最低支持版本声明基于内部测试。
产品或组件 | 版本 |
NSX Data Center for vSphere | 对于新部署,VMware 建议使用最新的 NSX 版本。 在升级现有部署时,请在计划升级之前参考 NSX Data Center for vSphere 发行说明,或者与 VMware 技术支持代表联系以了解某些特定问题的详细信息。 |
vSphere |
对于 vSphere 6.5:
对于 vSphere 6.7:
注意:NSX 6.4 不支持 vSphere 5.5。 注意:vSphere 6.0 已终止支持,从 NSX 6.4.7 开始将不支持 vSphere 6.0。 |
适用于 Windows 的客户机侦测 | 在升级 NSX for vSphere 之前,建议您将 VMware Tools 升级到 10.3.10。 |
适用于 Linux 的客户机侦测 | 确保客户机虚拟机安装了支持的 Linux 版本。有关支持的 Linux 版本的最新列表,请参见《VMware NSX 管理指南》。 |
系统要求和安装说明
有关 NSX 安装必备条件的完整列表,请参见《NSX 安装指南》中的 NSX 的系统要求一节。
有关安装说明,请参见《NSX 安装指南》或《跨 vCenter NSX 安装指南》。
已弃用和已停用的功能
产品周期终止和支持期终止警告
有关必须尽快升级的 NSX 和其他 VMware 产品的信息,请参见 VMware 生命周期产品列表。
-
NSX for vSphere 6.1.x 于 2017 年 1 月 15 日终止提供 (EOA) 和终止支持 (EOGS)。(另请参见 VMware 知识库文章 2144769。)
-
不再支持 vCNS Edge。在升级到 NSX 6.3 或更高版本之前,您必须先升级到 NSX Edge。
-
NSX for vSphere 6.2.x 已于 2018 年 8 月 20 日终止支持 (EOGS)。
-
根据安全建议,在 NSX Edge IPsec VPN 服务中不再支持将 3DES 作为加密算法。
建议您切换到 IPsec 服务中提供的某个安全密码。这个有关加密算法的更改适用于 IPsec 站点的 IKE SA(阶段 1)以及 IPsec SA(阶段 2)协商。
如果在升级到已移除 3DES 支持的版本时 NSX Edge IPsec 服务正在使用 3DES 加密算法,则此密码将被另一个建议的密码取代,因此正在使用 3DES 的 IPsec 站点将不会出现,除非将远程对等方上的配置修改为与 NSX Edge 中使用的加密算法匹配。
如果使用 3DES 加密,请在 IPsec 站点配置中修改加密算法以将 3DES 替换为支持的某种 AES 变体 (AES/AES256/AES-GCM)。例如,对于将 3DES 作为加密算法的每种 IPsec 站点配置,请将其替换为 AES。在对等端点对 IPsec 配置进行相应的更新。
常规行为变化
如果具有多个 vSphere Distributed Switch,并在其中的一个 vSphere Distributed Switch 上配置了 VXLAN,您必须将任何分布式逻辑路由器接口连接到该 vSphere Distributed Switch 上的端口组。从 NSX 6.4.1 开始,将在 UI 和 API 中实施该配置。在早期版本中,不会禁止您创建无效的配置。 如果您升级到 NSX 6.4.1 或更高版本,并且错误地连接了 DLR 接口,则需要采取相应的措施来解决此问题。有关详细信息,请参见升级说明。
用户界面移除和更改
- 在 NSX 6.4.1 中,移除了服务编排画布。
- 在 NSX 6.4.7 中,vSphere Client 7.0 中已弃用以下功能:
- NSX Edge:SSL VPN-Plus(请参见知识库文章 79929 以了解详细信息)
- 工具:端点监控(所有功能)
- 工具:流量监控(流量监控仪表板、按服务列出详细信息以及配置)
- 系统事件:NSX 票证记录器
安装行为变化
从版本 6.4.2 开始,在具有使用 ixgbe 驱动程序的物理网卡的主机上安装 NSX Data Center for vSphere 时,默认情况下在 ixgbe 驱动程序中不启用接收方调整 (RSS)。您必须先在主机上手动启用 RSS,才能安装 NSX Data Center。请确保只在具有使用 ixgbe 驱动程序的网卡的主机上启用 RSS。有关启用 RSS 的详细步骤,请参见 VMware 知识库文章 https://kb.vmware.com/s/article/2034676。此知识库文章介绍了提高 VXLAN 数据包吞吐量的建议 RSS 设置。
仅当在 ESXi 主机上全新安装内核模块(VIB 文件)时此新行为才适用。在将 NSX 管理的主机升级到 6.4.2 时,不需要进行任何更改。
API 移除和行为变化
NSX 6.4.2 中的弃用项
以下项已弃用,并且可能会从未来的版本中移除:
GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog
。改用GET/PUT /api/2.0/vdn/controller/cluster/syslog
。
NSX 6.4.1 中的行为变化
如果使用 POST /api/2.0/services/ipam/pools/scope/globalroot-0
创建新的 IP 池,或使用 PUT /api/2.0/services/ipam/pools/ 修改现有的 IP 池,
并且该池定义了多个 IP 范围,则会执行验证以确保范围不会发生重叠。以前,不会执行该验证。
NSX 6.4.0 中的弃用项
以下各项已弃用,并可能会在未来的版本中移除。
GET /api/4.0/edges/edgeID/status
中的 systemStatus 参数已弃用。GET /api/2.0/services/policy/serviceprovider/firewall/
已弃用。现改为使用GET /api/2.0/services/policy/serviceprovider/firewall/info
。- 分布式防火墙的全局配置部分中的 tcpStrict 设置已弃用。从 NSX 6.4.0 开始,tcpStrict 将在区域级别进行定义。注意:如果您升级到 NSX 6.4.0 或更高版本,全局配置设置 tcpStrict 将用来在每个现有的第 3 层区域配置 tcpStrict。tcpStrict 在第 2 层区域和第 3 层重定向区域设置为 false。有关详细信息,请参见《NSX API 指南》中的“使用分布式防火墙配置”。
NSX 6.4.0 中的行为变化
在 NSX 6.4.0 中,使用 POST /api/2.0/vdn/controller
创建控制器时,需要 <name>
参数。
NSX 6.4.0 引入了以下错误处理变化:
- 以前,
POST /api/2.0/vdn/controller
会响应为“201 已创建”(201 Created) 以指示控制器创建作业完成。但是,控制器的创建可能会失败。从 NSX 6.4.0 开始,响应变为“202 已接受”(202 Accepted)。
- 以前,如果您发送的 API 请求不允许在转换或独立模式下使用,响应状态为“400 错误请求”(400 Bad Request)。从 6.4.0 开始,响应状态变为“403 已禁止”(403 Forbidden)。
CLI 移除和行为变化
不要在 NSX Controller 节点上使用不支持的命令
不要使用未列出的命令在 NSX Controller 节点上配置 NTP 和 DNS。这些命令不受支持,不要在 NSX Controller 节点上使用这些命令。请仅使用 NSX CLI 指南中列出的命令。
升级说明
注意:有关影响安装和升级的已知问题列表,请参见安装和升级已知问题。
常规升级说明
-
要升级 NSX,您必须执行完整的 NSX 升级,包括主机集群升级(将升级主机 VIB)。有关说明,请参见《NSX 升级指南》,包括“升级主机集群”部分。
-
不支持使用 VUM 升级主机集群上的 NSX VIB。请使用升级协调器、主机准备或相关联的 REST API 升级主机集群上的 NSX VIB。
-
系统要求:有关安装和升级 NSX 时的系统要求信息,请参见 NSX 文档中的 NSX 的系统要求部分。
- NSX 升级途径:VMware 产品互操作性列表提供了有关从 VMware NSX 升级的途径的详细信息。
-
在《NSX 升级指南》中介绍了跨 vCenter NSX 升级。
- 不支持降级:
-
请务必先备份 NSX Manager,然后再执行升级。
-
成功升级 NSX 后,无法对 NSX 进行降级。
-
- 要验证是否成功升级到 NSX 6.4.x,请参见知识库文章 2134525。
-
不支持从 vCloud Networking and Security 升级到 NSX 6.4.x。您必须先升级到支持的 6.2.x 版。
- 互操作性:在升级之前,请检查 VMware 产品互操作性列表以了解所有相关的 VMware 产品。
- 升级到 NSX Data Center for vSphere 6.4.7:由于存在多个规模问题,VIO 与 NSX 6.4.7 不兼容。
- 升级到 NSX Data Center for vSphere 6.4:NSX 6.4 与 vSphere 5.5 不兼容。
- 升级到 NSX Data Center for vSphere 6.4.5:如果将 NSX 与 VMware Integrated OpenStack (VIO) 一起部署,请将 VIO 升级到 4.1.2.2 或 5.1.0.1,因为 6.4.5 与以前的版本不兼容,这是由于 Spring 软件包更新为 5.0 版。
- 升级到 vSphere 6.5:要升级到 vSphere 6.5a 或更高的 6.5 版本时,您必须先升级到 NSX 6.3.0 或更高版本。NSX 6.2.x 与 vSphere 6.5 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
- 升级到 vSphere 6.7:要升级到 vSphere 6.7 时,您必须先升级到 NSX 6.4.1 或更高版本。早期版本的 NSX 与 vSphere 6.7 不兼容。请参见《NSX 升级指南》中的“在 NSX 环境中升级 vSphere”。
- 合作伙伴服务兼容性:如果您的站点使用 VMware 合作伙伴服务实施客户机侦测或网络侦测,您必须在升级之前查阅《VMware 兼容性指南》以确认供应商的服务与此版本的 NSX 兼容。
- Networking and Security 插件:在升级 NSX Manager 后,您必须注销并重新登录到 vSphere Web Client。如果未正确显示 NSX 插件,请清除浏览器缓存和历史记录。如果 Networking and Security 插件未显示在 vSphere Web Client 中,请重置 vSphere Web Client 服务器,如《NSX 升级指南》中所述。
- 无状态环境:在无状态主机环境中执行 NSX 升级时,新的 VIB 将在 NSX 升级过程中预先添加到主机映像配置文件。因此,无状态主机上的 NSX 升级过程遵循以下顺序:
在 NSX 6.2.0 之前,您只能在 NSX Manager 上通过单个 URL 找到适用于特定版本的 ESX 主机的 VIB。(这意味着管理员只需知道一个 URL,而不管使用的是哪种 NSX 版本。)在 NSX 6.2.0 和更高版本中,新的 NSX VIB 通过不同的 URL 提供。要找到合适的 VIB,您必须执行以下步骤:
- 从 https://<nsxmanager>/bin/vdn/nwfabric.properties 中找到新的 VIB URL。
- 从相应的 URL 获取所需 ESX 主机版本的 VIB。
- 将这些 VIB 添加到主机映像配置文件。
- 在使用 vSphere Client 7.0 的 NSX 6.4.7 UI 中,不支持服务定义功能:
例如,如果您在 vSphere 6.5 或 6.7 中注册了旧的 Trend Micro 服务定义,请按照以下两个选项之一进行操作:- 选项 1:在升级到 vSphere 7.0 之前,导航到 vSphere Web Client 中的服务定义选项卡,将服务定义编辑为 7.0,然后升级到 vSphere 7.0。
- 选项 2:升级到 vSphere 7.0 后,运行以下 NSX API 以添加服务定义 7.0 或将服务定义编辑为 7.0。
POST https://<nsmanager>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
NSX 组件的升级说明
NSX 组件支持虚拟机硬件版本 11
- 如果是新安装 NSX Data Center for vSphere 6.4.2,NSX 组件(Manager、Controller、Edge 和客户机侦测)将运行在虚拟机硬件版本 11 上。
- 如果是升级到 NSX Data Center for vSphere 6.4.2,NSX Edge 和客户机侦测组件会自动升级到虚拟机硬件版本 11。NSX Manager 和 NSX Controller 组件在升级后仍保留在虚拟机硬件版本 8 上。用户可以选择将虚拟机硬件升级到版本 11。有关升级虚拟机硬件版本的说明,请参阅知识库文章 (https://kb.vmware.com/s/article/1010675)。
- 如果是新安装 NSX 6.3.x、6.4.0 和 6.4.1,NSX 组件(Manager、Controller、Edge、客户机侦测)将运行在虚拟机硬件版本 8 上。
NSX Manager 升级
-
重要信息:如果您要将 NSX 6.2.0、6.2.1 或 6.2.2 升级到 NSX 6.3.5 或更高版本,则在开始升级之前,您必须完成一个解决办法。有关详细信息,请参见 VMware 知识库文章 000051624。
-
如果从 NSX 6.3.3 升级到 NSX 6.3.4 或更高版本,您必须先按照 VMware 知识库文章 2151719 中的解决办法说明进行操作。
-
如果使用 SFTP 进行 NSX 备份,请在升级到 6.3.0 或更高版本后更改为 hmac-sha2-256,因为不支持 hmac-sha1。有关支持的安全算法列表,请参见 VMware 知识库文章 2149282。
-
在将 NSX Manager 升级到 NSX 6.4.1 时,将在升级过程中自动创建备份并保存在本地。有关详细信息,请参见升级 NSX Manager。
-
升级到 NSX 6.4.0 时,会保留 TLS 设置。如果只启用了 TLS 1.0,您将能够在 vSphere Web Client 中查看 NSX 插件,但 NSX Manager 不可见。这不会影响数据路径,但您无法更改任何 NSX Manager 配置。登录到 NSX 设备管理 Web UI(网址为 https://nsx-mgr-ip/),并启用 TLS 1.1 和 TLS 1.2。这会重新引导 NSX Manager 设备。
控制器升级
- NSX Controller 集群必须包含三个控制器节点。如果少于三个控制器,您必须在开始升级之前添加控制器。请参见部署 NSX Controller 集群以了解相应的说明。
-
在 NSX 6.3.3 中,NSX Controller 的底层操作系统发生变化。这意味着,从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本而不是执行就地软件升级时,将每次删除一个现有的控制器,并使用相同的 IP 地址部署基于 Photon OS 的新控制器。
在删除控制器时,还会删除任何关联的 DRS 反关联性规则。您必须在 vCenter 中创建新的反关联性规则,以防止新的控制器虚拟机位于同一主机上。
有关控制器升级的详细信息,请参见升级 NSX Controller 集群。
主机集群升级
-
如果您从 NSX 6.3.2 或更低版本升级到 NSX 6.3.3 或更高版本,NSX VIB 名称会发生更改。
如果在 ESXi 6.0 或更高版本上安装了 NSX 6.3.3 或更高版本,esx-vxlan 和 esx-vsip VIB 将替换为 esx-nsxv。 -
主机上无重新引导的升级和卸载:在 vSphere 6.0 和更高版本上,从 NSX 6.2.x 升级到 NSX 6.3.x 或更高版本后,任何后续的 NSX VIB 更改都不需要重新引导,但主机必须进入维护模式才能完成 VIB 更改。这会同时影响 NSX 主机集群升级和 ESXi 升级。有关详细信息,请参见《NSX 升级指南》。
NSX Edge 升级
-
在 NSX 6.4.1 中添加了验证步骤,以禁止无效的分布式逻辑路由器配置:在配置了 VXLAN 且具有多个 vSphere Distributed Switch 的环境中,只能将分布式逻辑路由器接口连接到配置了 VXLAN 的 vSphere Distributed Switch。在这些环境中,如果 DLR 将接口连接到未配置 VXLAN 的 vSphere Distributed Switch,将 DLR 升级到 NSX 6.4.1 或更高版本将失败。使用 API 将任何配置不正确的接口连接到配置了 VXLAN 的 vSphere Distributed Switch 上的端口组。在有效配置后,再次尝试进行升级。您可以使用
PUT /api/4.0/edges/{edgeId}
或PUT /api/4.0/edges/{edgeId}/interfaces/{index}
更改接口配置。有关详细信息,请参见《NSX API 指南》。
-
在将 UDLR 从 6.2.7 升级到 6.4.5 之前,从 vCenter Server 中删除与辅助 NSX Manager 关联的 UDLR 控制虚拟机:
在多 vCenter 环境中,如果在 UDLR 控制虚拟机上启用了 HA,在将 NSX UDLR 从 6.2.7 升级到 6.4.5 时,辅助 NSX Manager 上的 UDLR 虚拟设备(UDLR 控制虚拟机)升级将会失败。在升级期间,将从 NSX 数据库中移除在 HA 对中具有 HA 索引 0 的虚拟机;但该虚拟机在 vCenter Server 上仍然存在。因此,在辅助 NSX Manager 上升级 UDLR 控制虚拟机时,升级失败,因为虚拟机名称与 vCenter Server 上的现有虚拟机发生冲突。要解决该问题,请从 vCenter Server 中删除与辅助 NSX Manager 上的 UDLR 关联的控制虚拟机,然后将 UDLR 从 6.2.7 升级到 6.4.5。 -
在升级 NSX Edge 设备之前,必须为 NSX 准备主机集群:从 6.3.0 开始,不再支持通过 VIX 通道在 NSX Manager 和 Edge 之间进行的管理平面通信。仅支持消息总线通道。从 NSX 6.2.x 或更低版本升级到 NSX 6.3.0 或更高版本时,您必须确认为 NSX 准备了部署 NSX Edge 设备的主机集群,并且消息基础架构状态为绿色。如果没有为 NSX 准备主机集群,NSX Edge 设备升级将失败。有关详细信息,请参见《NSX 升级指南》中的升级 NSX Edge。
-
升级 Edge 服务网关 (ESG):
从 NSX 6.2.5 开始,将在升级 NSX Edge 时执行资源预留。如果在资源不足的集群上启用 vSphere HA,由于违反 vSphere HA 限制,升级操作可能会失败。为了避免此类升级失败,请在升级 ESG 之前执行以下步骤:
如果在安装或升级时没有明确设置值,NSX Manager 将使用以下资源预留。
NSX Edge
规格大小CPU 预留 内存预留 精简 1000MHz 512 MB 中型 2000MHz 1024 MB 大型 4000MHz 2048 MB 超大型 6000MHz 8192 MB -
始终确保您的安装遵循为 vSphere HA 建议的最佳做法。请参见 VMware 知识库文章 1002080 文档。
-
使用 NSX 优化配置 API:
PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
确保 edgeVCpuReservationPercentage 和 edgeMemoryReservationPercentage 值在相应规格大小的可用资源范围内(请参见上表以了解默认值)。
-
-
在启用 vSphere HA 并部署 Edge 时,请禁用 vSphere 的虚拟机启动选项。在将 6.2.4 或更低版本的 NSX Edge 升级到 6.2.5 或更高版本后,您必须为已启用 vSphere HA 并部署 Edge 的集群中的每个 NSX Edge 禁用 vSphere 虚拟机启动选项。为此,请打开 vSphere Web Client,找到 NSX Edge 虚拟机所在的 ESXi 主机,单击“管理”>“设置”并在“虚拟机”下面选择“虚拟机启动/关机”,单击“编辑”并确保该虚拟机处于手动模式(即,确保该虚拟机未添加到自动启动/关机列表中)。
-
在升级到 NSX 6.2.5 或更高版本之前,确保所有的负载均衡器密码列表均以冒号分隔。如果密码列表使用逗号等其他分隔符,请对 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles 执行 PUT 调用,将 <clientssl> </clientssl> 和 <serverssl> </serverssl> 中的每个 <ciphers> </ciphers> 列表替换为以冒号分隔的列表。例如,请求正文中的相关分段可能类似于以下内容。对所有的应用程序配置文件重复此过程:
<applicationProfile> <name>https-profile</name> <insertXForwardedFor>false</insertXForwardedFor> <sslPassthrough>false</sslPassthrough> <template>HTTPS</template> <serverSslEnabled>true</serverSslEnabled> <clientSsl> <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers> <clientAuth>ignore</clientAuth> <serviceCertificate>certificate-4</serviceCertificate> </clientSsl> <serverSsl> <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers> <serviceCertificate>certificate-4</serviceCertificate> </serverSsl> ... </applicationProfile>
- 在早于 6.2.0 的 vROPs 版本中为负载均衡的客户端设置正确的密码版本:早于 6.2.0 的 vROPs 版本中的 vROPs 池成员使用 TLS 版本 1.0,因此,您必须在 NSX 负载均衡器配置中设置 "ssl-version=10" 以显式设置监控扩展值。请参见《NSX 管理指南》中的“创建服务监控器”以了解相应的说明。
{ "expected" : null, "extension" : "ssl-version=10", "send" : null, "maxRetries" : 2, "name" : "sm_vrops", "url" : "/suite-api/api/deployment/node/status", "timeout" : 5, "type" : "https", "receive" : null, "interval" : 60, "method" : "GET" }
-
升级到 NSX 6.4.6 后,DLR 上的 L2 网桥和接口无法连接到属于不同传输区域的逻辑交换机: 在 NSX 6.4.5 或更低版本中,分布式逻辑路由器 (DLR) 上的 L2 网桥实例和接口支持使用属于不同传输区域的逻辑交换机。从 NSX 6.4.6 开始,不支持此配置。DLR 上的 L2 网桥实例和接口必须连接到单个传输区域中的逻辑交换机。如果使用多个传输区域中的逻辑交换机,则在将 NSX 升级到 6.4.6 时的升级前验证检查期间,将会阻止 Edge 升级。要解决此 Edge 升级问题,请确保 DLR 上的网桥实例和接口连接到单个传输区域中的逻辑交换机。
-
升级到 NSX 6.4.7 后,DLR 上的网桥和接口无法连接到属于不同 VDS 的 dvPortGroup:如果存在此类配置,执行升级前验证检查时将阻止 NSX Manager 升级到 6.4.7。要解决此问题,请确保 DLR 的接口和 L2 网桥连接到单个 VDS。
-
升级到 NSX 6.4.7 后,如果 DLR 连接到的逻辑交换机的传输区域跨多个 VDS,则无法将 DLR 连接到支持 VLAN 的端口组:这是为了确保 DLR 实例与主机中的逻辑交换机 dvPortGroup 正确对齐。如果存在此类配置,执行升级前验证检查时将阻止 NSX Manager 升级到 6.4.7。要解决此问题,请确保没有逻辑接口连接到支持 VLAN 的端口组(如果属于跨多个 VDS 的传输区域的逻辑交换机存在逻辑接口)。
-
升级到 NSX 6.4.7 后,不同 DLR 的接口和 L2 网桥不能位于同一网络上:如果存在此类配置,执行升级前验证检查时将阻止 NSX Manager 升级到 6.4.7。要解决此问题,请确保仅在单个 DLR 中使用某一网络。
FIPS 的升级说明
从 NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在完成升级之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。
-
在 OS X Yosemite 和 OS X El Capitan 上支持的密码:如果在 OS X 10.11 (EL Capitan) 上使用 SSL VPN 客户端,您可以使用 AES128-GCM-SHA256、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA38、AES256-SHA 和 AES128-SHA 密码进行连接,使用 OS X 10.10 (Yosemite) 的客户端只能使用 AES256-SHA 和 AES128-SHA 进行连接。
-
在完成到 NSX 6.3.x 的升级之前,不要启用 FIPS。有关详细信息,请参见《NSX 升级指南》中的“了解 FIPS 模式和 NSX 升级”。
- 在启用 FIPS 之前,请确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见《VMware 兼容性指南》和相关的合作伙伴文档。
FIPS 合规性
如果配置正确,NSX 6.4 将对所有与安全相关的加密使用经由 FIPS 140-2 验证的加密模块。
注意:
- 控制器和集群 VPN:NSX Controller 使用 IPsec VPN 连接控制器集群。IPsec VPN 使用 VMware Linux 内核加密模块(VMware Photon OS 1.0 环境),目前正在对该模块进行 CMVP 验证。
- Edge IPsec VPN:NSX Edge IPsec VPN 使用 VMware Linux 内核加密模块(VMware NSX OS 4.4 环境),目前正在对该模块进行 CMVP 验证。
文档修订历史
2020 年 7 月 9 日:第一版。
2020 年 8 月 4 日:第二版。添加了已知问题 2614777。
2020 年 8 月 17 日:第三版。添加了已解决的问题 2306230。
已解决的问题
- 已修复问题 2445396 - 编辑负载均衡器池后单击“保存”时,负载均衡器池端口会被擦除。
编辑负载均衡器池后保存配置时,每个成员上的端口号均会被擦除。
- 已修复问题 2448235 - 升级到 NSX-v 6.4.6 后,可能无法使用协议、源端口和目标端口筛选防火墙规则。
您将无法使用协议、源端口和目标端口筛选器来筛选防火墙规则。
- 已修复问题 2306230:由于检测信号延迟,主机的消息基础架构关闭。
主机密码被重置。在断开连接期间,用户可能无法在主机上进行配置。
- 已修复问题 1859572 - 在 vCenter 6.0.0 版管理的 ESXi 主机上卸载 NSX VIB 6.3.x 版期间,主机仍处于维护模式。
如果在集群上卸载 NSX VIB 6.3.x 版,工作流包括将主机置于维护模式,卸载 VIB 以及 EAM 服务将主机退出维护模式。不过,如果此类主机由 vCenter Server 6.0.0 版进行管理,则会导致在卸载 VIB 后主机停滞在维护模式。负责卸载 VIB 的 EAM 服务将主机置于维护模式,但无法将主机退出维护模式。
- 已修复问题 2006028 - 如果在主机升级期间重新引导 vCenter Server 系统,主机升级可能会失败。
如果在主机升级期间重新引导关联的 vCenter Server 系统,主机升级可能会失败,并将主机置于维护模式。单击“解决”无法使主机退出维护模式。集群状态为“未就绪”。
- 已修复问题 2233029 - ESX 不支持 10K 路由。
ESX 不需要支持 10K 路由。按照设计,ESX 上的最大限制为 2K 路由。
- 已修复问题 2391153 - 在 vmknic dvportgroup 上执行 vCenter 操作后,NSX Manager 不会更新 vdn_vmknic_portgroup 和 vdn_cluster 表。
当您运行 PUT
https://nsx_manager_ip/api/2.0/nwfabric/configure
API 请求时,在 vmknic 分布式虚拟端口组上执行 vCenter 操作后,NSX Manager 不会更新 vdn_vmknic_portgroup 和 vdn_cluster 表。vCenter UI 仍显示旧的 VLAN ID。 - 已修复问题 2367906 - 在负载均衡器上为 HTTP 服务监控器配置“no-body”扩展时,NSX Edge 上的 CPU 占用率达到 100%。
当为 HTTP 服务监控器配置“no-body”扩展,而负载均衡器中使用的是“nagios”插件时,会出现此问题。负载均衡器会与所有后端服务器断开连接,并且会中断用户的请求。
- 已修复问题 2449643 - 将 NSX 从 6.4.1 升级到 6.4.6 后,vSphere Web Client 显示“无可用的 NSX Manager (No NSX Manager available)”错误。
在 vSphere Web Client 中,“防火墙”页面和“逻辑交换机”页面显示以下错误消息:
“无可用的 NSX Manager。请确认已在 NSX Manager 上为当前用户分配了角色 (No NSX Manager available. Verify current user has role assigned on NSX Manager)。”由于“防火墙”页面和“逻辑交换机”页面在 UI 中不可用,用户可能无法配置防火墙规则或创建逻辑交换机。此外,NSX API 需要很长时间才能响应。
在 /usr/nsx-webserver/logs/localhost_access_log 文件中,显示类似于以下内容的条目:
127.0.0.1 - - [27/Oct/2019:08:38:22 +0100] "GET /api/4.0/firewall/globalroot-0/config HTTP/1.1" 200 1514314 91262
127.0.0.1 - - [27/Oct/2019:08:43:21 +0100] "GET /api/4.0/firewall/globalroot-0/config HTTP/1.1" 200 1514314 90832
127.0.0.1 - - [27/Oct/2019:11:07:39 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 264142
127.0.0.1 - - [27/Oct/2019:11:07:40 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 265023
127.0.0.1 - - [27/Oct/2019:11:07:40 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 265265 - 已修复问题 2551523 - 从 NSX 6.3.6 升级到 NSX 6.4.6 后,如果新规则中包含由四个零构成的 IP (0.0.0.0/0),则新规则发布可能会失败。
无法发布源或目标中包含 IP 地址 0.0.0.0/0 的防火墙规则。
- 已修复问题 2536058 - NSX Manager 中 get flowstats API 的响应时间较长。
查询防火墙配置和 IPSet 时,这些 API 的响应时间较长。
- 已修复问题 2513773 - 在会话中移除 IDFW 规则对应的安全组后,IDFW 规则不会应用到 VDI。
由于移除了附加到 IDFW 规则的安全组,VDI 会话会被随机丢弃。
- 已修复问题 2509224 - HA 模式下 NSX Edge 中的流量表过大,导致连接中断。
从备用 NSX Edge 同步到活动 NSX Edge 的连接跟踪表过大,导致新连接中断。
- 已修复问题 2502739 - NSX Manager 中防火墙和 IPSet API 的响应时间较长。
查询防火墙配置和 IPSet 时,这些 API 的响应时间较长。
- 已修复问题 2498988 - 查询分组对象时响应时间较长。
查询分组对象时,这些 API 的响应时间较长。
- 已修复问题 2458746 - LIF 配置不受支持,导致多个主机出现 PSOD 问题。
为避免在不同的 DLR 中添加重复的 LIF,已实施主机验证。
- 已修复问题 2452833 - 如果在两个不同的 DLR 中将同一个 VXLAN 分别用于桥接和充当 LIF,则为 DLR 控制虚拟机提供服务的 ESXi 主机可能会遇到 PSOD 问题。
如果将同一个虚拟线路分别用于桥接和充当 LIF,则为 DLR 控制虚拟机提供服务的 ESXi 可能会出现 PSOD 问题。
- 已修复问题 2451586 - 将 NSX 升级到 6.4.6 后,LB 应用程序规则无法正常使用。
当 HTTP(s) 后端服务器作为 NSX Edge 的一部分位于 NSX 负载均衡器后面时,客户端将通过负载均衡器与后端服务器进行通信。负载均衡器以小写形式发送标头,而服务器实际上是以驼峰式大小写形式发送标头的。
- 已修复问题 2448449 - 升级到 NSX for vSphere 6.4.6 后,使用 req_ssl_sni 配置的应用程序规则可能会失败并出现解析错误。
升级到 NSX for vSphere 6.4.6 时,如果负载均衡器配置了 sni 相关规则,您可能会遇到升级失败问题;或者当您在此版本中创建或配置新的 sni 相关规则时,您可能会遇到创建相关规则失败问题。
- 已修复问题 2444275 - 启用“虚拟基础架构延迟”功能后,主机将出现 PSOD 问题。
在每个主机都有 975 个以上 BFD 隧道的环境中,如果在 VRNI 上启用“虚拟基础架构延迟”功能,则 ESXi 主机会出现 PSOD 问题。在大型环境中,如果启用延迟,ESXi 主机将出现 PSOD 问题。
- 已修复问题 2493095 - UI 和数据库中移除了对 DFW 中逗号分隔 IP 列表的支持。
从先前版本的 NSX-v 升级到 NSX-v 6.4.6 后,移除了 DFW 中的逗号分隔 IP。现有防火墙配置中具有逗号分隔 IP 地址的用户无法更新此配置。
- 已修复问题 2459936 - 无法使用具有网络(0.0.0.0/1 和 128.0.0.0/1)的静态路由将网络拆分为两个部分。
NSX 6.4.0 到 6.4.6 只允许使用具有 0.0.0.0/0 网络的静态路由。从 NSX 6.4.7 开始,允许添加静态路由网络 0.0.0.0/x,其中 0 <= x <= 32。
- 已修复问题 2430886:NSX Manager 数据库中显示的已禁用集群的主机状态不正确。
即使集群启用了防火墙,“主机准备”页面仍会将防火墙状态显示为“错误”。
- 已修复问题 2383382:在 NSX Manager CLI 上的默认命令列表中,delete 命令显示不正确的帮助信息。
delete 命令的帮助信息显示为“显示正在运行的系统信息 (Show running system information)”。
- 已修复问题 2407662:ESXi 主机和 vCenter Server 同时重新启动时,客户机侦测服务无法正常运行。
重新启动 ESXi 主机后,或者在 vCenter 未运行的情况下手动打开 GI 虚拟机电源时,客户机侦测服务状态不是绿色。
“/usr/local/usvmmgmt/logs/eventmanager.log”中显示以下错误消息:
ERROR taskScheduler-4 PasswordChangeHelper:139 - Cmd does not exit normally, exit value = 1
- 已修复问题 2410743:将 DLR 的逻辑接口连接到多个 vSphere Distributed Switch 的 dvPortGroup 会导致某些逻辑接口上的流量中断。
某些逻辑接口上的流量无法正常传输。主机显示逻辑接口连接到错误的 vSphere Distributed Switch。
- 已修复问题 2413213:未调度清除任务,ai_useripmap 表增加。
未清理“ai_useripmap”表。
- 已修复问题 2430753:创建 IP 池时,如果在网关 IP 地址中添加了额外的空格,则 ESXi 主机不会为 VTEP 创建网关 IP。
VTEP 到 VTEP 的连接会因 IP 池配置中缺少网关而中断。
- 已修复问题 2438649:主机上的某些分布式逻辑路由器丢失其所有逻辑接口。
由于 DLR 上缺少逻辑接口,虚拟机与 DLR 断开连接。
- 已修复问题 2439627:升级 NSX Manager 后,无法将 muxconfig.xml 文件获取到 ESXi 主机。
客户机侦测服务不可用。所有主机的 GI 服务状态显示以下警告消息:
客户机侦测服务尚未就绪 (Guest Introspection service not ready)。
- 已修复问题 2440903:使用 NSX Edge 的 NSX 集中式 CLI 时,显示来自被动 Edge 的数据。
NSX Edge 的 NSX 集中式 CLI 输出可能来自错误的 Edge 虚拟机。
- 已修复问题 2445183、2454653:替换 NSX Manager 设备的 SSL 证书后,NSX Manager 在 vSphere 清单中不可用。
vSphere Client 中显示以下错误消息:
没有可用的 NSX Manager。请确认已在 NSX Manager 上为当前用户分配了角色 (No NSX Managers available. Verify current user has role assigned on NSX Manager)。
- 已修复问题 2446265:在检索排除的虚拟机列表时,vSphere Web Client 将 vCenter GUID 作为 API 调用中的空值发送。
在 vSphere Web Client 中,单击添加按钮以在排除列表中添加新成员(虚拟机)时,将在 UI 中加载完整的数据之前显示以下错误消息:
无法与 vCenter Server 通信 (Failed to communicate with vCenter Server)。
“添加排除的成员”对话框无法正确显示。
- 已修复问题 2447697:由于配置和回滚失败,NSX Edge 进入错误状态。
配置失败后,Edge 变得可管理。
- 已修复问题 2453083:vnvp_vdr_instance 表中的失效条目导致 DLR 配置更新失败,并导致主机上没有逻辑接口。
流量中断。尝试重新部署、同步或升级 DLR 失败。
- 已修复问题 2460987:服务虚拟机获取标记了优先级的帧。
设置了 dot1p 位的上行链路上的 VXLAN 封装帧导致 SVM 接收标记了优先级的帧。数据包在 SVM 端口被丢弃。
- 已修复问题 2461125:在 NSX 系统仪表板页面上,为 UDLR 显示的 BGP 邻居计数不正确。
出现此问题的原因是,edge_service_config 表中的路由功能存在多个条目。
- 已修复问题 2465697:当 NSX Manager 版本为 6.4.x 且 NSX Controller 版本为 6.3.x 时,控制器部署失败
将 NSX Manager 从 6.3.x 升级到 6.4.x 后,在将 NSX Controller 升级到 6.4.x 之前,如果部署 6.3.x NSX Controller,部署将失败,因为在 6.3.x 中不支持 Syslog 服务器。
- 已修复问题 2465720:更新 Edge-A 的 Edge 虚拟设备时,Edge-B 的虚拟设备也会意外更新。
Edge-A 和 Edge-B 都进入重新部署状态。由于对其他 Edge 设备进行了不需要或意外的更改,可能会出现多个问题,如网络延迟、对业务服务造成影响等。
- 已修复问题 2467360:由于 NSX 清单中不存在虚拟机,客户机侦测服务停滞在警告状态。
由于在端点运行状况监控期间找不到虚拟机,客户机侦测服务停滞在警告状态。由 Mux 发送的运行状况 XML 中包含的虚拟机在 NSX 清单中不存在。
- 已修复问题 2468786:Active Directory 同步之前的可疑中断导致数据库出现完整性问题(ai_group 具有空的 primary_id),并阻止所有未来的 Active Directory 同步,从而导致未来更新在 NSX 中不可见。
Active Directory 同步持续失败,NSX 检测不到未来的 Active Directory 更改。虽然现有的防火墙规则适用于现有用户和组,但是 NSX 检测不到 Active Directory 更改。用户看不到新创建的 Active Directory 组或任何其他 Active Directory 更改,例如,新用户、已删除的用户、在 Active Directory 组中添加或移除的用户等等。
- 已修复问题 2470918:与“show ip bgp *”相关的 CLI 命令生成核心转储。
在路由守护进程重新启动之前,路由会被删除。这会导致服务中断,直到再次添加路由为止。
- 已修复问题 2475392:当同一逻辑交换机在两个不同的 DLR 中用作网桥和逻辑接口时,在具有网桥的 DLR 的控制虚拟机所在的主机上可能会发生 PSOD 问题。
如果在第一个 DLR 上的挂起作业完成之前在第二个 DLR 上进行了配置,则可能会形成此类配置。在发生紫屏死机 (PSOD) 之前,vsm.log 文件中将显示以下错误消息:
无法将两个 Edge Distributed Router Edge-A 和 Edge-B 连接到同一网络 virtualwire-x (Cannot connect two Edge Distributed Routers edge-A and edge-B to the same network virtualwire-x)。
- 已修复问题 2478262:即使控制器通信正常,“show host <host-id> health-status”命令也会显示严重状态。
此命令显示的运行状况为误报。对功能没有任何影响。
- 已修复问题 2479599:vserrdd 进程使 CPU 使用率达到饱和状态。
CPU 已达到饱和状态,这可能会影响其他进程。
- 已修复问题 2480450:ESXi 主机的堆内存不足时,错误路径中出现错误。
ESXi 主机在不适当的时候出现堆内存不足时,可能会发生 PSOD 问题。
- 已修复问题 2488759:执行 Storage vMotion 期间,NSX Manager 数据库中的数据存储路径不正确。
Mux 反复崩溃,并且客户机操作系统频繁停止。
- 已修复问题 2491042:postgres 进程导致 NSX Manager 上的 CPU 负载高。
根据 top 命令显示,postgres 进程占用了几乎全部 CPU 资源。
- 已修复问题 2491749:重新传输的 SYN 数据包在 TCP 状态计算机跟踪代码中并不总是能够正确处理。
重新传输的 SYN 数据包可能会导致后续数据包丢失,具体取决于序列号。
- 已修复问题 2491914:使用网络可扩展性 (NetX) 时,在执行 vMotion 后,TCP 建立的会话不遵守状态超时。
对使用 NetX 的状态执行 vMotion 后,尽管 TCP 会话继续执行,但空闲定时器将启动并在 12 小时后终止。TCP 会话将意外终止,并且流量中断。
- 已修复问题 2499225:分布式逻辑路由器上的 DHCP 中继无法正确传输广播。
当客户机发送设置了广播位的 DHCP 发现或请求消息时,DLR 上的 DHCP 中继不会将响应数据包作为广播发送。这可能会导致某些客户机接收不到响应数据包。
- 已修复问题 2503002:虽然 DFW 发布操作超时,但规则仍处于已发布状态。
在具有大量 DFW 规则的大规模环境中会出现此问题。DFW 页面在 UI 中加载缓慢。localhost_access_log.txt 文件显示防火墙发布 API 用时超过 2 分钟。DFW 规则配置由 API 发布。但是,在 UI 中显示超时消息。
- 已修复问题 2506402:Edge UI 和虚拟机上的 CLI 显示的并发连接数存在差异。
从 NSX 6.4.0 起,快速 HA 切换的增强功能会将活动 Edge 节点中的流量同步到备用 Edge 节点。这会导致 Edge 接口统计信息显示双倍数据。
- 已修复问题 2510798:部署 NSX Edge 后,无法编辑其“描述”字段。
部署 Edge 后,无法从 UI 和 API 编辑“描述”字段。
- 已修复问题 2524239:无法在 Syslog 服务器上打印 BFD 状态更改日志。
BFD 状态更改日志打印为不完整的消息,并且 Syslog 服务器无法接收该日志。
- 已修复问题 2531966:防火墙规则发布操作导致 vCenter 超时。
当防火墙配置达到 7000 个以上的规则时,添加或删除防火墙规则区域会导致 vCenter 和 NSX Manager 通信超时。
- 已修复问题 2541643:清除任务不会处理调度类型为 FIXED_DATE 的作业。
由于磁盘空间低或内存消耗高,系统速度可能会减慢。与作业相关的表包含大量记录。
- 已修复问题 2544344:无法使用向其分配了管理员特权的非管理员用户创建 GRE 隧道。
分配有完全企业管理员特权的非管理员用户无法创建 GRE 隧道。但是,管理员可以创建 GRE 隧道。
- 已修复问题 2554069:NSX Edge 上的负载均衡器在 NSX 6.4.6 中崩溃。
分段出现故障后,HAProxy 服务频繁重新启动。
- 已修复问题 2556706:无法为 NSX Controller 上的某些配置指定本地 FQDN。
在 NSX Controller syslog API 中,如果将本地地址指定为 FQDN,配置会失败。
- 已修复问题 2560152:在 NSX 准备的集群中导出主机日志包时,ESXi 主机上发生 PSOD 问题。
当逻辑交换机上存在超过 100 个 VTEP 时,会出现此问题。将在 /var/core 中生成 VMkernel zdump。
- 已修复问题 2560422:UI 在虚拟机“排除列表”页面上显示的数据不正确。
UI 会执行多个 API 调用来检索排除列表。数据在 UI 中的“排除列表”页面上加载缓慢。该页面可能仅在网格中显示部分排除列表。
- 已修复问题 2561009:大量用户尝试使用单个用户凭据登录时,SSL VPN 服务器守护进程崩溃。
SSL VPN 守护进程会崩溃并重新启动。
- 已修复问题 2566512:NSX Edge 防火墙不支持使用 IGMP 成员资格查询、报告和 Leave 配置的防火墙规则。
NSX Edge 设备尚不支持 IGMP Leave 和成员资格服务。
- 已修复问题 2567085:由于规则命中计数处理,VSFWD 进程可能会崩溃。
主机上显示的 VSFWD 核心文件的回溯追踪指向规则命中处理。VSFWD 进程崩溃后,VSFWD 监视程序会自动重新启动该进程。
- 已修复问题 2444941、2574374:在大规模 NSX 环境中,启用延迟后,ESXi 主机上会发生 PSOD 问题。
启用 BFD 后,将启用网络延迟测量。BFD 会话数量超过 975 个时,可能会发生 PSOD 问题。
- 已修复问题 2586872:用户尝试从 SSL VPN 客户端更改密码时,SSL VPN 服务器守护进程崩溃,并且找不到该会话。
SSL VPN 守护进程会崩溃并重新启动。所有现有 SSL VPN 会话都将终止,且必须重新启动。所有 SSL VPN 客户端都将断开其会话,且必须重新登录到 SSL VPN 服务器。
- 已修复问题 2358130:启用全局地址集后执行 vMotion 导出时,表不会迁移到目标主机。
vMotion 操作可能会成功完成,但目标主机上将不存在表,直到从管理平面发布配置为止。
在源主机上的 vmkernel.log 文件中,将显示以下消息:
创建 tbl 失败: -1 (Create tbl failed: -1)
- 已修复问题 2382346:使用 UI 添加 WIN2K8 事件日志服务器后,事件日志服务器被错误地检测为 WIN2K3。
身份防火墙 (IDFW) 功能损坏。
- 已修复问题 2397810:当 NSX Manager UI 中的区域设置设为美国英语 (en_US),且浏览器区域设置设为法语时,syslog 中的某些字段会错误地用法语进行记录。
对防火墙规则所做的更改会用法语记录在 Syslog 服务器上,而不是用英语进行记录。
- 已修复问题 2417536:当系统中的每个虚拟机具有多个 vNIC 时,将资源池作为成员的安全组的 IP 转换会占用大量内存和 CPU。
高 CPU 使用率会导致 NSX Manager 频繁重新启动。
- 已修复问题 2449644:NSX Manager 作业队列过载。
无法在 Hypervisor 上实现管理平面操作。
- 已修复问题 2459817:NSX 清单同步反复失败。
在 vCenter 中对不同的虚拟机检测到相似的实例 UUID。这导致为不同的 vNIC 生成相同的 vNIC ID。用户应该能在 vsm.log 文件中检测到此问题。
例如,vsm.log 文件中会显示以下信息性消息:
INFO ViInventoryThread VimVnic:159 - - [nsxv@6876 comp="nsx-manager" level="INFO" subcomp="manager"] Existing portgroupId : null , New portgroupId : dvportgroup-40 << indicate network change INFO ViInventoryThread VimVnic:217 - - [nsxv@6876 comp="nsx-manager" level="INFO" subcomp="manager"] network id : dvportgroup-40 , vnic id : 501c0ab1-e03c-b3ee-b662-9fd4649005d4.000 <= vnic id derived from instance uuid 501c0ab1-e03c-b3ee-b662-9fd4649005d4.
- 已修复问题 2462523:虚拟机流量中出现高延迟。
大量 NSX 配置变动会导致虚拟机上出现延迟。当有大量配置到达 Hypervisor 时,本地控制平面会尝试配置数据路径,这会暂时阻止流量,从而导致延迟。配置的变动可能是由于在组中使用虚拟机的数据中心内持续打开或关闭这些虚拟机的电源所导致。
为缓解此问题,请启用全局地址集,该设置会将 Hypervisor 上的配置减少为只有一个实例,而不是每个筛选器一个实例。或者,将筛选器数量保持在大约 25 个到 40 个。
- 已修复问题 2535292:由于管理平面验证,不接受大于 /64 的 IPv6 CIDR。
防火墙规则在规则定义的源或目标中包含前缀大于 /64 的 IPv6 CIDR 时会失败。
- 已修复问题 2214872:在 vSphere Update Manager 和 ESX Agent Manager 集成过程中,EAM 使用 http URL 调用 VUM ImportFile API,VUM 从该 URL 下载包。
VUM FileUploadManagerImpl::ImportFile() API 仅可与包含扩展名或至少包含“.”的 URL 配合使用。如果不满足此条件,GetUrlFileNameExtension() 方法将引发异常。NSX-v“主机准备”选项卡中与集群对应的 vSphere EAM 代理会显示为失败。
已知问题
已知问题分为以下几类。
安装和升级已知问题升级之前,请阅读本文档前文的升级说明一节。
- 问题 1263858 - SSL VPN 不会向远程客户端发送升级通知
SSL VPN 网关不向用户发送升级通知。管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并通知用户必须更新其客户端。
解决办法:用户需要手动卸载旧版本的客户端并安装最新版本。
- 问题 2429861 - 升级到 NSX-v 6.4.6 后,vRNI UI 上不显示 end2end 延迟。
vRNI 4.2 和 vRNI 5.0 的 vRNI 互操作性导致 end2end 延迟与中断。
解决办法:将 vRNI 升级到 5.0.0-P2。
- 问题 2417029:NSX Manager 数据库中域对象的路径不正确。
- NSX Edge 升级或重新部署失败,并显示以下错误消息:
需要为网络结构准备集群/ResourcePool resgroup-XXX 才能升级 Edge Edge-XX (Cluster/ResourcePool resgroup-XXX needs to be prepared for network fabric to upgrade edge edge-XX)。
- 在“添加控制器”对话框中,文件夹下拉列表不显示所有虚拟机文件夹。
- 一个或多个集群可能导致“未就绪”状态。
解决办法:有关此问题的解决办法,请联系 VMware 技术支持团队。
- 问题 2238989:升级 ESXi 主机上的 vSphere Distributed Switch 后,VDS 的软件 RSS 功能不起作用。
在启用了软件接收方调整 (SoftRSS) 的主机中,com.vmware.net.vdr.softrss VDS 属性不会在 VDS 升级后还原。这会导致 SoftRSS 被禁用。/var/run/log/vmkernel.log 文件会显示与 softrss 属性配置相关的错误。
解决办法:
在升级 VDS 之前,移除 softrss 属性,然后在 VDS 升级后重新对其进行配置。
- 问题 2107188:当 VDS 交换机的名称中包含非 ASCII 字符时,ESXi 主机上的 NSX VIB 升级失败。
/var/run/log/esxupdate.log 文件会显示升级状态。
解决办法:
将 VDS 名称改为使用 ASCII 字符,然后再次升级。
- 问题 2590902:升级到 NSX 6.4.7 后,如果将静态 IPv6 地址分配给 IPv6 网络上的工作负载虚拟机,这些虚拟机将无法对 Edge 的 IPv6 网关接口执行 ping 操作。
将 vSphere Distributed Switch 从 6.x 升级到 7.0 后会出现此问题。
解决办法 1:
选择所有主机连接的 VDS,转到“编辑”设置,然后在“多播”选项下切换到基本。
解决办法 2:
在 Edge 防火墙上添加以下规则:
- ping 允许规则。
- 多播侦听器发现 (MLD) 允许规则,即 icmp6,类型 130 (v1) 和类型 143 (v2)。
- 在 vSphere Web Client 中,当打开一个与 HTML 视图重叠的 Flex 组件时,该视图将变得不可见。
在打开菜单或对话框之类的 Flex 组件时,如果该组件与 HTML 视图重叠,该视图会暂时隐藏起来。
(参考:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)解决办法:无。
- 问题 2543977:分布式防火墙 IPFIX 收集器无法查看来自 UDP 端口 137 或 138 的流量。
在 DFW 上启用 IPFIX 后,主机不会发送端口 137 或 138 的 NetBIOS 流量。
解决办法:
使用 vSphere Client 或 NSX REST API 从流量排除中移除已排除的端口 137 或 138。
- 问题 2302171、2590010:在 vSphere Distributed Switch 上启用 IPFIX 且采样率为 100% 时,吞吐量会下降。
数据路径性能会降低,并且数据路径上的吞吐量会减少到网络通道带宽限制的一半。
解决办法:将采样率设置为小于 10%。
- 问题 2574333:为 NAT 配置了 8000 个规则时,Edge vNIC 配置用时超过两分钟。
vSphere Client 显示 NSX Manager 不可用。UI 在两分钟后超时。vNIC 配置在 2 到 3 分钟内成功完成。
解决办法:无
- 问题 2443830:使用 ixgben 网卡驱动程序时,VXLAN 网络上的数据路径性能降低。
VXLAN 网络上的吞吐量减少。
解决办法:
- 在 ESXi 主机上运行以下命令:
esxcli system module parameters set -p "RSS=1,1" -m ixgben
- 重新启动主机。
- 问题 2547022:如果在子 Active Directory 组中添加新的 Active Directory 用户,该用户不会包含在基于父 Active Directory 组的安全组中。
基于父 Active Directory 的安全组中没有该用户。
解决办法:
添加基于子 Active Directory 组的安全组。
- 问题 2614777:如果规则包含两个服务端口/服务端口范围重叠的服务,则 DFW 规则发布将失败。
DFW 规则发布失败。
解决办法:有关详细信息,请参见 VMware 知识库文章 80238。
- 问题 1993241:不支持使用静态路由的 IPSec 隧道冗余
如果主隧道发生故障,IPSec 流量将无法成功传输,从而导致流量中断。这是从 NSX 6.4.2 起便存在的已知问题。
解决办法:禁用后再启用此服务。
- 问题 2430805、2576416:DLR 实例发送到所有连接到 VDS 的 NSX 准备的主机。
出现涉及 VLAN 指定实例的问题。当 VLAN 指定的实例放置在无效的主机上时,VLAN 流量会中断。
解决办法:
- 使用相同的 VDS 在 NSX 准备的主机上配置 VXLAN。
- 重新引导主机,以便主机获取新配置。
- 问题 2576294:当 DLR 上的逻辑接口连接到多个 VDS 时,如果主机属于两个 VXLAN VDS,逻辑接口会连接到主机上的错误 VDS。
如果在配置错误的状态中强制同步或重新部署 DLR,则所有 DLR 逻辑接口都将连接到错误的 VDS。此外,所有新 DLR 的逻辑接口也会连接到主机上的错误 VDS。数据路径流量会中断。
解决办法:
- 移除不用于集群的 VXLAN 准备的第二个 VDS。
- 根据主机配置的当前状态,重新部署、强制同步或同步路由服务以更正主机上的配置。
- 问题 2582197:如果为 NSX Edge 接口配置了 /32 子网掩码,路由表或转发表中不会显示连接的路由。
传输到该接口的流量可能仍然有效,但需要静态路由才能到达任何对等方。用户不能将接口与 /32 子网掩码结合使用。如果使用任何其他子网掩码,则不会出现问题。
解决办法:使用除 /32 以外的任何其他子网掩码。
- 问题 2594802:在服务编排中,用户无法使用“管理优先级”对话框将安全策略移至第 200 个位置之后。
在 NSX 6.4.3 及更高版本中,仅当存在超过 200 个安全策略时,才会出现此问题。由于管理优先级对话框仅显示前 200 个策略,因此,用户无法将安全策略移至第 200 个位置之后。
解决办法:
确定安全策略的权重,以便可以将安全策略移至该特定排名。例如,假设排名 300 的权重为 1000,排名 301 的权重为 1200。要将安全策略移至 301,请为权重提供 1100(即,一个介于 1200 和 1100 之间的数字)。
执行以下步骤:
- 打开编辑安全策略对话框。
- 将安全策略的权重编辑为 1100,以便可以将其移至 301 位置。
- 单击完成。
- 查看策略已移至 301 位置。
- 问题 2395158:将企业管理员角色分配给 Active Directory 组后,防火墙区域呈灰显状态。
如果通过导航到用户和域 > 用户 > 身份用户 > 指定 vCenter 组,将企业管理员角色分配给 Active Directory 组,当属于 Active Directory 组的用户登录并锁定防火墙区域时,在刷新页面后,锁定的区域会对这些用户呈灰显状态。
解决办法:
不要将企业管理员角色分配给 Active Directory 组,而是将此角色直接分配给用户,方法是导航到用户和域 > 用户 > 身份用户 > 指定 vCenter 用户。
- 问题 2444677:通过 IPSec VPN 隧道上的 L2 VPN 传输大型文件时,NSX Edge 上出现内核严重错误。
当 MTU 设置为 1500 字节时,会出现此错误。
解决办法:
将 MTU 设置为 1600 字节。
- 问题 2574260:更新现有的逻辑交换机配置以允许使用客户机 VLAN(虚拟客户机标记或 802.1q VLAN 标记)不会产生预期结果。
与逻辑交换机关联的 VDS 端口组不会相应地进行更新。
解决办法:无
- 问题 2562965:保存 DFW 规则配置时,“保存”按钮会旋转几分钟,最后 UI 会引发错误。
vSphere Client 中显示以下错误消息:
没有可用的 NSX Manager。请确认已在 NSX Manager 上为当前用户分配了角色 (No NSX Managers Available. Verify current user has role assigned on NSX Manager)。
仅当保存 DFW 规则配置时,才会出现此问题。对发布 DFW 规则没有任何影响。
解决办法:无
- 问题 2595144:在 NSX 6.4.6 中,当活动接口计数为 6 或更多时,大型 Edge 内存利用率超过 90%。
在 NSX 6.4.6 及更高版本中会出现此问题,因为在大型 Edge 上已将接收环缓冲区大小更改为 4096。
- 当接口计数为 6 或更多时,NSX Edge 会报告高内存利用率。
- 在 NSX Edge 虚拟机上,top -H 命令输出显示正常的用户空间利用率。
- slabtop -o 命令输出显示 skbuff_head_cache 的对象计数超过 100,000。
解决办法:有关此问题的解决办法,请联系 VMware 技术支持团队。
- 问题 2586381:由于存在多个规模问题,VMware Integrated Openstack (VIO) 与 NSX 6.4.7 不兼容。
NSX 6.4.7 不支持与 VIO 的互操作性。
解决办法:无