VMware NSX Intelligence 1.0.0   |  2019 年 9 月 19 日  

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

简介

VMware NSX® Intelligence™ 是 VMware NSX-T Data Center 2.5 版本引入的新 NSX 分析组件。NSX Intelligence 通过 NSX Manager 中的单一管理窗格提供用户界面,并提供下列功能:

  • 针对环境内工作负载的近乎实时的流量信息。
  • NSX Intelligence 可将实时流量或历史流量、用户配置和工作负载清单关联在一起。
  • 支持查看有关流量、用户配置和工作负载清单的以往信息。
  • 通过提供防火墙规则、分组和服务建议自动执行微分段规划。

兼容性和系统要求

有关兼容性和系统要求的信息,请参见安装和升级 VMware NSX Intelligence 文档。

API 和 CLI 资源

有关 NSX Intelligence REST API 和 CLI 资源的可用信息,请参见 code.vmware.com 中的 NSX-T Data Center REST API 或 NSX-T Data Center CLI

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 4 月 7 日。使用 VMware NSX-T Data Center 2.5.0 发行说明中所包含的“已知问题”信息,创建了这份单独的 NSX Intelligence 1.0.0 发行说明。 
2021 年 4 月 20 日。移除了没有已知解决办法且属于极端情况的非灾难性已知问题。

已知问题

已知问题分为以下几类。

NSX Intelligence 已知问题
  • 问题 2410806 - 发布生成的建议失败,出现引用限制总数 500 的异常。

    如果建议的组中的成员(IP 地址或虚拟机)总数超过 500,那么将生成的建议发布到策略配置中的过程将失败,并显示异常消息,如“IPAdressExpressions、MACAddressExpressions、PathExpression 中的路径和 ExternalIDExpression 中的外部标识总数不应超过 500”。

    解决办法:如果出现有超过 500 个客户端正在连接到应用程序虚拟机或负载均衡器的情况,您可以创建规则以对应用程序负载均衡器的访问权进行微分段,然后选择应用程序虚拟机以启动建议发现。或者,您可以将超过 500 个成员的组细分为多个较小的组。

  • 问题 2362865 - 对于默认规则无法按规则名称筛选。

    安全规划和故障排除 > 发现并执行操作页面上发现此问题,它仅影响由连接策略创建的规则。此问题是由于缺少基于指定连接策略的默认策略所导致的。可以在管理平面上创建默认规则,但如果没有相应的默认策略,用户就无法基于该默认规则进行筛选。(流量可视化的筛选器使用规则名称按命中该规则的流量进行筛选。)

    解决办法:请勿应用规则名称筛选器。改为选中“不受保护”标记。此配置将包含命中默认规则的流量,以及命中指定了“任意”源和“任意”目标的任意规则的流量。

  • 问题 2385599 - 在 NSX-T Intelligence 建议中不支持静态 IP 组。

    在 NSX-T 清单中无法识别的虚拟机和工作负载(如果它们具有内部网 IP 地址)可能仍作为一组静态 IP 而受到建议的影响,包括包含这些组的建议定义规则。但是,NSX Intelligence 不支持此类组,因此可视化功能会将发送给它们的流量显示为发送目标“未知”,而不是建议组。

    解决办法:无。但是,建议可以正常运行。这是一个显示问题。

  • 问题 2374229 - NSX Intelligence 设备的磁盘空间不足。

    NSX Intelligence 设备的默认数据保留期为 30 天。如果流数据量大于 30 天内预期数据量,那么设备可能提前出现磁盘空间不足,并且导致部分或完全不可运行。

    解决办法:可通过监控 NSX Intelligence 设备的磁盘使用情况来防止或缓解此问题。如果磁盘使用率较高,表明空间可能不足,那么可以修改数据保留期,缩短其天数。

    1. 通过 SSH 连接到 NSX Intelligence 设备,并访问 /opt/vmware/pace/druid-config/druid_data_retention.properties 文件。
    2. 找到 correlated_flow 设置,并将其更改为低于 30 天的值。例如:correlated_flow=P14D
    3. 运行以下命令来保存该文件并应用更改:
      /opt/vmware/pace/druid-config/druid-config-data-retention.sh
      注意:物理删除数据最多可能需要两小时的时间。
  • 问题 2389691 - 发布建议作业失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    如果您尝试发布单个建议作业并且其中包含超过 2,000 个对象,那么该作业将失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    解决办法:在建议作业中将对象数量降低到小于 2,000,然后重试发布。

  • 问题 2376389 - 在中等规模的设置中,虚拟机被错误标记为“在过去 24 小时内”已删除。

    从计算管理器断开传输节点的连接或者移除传输节点后,NSX Intelligence 将先前虚拟机显示为已删除,并使用新虚拟机取而代之。此问题是由于 NSX Intelligence 跟踪 NSX 数据库中的清单更新而导致的,此行为反应了清单是如何处理从计算管理器断开传输节点连接的。这不影响 NSX Intelligence 中的活动虚拟机总数,但在 NSX Intelligence 中会出现重复的虚拟机。

    解决办法:不需要采取任何措施。根据所选时间间隔,最终会从界面中移除重复的虚拟机。

  • 问题 2393240 - 发现从虚拟机到 IP 地址的额外流量。

    客户会看到从虚拟机到 IP-xxxx 的额外流量。这是由于在创建流量后,来自 NSX Policy Manager 的配置数据(组、虚拟机和服务)到达 NSX Intelligence 设备而产生的。因此,先前流量无法与配置关联,因为它在流量透视图中并不存在。由于流量无法正常关联,在流量查找期间,它会默认为其虚拟机的 IP-xxxx。同步配置后即可显示实际虚拟机流量。

    解决办法:修改时间范围以排除要查看的流量。

  • 问题 2372657 - 虚拟机/组关系和组/组流量关联暂时显示不正确。

    如果部署 NSX Intelligence 设备时在数据中心内存在运行的流量,那么虚拟机/组关系和组/组流量关联会暂时显示不正确。具体来说,在这段时间内,以下元素可能显示不正确:

    • 虚拟机错误归属于“未分类”组。
    • 虚拟机错误归属于“未知”组。
    • 可能会错误显示两个组之间的关联流量。

    当 NSX Intelligence 设备部署时间超过用户选定的可视化时间段并完成部署后,这些错误将自行纠正。

    解决办法:无。如果用户在部署 NSX Intelligence 设备期间退出可视化时间段,则不会显示该问题。

  • 问题 2366630 - 部署 NSX Intelligence 设备时,传输节点删除操作可能会失败。

    如果在部署 NSX Intelligence 设备时删除传输节点,那么删除可能会失败,因为 NSX-INTELLIGENCE-GROUP NSGroup 会引用该传输节点。要删除传输节点,需要在部署 NSX Intelligence 设备时使用强制删除选项。

    解决办法:使用 force 选项删除传输节点。

  • 问题 2357296 - 在某些规模和压力条件下,部分 ESX 主机可能不会向 NSX Intelligence 报告流量。

    NSX Intelligence 界面可能不会显示来自某些主机上特定虚拟机的流量,并且无法为这些虚拟机提供防火墙规则建议。因此,可能会危及某些主机上的防火墙安全。在 vSphere 版本低于 6.7U2 和 6.5U3 的部署中,会发现此问题。该问题被标识为核心 ESX Hypervisor 虚拟机筛选器创建和删除顺序错误。

    解决办法:将主机升级到版本 vSphere 6.7U2 和更高版本或 vSphere 6.5U3 和更高版本。

  • 问题 2393142 - 使用 vIDM 凭据登录到 NSX Manager 可能会返回 403 未经授权的用户错误。

    这仅影响以 vIDM 用户身份登录的用户,而不影响 NSX Manager 上的本地用户。与 NSX Intelligence 设备进行交互时,在 NSX-T 2.5 中不支持 vIDM 登录和集成。

    解决办法:为 NSX Manager IP/FQDN 添加字符串“login.jsp?local=true”,以本地用户身份登录。

  • 问题 2346545 - NSX Intelligence 设备:证书替换会影响新流量信息的报告。

    如果用户将 NSX Intelligence 设备的主体身份证书替换为自签名证书,那么会影响新流量的处理,并且设备将不会显示后续更新信息。

    解决办法:无。

  • 问题 2407198 - 在 NSX Intelligence 安全状态中,虚拟机错误显示在“未分类的虚拟机”组中。

    当 ESXi 主机与 vCenter 断开连接,这些主机中的虚拟机会显示在“未分类的虚拟机”组中,即使这些虚拟机属于其他组也是如此。当 ESXi 主机与 vCenter 重新连接后,这些虚拟机将显示在正确的组中。

    解决办法:将主机重新连接到 vCenter。

  • 问题 2410224 - 完成 NSX Intelligence 设备注册后,刷新视图可能会返回“403 已禁止”错误。

    完成 NSX Intelligence 设备注册后,如果单击刷新以查看,系统可能会返回“403 已禁止”错误。这是由于 NSX Intelligence 设备访问接口所需的时间导致的临时状况。

    解决办法:如果遇到此错误,请稍等片刻后重试。

  • 问题 2436302 - 替换 NSX-T 统一设备集群证书后,无法通过 API 或 Manager 界面来访问 NSX Intelligence。

    在 NSX-T Manager 界面中,转到安全规划和故障排除选项卡,然后单击发现并执行操作建议。接口将不会加载,并最终返回一条类似以下内容的错误:无法加载所请求的应用程序。请重试,如果问题仍然存在,请联系支持部门。

    解决办法:有关更多详细信息和解决办法,请参见知识库文章 76223

check-circle-line exclamation-circle-line close-line
Scroll to top icon