VMware NSX Intelligence 1.0.1   |  2019 年 12 月 19 日 |  内部版本 15188324

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

简介

VMware NSX® Intelligence™ 是 VMware NSX-T Data Center 2.5 版本引入的 NSX 分析组件。NSX Intelligence 通过 NSX Manager 中的单一管理窗格提供用户界面,并提供下列功能:

  • 针对环境内工作负载的近乎实时的流量信息。
  • NSX Intelligence 可将实时流量或历史流量、用户配置和工作负载清单关联在一起。
  • 支持查看有关流量、用户配置和工作负载清单的以往信息。
  • 通过提供防火墙规则、分组和服务建议自动执行微分段规划。

兼容性和系统要求

有关兼容性和系统要求的信息,请参见安装和升级 VMware NSX Intelligence 文档。

API 和 CLI 资源

有关 NSX Intelligence REST API 和 CLI 资源的可用信息,请参见 code.vmware.com 中的 NSX-T Data Center REST API 或 NSX-T Data Center CLI

本地化语言

NSX Intelligence 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX Intelligence 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 4 月 7 日。第一版。使用 VMware NSX-T Data Center 2.5.1 发行说明中所包含的“NSX Intelligence 已知问题和已解决的问题”信息,创建了这份单独的 NSX Intelligence 1.0.1 发行说明
2020 年 7 月 30 日。添加了有关已修复问题 2526083 的条目。 
2021 年 4 月 20 日。移除了没有已知解决办法且属于极端情况的非灾难性已知问题。

已解决的问题

  • 已修复问题 2410806 - 发布所生成的建议失败,并显示一条异常来指示总数限制为 500。

    如果建议组中的成员(IP 地址或虚拟机)总数超过 500,则将生成的建议发布到策略配置的操作将失败,并显示一条异常消息,如:

    “IPAdressExpression、MACAddressExpression、PathExpression 中的路径以及 ExternalIDExpression 中的外部 ID 的数量之和不应超过 500。”

  • 已修复 NSX-T Data Center 2.5.2 中的问题 2526083:当 NSX Manager 与 NSX Intelligence 设备断开连接时,某些 NSX Services 可能无法正常运行。

    NSX Intelligence 依赖于此已修复的问题,该修复从 NSX-T Data Center 2.5.2 版本开始提供。

    在 NSX Manager UI 的系统 > 设备页面中,NSX Intelligence 设备卡显示一个错误,或显示一种状态,指示设备似乎停滞在数据获取状态。

已知问题

已知问题分为以下几类。

NSX Intelligence 已知问题
  • 问题 2362865 - 对于默认规则无法按规则名称筛选。

    安全规划和故障排除 > 发现并执行操作页面上发现此问题,它仅影响由连接策略创建的规则。此问题是由于缺少基于指定连接策略的默认策略所导致的。可以在管理平面上创建默认规则,但如果没有相应的默认策略,用户就无法基于该默认规则进行筛选。(流量可视化的筛选器使用规则名称按命中该规则的流量进行筛选。)

    解决办法:请勿应用规则名称筛选器。改为选中“不受保护”标记。此配置将包含命中默认规则的流量,以及命中指定了“任意”源和“任意”目标的任意规则的流量。

  • 问题 2389691 - 发布建议作业失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    如果您尝试发布单个建议作业并且其中包含超过 2,000 个对象,那么该作业将失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    解决办法:在建议作业中将对象数量降低到小于 2,000,然后重试发布操作。

  • 问题 2366630 - 部署 NSX Intelligence 设备时,传输节点删除操作可能会失败。

    如果在部署 NSX Intelligence 设备时删除传输节点,那么删除可能会失败,因为 NSX-INTELLIGENCE-GROUP NSGroup 会引用该传输节点。要删除传输节点,需要在部署 NSX Intelligence 设备时使用强制删除选项。

    解决办法:使用 force 选项删除传输节点。

  • 问题 2393240 - 发现从虚拟机到 IP 地址的额外流量。

    将显示从虚拟机到 IP-xxxx 的其他流量。这是因为在创建流量后,NSX Policy Manager 到达 NSX Intelligence 设备时的配置数据(组、虚拟机和服务)所致。因此,先前流量无法与配置关联,因为它在流量透视图中并不存在。由于流量无法正常关联,在流量查找期间,它会默认为其虚拟机的 IP-xxxx。同步配置后即可显示实际虚拟机流量。

    解决办法:修改时间范围以排除要查看的流量。

  • 问题 2372657 - 虚拟机/组关系和组/组流量关联暂时显示不正确。

    如果部署 NSX Intelligence 设备时在数据中心内存在运行的流量,那么虚拟机/组关系和组/组流量关联会暂时显示不正确。具体来说,在这段时间内,以下元素可能显示不正确:

    • 虚拟机错误归属于“未分类”组。
    • 虚拟机错误归属于“未知”组。
    • 可能会错误显示两个组之间的关联流量。

    当 NSX Intelligence 设备部署时间超过用户选定的可视化时间段并完成部署后,这些错误将自行纠正。

    解决办法:无。如果用户在部署 NSX Intelligence 设备期间退出可视化时间段,则不会显示该问题。

  • 问题 2393142 - 使用 vIDM 凭据登录到 NSX Manager 可能会返回 403 未经授权的用户错误。

    这仅影响以 vIDM 用户身份登录的用户,而不影响 NSX Manager 上的本地用户。与 NSX Intelligence 设备进行交互时,在 NSX-T 2.5 中不支持 vIDM 登录和集成。

    解决办法:为 NSX Manager IP/FQDN 添加字符串“login.jsp?local=true”,以本地用户身份登录。

  • 问题 2346545 - NSX Intelligence 设备:证书替换会影响新流量信息的报告。

    如果将 NSX Intelligence 设备的主体身份证书替换为自签名证书,这会影响新流量的处理,并且设备将不会显示后续的更新信息。

    解决办法:无。

  • 问题 2410224 - 完成 NSX Intelligence 设备注册后,刷新视图可能会返回“403 已禁止”错误。

    完成 NSX Intelligence 设备注册后,如果单击刷新以查看,系统可能会返回“403 已禁止”错误。这是由于 NSX Intelligence 设备访问接口所需的时间导致的临时状况。

    解决办法:如果遇到此错误,请稍等片刻后重试。

  • 问题 2436302 - 替换 NSX-T 统一设备集群证书后,无法通过 API 或 Manager 界面来访问 NSX Intelligence。

    在 NSX-T Manager 界面中,转到安全规划和故障排除选项卡,然后单击发现并执行操作建议。接口将不会加载,并最终返回一条类似以下内容的错误:无法加载所请求的应用程序。请重试,如果问题仍然存在,请联系支持部门。

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 76223

  • 问题 2374229 - NSX Intelligence 设备的磁盘空间不足。

    NSX Intelligence 设备的默认数据保留期为 30 天。如果流量数据量大于 30 天内的预期数据量,那么设备可能提前出现磁盘空间不足情况,从而导致局部或整体无法正常运行。 

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 76523

  • 问题 2376389 - 在中等规模的设置中,虚拟机被错误标记为“在过去 24 小时内”已删除。

    从计算管理器断开主机的连接后,NSX Intelligence 会将主机上的先前虚拟机显示为已删除,并使用新虚拟机取而代之。此问题是由于 NSX Intelligence 跟踪 NSX 数据库中的清单更新而导致的,此行为反映了清单是如何处理主机与计算管理器断开连接的情况。这不影响 NSX Intelligence 中的活动虚拟机总数,但在 NSX Intelligence 中会出现重复的虚拟机。

    解决办法:不需要采取任何措施。重复虚拟机大约会在 24 小时后停止显示。

  • 问题 2385599 - 在 NSX-T Intelligence 建议中不支持静态 IP 组。

    在 NSX-T 清单中无法识别的虚拟机和工作负载(如果它们具有内部网 IP 地址)可能仍作为一组静态 IP 而受到建议的影响,包括包含这些组的建议定义规则。但是,NSX Intelligence 不支持此类组,因此可视化功能会将发送给它们的流量显示为发送目标“未知”,而不是建议组。

    解决办法:无。但是,建议可以正常运行。这是一个显示问题。

  • 问题 2407198 - 在 NSX Intelligence 安全状态中,虚拟机错误显示在“未分类的虚拟机”组中。

    当 ESXi 主机与 vCenter 断开连接,这些主机中的虚拟机会显示在“未分类的虚拟机”组中,即使这些虚拟机属于其他组也是如此。当 ESXi 主机与 vCenter 重新连接后,这些虚拟机将显示在正确的组中。

    解决办法:将主机重新连接到 vCenter。

  • 问题 2366599 - 未强制实施含 IPv6 地址的虚拟机的规则。

    如果虚拟机使用 IPv6 地址,但未通过 IP 发现配置文件为该 VIF 启用 IPv6 侦听,那么在该虚拟机的规则的数据路径中不会填充 IPv6 地址。因此,永远不会强制执行该规则。

    解决办法:每次使用 IPv6 地址时,都会验证在 VIF 或逻辑交换机上是否启用了 IPv6 发现配置文件。

  • 问题 2357296 - 在某些规模和压力条件下,部分 ESX 主机可能不会向 NSX Intelligence 报告流量。

    NSX Intelligence 界面可能不会显示来自某些主机上特定虚拟机的流量,并且无法为这些虚拟机提供防火墙规则建议。因此,可能会危及某些主机上的防火墙安全。在 vSphere 版本低于 6.7U2 和 6.5U3 的部署中,会发现此问题。该问题被标识为核心 ESX Hypervisor 虚拟机筛选器创建和删除顺序错误。

    解决办法:将主机升级到版本 vSphere 6.7U2 和更高版本或 vSphere 6.5U3 和更高版本。

  • 问题 2456118 - 访问 NSX Intelligence 时出错。

    在 NSX-T Data Center 中加载“安全规划和故障排除”页面时,您可能会看到以下一个或多个问题: 

    • 应用程序服务器无法完成请求。
    • NSX-T Intelligence 代理拒绝任何管理员用户尝试。
    • 您收到以下错误:无法加载所请求的应用程序。如果问题仍然存在,请尝试刷新浏览器或联系支持部门

    解决办法:有关更多详细信息,请参见 VMware 知识库文章 76223。 

  • 问题 2508429:NSX Intelligence 1.0.1 仅支持 Base64 编码的证书文件。不允许使用属于 PEM 编码证书的额外属性。

    NSX Intelligence 1.0.1 不接受证书文件中的“包属性”。NSX Intelligence 1.0.1 仅支持 Base64 编码。

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 78048

check-circle-line exclamation-circle-line close-line
Scroll to top icon