VMware NSX® Intelligence™ 是一种分布式分析引擎，它利用 NSX 独有的粒度工作负载和网络环境提供融合的安全策略管理、分析和合规性，并具备数据中心级可见性。NSX Intelligence 通过 NSX Manager 中的单一管理窗格提供用户界面，并提供下列功能：

• 针对环境内工作负载的实时流量可见性。
• NSX Intelligence 可将实时流量或历史流量、用户配置和工作负载清单关联在一起。
• 支持查看有关流量、用户配置和工作负载清单的以往信息。
• 通过提供防火墙规则、分组和服务建议自动执行微分段规划。

发行说明内容

本发行说明包含以下主题：

• 新增功能
• 系统要求
• 兼容性说明
• 本地化语言
• API 和 CLI 资源
• 修订历史
• 已解决的问题
• 已知问题

新增功能

NSX Intelligence 1.1.0 为实时流量可视化和防火墙规则计划提供了以下新功能。

NSX Intelligence 可视化

• 搜索增强 - 为组、虚拟机和流量信息添加了更多搜索筛选器。NSX 全局搜索结果现在包括来自 NSX Intelligence 的洞察（使用关键字“流量”和“建议”）。
• UI 性能和布局改进 - 改善了初始 UI 加载时间，在内容变化时会立即更新。
• 公用与专用 IP 范围设置 - 可在 IP 地址是专用 IP 地址或公用 IP 地址时指定 NSX Intelligence 用来进行分类的 CIDR 表示法。不属于其中任一指定 CIDR 表示法的任何 IP 地址均分类为公用 IP 地址。 
• 流量可视化 - 在流水线上显示 L4 端口/协议，增加了 IP 到虚拟机映射的可视化。

NSX Intelligence 建议

• 在建议输入中使用组 - 提供了为组启动建议的功能（之前已经为虚拟机提供了此类支持）这包含为一组有效虚拟机成员启动建议。要使用组作为建议的输入，就需要使用 NSX-T Data Center 3.0.0。
• 微分段建议输出 - 提供一组 IP 地址以供选择（之前已经为一组虚拟机提供了此类支持）。
• 连续建议- 为建议会话提供按需或连续监控以供选择。如果在组上启用了连续监控，NSX Intelligence 将在检测到组中的虚拟机成员资格更改时生成新的建议。

NSX Intelligence 平台

• 从本地文件系统安装 NSX Intelligence - 可以从本地文件系统或 Web 服务器安装 NSX Intelligence 设备。从本地文件系统安装需要使用 NSX-T Data Center 3.0.0。
• NSX Intelligence 的警报 - 为 NSX Intelligence 系统运行状况（CPU、内存、磁盘、节点运行状况）及其与 NSX Manager 组件的通信提供警报。此功能需要使用 NSX-T Data Center 3.0.0。
• NSX Intelligence 的支持包 - 允许用户在支持 UI 的 NSX 支持包中包含 NSX Intelligence 日志。
• NSX Intelligence 的升级改进 - 改进了对 NSX Intelligence 的升级前和升级后检查，并在升级协调器中提供了 UI 支持。
• 身份验证和授权 - 为 NSX Intelligence 功能提供 RBAC 多角色支持，并且同时支持 vIDM 和 LDAP。要使用 LDAP 进行身份验证，就需要使用 NSX-T 3.0.0。 

系统要求

• 有关系统要求的信息，请参见安装和升级 VMware NSX Intelligence 文档。
• 有关 NSX Intelligence 所需端口和协议的信息，请访问 https://ports.vmware.com/home/NSX-Intelligence 中的“VMware 端口和协议”。

兼容性说明

• 有关 NSX Intelligence 和 NSX-T Data Center 互操作性信息，请参见 VMware 产品互操作性矩阵表。
• NSX Intelligence 不支持 Kubernetes Pod、命名空间和集群可视化。 
• NSX Intelligence 不支持 NSX Federation 部署。对于采用了 NSX Federation 的部署，如果在特定站点上使用本地管理器部署 NSX Intelligence 实例，您将看到来自全局管理器的组和流。  但是，可视化功能将不会反映其他站点中的具体内容。NSX Intelligence 建议对其他站点也不起作用，因为 NSX Intelligence 没有与 NSX-T Data Center 的全局管理器相集成。
• 使用 NSX-T Data Center 2.5.x 安装 NSX Intelligence 1.1.0 设备时，您必须使用为 NSX Intelligence 1.0.x 版本（与 NSX-T Data Center 2.5. x 一起发布）提供的说明。请参见下载和解压缩 NSX Intelligence 安装程序包和安装 NSX Intelligence 设备。您可以使用相同的命令来解压缩从 VMware 产品下载门户下载的 NSX Intelligence 1.1.0 安装程序 OVA 文件。

API 和 CLI 资源

有关 NSX Intelligence REST API 和 CLI 资源的可用信息，请参见 code.vmware.com 中的 NSX-T Data Center REST API 或 NSX-T Data Center CLI。

本地化语言

NSX Intelligence 已本地化为多种语言：英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX Intelligence 本地化使用浏览器语言设置，因此，请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 4 月 7 日。第一版。
2020 年 4 月 9 日。添加了已知问题 2543655。
2021 年 4 月 20 日。移除了没有已知解决办法且属于极端情况的非灾难性已知问题。
2021 年 4 月 28 日。添加了已知问题 2748505。

已解决的问题

• 已解决的问题 2346545 - NSX Intelligence 设备：证书替换会影响新流量信息的报告。

  如果将 NSX Intelligence 设备的主体身份证书替换为自签名证书，这会影响新流量的处理，并且设备将不会显示后续的更新信息。

• 已修复的问题 2508429：NSX Intelligence 1.0.1 仅支持 Base64 编码的证书文件。不允许使用属于 PEM 编码证书的额外属性。

  NSX Intelligence 1.0.1 不接受证书文件中的“包属性”。NSX Intelligence 1.0.1 仅支持 Base64 编码。

• 已解决的问题 2372657 - 虚拟机/组关系和组/组流量关联暂时显示不正确。

  如果部署 NSX Intelligence 设备时在数据中心内存在运行的流量，那么虚拟机/组关系和组/组流量关联会暂时显示不正确。具体来说，在这段时间内，以下元素可能显示不正确：

  • 虚拟机错误归属于“未分类”组。
  • 虚拟机错误归属于“未知”组。
  • 可能会错误显示两个组之间的关联流量。

  当 NSX Intelligence 设备部署时间超过用户选定的可视化时间段并完成部署后，这些错误将自行纠正。

• 已修复的问题 2407198 - 在 NSX Intelligence 安全状态中，虚拟机错误显示在“未分类的虚拟机”组中

  当 ESXi 主机与 vCenter 断开连接，这些主机中的虚拟机会显示在“未分类的虚拟机”组中，即使这些虚拟机属于其他组也是如此。当 ESXi 主机与 vCenter 重新连接后，这些虚拟机将显示在正确的组中。

• 已修复的问题 2436302 - 替换 NSX-T 统一设备集群证书后，无法通过 API 或 Manager 界面来访问 NSX Intelligence。

  在 NSX-T Manager 界面中，转到安全规划和故障排除选项卡，然后单击发现并执行操作或建议。接口将不会加载，并最终返回一条类似以下内容的错误：无法加载所请求的应用程序。请重试，如果问题仍然存在，请联系支持部门。

• 已修复的问题 2393142 - 使用 vIDM 凭据登录到 NSX Manager 可能会返回 403 未经授权的用户错误。

  这仅影响以 vIDM 用户身份登录的用户，而不影响 NSX Manager 上的本地用户。与 NSX Intelligence 设备进行交互时，在 NSX-T 2.5 中不支持 vIDM 登录和集成。

• 已修复的问题 2357296 - 在某些规模和压力条件下，部分 ESX 主机可能不会向 NSX Intelligence 报告流量。

  NSX Intelligence 界面可能不会显示来自某些主机上特定虚拟机的流量，并且无法为这些虚拟机提供防火墙规则建议。因此，可能会危及某些主机上的防火墙安全。在 vSphere 版本低于 6.7U2 和 6.5U3 的部署中，会发现此问题。该问题被标识为核心 ESX Hypervisor 虚拟机筛选器创建和删除顺序错误。

• 问题 2456118 - 访问 NSX Intelligence 时出错。

  在 NSX-T Data Center 中加载“安全规划和故障排除”页面时，您可能会看到以下一个或多个问题： 

  • 应用程序服务器无法完成请求。
  • NSX-T Intelligence 代理拒绝任何管理员用户尝试。
  • 您收到以下错误：无法加载所请求的应用程序。如果问题仍然存在，请尝试刷新浏览器或联系支持部门。
• 已修复的问题 2362865 - 对于默认规则，无法按规则名称筛选。

  在安全规划和故障排除 > 发现并执行操作页面上发现此问题，它仅影响由连接策略创建的规则。此问题是由于缺少基于指定连接策略的默认策略所导致的。可以在管理平面上创建默认规则，但如果没有相应的默认策略，用户就无法基于该默认规则进行筛选。（流量可视化的筛选器使用规则名称按命中该规则的流量进行筛选。）

• 已修复的问题 2376389 - 在中等规模的设置中，虚拟机被错误标记为“在过去 24 小时内”已删除。

  从计算管理器断开主机的连接后，NSX Intelligence 会将主机上的先前虚拟机显示为已删除，并使用新虚拟机取而代之。此问题是由于 NSX Intelligence 跟踪 NSX 数据库中的清单更新而导致的，此行为反映了清单是如何处理主机与计算管理器断开连接的情况。这不影响 NSX Intelligence 中的活动虚拟机总数，但在 NSX Intelligence 中会出现重复的虚拟机。

已知问题

• 问题 2748505 - 新的配置或流量数据未包含在 NSX Intelligence 可视化或建议分析中，因为 HDFS 磁盘已满。

  当 HDFS 磁盘已满时，Druid 服务无法识别该磁盘。Druid 任务失败，并且数据不会被提取，也不会包含在 NSX Intelligence 可视化和建议中。

  解决办法：有关解决办法的详细信息，请参见 VMware 知识库文章 83389。

• 问题 2389691 - 发布建议作业失败，并显示错误“请求负载大小超出允许的限制，每个请求最多允许 2,000 个对象。”

  如果您尝试发布单个建议作业并且其中包含超过 2,000 个对象，那么该作业将失败，并显示错误“请求负载大小超出允许的限制，每个请求最多允许 2,000 个对象。”

  解决办法：在建议作业中将对象数量降低到小于 2,000，然后重试发布操作。

• 问题 2396630 和 2533563 - 部署 NSX Intelligence 设备时，传输节点删除操作可能会失败。

  如果在部署 NSX Intelligence 设备时删除传输节点，那么删除可能会失败，因为 NSX-INTELLIGENCE-GROUP NSGroup 会引用该传输节点。要删除传输节点，需要在部署 NSX Intelligence 设备时使用强制删除选项。

  解决办法：使用 force 选项删除传输节点。

• 问题 2393240 - 发现从虚拟机到 IP 地址的额外流量。

  将显示从虚拟机到 IP-xxxx 的其他流量。这是因为在创建流量后，NSX Policy Manager 到达 NSX Intelligence 设备时的配置数据（组、虚拟机和服务）所致。因此，先前流量无法与配置关联，因为它在流量透视图中并不存在。由于流量无法正常关联，在流量查找期间，它会默认为其虚拟机的 IP-xxxx。同步配置后即可显示实际虚拟机流量。

  解决办法：修改时间范围以排除要查看的流量。

• 问题 2410224 - 完成 NSX Intelligence 设备注册后，刷新视图可能会返回“403 已禁止”错误。

  完成 NSX Intelligence 设备注册后，如果单击刷新以查看，系统可能会返回“403 已禁止”错误。这是由于 NSX Intelligence 设备访问接口所需的时间导致的临时状况。

  解决办法：如果遇到此错误，请稍等片刻后重试。

• 问题 2374229 - NSX Intelligence 设备的磁盘空间不足。

  NSX Intelligence 设备的默认数据保留期为 30 天。如果流量数据量大于 30 天内的预期数据量，那么设备可能提前出现磁盘空间不足情况，从而导致局部或整体无法正常运行。 

  解决办法：有关更多详细信息和解决办法，请参见知识库文章 76523。

• 问题 2385599 - 在 NSX-T Intelligence 建议中不支持静态 IP 组。

  在 NSX-T 清单中无法识别的虚拟机和工作负载（如果它们具有内部网 IP 地址）可能仍作为一组静态 IP 而受到建议的影响，包括包含这些组的建议定义规则。但是，NSX Intelligence 不支持此类组，因此可视化功能会将发送给它们的流量显示为发送目标“未知”，而不是建议组。

  解决办法：无。但是，建议可以正常运行。这是一个显示问题。

• 问题 2366599 - 未强制实施含 IPv6 地址的虚拟机的规则。

  如果虚拟机使用 IPv6 地址，但未通过 IP 发现配置文件为该 VIF 启用 IPv6 侦听，那么在该虚拟机的规则的数据路径中不会填充 IPv6 地址。因此，永远不会强制执行该规则。

  解决办法：每次使用 IPv6 地址时，都会验证在 VIF 或逻辑交换机上是否启用了 IPv6 发现配置文件。

• 问题 2538573 - 某些持久加载情况可能会导致建议长时间处于等待状态，或导致虚拟机/组视图不正常。

  如果在 NSX Intelligence 设备上持续高负载，您可能会看到有 1 个或多个建议长时间处于等待状态，或者虚拟机/组视图出现异常。

  解决办法：重新启动 pace-server 服务。

  1. 以 root 用户身份登录到 NSX Intelligence 设备。
  2. 在命令提示符中，键入以下命令。

     systemctl restart pace-server.service

• 问题 2521825 - NSX Intelligence 中不支持联合。

  使用本地管理器部署 NSX Intelligence 时，可能无法正确可视化从全局管理器中推送的任何配置。针对从全局管理器推送的配置给出的建议将不准确，因为建议功能只能将本地管理的对象作为输入，而不会向全局管理器推荐或发布规则。

  解决办法：无。

• 问题 2531845 - 升级 NSX Intelligence 设备后，组可视化功能立即出错。

  将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后，“组”视图显示的“未分类”组包含数量不正确的大量虚拟机成员。

  解决办法：将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后，请至少等待 1 小时，然后才能使用 NSX Intelligence 功能。 

• 问题 2539217 - 不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence UI

  不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence 用户界面，即使在 NSX-T Data Center 中为这些用户分配了角色。

  解决办法：用户可以将角色分配给 LDAP 组，或者只将角色分配给属于 LDAP 组的用户。

• 问题 2529161 - 使用相同的 SFTP 文件夹备份 NSX-T 集群、NSX Intelligence 节点和全局管理器集群导致备份列表混乱。

  如果在 NSX-T 集群、NSX Intelligence 节点和全局管理器集群之间共享 SFTP 文件夹，则 NSX Intelligence 备份用户界面中将列出使用这些集群生成的所有备份的混合列表。但实际上仅应列出由 NSX Intelligence 生成的备份。

  解决办法：在备份每个 NSX-T 集群、NSX Intelligence 设备或全局管理器集群时，使用唯一的 SFTP 文件夹。

• 问题 2537740 - 将 NSX Intelligence 1.0.0 升级到版本 1.0.1 导致配置同步和数据收集受到影响。

  如果将 NSX Intelligence 1.0.0 升级到版本 1.0.1 和版本 1.1.0，在 NSX Intelligence 设备上不会更新 NSX Manager 统一设备配置信息。此外，数据收集也可能会中断。例如，在 NSX Intelligence 升级后创建的新组或新虚拟机可能不会反映在 NSX Intelligence UI 中。

  解决办法：完成从 NSX Intelligence 1.0.0 到版本 1.0.1 的升级后，先执行以下步骤，然后再继续升级到 NSX Intelligence 1.1。

  1. 以 root 用户身份登录到 NSX Intelligence 设备。
  2. 在 NSX Intelligence 设备命令提示符中执行以下命令。

     export TRUSTLINK="/home/secureall/secureall/.store/.kafka_broker_truststore"
     export TRUSTFILE=$(ls -t /home/secureall/secureall/.store/.kafka_broker_truststore.*| head -1)
     rm $TRUSTLINK
     ln -s $TRUSTFILE $TRUSTLINK
     chown unsxconfig:gproxycert $TRUSTLINK
     chown --no-dereference unsxconfig:gproxycert $TRUSTLINK
     chmod 660 $TRUSTLINK	
     

  3. 重新启动 kafka 和 nsx-config 服务。

     systemctl restart kafka
     systemctl restart nsx-config
     

  继续升级到 NSX Intelligence 1.1.0。

• 问题 2523316 - 在 NSX Intelligence 还原操作期间重新启动 NSX Intelligence 服务时，会丢失 NSX Manager 用户会话。

  如果在 NSX Intelligence 还原操作结束时重新启动 NSX Intelligence 服务，将会终止当前 NSX Manager 用户会话。 

  解决办法：重新登录到 NSX Manager。

• 问题 2536593 - 为“证书已过期”警报事件提供的建议操作信息对于 NSX Intelligence 不准确。

  如果发生了“证书已过期”警报事件，使用“建议操作”中提供的信息无法解决 NSX Intelligence 设备上的警报。

  解决办法：无。

• 问题 2543655 - NSX Intelligence 中的传输节点和 Kafka 代理之间可能会出现 SSL 握手失败。

  如果传输节点中缺少流量和上下文信息，则在 NSX Manager 用户界面上显示的 NSX Intelligence 可视化中可能会显示不正确的信息。在 /var/log/kafka/server.log 文件中，您可能会看到连续记录 SSL handshake failed 错误消息。

  解决办法：使用以下步骤重新启动 Kafka 代理服务。

  1. 使用 CLI 管理员凭据登录到 NSX Intelligence 设备。
  2. 从 NSX Intelligence 命令行中，使用以下命令。

      restart service kafka