VMware NSX Intelligence 1.1.0   |  2020 年 4 月 07 日 |  内部版本 15918914

请定期查看以了解本发行说明的新增内容和更新。

VMware NSX® Intelligence™ 是一种分布式分析引擎,它利用 NSX 独有的粒度工作负载和网络环境提供融合的安全策略管理、分析和合规性,并具备数据中心级可见性。NSX Intelligence 通过 NSX Manager 中的单一管理窗格提供用户界面,并提供下列功能:

  • 针对环境内工作负载的实时流量可见性。
  • NSX Intelligence 可将实时流量或历史流量、用户配置和工作负载清单关联在一起。
  • 支持查看有关流量、用户配置和工作负载清单的以往信息。
  • 通过提供防火墙规则、分组和服务建议自动执行微分段规划。

发行说明内容

本发行说明包含以下主题:

新增功能

NSX Intelligence 1.1.0 为实时流量可视化和防火墙规则计划提供了以下新功能。

NSX Intelligence 可视化

  • 搜索增强 - 为组、虚拟机和流量信息添加了更多搜索筛选器。NSX 全局搜索结果现在包括来自 NSX Intelligence 的洞察(使用关键字“流量”和“建议”)。
  • UI 性能和布局改进 - 改善了初始 UI 加载时间,在内容变化时会立即更新。
  • 公用与专用 IP 范围设置 - 可在 IP 地址是专用 IP 地址或公用 IP 地址时指定 NSX Intelligence 用来进行分类的 CIDR 表示法。不属于其中任一指定 CIDR 表示法的任何 IP 地址均分类为公用 IP 地址。 
  • 流量可视化 - 在流水线上显示 L4 端口/协议,增加了 IP 到虚拟机映射的可视化。

NSX Intelligence 建议

  • 在建议输入中使用组 - 提供了为组启动建议的功能(之前已经为虚拟机提供了此类支持)这包含为一组有效虚拟机成员启动建议。要使用组作为建议的输入,就需要使用 NSX-T Data Center 3.0.0。
  • 微分段建议输出 - 提供一组 IP 地址以供选择(之前已经为一组虚拟机提供了此类支持)。
  • 连续建议- 为建议会话提供按需或连续监控以供选择。如果在组上启用了连续监控,NSX Intelligence 将在检测到组中的虚拟机成员资格更改时生成新的建议。

NSX Intelligence 平台

  • 从本地文件系统安装 NSX Intelligence - 可以从本地文件系统或 Web 服务器安装 NSX Intelligence 设备。从本地文件系统安装需要使用 NSX-T Data Center 3.0.0。
  • NSX Intelligence 的警报 - 为 NSX Intelligence 系统运行状况(CPU、内存、磁盘、节点运行状况)及其与 NSX Manager 组件的通信提供警报。此功能需要使用 NSX-T Data Center 3.0.0。
  • NSX Intelligence 的支持包 - 允许用户在支持 UI 的 NSX 支持包中包含 NSX Intelligence 日志。
  • NSX Intelligence 的升级改进 - 改进了对 NSX Intelligence 的升级前和升级后检查,并在升级协调器中提供了 UI 支持。
  • 身份验证和授权 - 为 NSX Intelligence 功能提供 RBAC 多角色支持,并且同时支持 vIDM 和 LDAP。要使用 LDAP 进行身份验证,就需要使用 NSX-T 3.0.0。 

系统要求

兼容性说明

  • 有关 NSX Intelligence 和 NSX-T Data Center 互操作性信息,请参见 VMware 产品互操作性矩阵表
  • NSX Intelligence 不支持 Kubernetes Pod、命名空间和集群可视化。 
  • NSX Intelligence 不支持 NSX Federation 部署。对于采用了 NSX Federation 的部署,如果在特定站点上使用本地管理器部署 NSX Intelligence 实例,您将看到来自全局管理器的组和流。  但是,可视化功能将不会反映其他站点中的具体内容。NSX Intelligence 建议在别的站点中也不起作用,因为 NSX Intelligence 不会与 NSX-T Data Center 的全局管理器相集成。
  • 使用 NSX-T Data Center 2.5.x 安装 NSX Intelligence 1.1.0 设备时,您必须使用为 NSX Intelligence 1.0.x 版本(与 NSX-T Data Center 2.5. x 一起发布)提供的说明。请参见下载和解压缩 NSX Intelligence 安装程序包安装 NSX Intelligence 设备。您可以使用相同的命令来解压缩从 VMware 产品下载门户下载的 NSX Intelligence 1.1.0 安装程序 OVA 文件。

API 和 CLI 资源

有关 NSX Intelligence REST API 和 CLI 资源的可用信息,请参见 code.vmware.com 中的 NSX-T Data Center REST API 或 NSX-T Data Center CLI

本地化语言

NSX Intelligence 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX Intelligence 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 4 月 7 日。第一版。
2020 年 4 月 9 日。添加了已知问题 2543655。

已解决的问题

  • 已解决的问题 2346545 - NSX Intelligence 设备:证书替换会影响新流量信息的报告。

    如果将 NSX Intelligence 设备的主体身份证书替换为自签名证书,这会影响新流量的处理,并且设备将不会显示后续的更新信息。

  • 已修复的问题 2508429:NSX Intelligence 1.0.1 仅支持 Base64 编码的证书文件。不允许使用属于 PEM 编码证书的额外属性。

    NSX Intelligence 1.0.1 不接受证书文件中的“包属性”。NSX Intelligence 1.0.1 仅支持 Base64 编码。

  • 已解决的问题 2372657 - 虚拟机/组关系和组/组流量关联暂时显示不正确。

    如果部署 NSX Intelligence 设备时在数据中心内存在运行的流量,那么虚拟机/组关系和组/组流量关联会暂时显示不正确。具体来说,在这段时间内,以下元素可能显示不正确:

    • 虚拟机错误归属于“未分类”组。
    • 虚拟机错误归属于“未知”组。
    • 可能会错误显示两个组之间的关联流量。

    当 NSX Intelligence 设备部署时间超过用户选定的可视化时间段并完成部署后,这些错误将自行纠正。

  • 已修复的问题 2407198 - 在 NSX Intelligence 安全状态中,虚拟机错误显示在“未分类的虚拟机”组中

    当 ESXi 主机与 vCenter 断开连接,这些主机中的虚拟机会显示在“未分类的虚拟机”组中,即使这些虚拟机属于其他组也是如此。当 ESXi 主机与 vCenter 重新连接后,这些虚拟机将显示在正确的组中。

  • 已修复的问题 2436302 - 替换 NSX-T 统一设备集群证书后,无法通过 API 或 Manager 界面来访问 NSX Intelligence。

    在 NSX-T Manager 界面中,转到安全规划和故障排除选项卡,然后单击发现并执行操作建议。接口将不会加载,并最终返回一条类似以下内容的错误:无法加载所请求的应用程序。请重试,如果问题仍然存在,请联系支持部门。

  • 已修复的问题 2393142 - 使用 vIDM 凭据登录到 NSX Manager 可能会返回 403 未经授权的用户错误。

    这仅影响以 vIDM 用户身份登录的用户,而不影响 NSX Manager 上的本地用户。与 NSX Intelligence 设备进行交互时,在 NSX-T 2.5 中不支持 vIDM 登录和集成。

  • 已修复的问题 2357296 - 在某些规模和压力条件下,部分 ESX 主机可能不会向 NSX Intelligence 报告流量。

    NSX Intelligence 界面可能不会显示来自某些主机上特定虚拟机的流量,并且无法为这些虚拟机提供防火墙规则建议。因此,可能会危及某些主机上的防火墙安全。在 vSphere 版本低于 6.7U2 和 6.5U3 的部署中,会发现此问题。该问题被标识为核心 ESX 管理程序虚拟机筛选器创建和删除顺序错误。

  • 问题 2456118 - 访问 NSX Intelligence 时出错。

    在 NSX-T Data Center 中加载“安全规划和故障排除”页面时,您可能会看到以下一个或多个问题: 

    • 应用程序服务器无法完成请求。
    • NSX-T Intelligence 代理拒绝任何管理员用户尝试。
    • 您收到以下错误:无法加载所请求的应用程序。如果问题仍然存在,请尝试刷新浏览器或联系支持部门
  • 已修复的问题 2362865 - 对于默认规则,无法按规则名称筛选。

    安全规划和故障排除 > 发现并执行操作页面上发现此问题,它仅影响由连接策略创建的规则。此问题是由于缺少基于指定连接策略的默认策略所导致的。可以在管理平面上创建默认规则,但如果没有相应的默认策略,用户就无法基于该默认规则进行筛选。(流量可视化的筛选器使用规则名称按命中该规则的流量进行筛选。)

  • 已修复的问题 2376389 - 在中等规模的设置中,虚拟机被错误标记为“在过去 24 小时内”已删除。

    从计算管理器断开主机的连接后,NSX Intelligence 会将主机上的先前虚拟机显示为已删除,并使用新虚拟机取而代之。此问题是由于 NSX Intelligence 跟踪 NSX 数据库中的清单更新而导致的,此行为反映了清单是如何处理主机与计算管理器断开连接的情况。这不影响 NSX Intelligence 中的活动虚拟机总数,但在 NSX Intelligence 中会出现重复的虚拟机。

已知问题

  • 问题 2368926 - 如果用户在作业进行过程中重新引导设备,那么建议作业将失败。

    如果在执行建议作业期间重新引导了 NSX Intelligence 设备,则此作业将转换为失败状态。您可以为一组上下文虚拟机启动建议作业。重新引导会删除上下文,因此作业将失败。

    解决办法:重新引导后,对同一组虚拟机重复此建议作业。

  • 问题 2369802 - NSX Intelligence 设备备份排除事件/流量数据存储备份。

    NSX Intelligence 版本 1.0.x 和 1.1.x 中不支持此功能。

    解决办法:无。

  • 问题 2389691 - 发布建议作业失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    如果您尝试发布单个建议作业并且其中包含超过 2,000 个对象,那么该作业将失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    解决办法:在建议作业中将对象数量降低到小于 2,000,然后重试发布操作。

  • 问题 2396630 和 2533563 - 部署 NSX Intelligence 设备时,传输节点删除操作可能会失败。

    如果在部署 NSX Intelligence 设备时删除传输节点,那么删除可能会失败,因为 NSX-INTELLIGENCE-GROUP NSGroup 会引用该传输节点。要删除传输节点,需要在部署 NSX Intelligence 设备时使用强制删除选项。

    解决办法:使用 force 选项删除传输节点。

  • 问题 2393240 - 发现从虚拟机到 IP 地址的额外流量。

    将显示从虚拟机到 IP-xxxx 的其他流量。这是因为在创建流量后,NSX Policy Manager 到达 NSX Intelligence 设备时的配置数据(组、虚拟机和服务)所致。因此,先前流量无法与配置关联,因为它在流量透视图中并不存在。由于流量无法正常关联,在流量查找期间,它会默认为其虚拟机的 IP-xxxx。同步配置后即可显示实际虚拟机流量。

    解决办法:修改时间范围以排除要查看的流量。

  • 问题 2370660 - NSX Intelligence 针对特定虚拟机显示的数据不一致。

    导致此问题的原因可能是这些虚拟机在数据中心内具有相同的 IP 地址。在 NSX-T 2.5 中,NSX Intelligence 不支持此功能。

    解决办法:无。避免为数据中心内的两个虚拟机分配相同的 IP 地址。

  • 问题 2410224 - 完成 NSX Intelligence 设备注册后,刷新视图可能会返回“403 已禁止”错误。

    完成 NSX Intelligence 设备注册后,如果单击刷新以查看,系统可能会返回“403 已禁止”错误。这是由于 NSX Intelligence 设备访问接口所需的时间导致的临时状况。

    解决办法:如果遇到此错误,请稍等片刻后重试。

  • 问题 2374229 - NSX Intelligence 设备的磁盘空间不足。

    NSX Intelligence 设备的默认数据保留期为 30 天。如果流量数据量大于 30 天内的预期数据量,那么设备可能提前出现磁盘空间不足情况,从而导致局部或整体无法正常运行。 

    解决办法:有关更多详细信息和解决办法,请参见知识库文章 76523

  • 问题 2385599 - 在 NSX-T Intelligence 建议中不支持静态 IP 组。

    在 NSX-T 清单中无法识别的虚拟机和工作负载(如果它们具有内部网 IP 地址)可能仍作为一组静态 IP 而受到建议的影响,包括包含这些组的建议定义规则。但是,NSX Intelligence 不支持此类组,因此可视化功能会将发送给它们的流量显示为发送目标“未知”,而不是建议组。

    解决办法:无。但是,建议可以正常运行。这是一个显示问题。

  • 问题 2366599 - 未强制实施含 IPv6 地址的虚拟机的规则。

    如果虚拟机使用 IPv6 地址,但未通过 IP 发现配置文件为该 VIF 启用 IPv6 侦听,那么在该虚拟机的规则的数据路径中不会填充 IPv6 地址。因此,永远不会强制执行该规则。

    解决办法:每次使用 IPv6 地址时,都会验证在 VIF 或逻辑交换机上是否启用了 IPv6 发现配置文件。

  • 问题 2374231 - 使用 nmap 工具的端口扫描将生成服务为未知且端口为 0 的流量。

    对于 GRE、ESP 和 SCTP 协议流量,NSX Intelligence 不支持源或目标端口解析。NSX Intelligence 可为 TCP 和 UDP 流量以及流量相关统计信息提供完整的标头解析。对于其他受支持的协议(如 GRE、ESP 和 SCTP),NSX Intelligence 只能提供不含协议特定的源或目标端口的 IP 信息。对于这些协议,源或目标端口将为零。 

    解决办法:无。 

  • 问题 2410096 - 重新引导 NSX Intelligence 设备后,可能不显示重新引导前的最后 10 分钟内收集的流量。

    这是由索引问题所导致。

    解决办法:无。

  • 问题 2538573 - 某些持久加载情况可能会导致建议长时间处于等待状态,或导致虚拟机/组视图不正常。

    如果在 NSX Intelligence 设备上持续高负载,您可能会看到有 1 个或多个建议长时间处于等待状态,或者虚拟机/组视图出现异常。

    解决办法:重新启动 pace-server 服务。

    1. 以 root 用户身份登录到 NSX Intelligence 设备。
    2. 在命令提示符中,键入以下命令。
      systemctl restart pace-server.service
  • 问题 2521825 - NSX Intelligence 中不支持联合。

    使用本地管理器部署 NSX Intelligence 时,可能无法正确可视化从全局管理器中推送的任何配置。针对从全局管理器推送的配置给出的建议将不准确,因为建议功能只能将本地管理的对象作为输入,而不会向全局管理器推荐或发布规则。

    解决办法:无。

  • 问题 2531845 - 升级 NSX Intelligence 设备后,组可视化功能立即出错。

    将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后,“组”视图显示的“未分类”组包含数量不正确的大量虚拟机成员。

    解决办法:将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后,请至少等待 1 小时,然后才能使用 NSX Intelligence 功能。 

  • 问题 2539217 - 不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence UI

    不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence 用户界面,即使在 NSX-T Data Center 中为这些用户分配了角色。

    解决办法:用户可以将角色分配给 LDAP 组,或者只将角色分配给属于 LDAP 组的用户。

  • 问题 2529161 - 使用相同的 SFTP 文件夹备份 NSX-T 集群、NSX Intelligence 节点和全局管理器集群导致备份列表混乱。

    如果在 NSX-T 集群、NSX Intelligence 节点和全局管理器集群之间共享 SFTP 文件夹,则 NSX Intelligence 备份用户界面中将列出使用这些集群生成的所有备份的混合列表。但实际上仅应列出由 NSX Intelligence 生成的备份。

    解决办法:在备份每个 NSX-T 集群、NSX Intelligence 设备或全局管理器集群时,使用唯一的 SFTP 文件夹。

  • 问题 2537740 - 将 NSX Intelligence 1.0.0 升级到版本 1.0.1 导致配置同步和数据收集受到影响。

    如果将 NSX Intelligence 1.0.0 升级到版本 1.0.1 和版本 1.1.0,在 NSX Intelligence 设备上不会更新 NSX Manager 统一设备配置信息。此外,数据收集也可能会中断。例如,在 NSX Intelligence 升级后创建的新组或新虚拟机可能不会反映在 NSX Intelligence UI 中。

    解决办法:完成从 NSX Intelligence 1.0.0 到版本 1.0.1 的升级后,先执行以下步骤,然后再继续升级到 NSX Intelligence 1.1。

    1. 以 root 用户身份登录到 NSX Intelligence 设备。
    2. 在 NSX Intelligence 设备命令提示符中执行以下命令。
      export TRUSTLINK="/home/secureall/secureall/.store/.kafka_broker_truststore" export TRUSTFILE=$(ls -t /home/secureall/secureall/.store/.kafka_broker_truststore.*| head -1) rm $TRUSTLINK ln -s $TRUSTFILE $TRUSTLINK chown unsxconfig:gproxycert $TRUSTLINK chown --no-dereference unsxconfig:gproxycert $TRUSTLINK chmod 660 $TRUSTLINK
    3. 重新启动 kafka 和 nsx-config 服务。
      systemctl restart kafka systemctl restart nsx-config

    继续升级到 NSX Intelligence 1.1.0。

  • 问题 2523316 - 在 NSX Intelligence 还原操作期间重新启动 NSX Intelligence 服务时,会丢失 NSX Manager 用户会话。

    如果在 NSX Intelligence 还原操作结束时重新启动 NSX Intelligence 服务,将会终止当前 NSX Manager 用户会话。 

    解决办法:重新登录到 NSX Manager。

  • 问题 2536593 - 为“证书已过期”警报事件提供的建议操作信息对于 NSX Intelligence 不准确。

    如果发生了“证书已过期”警报事件,使用“建议操作”中提供的信息无法解决 NSX Intelligence 设备上的警报。

    解决办法:无。

  • 问题 2543655 - NSX Intelligence 中的传输节点和 Kafka 代理之间可能会出现 SSL 握手失败。

    如果传输节点中缺少流量和上下文信息,则在 NSX Manager 用户界面上显示的 NSX Intelligence 可视化中可能会显示不正确的信息。在 /var/log/kafka/server.log 文件中,您可能会看到连续记录 SSL handshake failed 错误消息。

    解决办法:使用以下步骤重新启动 Kafka 代理服务。

    1. 使用 CLI 管理员凭据登录到 NSX Intelligence 设备。
    2. 从 NSX Intelligence 命令行中,使用以下命令。
      restart service kafka
check-circle-line exclamation-circle-line close-line
Scroll to top icon