VMware NSX Intelligence 1.1.0 | 2020 年 4 月 7 日 | 内部版本 15918914 请定期查看以了解本发行说明的新增内容和更新。 |
VMware NSX® Intelligence™ 是一种分布式分析引擎,它利用 NSX 独有的粒度工作负载和网络环境提供融合的安全策略管理、分析和合规性,并具备数据中心级可见性。NSX Intelligence 通过 NSX Manager 中的单一管理窗格提供用户界面,并提供下列功能:
- 针对环境内工作负载的实时流量可见性。
- NSX Intelligence 可将实时流量或历史流量、用户配置和工作负载清单关联在一起。
- 支持查看有关流量、用户配置和工作负载清单的以往信息。
- 通过提供防火墙规则、分组和服务建议自动执行微分段规划。
发行说明内容
本发行说明包含以下主题:
新增功能
NSX Intelligence 1.1.0 为实时流量可视化和防火墙规则计划提供了以下新功能。
NSX Intelligence 可视化
- 搜索增强 - 为组、虚拟机和流量信息添加了更多搜索筛选器。NSX 全局搜索结果现在包括来自 NSX Intelligence 的洞察(使用关键字“流量”和“建议”)。
- UI 性能和布局改进 - 改善了初始 UI 加载时间,在内容变化时会立即更新。
- 公用与专用 IP 范围设置 - 可在 IP 地址是专用 IP 地址或公用 IP 地址时指定 NSX Intelligence 用来进行分类的 CIDR 表示法。不属于其中任一指定 CIDR 表示法的任何 IP 地址均分类为公用 IP 地址。
- 流量可视化 - 在流水线上显示 L4 端口/协议,增加了 IP 到虚拟机映射的可视化。
NSX Intelligence 建议
- 在建议输入中使用组 - 提供了为组启动建议的功能(之前已经为虚拟机提供了此类支持)这包含为一组有效虚拟机成员启动建议。要使用组作为建议的输入,就需要使用 NSX-T Data Center 3.0.0。
- 微分段建议输出 - 提供一组 IP 地址以供选择(之前已经为一组虚拟机提供了此类支持)。
- 连续建议- 为建议会话提供按需或连续监控以供选择。如果在组上启用了连续监控,NSX Intelligence 将在检测到组中的虚拟机成员资格更改时生成新的建议。
NSX Intelligence 平台
- 从本地文件系统安装 NSX Intelligence - 可以从本地文件系统或 Web 服务器安装 NSX Intelligence 设备。从本地文件系统安装需要使用 NSX-T Data Center 3.0.0。
- NSX Intelligence 的警报 - 为 NSX Intelligence 系统运行状况(CPU、内存、磁盘、节点运行状况)及其与 NSX Manager 组件的通信提供警报。此功能需要使用 NSX-T Data Center 3.0.0。
- NSX Intelligence 的支持包 - 允许用户在支持 UI 的 NSX 支持包中包含 NSX Intelligence 日志。
- NSX Intelligence 的升级改进 - 改进了对 NSX Intelligence 的升级前和升级后检查,并在升级协调器中提供了 UI 支持。
- 身份验证和授权 - 为 NSX Intelligence 功能提供 RBAC 多角色支持,并且同时支持 vIDM 和 LDAP。要使用 LDAP 进行身份验证,就需要使用 NSX-T 3.0.0。
系统要求
- 有关系统要求的信息,请参见安装和升级 VMware NSX Intelligence 文档。
- 有关 NSX Intelligence 所需端口和协议的信息,请访问 https://ports.vmware.com/home/NSX-Intelligence 中的“VMware 端口和协议”。
兼容性说明
- 有关 NSX Intelligence 和 NSX-T Data Center 互操作性信息,请参见 VMware 产品互操作性矩阵表。
- NSX Intelligence 不支持 Kubernetes Pod、命名空间和集群可视化。
- NSX Intelligence 不支持 NSX Federation 部署。对于采用了 NSX Federation 的部署,如果在特定站点上使用本地管理器部署 NSX Intelligence 实例,您将看到来自全局管理器的组和流。 但是,可视化功能将不会反映其他站点中的具体内容。NSX Intelligence 建议对其他站点也不起作用,因为 NSX Intelligence 没有与 NSX-T Data Center 的全局管理器相集成。
- 使用 NSX-T Data Center 2.5.x 安装 NSX Intelligence 1.1.0 设备时,您必须使用为 NSX Intelligence 1.0.x 版本(与 NSX-T Data Center 2.5. x 一起发布)提供的说明。请参见下载和解压缩 NSX Intelligence 安装程序包和安装 NSX Intelligence 设备。您可以使用相同的命令来解压缩从 VMware 产品下载门户下载的 NSX Intelligence 1.1.0 安装程序 OVA 文件。
API 和 CLI 资源
有关 NSX Intelligence REST API 和 CLI 资源的可用信息,请参见 code.vmware.com 中的 NSX-T Data Center REST API 或 NSX-T Data Center CLI。
本地化语言
NSX Intelligence 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX Intelligence 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。
文档修订历史
2020 年 4 月 7 日。第一版。
2020 年 4 月 9 日。添加了已知问题 2543655。
2021 年 4 月 20 日。移除了没有已知解决办法且属于极端情况的非灾难性已知问题。
2021 年 4 月 28 日。添加了已知问题 2748505。
已解决的问题
- 已解决的问题 2346545 - NSX Intelligence 设备:证书替换会影响新流量信息的报告。
如果将 NSX Intelligence 设备的主体身份证书替换为自签名证书,这会影响新流量的处理,并且设备将不会显示后续的更新信息。
- 已修复的问题 2508429:NSX Intelligence 1.0.1 仅支持 Base64 编码的证书文件。不允许使用属于 PEM 编码证书的额外属性。
NSX Intelligence 1.0.1 不接受证书文件中的“包属性”。NSX Intelligence 1.0.1 仅支持 Base64 编码。
- 已解决的问题 2372657 - 虚拟机/组关系和组/组流量关联暂时显示不正确。
如果部署 NSX Intelligence 设备时在数据中心内存在运行的流量,那么虚拟机/组关系和组/组流量关联会暂时显示不正确。具体来说,在这段时间内,以下元素可能显示不正确:
- 虚拟机错误归属于“未分类”组。
- 虚拟机错误归属于“未知”组。
- 可能会错误显示两个组之间的关联流量。
当 NSX Intelligence 设备部署时间超过用户选定的可视化时间段并完成部署后,这些错误将自行纠正。
- 已修复的问题 2407198 - 在 NSX Intelligence 安全状态中,虚拟机错误显示在“未分类的虚拟机”组中
当 ESXi 主机与 vCenter 断开连接,这些主机中的虚拟机会显示在“未分类的虚拟机”组中,即使这些虚拟机属于其他组也是如此。当 ESXi 主机与 vCenter 重新连接后,这些虚拟机将显示在正确的组中。
- 已修复的问题 2436302 - 替换 NSX-T 统一设备集群证书后,无法通过 API 或 Manager 界面来访问 NSX Intelligence。
在 NSX-T Manager 界面中,转到安全规划和故障排除选项卡,然后单击发现并执行操作或建议。接口将不会加载,并最终返回一条类似以下内容的错误:无法加载所请求的应用程序。请重试,如果问题仍然存在,请联系支持部门。
- 已修复的问题 2393142 - 使用 vIDM 凭据登录到 NSX Manager 可能会返回 403 未经授权的用户错误。
这仅影响以 vIDM 用户身份登录的用户,而不影响 NSX Manager 上的本地用户。与 NSX Intelligence 设备进行交互时,在 NSX-T 2.5 中不支持 vIDM 登录和集成。
- 已修复的问题 2357296 - 在某些规模和压力条件下,部分 ESX 主机可能不会向 NSX Intelligence 报告流量。
NSX Intelligence 界面可能不会显示来自某些主机上特定虚拟机的流量,并且无法为这些虚拟机提供防火墙规则建议。因此,可能会危及某些主机上的防火墙安全。在 vSphere 版本低于 6.7U2 和 6.5U3 的部署中,会发现此问题。该问题被标识为核心 ESX Hypervisor 虚拟机筛选器创建和删除顺序错误。
- 问题 2456118 - 访问 NSX Intelligence 时出错。
在 NSX-T Data Center 中加载“安全规划和故障排除”页面时,您可能会看到以下一个或多个问题:
- 应用程序服务器无法完成请求。
- NSX-T Intelligence 代理拒绝任何管理员用户尝试。
- 您收到以下错误:无法加载所请求的应用程序。如果问题仍然存在,请尝试刷新浏览器或联系支持部门。
- 已修复的问题 2362865 - 对于默认规则,无法按规则名称筛选。
在安全规划和故障排除 > 发现并执行操作页面上发现此问题,它仅影响由连接策略创建的规则。此问题是由于缺少基于指定连接策略的默认策略所导致的。可以在管理平面上创建默认规则,但如果没有相应的默认策略,用户就无法基于该默认规则进行筛选。(流量可视化的筛选器使用规则名称按命中该规则的流量进行筛选。)
- 已修复的问题 2376389 - 在中等规模的设置中,虚拟机被错误标记为“在过去 24 小时内”已删除。
从计算管理器断开主机的连接后,NSX Intelligence 会将主机上的先前虚拟机显示为已删除,并使用新虚拟机取而代之。此问题是由于 NSX Intelligence 跟踪 NSX 数据库中的清单更新而导致的,此行为反映了清单是如何处理主机与计算管理器断开连接的情况。这不影响 NSX Intelligence 中的活动虚拟机总数,但在 NSX Intelligence 中会出现重复的虚拟机。
已知问题
- 问题 2748505 - 新的配置或流量数据未包含在 NSX Intelligence 可视化或建议分析中,因为 HDFS 磁盘已满。
当 HDFS 磁盘已满时,Druid 服务无法识别该磁盘。Druid 任务失败,并且数据不会被提取,也不会包含在 NSX Intelligence 可视化和建议中。
解决办法:有关解决办法的详细信息,请参见 VMware 知识库文章 83389。
- 问题 2389691 - 发布建议作业失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”
如果您尝试发布单个建议作业并且其中包含超过 2,000 个对象,那么该作业将失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”
解决办法:在建议作业中将对象数量降低到小于 2,000,然后重试发布操作。
- 问题 2396630 和 2533563 - 部署 NSX Intelligence 设备时,传输节点删除操作可能会失败。
如果在部署 NSX Intelligence 设备时删除传输节点,那么删除可能会失败,因为 NSX-INTELLIGENCE-GROUP NSGroup 会引用该传输节点。要删除传输节点,需要在部署 NSX Intelligence 设备时使用强制删除选项。
解决办法:使用 force 选项删除传输节点。
- 问题 2393240 - 发现从虚拟机到 IP 地址的额外流量。
将显示从虚拟机到 IP-xxxx 的其他流量。这是因为在创建流量后,NSX Policy Manager 到达 NSX Intelligence 设备时的配置数据(组、虚拟机和服务)所致。因此,先前流量无法与配置关联,因为它在流量透视图中并不存在。由于流量无法正常关联,在流量查找期间,它会默认为其虚拟机的 IP-xxxx。同步配置后即可显示实际虚拟机流量。
解决办法:修改时间范围以排除要查看的流量。
- 问题 2410224 - 完成 NSX Intelligence 设备注册后,刷新视图可能会返回“403 已禁止”错误。
完成 NSX Intelligence 设备注册后,如果单击刷新以查看,系统可能会返回“403 已禁止”错误。这是由于 NSX Intelligence 设备访问接口所需的时间导致的临时状况。
解决办法:如果遇到此错误,请稍等片刻后重试。
- 问题 2374229 - NSX Intelligence 设备的磁盘空间不足。
NSX Intelligence 设备的默认数据保留期为 30 天。如果流量数据量大于 30 天内的预期数据量,那么设备可能提前出现磁盘空间不足情况,从而导致局部或整体无法正常运行。
解决办法:有关更多详细信息和解决办法,请参见知识库文章 76523。
- 问题 2385599 - 在 NSX-T Intelligence 建议中不支持静态 IP 组。
在 NSX-T 清单中无法识别的虚拟机和工作负载(如果它们具有内部网 IP 地址)可能仍作为一组静态 IP 而受到建议的影响,包括包含这些组的建议定义规则。但是,NSX Intelligence 不支持此类组,因此可视化功能会将发送给它们的流量显示为发送目标“未知”,而不是建议组。
解决办法:无。但是,建议可以正常运行。这是一个显示问题。
- 问题 2366599 - 未强制实施含 IPv6 地址的虚拟机的规则。
如果虚拟机使用 IPv6 地址,但未通过 IP 发现配置文件为该 VIF 启用 IPv6 侦听,那么在该虚拟机的规则的数据路径中不会填充 IPv6 地址。因此,永远不会强制执行该规则。
解决办法:每次使用 IPv6 地址时,都会验证在 VIF 或逻辑交换机上是否启用了 IPv6 发现配置文件。
- 问题 2538573 - 某些持久加载情况可能会导致建议长时间处于等待状态,或导致虚拟机/组视图不正常。
如果在 NSX Intelligence 设备上持续高负载,您可能会看到有 1 个或多个建议长时间处于等待状态,或者虚拟机/组视图出现异常。
解决办法:重新启动 pace-server 服务。
- 以 root 用户身份登录到 NSX Intelligence 设备。
- 在命令提示符中,键入以下命令。
systemctl restart pace-server.service
- 问题 2521825 - NSX Intelligence 中不支持联合。
使用本地管理器部署 NSX Intelligence 时,可能无法正确可视化从全局管理器中推送的任何配置。针对从全局管理器推送的配置给出的建议将不准确,因为建议功能只能将本地管理的对象作为输入,而不会向全局管理器推荐或发布规则。
解决办法:无。
- 问题 2531845 - 升级 NSX Intelligence 设备后,组可视化功能立即出错。
将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后,“组”视图显示的“未分类”组包含数量不正确的大量虚拟机成员。
解决办法:将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后,请至少等待 1 小时,然后才能使用 NSX Intelligence 功能。
- 问题 2539217 - 不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence UI
不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence 用户界面,即使在 NSX-T Data Center 中为这些用户分配了角色。
解决办法:用户可以将角色分配给 LDAP 组,或者只将角色分配给属于 LDAP 组的用户。
- 问题 2529161 - 使用相同的 SFTP 文件夹备份 NSX-T 集群、NSX Intelligence 节点和全局管理器集群导致备份列表混乱。
如果在 NSX-T 集群、NSX Intelligence 节点和全局管理器集群之间共享 SFTP 文件夹,则 NSX Intelligence 备份用户界面中将列出使用这些集群生成的所有备份的混合列表。但实际上仅应列出由 NSX Intelligence 生成的备份。
解决办法:在备份每个 NSX-T 集群、NSX Intelligence 设备或全局管理器集群时,使用唯一的 SFTP 文件夹。
- 问题 2537740 - 将 NSX Intelligence 1.0.0 升级到版本 1.0.1 导致配置同步和数据收集受到影响。
如果将 NSX Intelligence 1.0.0 升级到版本 1.0.1 和版本 1.1.0,在 NSX Intelligence 设备上不会更新 NSX Manager 统一设备配置信息。此外,数据收集也可能会中断。例如,在 NSX Intelligence 升级后创建的新组或新虚拟机可能不会反映在 NSX Intelligence UI 中。
解决办法:完成从 NSX Intelligence 1.0.0 到版本 1.0.1 的升级后,先执行以下步骤,然后再继续升级到 NSX Intelligence 1.1。
- 以 root 用户身份登录到 NSX Intelligence 设备。
- 在 NSX Intelligence 设备命令提示符中执行以下命令。
export TRUSTLINK="/home/secureall/secureall/.store/.kafka_broker_truststore" export TRUSTFILE=$(ls -t /home/secureall/secureall/.store/.kafka_broker_truststore.*| head -1) rm $TRUSTLINK ln -s $TRUSTFILE $TRUSTLINK chown unsxconfig:gproxycert $TRUSTLINK chown --no-dereference unsxconfig:gproxycert $TRUSTLINK chmod 660 $TRUSTLINK
- 重新启动 kafka 和 nsx-config 服务。
systemctl restart kafka systemctl restart nsx-config
继续升级到 NSX Intelligence 1.1.0。
- 问题 2523316 - 在 NSX Intelligence 还原操作期间重新启动 NSX Intelligence 服务时,会丢失 NSX Manager 用户会话。
如果在 NSX Intelligence 还原操作结束时重新启动 NSX Intelligence 服务,将会终止当前 NSX Manager 用户会话。
解决办法:重新登录到 NSX Manager。
- 问题 2536593 - 为“证书已过期”警报事件提供的建议操作信息对于 NSX Intelligence 不准确。
如果发生了“证书已过期”警报事件,使用“建议操作”中提供的信息无法解决 NSX Intelligence 设备上的警报。
解决办法:无。
- 问题 2543655 - NSX Intelligence 中的传输节点和 Kafka 代理之间可能会出现 SSL 握手失败。
如果传输节点中缺少流量和上下文信息,则在 NSX Manager 用户界面上显示的 NSX Intelligence 可视化中可能会显示不正确的信息。在 /var/log/kafka/server.log 文件中,您可能会看到连续记录 SSL handshake failed 错误消息。
解决办法:使用以下步骤重新启动 Kafka 代理服务。
- 使用 CLI 管理员凭据登录到 NSX Intelligence 设备。
- 从 NSX Intelligence 命令行中,使用以下命令。
restart service kafka