VMware NSX Intelligence 1.2.0 | 2020 年 10 月 30 日 | 内部版本 17065669

请定期查看以了解本发行说明的新增内容和更新。

VMware NSX® Intelligence™ 是一种分布式分析平台,它利用 NSX 独有的精细工作负载和网络上下文以提供融合的安全策略管理、分析和合规性,并具有数据中心范围的可见性。NSX Intelligence 通过 NSX Manager 中的单一管理窗格提供用户界面,并提供下列功能:

  • 环境中的计算工作负载的实时流量可见性。
  • 实时或历史网络流量、用户定义的防火墙配置以及计算工作负载清单的相关性。
  • 能够查看有关以前的网络流量、用户定义的防火墙配置以及计算工作负载清单的信息。
  • 通过提供防火墙规则、分组和服务建议自动执行微分段规划。

发行说明内容

本发行说明包含以下主题:

本版本的新增内容

NSX Intelligence 1.2.0 引入了以下新功能和增强功能以进行实时网络流量可视化和防火墙规则计划。

NSX Intelligence 可视化

  • 计算工作负载类型可见性现在包括物理服务器。
  • 增加了对 IP 地址组可视化的支持。
  • 现在为端点上下文(进程)、用户上下文(用户登录)和网络上下文(第 4 层和第 7 层应用程序 ID)提供上下文相关性和可视化支持。
  • 提高了流量可见性。
  • NSX Intelligence 用户界面中的高级筛选选项现在包括 L7 流量、组,等等。

NSX Intelligence 建议

  • 安全建议现在支持与现有防火墙规则和组之间的相关性。
  • 安全建议现在还支持为物理服务器建议防火墙规则和组。
  • 提供了允许模式支持。
  • 引入了连接策略(允许/拒绝列表)。
  • 现在允许重复使用现有的组和对象。
  • 提供了建议输出验证。
  • 添加了基于应用程序 ID 的第 7 层内容配置文件建议。

NSX Intelligence 平台

  • 现在支持 NSX Intelligence 设备大小调整。
  • 引入了证书管理增强功能,包括支持新的证书类型。
  • 现在提供了高磁盘使用率和高存储延迟的警报。
  • 现在提供了 NSX Intelligence 服务的运行状况。
  • 提供了 NSX Intelligence 许可证使用情况报告。

网络流量分析(技术预览版)

MITER 企业攻击框架中表示的以下威胁检测在 NSX Intelligence 1.2 版本中仅作为技术预览版提供。 
注意不支持在生产环境中使用网络流量分析功能。如果您激活该技术预览版功能,请确保在生产模式下使用 NSX Intelligence 之前将其停用。

  • 持久性 - 流量丢弃
  • 凭据访问 - LLMNR/NBT-NS 中毒和中继(MITRE ID:T1171)
  • 发现 - 网络服务扫描(MITRE ID:T1046)
  • 横向移动 - 远程服务(MITRE ID:T1021)
  • 横向移动 - 远程桌面协议(MITRE ID:T1076)
  • 命令和控制 - 不常用的端口(MITRE ID:T1509)

系统要求

兼容性说明

  • 有关 NSX Intelligence 和 NSX-T Data Center 互操作性信息,请参见 VMware 产品互操作性矩阵表
  • NSX Intelligence 不支持 Kubernetes Pod、命名空间和集群可视化。 
  • NSX Intelligence 不支持 NSX Federation 部署。对于采用了 NSX Federation 的部署,如果在特定站点上使用本地管理器部署 NSX Intelligence 实例,您将看到来自全局管理器的组和流。  但是,可视化功能将不会反映其他站点中的具体内容。NSX Intelligence 建议对其他站点也不起作用,因为 NSX Intelligence 没有与 NSX-T Data Center 的全局管理器相集成。
  • 使用 NSX-T Data Center 2.5.x 安装 NSX Intelligence 1.2.0 设备时,您必须使用为 NSX Intelligence 1.0.x 版本(与 NSX-T Data Center 2.5. x 一起发布)提供的说明。请参见下载和解压缩 NSX Intelligence 安装程序包安装 NSX Intelligence 设备。您可以使用相同的命令来解压缩从 VMware 产品下载门户下载的 NSX Intelligence 1.2.0 安装程序 OVA 文件。

API 和 CLI 资源

请参见 code.vmware.com 中的 NSX-T Data Center REST APINSX-T Data Center CLI,以了解有关 NSX Intelligence REST API 和 CLI 资源的信息。

本地化语言

NSX Intelligence 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX Intelligence 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 10 月 30 日。第一版。
2020 年 12 月 18 日。添加了已知问题 2685222 和 2682610。
2021 年 1 月 7 日。添加了已知问题 2673869。
2021 年 1 月 21 日。添加了对已知问题 2694784 的引用。
2021 年 2 月 17 日。更正了 NSX-T Data Center 3.1 REST API 和 CLI 资源的 URL。
2021 年 4 月 8 日。替换了文档中使用的不敏感术语。
2021 年 4 月 20 日。移除了没有已知解决办法且属于极端情况的非灾难性已知问题。
2021 年 4 月 28 日。添加了已知问题 2748505。

已解决的问题

  • 已修复的问题 2541816 - 某些持久性负载情况可能会导致建议长时间处于等待状态,或者“虚拟机”/“组”视图无法正常工作。

    如果在 NSX Intelligence 设备上持续高负载,您可能会看到有 1 个或多个建议长时间处于等待状态,或者“虚拟机”/“组”视图无法正常工作。

  • 已修复的问题 2543655 - 在传输节点和 NSX Intelligence 中的 Kafka 代理之间可能会发生 SSL 握手失败。

    如果传输节点中缺少流量和上下文信息,则在 NSX Manager 用户界面上显示的 NSX Intelligence 可视化中可能会显示不正确的信息。在 /var/log/kafka/server.log 文件中,您可能会看到连续记录 SSL handshake failed 错误消息。

  • 已修复的问题 2396630、2533563 和 2548387 - 在部署 NSX Intelligence 设备时,删除传输节点操作可能会失败。

    如果在部署 NSX Intelligence 设备时删除传输节点,那么删除可能会失败,因为 NSX-INTELLIGENCE-GROUP NSGroup 会引用该传输节点。要删除传输节点,需要在部署 NSX Intelligence 设备时使用强制删除选项。

已知问题

  • 问题 2748505 - 新的配置或流量数据未包含在 NSX Intelligence 可视化或建议分析中,因为 HDFS 磁盘已满。

    当 HDFS 磁盘已满时,Druid 服务无法识别该磁盘。Druid 任务失败,并且数据不会被提取,也不会包含在 NSX Intelligence 可视化和建议中。

    解决办法:有关解决办法的详细信息,请参见 VMware 知识库文章 83389

  • 问题 2389691 - 发布建议作业失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    如果您尝试发布单个建议作业并且其中包含超过 2,000 个对象,那么该作业将失败,并显示错误“请求负载大小超出允许的限制,每个请求最多允许 2,000 个对象。”

    解决办法:在建议作业中将对象数量降低到小于 2,000,然后重试发布操作。

  • 问题 2410224 - 完成 NSX Intelligence 设备注册后,刷新视图可能会返回“403 已禁止”错误。

    完成 NSX Intelligence 设备注册后,如果单击刷新以查看,系统可能会返回“403 已禁止”错误。这是由于 NSX Intelligence 设备访问接口所需的时间导致的临时状况。

    解决办法:如果遇到此错误,请稍等片刻后重试。

  • 问题 2374229 - NSX Intelligence 设备的磁盘空间不足。

    NSX Intelligence 设备的默认数据保留期为 30 天。如果流量数据量大于 30 天内的预期数据量,那么设备可能提前出现磁盘空间不足情况,从而导致局部或整体无法正常运行。 

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 76523

  • 问题 2366599 - 未强制实施含 IPv6 地址的虚拟机的规则。

    如果虚拟机使用 IPv6 地址,但未通过 IP 发现配置文件为该 VIF 启用 IPv6 侦听,那么在该虚拟机的规则的数据路径中不会填充 IPv6 地址。因此,永远不会强制执行该规则。

    解决办法:每次使用 IPv6 地址时,都会验证在 VIF 或逻辑交换机上是否启用了 IPv6 发现配置文件。

  • 问题 2531845 - 升级 NSX Intelligence 设备后,组可视化功能立即出错。

    将 NSX Intelligence 版本从 1.0.x 升级到 1.2.0 或从 1.1.x 升级到 1.2.0 后,“组”视图显示的未分类组具有大量虚拟机成员,但数量不正确。

    解决办法:将 NSX Intelligence 从版本 1.0.x 升级到版本 1.1 后,请至少等待 1 小时,然后才能使用 NSX Intelligence 功能。 

  • 问题 2539217 - 不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence UI

    不属于任何 LDAP 组的 LDAP 用户无法访问 NSX Intelligence 用户界面,即使在 NSX-T Data Center 中为这些用户分配了角色。

    解决办法:用户可以将角色分配给 LDAP 组,或者只将角色分配给属于 LDAP 组的用户。

  • 问题 2529161 - 使用相同的 SFTP 文件夹备份 NSX-T 集群、NSX Intelligence 节点和全局管理器集群导致备份列表混乱。

    如果在 NSX-T 集群、NSX Intelligence 节点和全局管理器集群之间共享 SFTP 文件夹,则 NSX Intelligence 备份用户界面中将列出使用这些集群生成的所有备份的混合列表。但实际上仅应列出由 NSX Intelligence 生成的备份。

    解决办法:在备份每个 NSX-T 集群、NSX Intelligence 设备或全局管理器集群时,使用唯一的 SFTP 文件夹。

  • 问题 2628443 - 在 NSX Intelligence 用户界面上未反映新的配置更改,例如,策略组、虚拟机和流量。

    在使用 NSX Manager 设备的虚拟 IP 运行以下 CLI 命令时,在 NSX Intelligence 用户界面中未反映对策略组、虚拟机和流量进行的新配置更改。
    set intelligence manager-node cert-id cert-b64-encoded-pem

    解决办法:如果在 set intelligence manager-node CLI 命令中使用 NSX Manager 设备的虚拟 IP,请使用以下步骤以纠正这种情况。

    1. 使用 admin 用户帐户连接到 NSX Intelligence 设备 (ssh admin@intelligence-ip),然后运行以下命令:
      update intelligence manager node host-ip-addr <nsx-mgr-ip-addr-arg> cert-thumbprint <nsx-mgr-thumbprint-arg>
    2. 在仍位于与 admin 相同的 ssh 会话时,运行以下命令:
      set intelligence manager-node <nsx-mgr-ip-address> cert-id <uuid> cert-b64-encoded-pem <pem>
    3. 使用 root 用户帐户连接到 NSX Intelligence 设备 (ssh root@intelligence-ip),然后运行以下命令:
      /opt/vmware/pace/server/pace-server-post-cert-node-register.sh
  • 问题 2599301 - 在 NSX Intelligence 用户界面的“过去 1 小时”视图中不显示某些活动会话,“建议”模块不会选择这些会话以建议策略。

    在计算主机上监测到一些活动流量,但在 NSX Intelligence 用户界面的“过去 1 小时”视图中不显示这些流量。为相关计算主机启动建议分析不会为这些流量生成任何建议,即使这些流量未进行分段。

    解决办法:在 NSX Intelligence 设备和所有将数据导出到 NSX Intelligence 的计算主机之间同步时间戳。

  • 问题 2629403 - 在 NSX Intelligence UI 上未正确反映新的策略配置更改(如组和 DFW)。

    从 NSX Intelligence 1.0.x 升级到 NSX Intelligence 1.2 后,如果 NSX Intelligence 节点和 localhost 订阅者证书已更改,从 NSX Manager 到 NSX Intelligence 设备的配置同步可能无法正常工作。

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 81318

  • 问题 2621892 - 没有为在 Windows 中使用 OVS 的物理服务器报告 IPv6 流量。

    在 NSX-T Data Center 上启用了有状态防火墙服务,在 Windows 中使用 Open vSwitch (OVS) 的物理服务器无法向 NSX-T Data Center 报告 IPv6 流量。因此,在 NSX Intelligence 用户界面中不会反映这些 IPv6 流量。

    解决办法:无。

  • 问题 2631724 - 即使在安装期间选择了“大型”规格,也可能会为某些 NSX Intelligence 部署分配较少的 CPU。

    在使用早期 NSX Intelligence 版本的安装中,即使在安装期间选择了大型 (LFF) 设备大小,但由于在配置期间指定的主机中具有较少数量的可用 CPU,仍会分配小型 (SFF) 大小。该 SFF 分配将导致性能大幅下降。在 NSX Intelligence 1.2.0 中,如果没有足够的 CPU 以满足请求的 LFF 设备大小要求,则会在部署过程中检测到该问题,并且用户界面显示“注册失败”(Registration failed) 错误。在 NSX Intelligence 设备的 /var/log/node-manager/node-manager-service.INFO.log 文件中,将记录以下异常:

    异常:没有足够的 CPU 资源以支持请求的规格 (Exception: Insufficient CPU resources to support requested form factor)

    解决办法:在部署大型 NSX Intelligence 设备时,请使用安装向导中的“资源池”选项,而不是“主机”选项。

  • 问题 2609372 - NSX Intelligence 无法检测 NSX Manager 设备的无效 IP 地址。

    如果您将 NSX Manager 证书信息添加到 NSX Intelligence 中,但为 NSX Manager 提供了不正确的 IP 地址,/var/log/pace-server.log 文件将包含错误消息,以指示到 NSX Manager 设备的连接尝试已超时。

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 80158

  • 问题 2662537 - 在较高的负载条件下,NSX Intelligence 设备可能会达到性能下降状态。

    在安装 NSX Intelligence 小型设备并长时间运行后,您可能会发现设备的状态时常会变为“性能下降”。尤其是,在流量记录数量较高并启用了网络流量分析(技术预览版)功能时,可能会发生这种情况。

    解决办法:禁用网络流量分析(技术预览版)功能,或者将 NSX Intelligence 设备调整为大型规格。请参阅《使用和管理 VMware NSX Intelligence》文档中的调整 NSX Intelligence 设备大小主题。

  • 问题 2649781 - 在重新引导 NSX Intelligence 设备并经过很长时间后,“spark”服务仍处于性能下降状态。

    在资源受限制的 NSX Intelligence 设置中,即使经过 30 多分钟后,spark 服务可能仍处于非正常状态。由于 spark 服务处于性能下降状态,在可视化画布中不显示新的流量。

    解决办法:

    1. admin用户身份登录到 NSX Intelligence CLI。
    2. 使用以下命令验证 spark 服务的状态:
      get services
    3. 如果 spark 服务处于“已停止”(stopped) 或“性能下降”(degraded) 状态,请使用以下命令重新启动 spark 服务。
      restart service spark
  • 问题 2658502 - 如果 NSX Manager 集群证书或 NSX Intelligence 设备证书包含回车符(作为新行的一部分),NSX Intelligence 将会遇到错误。
    • 如果 NSX Manager 证书包含回车符,NSX Intelligence 设备部署可能会失败,或者 NSX Intelligence 设备可能会在部署后一直处于性能下降状态。
    • 如果在部署 NSX Intelligence 设备后更新了包含回车符的 NSX Manager 证书或 NSX Intelligence 证书,在同时重新启动多个 manager 服务时,某些服务可能无法初始化。

    解决办法:使用以下信息之一以解决该问题。

    • 使用不包含回车符的证书。
    • 检查以确定 manager 服务是否处于关闭或性能下降状态,然后使用以下信息以重新启动该服务。
      1. 导航到系统 > 设备
      2. 找到受影响的 NSX 设备,然后单击查看详细信息
      3. 在“运行状态”部分中找到管理器,并确认它处于关闭状态。
      4. 如果已关闭,请以 admin 用户身份登录到相应的 NSX Manager 设备 CLI,然后使用以下命令重新启动 manager 服务。
        restart service manager
  • 问题 2665452 和 2694784 - 使用客户机侦测时,在较高的负载条件下,NSX Intelligence 可视化在 UI 中的加载速度缓慢,或者建议作业失败。

    如果指定的时间范围超过一小时,安全规划和故障排除 > 发现并执行操作用户界面中的“组”视图在可视化画布中的加载速度非常慢,或者建议作业失败。此外,/var/log/druid/sv/overlord-service.log 文件还显示上下文表的 Druid 压缩作业失败。出现该问题的原因是:由于没有正确进行压缩或汇总,Druid 分段的增长速度比预期快。

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 81370

  • 问题 2685222 - 如果 Web 浏览器设置了不受支持的非英语区域设置,则在尝试访问“安全规划和故障排除”>“建议”页面后,浏览器会崩溃。

    如果您的 Web 浏览器被设置为使用不受支持的非英语区域设置(例如 nl-NL),则在您尝试访问安全规划和故障排除 > 建议页面时,Web 浏览器会崩溃。将显示类似以下内容的错误消息。

    InvalidPipeArgument: Missing locale data for the locale "nl-NL".' for pipe 't'

    解决办法:将 Web 浏览器的区域设置更改为英语或任何当前受支持的区域设置。支持的区域设置包括德语 (de-DE)、英语 (en-US)、西班牙语 (es-ES)、法语 (fr-FR)、日语 (ja-JP)、韩语 (ko-KR)、简体中文 (zh-CN) 和繁体中文 (zh-TW)。例如,请转到以下 URL,以了解有关如何更改 Chrome Web 浏览器所使用的区域设置的信息。 

    https://support.google.com/chrome/answer/173424?co=GENIE.Platform%3DDesktop&hl=cn
  • 问题 2682610 - 从 NSX-T Data Center 2.5.x 或 3.0.x 升级到 NSX-T Data Center 3.1.x 后,无法在 NSX Intelligence 设备上启动上下文服务。 

    从 NSX-T Center 2.5.x 或 3.0.x 升级到 NSX-T Data Center 3.1.x 后,无法生成上下文数据。NSX Intelligence 设备升级过程完成后,上下文功能可用,但处于未启用状态,因为上下文功能已与 NSX-T Data Center 版本绑定,在这种情况下,NSX-T Data Center 的版本必须是 3.1.x。

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 81201。 

  • 问题 2673869 - 用于 NSX Intelligence 的处理管道可能会变得缓慢,从而导致可视化画布上不显示 1 小时时间段的任何流量信息。

    在 NSX Intelligence 可视化画布中,选择 1 小时的时间段后,不会显示任何流量信息,即使主机报告了网络流量也是如此。使用以下命令检查 Kafka 使用者延迟时,延迟数值很大,并且随着时间的推移不断增加。

    # /opt/kafka_2.12-2.6.0/bin/kafka-consumer-groups.sh --bootstrap-server 127.0.0.1:9092 --command-config /opt/kafka_2.12-2.6.0/config/kafka_adminclient.props --group raw_flow_group --describe

    解决办法:有关更多详细信息和解决办法,请参见 VMware 知识库文章 81979

check-circle-line exclamation-circle-line close-line
Scroll to top icon