VMware NSX-T Data Center 2.5.2 | 2020 年 7 月 30 日 | 内部版本 16615902

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

新增功能

功能、增强功能和扩展

此版本的 NSX-T Data Center 是一个维护版本,没有主要或次要功能、增强功能或扩展更新。

兼容性和系统要求

有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》

常规行为变化

支持管理/TEP 接口上的 BFD 多跃点

从 NSX-T Data Center 2.5.2 开始,管理/TEP 接口支持多跃点 BFD。在 Edge 集群配置文件中将允许的最大 BFD 跃点数量配置为 1(默认)时,将使用单跃点 BFD。对于大于 1 的任何值,将使用多跃点 BFD。

API 和 CLI 资源

请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

可从 API 参考选项卡获取 API 文档。可从文档选项卡获取 CLI 文档。

NSX Intelligence

所有 NSX Intelligence 已知问题和已解决问题以及帮助您安装、配置、更新、使用和管理 NSX Intelligence 的详细文档现在可分别在 NSX Intelligence 文档中找到。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 7 月 30 日。第一版。
2020 年 8 月 17 日。第二版。添加了已解决的问题 2606608。更新了已知问题 2590444,提供了更多解决办法信息。 
2020 年 8 月 21 日。第三版。更新了已知问题 2590444 的解决办法。
2020 年 9 月 11 日。第四版。添加了已解决的问题 2586606。
2020 年 9 月 24 日。第五版。将问题 2586606 移到了“已知问题”部分。添加了已知问题 2621322、2491206。
2021 年 3 月 15 日。第六版。添加了已知问题 2730634。

已解决的问题

  • 已修复的问题 2378970:分布式防火墙的集群级别“启用/禁用”设置错误显示为“已禁用”。

    简化 UI 上 IDFW 的集群级别“启用/禁用”设置可能显示为“已禁用”,即使在管理平面上已启用也如此。从 2.4.x 升级到 2.5 后,此错误将一直保留,直至明确完成更改为止。 

  • 已修复问题 2416130:集中式服务端口 (CSP) 连接到 DR 的下行链路时没有 ARP 代理

    集中式服务端口 (CSP) 连接到 DR 的下行链路时没有 ARP 代理,这会导致无流量通过。 

  • 已修复的问题 2462079:如果 ESXi 主机上存在失效的 DV 筛选器,则在升级期间会重新引导某些版本的 ESXi 主机。

    对于运行 ESXi 6.5-U2/U3 和/或 6.7-U1/U2 的主机,在维护模式升级到 NSX-T 2.5.1 时,如果在移出虚拟机后发现主机上存在失效的 DV 筛选器,则主机可能会重新引导。

  • 已修复的问题 2483552:从 2.4.x 升级到 2.5.x 后,“nsx-exporter”二进制文件将从主机中移除

    将 NSX-T Data Center 从版本 2.4.x 升级到版本 2.5.x 后,nsx-exporter (/opt/vmware/nsx-exporter) 和 nsx-aggservice (/opt/vmware/nsx-aggservice) 的二进制文件将被移除,从而导致 nsx-exporter 停止运行。

    重新安装 nsx-exporternsx-aggregator 包,如下所示:

    1. 使用命令“rpm -qa | grep nsx”识别 nsx-exporternsx-aggservice 的 RPM。
    2. 使用“rpm -e nsx-exporter*”和“rpm -e nsx-aggservice*”移除 nsx-exporternsx-aggservice 的 RPM
    3. 下载服务器上的 nsx-lcp 压缩文件,并对其进行解压缩。
    4. 安装 nsx-aggservicensx-exporter 包。
  • 已修复的问题 2470210:在对受 DFW 保护的虚拟机执行 Storage vMotion 后,不会更新 VNIC 上的 DFW 本地地址集。

    在执行 Storage vMotion 过程中,会引发争用情况,在这种情况下,cfgAgent 会在短时间内观察到两个具有相同虚拟接口和逻辑交换机端口的筛选器,从而导致 VNIC 上的地址集更新不正确,进而造成流量丢弃。

  • 已修复的问题 2498350:在某些情况下,不会应用网关防火墙规则,从而导致流量命中默认丢弃规则。

    流量由于命中默认丢弃规则而被丢弃。

  • 已修复的问题 2509879:通过从使用活动框架中移除应用程序初始化操作来降低对活动框架的压力。

    由于活动堆积在活动框架表中,主机到 NSX Manager 的连接可能会受到影响。

  • 已修复的问题 2512778:由于活动框架队列中存在备份的活动,从 T1 到 T0 的路由通告失败。

    备份具有活动的活动框架时,处理新活动将失败。

  • 已修复的问题 2517232:未在 NSX Manager UI 中加载清单对象。

    登录到 NSX Manager UI 时,由于在加载清单期间尝试编制大型对象的索引时弹性搜索耗尽了内存,因此不会显示清单对象。

  • 已修复的问题 2523475:尽管具有匹配的标记,PCF 容器应用程序也不会动态地添加到安全组。

    即使符合成员资格条件,逻辑交换机、逻辑端口或虚拟机等 NSX 对象也不会动态地添加到 NS 组。

  • 已修复的问题 2543353:执行 eSP 封装后 NSX T0 Edge 为 IPsec 隧道流量计算的 UDP 校验和不正确。

    由于 UDP 数据包中的校验和错误,导致流量被丢弃。

  • 已修复的问题 2547983:删除 NS 组时可能不会清理该组,从而导致数据库中出现失效的 NS 组条目。

    由于数据库中的消息大小异常,NS 组可能会失效,从而导致 NS 组成员资格不一致。

  • 已修复的问题 2561740:由于 NS 组中的有效成员未更新,未应用 PAS 输出 DFW 规则。

    由于出现 ConcurrentUpdateException,未处理 LogicalPort 创建,从而导致更新相应的 NS 组失败。

  • 已修复的问题 2572505:由于 Geneve 封装的数据包中的 VLAN 不正确,虚拟机收到意外流量。

    在 ENS 堆栈中,Geneve UDP 源端口被错误地设置为 0,并且没有为拆分数据包设置 VLAN ID,从而导致验证外部标头失败,进而造成数据包丢弃。

  • 已修复的问题 2522782:在服务路由器 (SR) 从“关闭”切换到“备用”时,NSX-T 系统事件引发误报警示。

    当高可用性 (HA) 模式下的 SR 状态发生更改时,将引发警报;但是,当 HA 模式下的对等 SR 变为活动时,不会清除警报。

  • 已修复问题 2346636:对于具有在 IP 标头中所设置 MF 和 DF 标记的碎片化数据包,防火墙会予以丢弃。 

    具有在 IP 标头中所设置 MF 和 DF 标记的碎片化数据包,已被防火墙丢弃。

  • 已修复的问题 2424331:在 root 密码过期后,不会轮换日志文件。

    日志文件不会轮换,日志文件的大小会不断增加。这会导致日志分区填满,某些服务将失败。 

  • 已修复问题 2456534:在执行抢占模式故障恢复后,新的备用 T0 路由器失去 BGP 对等互连长达 20 分钟。

    在抢占模式活动/备用 T0 部署中,当从非首选节点向首选节点进行故障恢复时,非首选节点将进入备用状态,并且该备用节点上的 BGP 对等连接将有 20 分钟会卡在活动状态。在此期间,BGP 命令不会返回任何输出。在 20 分钟的超时期限后,问题将自行解决,BGP 会话会恢复“已建立”状态。

  • 已修复的问题 2468846:主机处于“安装失败”状态时,将不会进行升级。

    主机处于“安装失败”状态时,将不会进行升级。 

  • 已修复问题 2479735:修改 NSX Manager UI 中的“防火墙绕过”选项时,系统不会进行处理。 

    后端不会处理 NSX Manager UI 中的“防火墙绕过”选项的修改,您也不会在 API 和 Edge CLI 中看到修改。

  • 已修复问题 2482817:由于签名证书不是 RSA,因此 CA 签名证书被拒绝。 

    无法替换 API 或 VIP 证书,因为它是 EC 证书,而不是 RSA。 

  • 已修复的问题 2485039:网关防火墙丢弃不应丢弃的流量。 

    网关防火墙丢弃不应丢弃的流量。这是由于为活动-活动 Tier-0 逻辑路由器创建了默认有状态策略。 

  • 已修复问题 2488535:LB 规则无法更新主机标头。 

    LB 规则无法更新主机标头。即使将主机标头设置为其他值,也不会应用所做的更改。 

  • 已修复问题 2490312:不会删除警报。

    默认规则的警报不会清除。  

  • 已修复问题 2490695/2481033:如果主机上有任何正在运行的虚拟机,则对传输节点配置文件所做的任何更改都无法应用于 ESXi 传输节点。

    如果主机上有任何正在运行的虚拟机,则对传输节点配置文件所做的任何更改都无法应用于 ESXi 传输节点。

  • 已修复问题 249177:LB 返回“500 内部服务器错误”,而不是提供实际页面。 

    如果 LB 规则匹配条件使用捕获组,并且匹配的内容具有某些特殊字符,则 LB 将返回“500 内部服务器错误”。 

  • 已修复的问题 2500256:在带外管理接口上配置 VLAN 会无法正常工作。

    在带外绑定管理接口上配置 VLAN 时,配置会错误地保留,从而导致管理接口在重新引导后无法正确启动。

  • 已修复问题 2502877:在同一集群的 Edge 之间无法通过管理接口来形成 BFD 会话。

    当一个 BFD 通道使用多跃点 BFD,而另一个通道使用单跃点时,NSX Edge 的 UI 显示该 Edge 处于已降级状态。您将收到有关集群中 Edge 运行状况的错误消息。

  • 已修复问题 2507474:Python 文件的 FILE_INTEGRITY_CHECK 失败。

    Python 文件的 FILE_INTEGRITY_CHECK 失败。

  • 已修复问题 2508326:如果 T1 分段的网络地址与 LB VIP 重叠,NSX Manager 将错误地验证连接到该分段的所有虚拟服务器,从而导致出现故障。 

    如果网络地址与 LB VIP 重叠,则分段创建将失败。 

  • 已修复问题 2509162:在 Edge 节点上无法实现防火墙规则等对象。

    在网关上创建网关防火墙策略时,防火墙规则实现无法发布到 Edge 节点。

  • 已修复问题 2511654:同步大型 AD 域失败。 

    /config 分区上,您会看到“磁盘空间不足”错误,导致 NSX Manager 无法正常工作。

  • 已修复问题 2512094:在主机上使用分组对象时遇到系统崩溃。 

    在主机上使用分组对象时遇到系统崩溃。 

  • 已修复问题 2513835:当正对一个小组进行编辑操作时,如果同时尝试编辑另一个组,则在 UI 上的当前正在编辑小组中会显示不正确的计算成员。

    如果您同时开始编辑其他组,则在 UI 中会看到当前正在编辑的小组的计算成员不正确。

  • 已修复问题 2513842:升级时,由于在上载之前重命名 MUB,MUB 上载失败。

    如果在上载之前重命名 MUB,升级 NSX-T Data Center 将失败。 

  • 已修复问题 2513848:Dhcp-backend 进程的 CPU 使用率达到 100%。

    Dhcp-backend 进程的 CPU 使用率达到 100%。,并显示为 DHCP 服务器不可用。 

  • 已修复问题 251391:如果管理接口位于 vmk0 之外的任何适配器上,则主机预检查会出现异常。 

    如果管理接口位于 vmk0 之外的任何适配器上,则在升级期间,主机预检查会失败。 

  • 已修复问题 2513920:“策略”以外的超级用户没有部署东西向服务的权限。 

    在没有“策略”超级用户权限的情况下无法部署东西向服务。

  • 已修复问题 2515554:由于两次释放 fastslab 导致系统崩溃。 

    两次释放 fastslab 导致系统崩溃。 

  • 已修复问题 2518312:由于不支持 4.15.0-76 以上的内核,安装 NSX-T Data Center 失败。 

    如果尝试在高于 4.15.0-76 的内核版本上部署 NSX-T Data Center,安装将失败。 

  • 已修复问题 2518415:升级停滞,因为某些文件未被复制到 NSX Manager。 

    升级停滞,因为某些文件未被复制到 NSX Manager。​

  • 已修复问题 2526373:NSX Edge 数据路径无法启动。 

    如果在具有单个 NUMA 节点的 CPU 上配置了超过 32G 的巨大页面内存,则 NSX Edge 数据路径无法在裸机 Edge 上启动。 

  • 已修复问题 2525781:DFW 筛选器将应用于 NSX Edge 使用的逻辑分段端口。

    其网络接口已编辑为使用 NSX 逻辑分段的 NSX Edge 虚拟机具有已应用的 DFW 规则和筛选器,这会影响流量流,并可能导致延迟。 

  • 已修复问题 2523397:  在 vMotion 期间,NSX-T Data Center 已就绪的 ESXi 主机可能会崩溃。 

    在执行 vMotion 期间,NSX-T Data Center 已就绪的 ESXi 主机可能会出现崩溃。

  • 已修复问题 2520658:反向代理服务崩溃,且不会自动重新启动。客户需要手动重新启动反向代理。

    反向代理服务崩溃,且不会自动重新启动。必须手动重新启动反向代理服务。 

  • 已修复问题 2544127:由于配置无效,传输节点无法同步,且无法将 NSX Edge 添加到 Edge 集群。

    由于在 NSX Edge 节点上找不到 VNIC 空值的 MAC 地址,因此无法将 NSX Edge 添加到 Edge 集群中。 

  • 已修复问题 2543581:如果在 vMotion 导出过程中活动状态的数量急剧增加,则在该导出过程中系统可能会崩溃。

    如果在 vMotion 导出过程中活动状态的数量急剧增加,则在该导出过程中系统可能会崩溃。

  • 已修复问题 2541552:您可能会遇到 100% 磁盘使用率。 

    磁盘压缩一直进行,使磁盘配置超过 100% 使用率。 

  • 已修复问题 2539526:无法升级 NSX Manager,这是因为数据库已损坏,导致数据迁移失败。

    如果在完成 NSX Manager 的升级之前启动 NSX Manager 服务,数据库可能会损坏。

  • 已修复问题 2537112:传输节点状态显示 RPC 超时。

    传输节点状态显示 RPC 超时。 

  • 已修复问题 2535682:如果某些网络安全组的规则具有除 Any/TCP/UDP 以外的其他协议,则 Azure VNET 载入将失败。

    无法将新的 Azure VNET 载入到 NSX-T Data Center,因此无法管理这些 VNET 中的虚拟机。

  • 已修复问题 2533267:尝试检索 LB 配置统计信息时,名为 nsx-edge-exporter 的进程崩溃并持续重新启动。 

    尝试检索 LB 配置统计信息时,名为 nsx-edge-exporter 的进程崩溃并持续重新启动。​

  • 已修复问题 2530312:您可能会遇到逻辑路由器的 LIF 未得到处理的情形,并有消息指示逻辑路由器上挂起实现和连接问题。 

    您可能会遇到延迟处理 LIF 的情形,并且 nsxapi.log 文件会标示以下消息: “延迟对新逻辑路由器链路端口的处理。(Delaying processing for new logical router link port.)” 

  • 已修复问题 2528314:MAC 地址在物理交换机端口之间移动。 

    当 NSX Edge 退出维护模式时,从 NSX Edge L2 网桥中发现的 MAC 地址会通过 RARP 请求发送回物理网络,从而导致 MAC 地址在物理交换机端口之间移动。 

  • 已修复问题 2527921:NSX Edge 上的 BFDD 进程的内存利用率较高。 

    为 BGP 邻居启用 BFD 并为这些邻居生成 BFD 事件时,可能会导致内存泄漏。这会导致路由堆栈的 BFDD 模块的内存消耗过多。

  • 已修复问题 2526083:当 NSX Manager 与 NSX Intelligence 设备断开连接时,某些 NSX Services 可能无法正常运行。

    在 NSX Manager UI 的“系统”>“设备”页面中,NSX Intelligence 设备卡显示一个错误,或显示一种状态,指示设备似乎停滞在数据获取状态。

  • 已修复问题 2548935:在 IP 发现配置文件中启用 ARP 侦听后,ARP 数据包上的 Spoofguard 可能不起作用。

    即使在 IP 发现配置文件中启用了 Spoofguard 和 ARP 侦听,客户机虚拟机的 ARP 缓存条目也可能不正确。Spoofguard 功能对 ARP 数据包不起作用。

  • 已修复问题 2572394/2574635:使用 SFTP 服务器时无法提取备份,其中“keyboard-interactive”身份验证已启用,但“password”身份验证已禁用。

    用户无法使用 SFTP 服务器,其中“keyboard-interactive”身份验证已启用,但禁用了“password”身份验证。

  • 已修复问题 2572116:在将 NSX Edge 节点退出维护模式后,显示 T0 SR HA 状态需要几分钟时间。

    在将 NSX Edge 节点退出维护模式后,显示 T0 SR HA 状态需要几分钟时间。如果另一个 NSX Edge 节点未处于活动状态,则在其 T0 SR HA 状态处于非活动状态之前,此 NSX Edge 节点将无法处理流量。

  • 已修复问题 2568794:当 NSX Manager 与 NSX Intelligence 断开连接时,会出现连续的日志消息。

    当 NSX Manager 与 NSX Intelligence 断开连接时,系统会持续显示日志消息。 

  • 已修复问题 2568617:在升级过程中,您可能需要手动检查 bootbank 空间,以忽略因 df 超时而导致的误报检查结果。 

    Bootbank 升级前检查在执行过程中失败,因为 df 超时。您必须手动检查 bootbank 空间以忽略误报检查结果。 

  • 已修复问题 2562949:在许多情况下,Network_Engineer 角色不可用。 

    Network_Engineer 角色不具备重新加载实施点的权限,因此在许多情况下此角色不可用。 

  • 已修复问题 2548030:在流量较大时捕获数据包会导致数据路径崩溃,并且 Edge 节点会故障切换到备用节点。 

    在流量较大时捕获数据包会导致数据路径崩溃,并且 Edge 节点会故障切换到备用节点。​

  • 已修复问题 2545412:即使组在安全策略中作为范围使用,组也会被删除,您无法再修改此类安全策略。 

    即使组在安全策略中作为范围使用,组也会被删除,并会阻止对使用这些已删除组的安全策略进行修改。 

  • 已修复问题 2580550:在启用 L7 防火墙的情况下不支持就地升级。

    在就地升级过程中,不会对新连接的 L7 属性进行分类。但在升级完成后,L7 规则开始正常运行。

  • 已修复问题 2581156:无法为 VLAN 分段设置 DHCP 中继。 

    无法为 VLAN 分段设置 DHCP 中继,或者过于复杂无法设置。 

  • 已修复问题 2582543:负载均衡器持久性不起作用,并且虚拟服务器不响应某些流量。 

    负载均衡器持久性不起作用,并且虚拟服务器不响应某些流量。​

  • 已修复问题 2584230:为 Tier-0/Tier-1 网关创建逻辑路由器端口时,流量丢失 1-3 秒。

    为 Tier-0/Tier-1 网关创建逻辑路由器端口时,可能会出现暂时的南北向流量丢失。 

  • 已修复问题 2585286:双 TEP NSX Edge 节点上的 IP 警报重复。 

    您可能会在双 TEP NSX Edge 节点上遇到重复的 IP 警报。 

  • 已修复的问题 2494047:如果集群具有已打开电源的虚拟机,则在主机上创建传输节点将失败。

    如果集群具有已打开电源的虚拟机,则在主机上创建传输节点将失败。

  • 已修复的问题 2507291:已删除的分段继续显示在用户界面上。

    已删除的分段继续显示在用户界面上。

  • 已修复问题 2549959:来自 Site Recovery Manager 的虚拟机复制失败,从而使某些虚拟机不受保护。

    来自 Site Recovery Manager 的虚拟机复制失败,从而使某些虚拟机不受保护。

  • 已修复问题 2478390:LB 偶发性停止正常工作。

    使用持久性时,在 vip 上,不为 ssl 会话预分配内存会导致 LB 无法正常工作。

  • 已修复问题 2593826:Tier-1 路由器通告的路由不是由 Tier-0 路由器获知。

    Tier-1 路由器通告的路由不是由 Tier-0 路由器获知。

  • 已修复问题 2514657:服务实现可能会延迟甚至失败。

    在服务上配置有小前缀的网络地址(例如,使用网络地址 10.0.0.0/8 配置的 NAT 规则)时,服务实现可能会失败,并且可能无法从外部网络访问服务。

  • 已修复问题 2591998:服务参考实现已更改为错误,且永远不会更正。

    当 NSX Manager 重新引导且永不恢复到已实现状态时,已实现的服务引用会在短时间内更改为未实现状态。

  • 已修复问题 2533630:主机升级后,CentOS 主机已变为“失败”状态。

    CentOS 主机已升级到 NSX-T Data Center 2.5.1 版本,但在一段时间后,主机变为“安装失败”状态。
     

  • 已修复问题 2606608:更新主机配置后,如果在定义 TEP 的主机交换机中使用了多个 PNIC,则 NSX Edge 节点状态可能会暂时变为“关闭”,之后立即恢复为“启动”。 

    更新主机配置后,如果在定义 TEP 的主机交换机中使用了多个 PNIC,则 NSX Edge 节点状态可能会暂时变为“关闭”,之后立即恢复为“启动”。这会导致所有 HA 资源的 HA 状态转换。如果在 T0 逻辑路由器上配置了 BGP,则配置抖动可能会导致 BGP 抖动。此外,某些服务(如逻辑路由器、L2 网桥或 DHCP)可能会发生故障切换。

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 2320529:为新添加的数据存储添加第三方虚拟机后,出现“服务部署无法访问存储”错误。

    为新添加的数据存储添加第三方虚拟机后,即使可以通过集群上的所有主机来访问该存储,也会出现“服务部署无法访问存储”错误。该错误状态持续长达三十分钟的时间。

    在三十分钟后重试。作为替代方法,进行以下 API 调用以更新数据存储的缓存条目:

    https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime

    其中   <nsx-manager> 是服务部署 API 失败的 NSX Manager 的 IP 地址,< CC Ext ID> 是集群中正在尝试执行部署的 NSX 标识符。

  • 问题 2328126:裸机问题:在 NSX 上行链路配置文件中使用时,Linux OS 绑定接口返回错误。

    如果在 Linux OS 中创建一个绑定接口,然后在 NSX 上行链路配置文件中使用该接口,将会看到以下错误消息:“创建传输节点可能会失败”(Transport Node creation may fail)。出现该问题是因为,VMware 不支持 Linux OS 绑定。不过,VMware 在裸机服务器传输节点中支持 Open vSwitch (OVS) 绑定。

    解决办法:如果遇到该问题,请参见知识库文章 67835 裸机服务器在 NSX-T 传输节点配置中支持 OVS 绑定

  • 问题 2390624:当主机处于维护模式时,反关联性规则会阻止服务虚拟机执行 vMotion。

    如果服务虚拟机部署在恰好包含两个主机的集群中,则具有反关联性规则的 HA 对将会在执行任何维护模式任务期间阻止虚拟机对其他主机执行 vMotion。这可能会阻止主机自动进入维护模式。

    解决办法:在 vCenter 上启动维护模式任务之前,关闭主机上服务虚拟机的电源。

  • 问题 2389993:使用“策略”页面或 API 修改重新分发规则后,路由映射会被移除。

    如果在重新分发规则中使用管理平面 UI/API 添加了路由映射,并在简化的(策略)UI/API 中修改了相同的重新分发规则,则将会移除该映射。

    解决办法:您可以返回“管理平面”界面或 API 来重新将路由映射添加到同一规则,从而还原该路由映射。如果您希望在重新分发规则中包含路由映射,建议您始终使用“管理平面”界面或 API 来创建并修改该规则。

  • 问题 2586606:在大量虚拟服务器中配置源 IP 持久性后,负载均衡器无法正常使用。 

    在负载均衡器上的大量虚拟服务器中配置源 IP 持久性后,会消耗大量内存,并且可能导致 NSX Edge 内存不足。但是,如果添加更多虚拟服务器,可能会再次出现该问题。

    解决办法:禁用源 IP 持久性,或将配置了源 IP 持久性的 VIP 移至不同的 LB 服务。

  • 问题 2275388:环回接口/已连接的接口路由可能会在添加筛选器以拒绝路由之前重新分发。

    不必要的路由更新可能会导致有几秒钟时间流量路由欠优化。 

    解决办法:无。

  • 问题 2275708:当证书的私钥具有密码短语时,无法导入包含此私钥的证书。

    返回消息“收到的证书 PEM 数据无效。(错误代码: 2002) (Invalid PEM data received for certificate. (Error code: 2002))”。无法导入包含私钥的新证书。

    解决办法: 

    1. 创建包含私钥的证书。系统出现提示时,不要输入新密码短语,而是按 Enter。
    2. 选择“导入证书”,然后选择证书文件和私钥文件。

    可通过打开密钥文件进行验证。如果生成密钥时输入了密码短语,文件中的第二行将显示如下类似内容:“Proc-Type: 4,ENCRYPTED”。

    如果生成密钥文件时没有输入密码短语,将缺少此行。

  • 问题 2329273:同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。

    不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。

    解决办法:无 

  • 问题 2355113:对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。

    在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。

    解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。

  • 问题 2370555:用户可以删除高级界面中的某些对象,但删除不会反映在简化界面中。

    具体来说,可以在“高级”界面“分布式防火墙排除列表”设置中删除作为分布式防火墙排除列表的一部分添加的组。这会导致界面中出现不一致的行为。

    解决办法:使用以下过程来解决此问题:

    1. 在简化界面中,将某个对象添加到排除列表。
    2. 确认它是否显示在高级界面的分布式防火墙排除列表中。
    3. 从高级界面的分布式防火墙排除列表中删除该对象。
    4. 返回到简化界面,将第二个对象添加到排除列表并应用该对象。
    5. 确认新对象是否显示在高级界面中。
  • 问题 2484006:受保护虚拟机失去网络连接。 

    当辅助站点上的占位虚拟机打开电源时,在 NSX-T Data Center 环境中的 SRM 受保护虚拟机会失去网络连接,尽管在其他逻辑网络上已配置连接。出现此问题的原因是,同一个 VIF UUID 同时应用于受保护虚拟机和占位虚拟机。 

    解决办法:无。 

  • 问题 2549175:策略搜索失败,并显示以下消息:“无法使用 start search resync policy 解决 (Unable to resolve with 'start search resync policy)”。

    NSX Manager 节点获得新 IP 时,由于搜索不同步,策略搜索失败。

    解决办法:确保所有 NSX Manager 的 DNS PTR 记录(DNS 服务器中的 IP 到主机名映射)正确无误。

  • 问题 2572052:可能不会生成已计划的备份。

    在某些极端情况下,不会生成计划的备份。

    解决办法:重新启动所有 NSX Manager 设备。

  • 问题 2589694:发生虚拟机故障切换时,可能会观察到几秒钟的 IPv6 流量丢失。

    发生虚拟机故障切换时,可能会观察到几秒钟的 IPv6 流量丢失。当工作负载虚拟机的 IPv6 地址将迁移到其他工作负载虚拟机,而该虚拟机与其他 L2 分段上的不同工作负载虚拟机进行通信时,会发生这种情况。两个隔离的 L2 分段由 VDR 连接。
    两个工作负载 vms 通信还需要位于两个不同的 ESX TN 中,才会出现该问题。

    解决办法:无。 

  • 问题 2555333:在主机准备期间,无法创建“nsxuser”。 

    在主机准备生命周期(安装/卸载/升级)中,“nsxuser”是在由 vCenter Server 管理的 ESXi 主机内部创建的,用于管理 NSX VIB。由于 ESXi 密码要求,此用户创建会间歇性失败。

    解决办法:重试涉及主机准备的任务。 

  • 问题 2486119:将 PNIC 从 NVDS 迁移回 VDS 上行链路,该映射与 VDS 中的原始映射不同。

    使用具有 PNIC 安装和卸载映射的传输节点配置文件创建传输节点时,PNIC 将从 VDS 迁移到 NVDS。稍后从传输节点中移除 NSX-T Data Center 时,PNIC 将迁移回 VDS,但 PNIC 至上行链路的映射可能不同于 VDS 中的原始映射。

    解决办法:转到 vCenter Server UI 以在主机的 VDS 中更改 PNIC 至上行链路的分配。

  • 问题 2569691:在特定情况下,外部网络与逻辑交换机/分段之间的 Ping 功能不起作用。

    请考虑以下配置: 

    1)创建上行链路为 x.x.x.x 的网络。
    2)为下一跃点创建的默认路由:  x.x.x.y
    3)再将上行链路的已连 IP 更新为:  x.x.x.y

    这是错误配置,会导致从外部网络 ping 至逻辑交换机或分段时失败。 

    解决办法:将网关地址配置为下一跃点接口上存在的 IP,或者提供一个网关作为接口,例如: 
    IP route 0.0.0.0/0 <uplink_id>

    注意:如果您将网关作为接口提供,请记住,流量始终通过指定的上行链路进行路由。

  • 问题 2607651:如果缺少名字属性,NSX Manager 不会反映 vIDM 中的用户。 

    如果在 AD 中创建的 vIDM 用户没有名字/姓氏/电子邮件 ID 属性,则该用户不会出现在 NSX Manager 中。 

    解决办法:使用所需属性配置 vIDM 用户。 

  • 问题 2605659:如果未静态配置服务器池的 NSGroup,则数据包不会转发到正确端口上的池成员,规则操作是转发阶段中的“选择池”,并且没有虚拟服务器的默认池。在第一个非匹配数据包之后的匹配数据包将转发到端口 80 上的后端服务器。

    数据包将被设置为错误的端口。

    解决办法:无。

  • 问题 2607918:仅当受保护虚拟机和恢复虚拟机均连接到位于同一传输区域中的逻辑交换机时,SRM 才起作用。

    仅当受保护虚拟机和恢复虚拟机均连接到位于同一传输区域中的逻辑交换机时,SRM 才起作用。

    解决办法:无。 

  • 问题 2621322:当 HTTP 内容位于多个 TCP 分段中时,HTTP 运行状况检查无法正常执行。

    负载均衡器无法根据 HTTP 内容检查后端服务器状态。

    解决办法:无。

  • 问题 2491206:当 HTTP 数据包中存在 chunk 编码时,负载均衡器运行状况检查无法正常执行,从而无法确认正文内容匹配情况。

    来自用于运行状况检查的后端服务器的 HTTP 数据包中存在 CHUNK 标头。池成员状态不能为“已启动”。后端服务器未关闭且可用。

    解决办法:无。

  •  问题 2730634:Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。

    Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。

    解决办法:使用管理员凭据登录到 NSX Manager,然后运行“start search resync policy”命令。加载网络组件将需要几分钟时间。

安装已知问题
  • 问题 2261818:从 eBGP 邻居发现的路由重新通告到同一邻居。

    启用 BGP 调试日志将指示正在重新接收数据包,丢弃数据包并显示错误消息。在丢弃发送到对等项的更新消息时,BGP 进程将消耗额外的 CPU 资源。如果具有大量路由和对等项,这可能会影响路由聚合。

    解决办法:无。

  • 问题 2577028:主机准备可能会失败。 

    由于配置哈希不匹配导致发现循环,主机准备可能会失败。 

    解决办法:选择下列选项之一: 

    • 将 FQDN 设置为 false,然后在主机中重新启动 nsx-proxy。这将强制主机和 NSX Manager 不使用 FQDN。 

    或 

    • 如果要使用 FQDN 模式,请确保使用主机名的 FQDN 部署 NSX Manager 设备,并确保区分大小写的拼写与 NSX Manager IP 地址的正向和反向 DNS 查找相匹配。此设置必须在所有 NSX Manager 节点中保持一致。 

升级已知问题
  • 问题 2475963:由于空间不足,导致无法安装 NSX-T VIB。

    由于 ESXi 主机上 bootbank 中的空间不足,导致无法安装 NSX-T VIB,并返回 BootBankInstaller.pyc:错误。第三方供应商提供的某些 ESXi 映像可能包括未使用的 VIB(可能相对较大)。在安装/升级任何 VIB 时,这可能会导致 bootbank/alt-bootbank 中的空间不足。

    解决办法:请参见知识库文章 74864 NSX-T VIB 无法安装,原因是 ESXi 主机上 bootbank 中的空间不足

  • 问题 2400379:“上下文配置文件”页面显示不支持的 APP_ID 错误消息。

    “上下文配置文件”页面显示以下错误消息:“此上下文配置文件使用不支持的 APP_ID - [<APP_ID>]。请在确保任何规则中均未使用此上下文配置文件后,手动将其删除。”这是由于升级后存在六个已弃用且在数据路径上已无效的 APP_ID(AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC 和 SVN)所导致的。

    解决办法:确保不再使用这六个 APP_ID 后,手动删除其上下文配置文件。

  • 问题 2441985:在某些情况下,Host Live 从 NSX-T Data Center 2.5.0 到 NSX-T Data Center 2.5.1 的升级可能会失败。

    在某些情况下,Host Live 从 NSX-T Data Center 2.5.0 到 NSX-T Data Center 2.5.1 的升级可能会失败,并显示以下错误:
    Unexpected error while upgrading upgrade unit: Install of offline bundle failed on host 34206ca2-67e1-4ab0-99aa-488c3beac5cb with error : [LiveInstallationError] Error in running ['/etc/init.d/nsx-datapath', 'start', 'upgrade']: Return code: 1 Output: ioctl failed: No such file or directory start upgrade begin Exception: Traceback (most recent call last): File "/etc/init.d/nsx-datapath", line 1394, in CheckAllFiltersCleared() File "/etc/init.d/nsx-datapath", line 413, in CheckAllFiltersCleared if FilterIsCleared(): File "/etc/init.d/nsx-datapath", line 393, in FilterIsCleared output = os.popen(cmd).read() File "/build/mts/release/bora-13885523/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/os.py", line 1037, in popen File "/build/mts/release/bora-13885523/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/subprocess.py", line 676, in __init__ File "/build/mts/release/bora-13885523/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/subprocess.py", line 1228, in _execute_child OSError: [Errno 28] No space left on device It is not safe to continue.Please reboot the host immediately to discard the unfinished update.Please refer to the log file for more details..

    解决办法:有关详细信息和解决办法,请参见知识库文章 76606

  • 问题 2519300:NSX Manager 升级失败,并且没有明确的错误消息。

    升级 NSX Manager 可能会失败,升级协调器提供了如下消息:“此页面仅在运行升级协调器的 NSX Manager 上可用。(This page is only available on the NSX Manager where Upgrade Coordinator is running.)”或没有明确的错误消息。 

    解决办法: 

    1. 运行以下命令:/opt/vmware/nsx-mpa/mpaconfigrestore.sh
    2. 重新启动 napi:/etc/init.d/nsx-mp-api-server 重新启动
NSX Edge 已知问题
  • 问题 2283559:当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。

    • 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
    • CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
安全服务已知问题
  • 问题 2448006:在规则映射不一致的情况下查询防火墙区域失败。

    使用 GetSectionWithRules API 调用时,在规则映射不一致的情况下查询防火墙区域会失败。UI 不受影响,因为它依赖于 GetSectionGetRules API 调用。

    解决办法:使用 API GetSectionGetRules 获取防火墙区域,或者使用 UI 来执行此操作。 

  • 问题 2590444:当 ESXi 主机从 vCenter Server 断开连接超过 30 分钟时,会删除虚拟机标记。

    当 ESXi 主机从 vCenter Server 断开连接超过 30 分钟时,会删除虚拟机标记,这会导致基于虚拟机标记的 DFW 规则停止按预期运行。

    解决办法:

    选择下列选项之一:

    • 在 30 分钟内重新应用标记或将主机重新连接到 vCenter Server。
    • 在主机断开连接之前,将超时设置从 30 分钟增加到最多 72 小时。可以求助 VMware 技术支持团队来增加超时时间。
  • 问题 2569153:使用 0.0.0.0 和 255.255.255.255 作为 SRC/DST 的 DHCP DFW 允许规则将丢弃 DHCP UDP 67/78 数据包。

    您可能无法筛选或服从启用了防火墙的部署中的 DHCP 流量,这将影响虚拟机的 IP 分配或其他 NSX-T Data Center 资源。

    解决办法:为 DHCP 请求配置一个规则,为 DHCP 响应配置另一个规则。每个规则都必须遵循源和目标字段中的一组 DHCP 服务器 IP 和关键字“任意”。

  • 问题 2557166:应用于 Kubernetes pod 时,使用上下文配置文件(第 7 层)的分布式防火墙规则无法按预期工作。

    在 Kubernetes pod 上配置 L7 规则后,应匹配 L7 规则的流量反而会达到默认规则。

    解决办法:使用服务而不是上下文配置文件。

check-circle-line exclamation-circle-line close-line
Scroll to top icon