|
VMware NSX-T Data Center 3.0 | 2020 年 4 月 7 日 | 内部版本 15946738 请定期查看以了解本发行说明的新增内容和更新。 |
发行说明内容
本发行说明包含以下主题:
新增功能
NSX-T Data Center 3.0 针对私有云、公有云和多云环境的虚拟化网络和安全引入了各种新功能。亮点包括以下重点领域和新功能:
- 云级网络连接:NSX Federation
- 原生安全:分布式 IDS、用于 Windows 物理服务器的微分段、基于时间的防火墙规则以及 URL 分析的功能预览
- 现代应用网络连接:适用于 vSphere with Kubernetes 的 NSX-T、容器网络连接和安全增强功能
- 下一代电信云:适用于虚拟机移动化的 L3 EVPN,加速数据平面性能、NAT64、对容器的 IPv6 支持、适用于 NFV 的东西向服务链
NSX-T Data Center 3.0.0 版本提供了以下新功能和增强功能。
L2 网络
NSX-T 对 VDS 7.0 的支持
NSX-T 现在能够在 vSphere VDS 交换机版本 7.0 上运行。建议 NSX 和 vSphere 的新部署利用这一紧密集成,并开始过渡到在 VDS 上使用 NSX-T。在未来版本中,将弃用 N-VDS NSX-T 主机交换机。之后,计划将 NSX-T 和 ESXi 主机交换机融合。N-VDS 将交换机保留在 KVM、NSX-T Edge 节点、本机公有云 NSX 代理中,用于处理裸机工作负载。
此版本仍支持当前 NSX-T ESXi 主机交换机 N-VDS,建议当前在 ESXi 中使用 N-VDS 的 NSX 部署继续使用同一交换机。原因有两个方面:
- 对于现有 NSX 部署,将 N-VDS 转换为 VDS 7.0 是一种手动过程。如果需要,请与您的 VMware 代表联系以了解更多详细信息。
- N-VDS 和 VDS API 有所不同。N-VDS 或 VDS API 本身未作任何更改。但是,如果您转为在环境中使用 VDS,就要开始调用 VDS API 而不是 N-VDS API。必须在将 N-VDS 转换为 VDS 之前进行此生态系统更改。
从 N-VDS 迁移到 VDS 时,建议考虑以下部署注意事项:
- VDS 通过 vCenter 进行配置。N-VDS 独立于 vCenter。由于 VDS 对 NSX-T 的支持,并且将最终弃用 N-VDS,NSX-T 将与 vCenter 密切绑定,而且需要 vCenter 才能启用 NSX。
- N-VDS 能够支持 ESXi 主机特定配置。VDS 使用基于集群的配置,不支持 ESXi 主机特定配置。
- 对于此版本,N-VDS 与 VDS 的功能并不完全一致。
- 与 N-VDS 相比,针对 VDS 的虚拟机和 vmKernel 接口 API 的支持类型有所不同。
RHEL 支持:我们在 NSX 的受支持操作系统的列表中增加了 RHEL 7.6 和 RHEL 7.7。这适用于 KVM 和裸机工作负载。
Edge 网桥:
现在可以通过 Edge 网桥将为客户机 VLAN 标记配置的分段扩展到 VLAN。通过在将分段映射到网桥配置文件时配置一系列 VLAN ID,可以启用该功能。具有此范围内的 VLAN ID 的分段流量将桥接到 VLAN,并保留其 VLAN 标记。在网桥的 VLAN 端接收且 VLAN ID 属于分段到网桥映射中所配置范围的流量将桥接到分段,并保留其 VLAN ID 作为客户机 VLAN 标记。
Edege 网桥现在支持基于策略的 UI。
每个 VNI 的 MAC 限制:在 ESXi 数据平面中,每个逻辑交换机的默认 MAC 限制的默认值为 2048。NSX 现在提供了将每个逻辑交换机的 MAC 限制从默认值更改为符合客户要求的值的功能。
支持 Windows 2016 裸机服务器
NSX 支持以下用例:
-
与支持 VLAN 的虚拟化工作负载的连接
-
与支持覆盖网络的虚拟化工作负载的连接
-
虚拟工作负载和物理工作负载之间的通信安全性
-
物理工作负载之间的通信安全性
支持适用于:
-
两个 PNIC 的情况(管理和应用使用单独的 IP)
-
一个 PNIC 的情况(管理和应用使用相同的 IP)
有关当前支持的最高配置,请参见 VMware 最高配置。
增强型数据路径
-
ENS 中支持 tx 零复制 - 对于更大的包大小 (600-700B),现在支持 tx 零复制。从 vSphere 7.0 开始支持此功能,这改进了 l2/l3 缓存未命中情况,最终提高了整体性能。
-
FPO Flow Director 卸载和关联的 vmkapi 更改 - N-VDS 支持 NIC 卸载,因此提高了增强型数据路径中的性能。
-
U-ENS 数据平面整合 - ENS(增强型网络堆栈)和 FC(流量缓存)可在 N-VDS(或 vSwitch)上为 NSX-T 提供快速路径。ENS 用于常规用途,而 FC 则更多用于电信用例。
-
ENS 性能优化 - 对于缓存利用率和数据包大小,已改进了性能。
联合
NSX-T 3.0 引入了通过单一窗口(称为全局管理器 (GM))联合多个内部部署数据中心的功能。GM 提供图形用户界面和基于意图的 REST API 端点。通过 GM,您可以跨多个位置和延伸的网络连接对象配置一致的安全策略:Tier-0 和 Tier-1 网关和分段。
鉴于规模和升级限制(请参见下面的“联合已知问题”),联合不适用于 NSX-T 3.0.x 版本中的生产部署。
Edge 平台
- 新的 Edge 虚拟机超大型规格为高级服务提供了更大规模和更高的吞吐量。
- 在 Tier-0 网关上改进了收敛时间,并且在裸机 Edge 上,将 Edge 虚拟机上支持的 BFD 间隔降低至 500ms 和 50ms。
- 增强了 Edge 虚拟机部署:通过 NSX 执行 Edge 虚拟机部署期间,将执行以下操作:
- 在 ESX 重新引导时自动启动 Edge 虚拟机
- 在 DFW 排除列表中添加了 Edge 虚拟机
- 配置以下参数:“允许 SSH”、“允许 root 用户登录”、“NTP 服务器列表”、“域搜索列表”、“DNS 服务器列表”和“默认用户凭据”
L3 网络
- 通过 UI/API 更改 Tier-0 网关 HA 模式,提供了将 Tier-0 网关高可用性模式从活动/活动更改为活动/备用的选项,以及通过 UI 和 API 进行反向更改的选项。
- VRF Lite 支持通过 Tier-0 网关的虚拟路由转发 (VRF) 提供多租户数据平面隔离。VRF 具有自己的隔离路由表、上行链路、NAT 和网关防火墙服务。
- L3 EVPN 支持提供了一个北向连接选项,可通过 MP-BGP EVPN AFI(路由类型 5)向提供商 Edge 通告 Tier-0 网关上的所有 VRF,并且通过对每个 VRF 使用一个 VNI,采用 VXLAN 封装在数据平面上保持隔离。
- 支持对 Tier-1 网关进行限速,这提供了对进出 Tier-1 网关上行链路的所有流量进行限速的功能。
- 策略和 UI 中的元数据代理支持增强了基于意图的 API 和策略 UI,以配置元数据代理。
- DHCP 服务器策略和 UI 增强了基于意图的 API 和策略 UI,以在本地将 DHCP 服务器配置到分段。
- 适用于 L3 的策略 API 增强了基于意图的 API 和策略 UI,以检索网关上的运行时信息。
- L3 多播(第 1 阶段):
- NSX-T 3.0 首次在 NSX-T 中引入多播。
- 仅在 T0 上支持多播复制,且预期具有多播工作负载的任何主机都必须连接到 T0。未来版本将支持 T1。
- NSX-T 3.0 中也只有一个从 Edge 到 TOR 的上行链路。在未来版本中,将内置冗余,并且对于支持 PIM 的 TOR,可能有多个到 TOR 的上行链路。
- 必须始终在 NSX 域外部对 RP 进行编程。
- NSX-T 3.0 中的多播流量不支持 Edge 服务。
IPv6
- NAT64 提供从 IPv4 到 IPv6 的转换机制。它在遵循 RFC 6146 标准的情况下,提供了从 IPv6 到 IPv4 的有状态网络地址转换。
- 有状态 DHCPv6 支持 - NSX 现在支持通过 Edge 节点上托管的 NSX 本机 DHCP 服务器,对 IPv6 地址和关联参数进行有状态交付。
防火墙
- 使用 NSX Federation 在多个站点之间实施一致的安全策略 - NSX-T 3.0 引入了可管理多个 NSX Manager 的全局管理器 (GM) 概念。使用 NSX-T 3.0,全局管理器可以通过单一窗口在多个站点之间实施一致的安全策略。
- 安全仪表板简介 - NSX-T 3.0 引入了新的安全概览仪表板,确保安全和防火墙管理员能够一目了然地查看防火墙和分布式 IDS 的当前运行状态。
- 基于时间的防火墙规则调度 - 与 NSX-T 3.0 一样,您现在可以在特定时间间隔内调度实施特定规则。
- 通过引入向导来快速执行基于 VLAN 的微分段 - 通过使用 NSX-T,只需非常简单的步骤即可配置数据中心以引入分段。
- 适用于 Windows 物理服务器的微分段 - 在 NSX-T 3.0 中为 Windows 物理服务器引入了微分段。
- URL 分析 - 功能预览 - 引入了 URL 筛选预览,并对 URL 进行检测、分类和信誉评分。此功能预览仅在网关防火墙上可用。
- 在 KVM 中针对 FW 支持 TCP/UDP 和 ICMP 会话定时器配置 - 针对 KVM 上运行的工作负载,支持在 KVM 中进行防火墙定时器配置更改。
身份防火墙
- 在身份防火墙规则中为 VDI 环境筛选 ICMP 流量 - 这允许为 VDI 用户创建身份防火墙规则以根据 ICMP 协议筛选流量。这仅限于 VDI,不适用于 RDSH 用户。
- 为身份防火墙组选择性地同步 AD 组 - 这允许同步要在身份防火墙规则中用作端点的特定 AD 组。此功能可优化 AD 组的性能和可用性。目前,此功能仅在使用 API 时可用。
- 针对身份防火墙规则筛选 UDP 流量 - 这允许在身份防火墙规则中筛选 UDP 流量。
分布式入侵检测系统 (D-IDS)
NSX 平台中引入了分布式入侵检测功能,作为平台的威胁与漏洞检测功能的一部分。此功能可在 Hypervisor 内启用入侵检测功能,以检测易受攻击的网络流量。可以在每个虚拟机和虚拟机的每个 vNIC 上启用此分布式机制,并实施精细的规则检查。作为此功能集的一部分,NSX Manager 可以通过 NSX 签名服务下载最新的特征码包。这样就可以在环境中采用最新威胁特征码来更新 NSX 分布式 IDS。
服务插入和客户机侦测
- 适用于 Edge 上 NFV-SFC 的东西向服务链 - 多个服务链接功能之前仅适用于分布式流量,但现在适用于 Edge 流量。现在,东西向服务链也可以进行扩展以重定向 Edge 流量。
- 禁用 NSX 服务虚拟机的克隆 - 现在禁止从 vSphere Client 克隆服务虚拟机以防止虚拟机出现故障。
负载均衡
- 负载均衡器运行状况检查支持多个监控器和“AND”条件 - 此增强功能允许将多个主动运行状况监控器配置为一个运行状况监控策略。所有主动运行状况监控器都必须成功通过,才能将该成员视为正常。
- 第 4 层和第 7 层虚拟服务器的连接丢弃 - 第 4 层虚拟服务器具有一个新选项,可允许或拒绝来自指定网络的连接。适用于第 7 层虚拟服务器的 LB 规则允许使用组来指定网络,并具有新的“丢弃”操作以采用静默方式丢弃请求,而不是返回 HTTP 状态代码。
- 对 LB 虚拟服务器和成员的 IPv6 支持 - 支持将 IPv6 VIP 负载均衡到 IPv6 成员。
- JSON Web 令牌支持 - 负载均衡器可以验证 JSON Web 令牌或 JWT,并根据其负载授予访问权限。
- 按负载均衡器规则执行 SSL 直通和动态 SSL 终止 - 负载均衡器可以根据 SSL 客户端 Hello 中的 SNI 来选择一个池,而不会终止 SSL。此外,它还可以基于 SNI 执行 SSL 直通、SSL 卸载或端到端 SSL。
- 负载均衡器超大型支持 - 为超大型 Edge 引入了超大型规格,以便更好地进行扩展。
- 适用于 vSphere with Kubernetes 的 DLB - vSphere with Kubernetes 管理的 k8s 集群 IP 支持分布式负载均衡器。任何其他工作负载类型都不支持 DLB。
VPN
- Intel QAT 支持 VPN 批量加密 - 支持 Intel QAT 卡以在裸机 Edge 上卸载 VPN 批量加密。
- L2VPN 的本地输出 - 可以将两个本地网关连接到具有相同网关 IP 地址的延伸网络,以允许通过本地网关输出出站流量。
- 按需 DPD - 支持按需 DPD 以避免 DPD 短期存活,同时能够快速检测远程故障。
- Tier-1 LR 上的 L2 VPN - Tier-1 网关上支持 L2 VPN 服务。
- VPN 会话的有状态故障切换 - IKE SA 和 IPsec SA 将实时同步到备用 VPN 服务,以进行有状态故障切换。
- PMTU 发现 - 对 L2 和 L3 VPN 服务均支持 PMTU 发现,以避免数据包分片。
自动化、OpenStack 和其他 CMP
- 搜索 API 可用 - 通过 API 公开 NSX-T 搜索功能(已经在 UI 中提供)。这可以构建强大的查询,以根据 NSX-T 对象的标记、类型、名称或其他属性返回这些对象并简化自动化过程。API 指南中介绍了搜索 API 的详细用法。
- Terraform Provider for NSX-T - 声明式 API 支持 - Terraform Provider 提供了通过内部部署的 NSX-T 的声明式 API 来配置逻辑对象的功能。这样就可以通过 NSX-T 策略 API 模型的灵活性和额外功能来发挥 Terraform 的优势。新的资源和数据源通过网络连接(Tier-0 网关、Tier-1 网关、分段)、安全性(集中式和分布式防火墙、组)和服务(负载均衡器、NAT、DHCP)覆盖更广泛的结构,从而实现基础架构即代码。Terraform Provider 发行说明中提供了更多详细信息。
- 适用于 NSX-T 的 Ansible 模块 - 升级和逻辑对象支持 - 增强了适用于 NSX-T 的 Ansible 模块,除了安装之外,还支持升级。这些模块还允许通过声明式 API 配置 Tier-0 网关、Tier-1 网关、分段和分布式防火墙规则,从而设置环境。这可以自动完成环境设置、升级和基本拓扑创建过程。Ansible 模块发行说明中提供了更多详细信息。
- OpenStack 集成改进 - 扩展了 IPv6、VPNaaS 支持、vRF Lite 支持 - 适用于 NSX-T 声明式 API 的 Neutron 插件经过扩展,涵盖 IPv6 和 VPNaaS。Ipv6 实现为以前版本中已有的所有功能增加了负载均衡器支持,VPNaaS 则能够从 NSX-T 中创建的 OpenStack IPsec VPN 进行配置。除了 Tier-0 外,OpenStack Neutron 插件还验证了 Tier-0 vRF-lite 是否作为外部网络使用,允许大型企业和服务提供商以最少量的 Edge 资源提供隔离和灵活性。OpenStack Neutron 插件发行说明中提供了更多详细信息。
容器网络连接和安全
- 用户界面中的“容器清单与监控” - 可以在 NSX-T 用户界面中直观呈现容器集群、命名空间、网络策略和 Pod 级别清单。此外,还可以查看容器/K8 对象与 NSX-T 逻辑对象之间的相互关联。
- IPAM 灵活性 - NSX 策略 IP 块 API 已得到增强,可划分为不同大小的 IP 子网。此功能可帮助 NSX Container Plugin 使用策略 API 为命名空间划分出可变大小的子网。
- NCP 组件运行状况监控 - 可以使用 NSX Manager UI/API 监控 NSX Container Plugin 和相关组件运行状况信息,如 NCP 状态、NSX 节点代理状态、NSX Hyperbus Agent 状态。
NSX Cloud
- 应用 ID 和 URL 筛选 - 现在可以通过 NSX Cloud 为公有云中的选择性本机服务提供应用 ID 和 URL 功能。这扩大了在公有云中可使用 NSX Cloud 中的单个一致性策略保护的工作负载/服务的范围。我们从 AWS 和 Azure 中最常用的服务开始。
- 支持 AWS 和 Azure 政府云 - 商务云(AWS 和 Azure)上 NSX Cloud 的所有功能现都已扩展到政府云(在美国的所有政府云区域中)。功能受各自公有云提供商的 API/可用性支持的约束。
- 支持 SLES 12sp3 (SUSE 12 SP3) - 现在支持具有运行 SLES 12sp3 的代理的公有云虚拟机。
- 在无代理 VPC 和 VNet 中支持 VPN - 可以在内部部署的 Edge 之间建立 VPN 连接,也可以在公有云(AWS 和 Azure)中建立 VPN 连接,即使 VPC 和 VNet 在无代理模式下运行。
运维
- 同时支持精简和厚磁盘模式 - NSX Manager 和 NSX Intelligence 设备现在同时支持精简模式和厚模式,并在部署时提供此选择。
- 增加了 NSX Manager 的磁盘大小 - 从 NSX-T 3.0 开始,NSX Manager 的磁盘大小将从 200 GB 增加到 300 GB(集群中的每个 NSX Manager 节点)。在新的 NSX Manager 安装过程中,请确保底层数据存储具有足够的磁盘空间。在升级到 NSX-T 3.0 的过程中,请确保在升级 NSX Manager 之前添加了新的数据存储。
- 减小了 NSX-T 中的 VIB 大小 - 在所有 NSX 主机安装中,NSX-T 3.0 具有更小的 VIB 占用空间,以便您能够在其 Hypervisor 上安装 ESX 和其他第三方 VIB 以及 NSX。
- 支持联合升级 - 通过 NSX Federation,管理员可以按照《升级指南》中的详细兼容性矩阵表,以异步方式升级全局管理器和本地管理器。
- 针对 N-vDS 的定期 MTU/VLAN 运行状况检查 - 现在可以对 NSX 主机交换机(例如 N-vDS)执行运行状况检查。
- 无中断就地升级 - 对 NSX 传输节点的就地升级进行了更多增强,警告也更少,《升级指南》中详细介绍了这一方面。
- 流跟踪策略支持 - 现在可在“策略”选项卡(之前名为“简化”选项卡)下使用流跟踪调试工具。
- 能够在主机级别执行 TN 安装并提供进度条 - 管理员可以在 UI 中查看 Hypervisor 上的 NSX 安装详细进度。
- Spoofguard 的跟踪流观察值 - 跟踪流调试工具现在会显示因 Spoofguard 功能而可能出现的任何数据包丢弃问题。
- 在主机离开 VC 集群时可以自动卸载 NSX - 在用户将传输节点移至 vSphere 集群外部时,将自动卸载 NSX。《升级指南》中提供了有关该功能的更多详细信息。
- 中央设备配置 - NSX 现在支持以集中方式配置在 NSX Manager 和 Edge 节点之间通用的设置,而不要求管理员在每个节点上使用本地 CLI 配置。
- SNMP 陷阱 - NSX 现在支持从 NSX Manager、Edge 节点和受支持 Hypervisor 主机的 NSX 组件生成 SNMP 陷阱通知。这些陷阱通知用于 NSX 生成的事件和警报。在 NSX 下载站点上,NSX MIB 作为 NSX 交付内容的一部分提供。
- NSX 警报框架和系统警报/事件 - 对于此版本的 NSX,该产品现在支持的警报框架改进了警示和警报的交付,以帮助在生产环境中成功运行 NSX。NSX 文档中提供了受支持警报的列表。
清单
- NSX 标记列表和批量操作支持 - NSX-T 增加了 UI/API 支持,用于列出 NSX 标记,以及向多个虚拟机分配/取消分配 NSX 标记。
- 物理服务器列表 - NSX-T 增加了用于列出物理服务器的 UI 支持。
可用性和用户界面
- 网络拓扑的图形可视化 - 提供 Tier-0 网关、Tier-1 网关、分段和连接工作负载(虚拟机和容器)的交互式网络拓扑图,而且能够导出为 PDF。
- 新的入门向导 - 引入了新的入门向导,只需三个简单步骤便可以为 VLAN 微分段准备集群。
- 从搜索结果中快速访问操作和警报 - 增强了搜索结果页面,可以快速访问相关操作和警报。在网络、安全、清单和系统对象中增加了更多搜索条件。
- NSX 策略与 Manager 模式的用户界面首选项 - 您可以在用户界面中切换 NSX 策略模式和 NSX Manager 模式,并控制默认显示。默认情况下,新安装会在 NSX 策略模式下显示 UI,并且隐藏了 UI 模式切换器。如果环境中包含通过 NSX Manager 模式创建的对象(例如,通过 NSX 升级或云管理平台),默认情况下会在 UI 右上角显示 UI 模式切换器。
- 针对系统设备概览的 UI 设计改进 - 改进了 UI 设计布局,可显示 NSX 系统设备的资源活动和运行状态。
许可
- 新的 VMware NSX Data Center 许可证 - 增加了对 2020 年 4 月推出的新附加模块许可证 VMware NSX Data Center Distributed Threat Prevention 的支持,并继续支持 2018 年 6 月推出的 NSX Data Center 许可证(Standard、Professional、Advanced、Enterprise Plus 和 Remote Office Branch Office)以及之前的 VMware NSX for vSphere 许可证密钥。此外,许可证使用情况报告还会使用内核、CPU、CCU 和虚拟机衡量指标捕获微分段、联合使用情况。分布式入侵检测使用情况基于每个 CPU。有关 NSX 许可证的详细信息,请参阅 VMware 知识库文章 52462。
- vShield Endpoint 管理支持 - NSX-T 支持管理 vShield Endpoint 防病毒卸载功能。有关详细信息,请参见 VMware 知识库文章 2110078。
- 默认许可证和评估密钥分发方面的更改 - 默认安装的许可证是“NSX for vShield Endpoint”,此许可证只允许使用 NSX 来部署和管理 vShield Endpoint 的防病毒卸载功能。可以通过 VMware 销售或 VMware 评估网站请求评估许可证密钥。
- NSX 评估许可证到期 - 在 60 天 NSX 评估许可证到期后,您可以删除对象,但不允许创建或编辑对象。
AAA 和平台安全性
- 通过 LDAP 进行基于 AD 的本机身份验证 - 此功能增加了对 NSX 管理员和用户的支持,使其可以通过直接 AD (Active Directory) 与 LDAP(轻量级目录访问协议)的集成进行身份验证,并登入到 NSX-T 平台。大多数企业级/业务用户凭据都存储在基于 Microsoft 的 AD 中。直接 AD 配置简化了用户入场过程,在其使用方式不合适或增加操作复杂性的情况下不会带来配置其他身份系统的麻烦。此外,此功能还允许使用具备强大搜索选项的 NSX-T RBAC 功能,以确定用于角色分配的相关 AD 用户/组。支持安全(LDAPS、startTLS)和常规 LDAP 配置。现在,NSX-T 客户可以灵活地配置 Workspace One Access(之前称为 VIDM)或本机 AD,在某些情况下,还可以组合配置 vIDM 和直接 AD,以满足其运行需求。
- 与 OpenLDAP 集成 - 除了支持本机 AD 集成外,NSX-T 3.0 还能灵活地对使用 OpenLDAP 目录服务的用户进行身份验证并使之入场。
- vSphere with Kubernetes 中用于 NSX-T 的 AAA 功能 - 在 vSphere 7.0 设备中运行容器化应用程序和 Kubernetes 功能的用户,可以利用有限数量的 NSX 网络连接功能并进行故障排除,而无需通过 vSphere 设备进行额外的身份验证。
- “代表”API 功能 - 通过指示是否已代表另一个 NSX 用户调用 API 操作,允许跟踪派生的用户操作,尤其是在使用主体身份 (PI) 或服务帐户执行 API 调用的情况下。包含“X-NSX-EUSER: <username>” 标头的任何 API 调用都将导致审核日志中包含额外的用户活动信息 - "euser=<username>"。此功能对于深入的用户审计非常有用,例如,使用有关“某人”做了“某事”的上下文数据维护丰富的审计记录。
- 远程用户基于会话的身份验证 - NSX-T 3.0 具有增强的身份验证功能,允许本地和远程用户创建基于 cookie 的会话,用于对基于 API 的活动进行身份验证和持久保存。新的增强功能简化了 API 用户的会话创建过程,并通过避免重复的身份验证促进了有效的 API 操作和安全合规性。支持基于 vIDM 和基于 LDAP 的远程用户。
- 为 API 写入调用设置了独立的审核日志 - 此功能支持检索仅包含 API 写入调用相关信息的审核日志内容。通过跟踪之前和之后的状态,提高了审计记录的可读性。
- 启用/禁用基于 Cookie 的身份验证 - NSX 管理员现在可以关闭基于 Cookie(基于会话)的 API 身份验证,从而改善 NSX-T 平台操作的安全状况。默认情况下,可以使用基于 Cookie 的身份验证,并且可以在关闭后重新启用。
- 启用/禁用基本身份验证 - 如果 NSX 管理员担心使用基本身份验证不安全,现在就可以对使用的 API 和 CLI 禁用(或重新启用)基本身份验证。默认情况下,支持基本身份验证。
NSX Data Center for vSphere 到 NSX-T Data Center 的迁移
- 包含维护模式的迁移协调器 - 使用 vSphere 7.0 和 vDS 7.0 时,迁移协调器会将主机迁移到现有 vDS(版本 7.0),而不是迁移到 N-VDS。这最大限度地降低了迁移对客户环境的影响。
- 从 NSX Data Center for vSphere 迁移到使用 vDS 7.0 的 NSX-T Data Center - NSX 迁移协调器现在支持使用维护模式执行最终主机迁移步骤。在将主机从 NSX for vSphere 转换为 NSX-T 之前,此模式允许从主机迁移虚拟机。通过将主机置于维护模式,可以使用 vMotion 迁移虚拟机,以最大限度地降低对进出虚拟机的数据流量的影响。
NSX Intelligence
- VMware NSX Intelligence 1.1 发行说明中详细介绍了 NSX Intelligence 1.1 中引入的新功能和增强功能。
- NSX Intelligence 文档中现在单独提供了可帮助您安装、配置、更新、使用和管理 NSX Intelligence 的文档。
兼容性和系统要求
有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》。
API 弃用和常规行为变化
- 服务路由器间 iBGP 对等连接行为发生变化 - 从 NSX-T 3.0 开始,引入了专用于服务路由器间 iBGP 对等连接的新 VRF。此 VRF 名为“inter_sr_vrf”,并且通过自动构建的 iBGP 对等邻接关系通告的路由现在安装在上述专用 VRF 中。
- 移除应用程序发现 - 已弃用并移除此功能。
- 从 NSX-T 2.4 和 2.5 升级后“高级网络连接和安全性”UI 中的变化 - 如果从 NSX-T Data Center 2.4 和 2.5 进行升级,在 NSX-T Data Center 3.0 中,通过单击“管理器”模式可使用“高级网络和安全”UI 选项卡下的菜单选项。
- NSX-T Data Center 2.4 和 2.5 具有以下配置:
- 用于分布式防火墙的两个默认规则:一个用于“策略”界面,另一个用于“高级网络和安全”界面。
- 用于启用或禁用分布式防火墙的两个设置:一个用于“策略”界面,另一个用于“高级网络和安全”界面。
- 在 NSX-T Data Center 3.0 中,如果存在任何策略配置,则默认规则和“启用/禁用分布式防火墙”设置将仅在策略模式下可用。如果只存在管理器(之前是“高级网络和安全”)配置,则可以从管理器模式下配置这些设置。有关该模式的更多信息,请参见《NSX-T Data Center 管理指南》中的“NSX Manager 概览”。
- API 弃用策略 - VMware 现在会在 NSX API 指南中发布我们的 API 弃用策略,以帮助使用 NSX 实现自动化的客户了解哪些 API 被视为已弃用,以及未来何时会将它们从产品中移除。
API 和 CLI 资源
请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。
可从 API 参考选项卡获取 API 文档。可从文档选项卡获取 CLI 文档。
本地化语言
NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。
文档修订历史
2020 年 4 月 7 日。第一版。
2020 年 4 月 20 日。第二版。添加了已知问题 2550327、2546509。
2020 年 5 月 8 日。第三版。添加了已知问题 2499819。
2020 年 5 月 14 日。第四版。添加了已知问题 2543239。
2020 年 5 月 22 日。第五版。添加了已知问题 2541923。
2020 年 6 月 1 日。第六版。添加了已知问题 2518183、2543353、2561740。
2020 年 8 月 24 日。第七版。添加了已知问题 2577452。
2020 年 8 月 28 日。第八版。添加了已知问题 2622672、2630808、2630813 和 2630819。
2021 年 3 月 15 日。第九版。添加了已知问题 2730634。
2021 年 9 月 17 日。第十版。添加了已知问题 2761589。
2021 年 10 月 11 日。第十一版。更新了“API 弃用和常规行为变化”部分。
2022 年 2 月 15 日。第十二版。从“新增功能”部分中移除了处理器名称。
已解决的问题
- 已修复的问题 2387578 - 在同一集群的 Edge 之间无法通过管理/TEP 接口来形成 BFD 会话。
在此修复之前,仅使用单跳 BFD 端口发送管理/TEP 接口上的 BFD 数据包,而不会考虑允许的最大跳数。现在,同时支持单跳和多跳 BFD 端口。在 Edge 集群配置文件中将允许的最大 BFD 跳数配置为 1 时,将使用单跳 BFD。对于大于 1 的任何值,将使用多跳 BFD。允许的最大跳数的默认值为 255。从先前版本升级将不会导致出现裂脑现象。在升级过程中,将使用单跳 BFD 端口。升级后,将使用由配置反映的端口。
- 已修复的问题 2275388 - 环回接口/已连接的接口路由可能会在添加筛选器以拒绝路由之前重新分发。
不必要的路由更新可能会导致有几秒钟时间流量路由欠优化。
- 已修复的问题 2275708 - 当证书的私钥具有密码短语时,无法导入包含此私钥的证书。
返回消息“收到的证书 PEM 数据无效。(错误代码: 2002) (Invalid PEM data received for certificate. (Error code: 2002))”。无法导入包含私钥的新证书。
- 已修复的问题 2378970 - 分布式防火墙的集群级别“启用/禁用”设置错误显示为“已禁用”。
简化 UI 上 IDFW 的集群级别“启用/禁用”设置可能显示为“已禁用”,即使在管理平面上已启用也如此。从 2.4.x 升级到 2.5 后,此错误将一直保留,直至明确完成更改为止。
- 已修复的问题 2292096 - CLI 命令“get service router config route-maps”返回空的输出。
即使配置了 route-map,CLI 命令“get service router config route-maps”也返回空的输出。这只是一个显示问题。
- 已修复的问题 2416130 - 集中式服务端口 (CSP) 连接到 DR 的下行链路时没有 ARP 代理
集中式服务端口 (CSP) 连接到 DR 的下行链路时没有 ARP 代理,这会导致无流量通过。
- 已修复的问题 2448006 - 在规则映射不一致的情况下查询防火墙区域会失败。
使用 GetSectionWithRules API 调用时,在规则映射不一致的情况下查询防火墙区域会失败。UI 不受影响,因为它依赖于 GetSection 和 GetRules API 调用。
- 已修复的问题 2441985 - 在某些情况下,Host Live 从 NSX-T Data Center 2.5.0 到 NSX-T Data Center 2.5.1 的升级可能会失败。
在某些情况下,Host Live 从 NSX-T Data Center 2.5.0 到 NSX-T Data Center 2.5.1 的升级可能会失败,并显示以下错误:
Unexpected error while upgrading upgrade unit: Install of offline bundle failed on host 34206ca2-67e1-4ab0-99aa-488c3beac5cb with error : [LiveInstallationError] Error in running ['/etc/init.d/nsx-datapath', 'start', 'upgrade']: Return code: 1 Output: ioctl failed: No such file or directory start upgrade begin Exception: Traceback (most recent call last): File "/etc/init.d/nsx-datapath", line 1394, inCheckAllFiltersCleared() File "/etc/init.d/nsx-datapath", line 413, in CheckAllFiltersCleared if FilterIsCleared(): File "/etc/init.d/nsx-datapath", line 393, in FilterIsCleared output = os.popen(cmd).read() File "/build/mts/release/bora-13885523/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/os.py", line 1037, in popen File "/build/mts/release/bora-13885523/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/subprocess.py", line 676, in __init__ File "/build/mts/release/bora-13885523/bora/build/esx/release/vmvisor/sys-boot/lib64/python3.5/subprocess.py", line 1228, in _execute_child OSError: [Errno 28] No space left on device It is not safe to continue.Please reboot the host immediately to discard the unfinished update.Please refer to the log file for more details.. - 已修复的问题 2477859 - 在极少数情况下,数据迁移任务期间 NSX Manager 升级可能会失败。
升级到 NSX-T Data Center 2.5.1 后,在极少数场景下无法正常删除早期版本中的逻辑路由器,因此在数据迁移任务期间 NSX Manager 升级可能会失败,并显示以下错误:NullPointer exception.
- 已修复的问题 2481033 - 对连接到已打开虚拟机电源的主机的 ESXi 主机传输节点和传输节点配置文件进行更新失败,并显示以下错误:“主机已打开虚拟机的电源,必须移动或关闭该虚拟机的电源才能继续传输节点创建/更新/删除操作 (The host has powered on VMs which must be moved or powered off before transport node create/update/delete can continue)”。
如果 ESXi 主机传输节点 (TN) 已指定 VMK 迁移,并且该 ESXi 主机上有任何已打开电源的虚拟机,则更新 ESXi 主机传输节点将失败。无论传输节点配置文件 (TNP) 上的 VMK 迁移设置如何,对连接到此类 TN 的 TNP 进行的更新都将失败。发生该问题是因为,已打开电源的虚拟机会导致迁移验证失败,从而阻止更新 TN 或 TNP。
- 已修复的问题 2483552 - 从 2.4.x 升级到 2.5.x 后,将从主机中移除“nsx-exporter”二进制文件
将 NSX-T Data Center 从版本 2.4.x 升级到版本 2.5.x 后,nsx-exporter (/opt/vmware/nsx-exporter) 和 nsx-aggservice (/opt/vmware/nsx-aggservice) 的二进制文件将被移除,从而导致 nsx-exporter 停止运行。
已知问题
已知问题分为以下几类。
一般已知问题- 问题 2320529 - 为新添加的数据存储添加第三方虚拟机后,出现“服务部署无法访问存储”错误。
为新添加的数据存储添加第三方虚拟机后,即使可以通过集群上的所有主机来访问该存储,也会出现“服务部署无法访问存储”错误。该错误状态持续长达三十分钟的时间。
在三十分钟后重试。作为替代方法,进行以下 API 调用以更新数据存储的缓存条目:
https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime其中
<nsx-manager> 是服务部署 API 失败的 NSX Manager 的 IP 地址,< CC Ext ID> 是集群中正在尝试执行部署的 NSX 标识符。 - 问题 2328126 - 裸机问题:在 NSX 上行链路配置文件中使用时,Linux OS 绑定接口返回错误。
如果在 Linux OS 中创建一个绑定接口,然后在 NSX 上行链路配置文件中使用该接口,将会看到以下错误消息:“创建传输节点可能会失败”(Transport Node creation may fail)。出现该问题是因为,VMware 不支持 Linux OS 绑定。不过,VMware 在裸机服务器传输节点中支持 Open vSwitch (OVS) 绑定。
解决办法:如果遇到该问题,请参见知识库文章 67835 裸机服务器在 NSX-T 传输节点配置中支持 OVS 绑定。
- 问题 2390624 - 当主机处于维护模式时,反关联性规则会阻止服务虚拟机执行 vMotion。
如果服务虚拟机部署在恰好包含两个主机的集群中,则具有反关联性规则的 HA 对将会在执行任何维护模式任务期间阻止虚拟机对其他主机执行 vMotion。这可能会阻止主机自动进入维护模式。
解决办法:在 vCenter 上启动维护模式任务之前,关闭主机上服务虚拟机的电源。
- 问题 2389993 - 使用“策略”页面或 API 修改重新分发规则后,路由映射会被移除。
如果在重新分发规则中使用管理平面 UI/API 添加了路由映射,并在简化的(策略)UI/API 中修改了相同的重新分发规则,则将会移除该映射。
解决办法:您可以返回“管理平面”界面或 API 来重新将路由映射添加到同一规则,从而还原该路由映射。如果您希望在重新分发规则中包含路由映射,建议您始终使用“管理平面”界面或 API 来创建并修改该规则。
- 问题 2329273 - 同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。
不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。
解决办法:无
- 问题 2355113 - 对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。
在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。
解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。
- 问题 2370555 - 用户可以删除高级界面中的某些对象,但删除不会反映在简化界面中。
具体来说,可以在“高级”界面“分布式防火墙排除列表”设置中删除作为分布式防火墙排除列表的一部分添加的组。这会导致界面中出现不一致的行为。
解决办法:使用以下过程来解决此问题:
- 在简化界面中,将某个对象添加到排除列表。
- 确认它是否显示在高级界面的分布式防火墙排除列表中。
- 从高级界面的分布式防火墙排除列表中删除该对象。
- 返回到简化界面,将第二个对象添加到排除列表并应用该对象。
- 确认新对象是否显示在高级界面中。
- 问题 2520803 - EVPN 部署中手动路由标识和路由目标配置的编码格式。
您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是,强烈建议使用 Type-1 编码方案在 EVPN 部署中配置手动路由标识。此外,仅允许手动路由目标配置的 Type-0 编码。
解决办法:仅为路由标识配置 Type-1 编码。
- 问题 2490064 - 尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。
在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。
解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。
- 问题 2516481 - 一个 UA 节点已停止接受任何新的 API 调用,并显示“服务器已过载”消息。
UA 节点停止接受任何新的 API 调用,并显示“服务器已过载”消息。大约有 200 个连接卡在 CLOSE_WAIT 状态。这些连接尚未关闭。因此将拒绝新的 API 调用。
解决办法:
使用以下命令重新启动 proton 服务:
service proton restart - 问题 2529228 - 在备份和还原后,系统中的证书出现不一致状态,并且客户在备份时设置的证书已不存在。
反向代理和 APH 开始使用与备份集群中使用的证书不同的证书。
解决办法:
- 使用 API POST /api/v1/node/services/http?action=apply_certificate&certificate_id=<cert-id>,更新全部三个新节点上的 Tomcat 证书,并使其恢复为原始状态(与已备份的集群一样)。证书 ID 对应于原始设置中正在使用的 tomcat 证书的 ID(已备份的集群)。
- 使用 API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<cert-id> 在主节点上应用集群证书。证书 ID 对应于原始设置中正在使用的集群证书的 ID(已备份的集群)。
- 使用 API POST /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication,更新全部三个新节点上的 APH 证书,并使其恢复为原始状态(与已备份的集群一样)。
- 在根命令行中,使用以下命令来检查 GET /api/v1/trust-management/certificates 的输出(尤其是 used_by 部分),并释放与旧节点 uuid(执行备份的集群中的节点 uuid)绑定的所有证书:“curl -i -k -X POST -H 'Content-type: application/json' -H 'X-NSX-Username:admin' -H 'X-NSX-Groups:superuser' -T data.json "http://127.0.0.1:7440/nsxapi/api/v1/trust-management/certificates/cert-id?action=release”。此 API 只能在本地使用,需要在集群中任何一个节点上的命令行中以 root 用户身份执行。对于与旧节点 uuid(执行备份的集群中的节点 uuid)绑定的所有证书,都需要执行此步骤。
- 现在删除所有未使用的证书并验证“/api/v1/trust-management/certificates”和集群稳定性。
- 问题 2535793 - 在管理器节点上未考虑 Central Node Config (CNC) disabled 标记。
当用户对 CNC 配置文件进行更改时(请参见 UI 中的“系统-> Fabric->配置文件”),将会覆盖在管理器节点本地进行的 NTP、syslog 和 SNMP 配置更改,即使已在该管理器节点上本地禁用了 CNC(请参见 CLI set node central-config disabled)。但是,只要 CNC 配置文件保持不变,就会保留本地 NTP、syslog 和 SNMP 配置。
解决办法:
有两种选择。
- 第一种选择是在不进行本地更改的情况下使用 CNC(即,get node central-config 为 Enabled)。
- 第二种选择是清除 CNC 配置文件,并为 NTP、syslog 和 SNMP 设置单独配置每个管理器。要从第一种选择转换为第二种选择,请使用以下解决办法。
- 从 CNC 配置文件中删除所有配置。
- 一段时间过后,确认已从所有管理器和 Edge 节点中删除配置(在每个节点上使用 Node API 或 CLI)。同时还确认已从所有 KVM HV 节点中删除了 SNMP 配置。
- 分别在每个管理器和 Edge 节点上配置 NTP、syslog 和 SNMP(使用 NSX Node API 或 CLI)。
- 使用 VMware SNMP Agent 配置命令,分别在每个 KVM HV 节点上配置 VMware SNMP Agent。
- 问题 2537989 - 清除 VIP(虚拟 IP)并不会清除所有节点上的 vIDM 集成。
如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager,则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP,则必须在每个单独的节点上手动修复 vIDM 集成。
解决办法:分别访问每个节点,手动修复每个节点上的 vIDM 配置。
- 问题 2538956 - DHCP 配置文件显示“未设置”消息,并在分段上配置网关 DHCP 时禁用“应用”按钮。
如果在已连接的网关上未配置 DHCP 时尝试在分段上配置网关 DHCP,因为没有要保存的有效 DHCP,所以无法应用 DHCP 配置文件。
解决办法:无。
- 问题 2525205 - 在某些情况下,管理平面集群操作会失败。
通过在管理器 N2 上发出“join”命令尝试将管理器 N2 加入到管理器 N1 时,join 命令失败。您无法形成管理平面集群,这可能会影响可用性。
解决办法:
- 要在集群中保留管理器 N1,请在管理器 N1 上发出 CLI 命令“deactivate”。这将从集群中移除所有其他管理器,并将管理器 N1 作为集群的唯一成员。
- 通过发出“systemctl start corfu-nonconfig-server”命令,确保非配置 Corfu 服务器已启动并在管理器 N1 上运行。
- 通过在其他新管理器上发出“join”命令,将这些管理器加入到集群。
- 问题 2526769 - 在多节点集群上还原失败。
在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。
解决办法:部署新的设置(一个节点集群),然后启动还原过程。
- 问题 2538041 - 可以从全局管理器创建包含管理器模式 IP 集的组。
通过使用全局管理器,可以创建包含在管理器模式下创建的 IP 集的组。将接受配置,但不会在本地管理器上实现组。
解决办法:无。
- 问题 2463947 - 如果配置了主动模式 HA,并且启用了 IPSec HA,在双重故障切换时,会看到通过 VPN 的数据包丢弃情况。
通过 VPN 的流量将在对等端丢弃。IPSec 重放错误将会增加。
解决办法:等待下一个 IPSec 重新加密。或者先禁用再启用该特定 IPSec 会话。
- 问题 2515006 - NSX-v 到 NSX-T 的迁移回滚操作间歇性失败。
在 NSX-v 到 NSX-T 迁移期间,回滚失败,并显示以下消息:“无法删除实体 Edge 集群 <edge-cluster-id>,因为该集群正在被以下实体引用: <logical-router-id>”
解决办法:失败后,等待 10 到 15 分钟,然后重试回滚操作。如果仍然不成功,请删除 NSX-T 的设备和 Edge,重新部署它们,然后重新启动迁移过程。
- 问题 2523212 - nsx-policy-manager 变得无响应并重新启动。
对 nsx-policy-manager 的 API 调用将开始失败,并且服务不可用。直到策略管理器重新启动并变为可用之后,您才能访问该管理器。
解决办法:调用最多包含 2000 个对象的 API。
- 问题 2482672 - 在 L2VPN 上延伸的隔离覆盖网络分段无法访问对等站点上的默认网关。
在站点 1 和站点 2 之间配置了 L2VPN 隧道,以便从站点 1 在 L2VPN 上延伸 T0/T1 覆盖网络分段,并从站点 2 在 L2VPN 上延伸隔离的覆盖网络分段。此外,站点 2 上的另一个 T0/T1 覆盖网络分段位于同一传输区域中,并且在连接到隔离分段的工作负载虚拟机所在的 ESXi 主机上存在 DR 的实例。
当隔离分段(站点 2)上的虚拟机尝试访问默认网关(位于站点 1 上的 DR 下行链路)时,将由站点 2 ESXi 主机接收发送到默认网关的单播数据包,并且不会转发到远程站点。到对等站点上的默认网关的 L3 连接失败。
解决办法:将站点 2 上的隔离覆盖网络分段连接到 LR,并提供与站点 1 相同的网关 IP 地址。
- 问题 2521071 - 对于在全局管理器中创建的分段,如果它具有 BridgeProfile 配置,那么不会将第 2 层桥接配置应用于单个 NSX 站点。
分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。
解决办法:在 NSX 站点创建分段,并使用网桥配置文件对其进行配置。
- 问题 2527671 - 未配置 DHCP 服务器时,在 Tier-0/Tier-1 网关或分段上检索 DHCP 统计信息/状态会显示一条错误消息,指示实现未成功。
这对功能没有任何影响。这条错误消息不正确,应报告 DHCP 服务器未配置。
解决办法:无。
- 问题 2532127 - 仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时,LDAP 用户才无法登录 NSX。
用户身份验证失败,并且用户无法登录到 NSX 用户界面。
解决办法:无。
- 问题 2533617 - 创建、更新或删除服务时,API 调用成功,但服务实体更新实现失败。
创建、更新或删除服务(NatRule、LB VIP 等)时,API 调用成功,但未处理服务实体更新,因为后台中的活动提交失败。这些服务变得无法访问。
解决办法:为存在服务实体但实现失败的逻辑路由器手动运行 ReProcessLogicalRouter API。
- 问题 2540733 - 在集群中重新添加同一主机后,不会创建服务实例。
在集群中重新添加同一主机后,不会在 NSX 中创建服务实例,即使主机上存在服务虚拟机也如此。部署状态将显示为成功,但将关闭对给定主机的保护。
解决办法:从主机中删除服务虚拟机。这将创建一个问题,在 NSX 用户界面中将会看到该问题。解决该问题后,将会在 NSX 中创建新的 SVM 和对应的服务实例。
- 问题 2532796 - 在最新的 Windows 知识库更新下,HNSEndpoint 删除失败。
如果您将 Windows 更新到最新的知识库更新(直到 2020 年 3 月),则 HNSEndpoint 删除操作将会挂起。您无法删除 Windows 容器实例。使用相同的 HNSEndpoint 名称创建新容器时,可能会发生冲突。
解决办法:无。
- 问题 2530822 - 向 NSX Manager 注册 vCenter 失败,即使在 vCenter 上创建 NSX-T 扩展也如此。
在 NSX 中将 vCenter 注册为计算管理器时,即使在 vCenter 上创建了“com.vmware.nsx.management.nsxt”扩展,NSX-T 中的计算管理器注册状态仍然是“未注册”。vCenter 上的操作(比如自动安装 Edge 等)无法使用 vCenter Server 计算管理器来执行。
解决办法:
- 从 NSX-T Manager 中删除计算管理器。
- 使用 vCenter Managed Object Browser 从 vCenter 中删除“com.vmware.nsx.management.nsxt”扩展。
- 问题 2482580 - 从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。
从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。
解决办法:无。
- 问题 2533365 - 将主机从启用了 IDFW 的集群移动到新集群(之前从未对 IDFW 启用/禁用),将不会在所移动的主机上禁用 IDFW。
如果将主机从启用了 IDFW 的集群移动到其他集群(之前从未对 IDFW 启用/禁用),则 IDFW 在所移动的主机上仍保持启用状态。这将导致所移动的主机上出现意外的 IDFW 规则应用程序。
解决办法:在集群 2 上启用 IDFW,然后将其禁用。此后,在这些集群之间移动主机或后续在这些集群上启用/禁用 IDFW 的操作将会按预期运行。
- 问题 2536877 - X-Forwarded-For (XFF) 在传输阶段配置了负载均衡器规则的情况下会显示错误数据(HTTPS 流量)。
如果使用 XFF (INSERT/REPLACE) 配置 HTTP 配置文件,并在传输阶段使用负载均衡器规则,则可能会看到 XFF 标头的值不正确。
解决办法:在“请求重写阶段”下配置具有可变条件和匹配(使用内部版本变量)的负载均衡器规则。这将优先处理并将 X-Forwarded-For 和 X-Forwarded-Port 的错误值替换为正确的值。
- 问题 2534855 - 在简化的 UI 或策略 API 上创建的 Tier-0 网关的路由映射和重新分发规则将替换在高级 UI(或 MP API)上创建的路由映射和重新分发规则。
升级期间,在简化的 UI(或策略 API)上创建的任何现有路由映射和规则都将替换直接在高级 UI(或 MP API)上完成的配置。
解决办法:如果在高级 UI (MP UI) 上创建的重新分发规则/路由映射在升级后丢失,您可以从高级 UI (MP) 或简化 UI(策略)创建所有规则。请始终将策略或 MP 之一用于重新分发规则,而不是像 NSX-T 3.0 那样同时使用这两者,因为重新分发具有完全支持的功能。
- 问题 2535355 - 在某些情况下,升级到 NSX-T 3.0 后,会话定时器可能不起作用。
会话定时器设置不起作用。连接会话(例如 tcp established 和 tcp fin wait)将使用其系统默认会话定时器,而不是自定义会话定时器。这可能会导致建立连接 (tcp/udp/icmp) 会话的时间比预期更长或更短。
解决办法:无。
- 问题 2534933 - 无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。
您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。
解决办法:请参见 VMware 知识库文章 78794。
- 问题 2538557 - 在 IP 发现配置文件中启用 ARP 侦听后,ARP 数据包上的 Spoofguard 可能不起作用。
即使在 IP 发现配置文件中启用了 Spoofguard 和 ARP 侦听,客户机虚拟机的 ARP 缓存条目也可能不正确。Spoofguard 功能对 ARP 数据包不起作用。
解决办法:禁用 ARP 侦听。在 ipdiscovery 配置文件或手动绑定中使用 VMtools 或 DHCP 侦听选项。
- 问题 2550327 - 全局管理器不支持草稿功能,但可以使用草稿 API。
已从全局管理器 UI 中禁用草稿功能。草稿发布可能无法按预期工作,并且您可能会发现全局管理器防火墙配置和本地管理器防火墙配置之间存在不一致。
解决办法:手动恢复到旧防火墙配置。
- 问题 2499819 - 对于 vCenter 6.5 或 6.7,从 NSX for vSphere 到 NSX-T Data Center 的维护主机迁移可能会由于 vMotion 错误而失败。
主机迁移页面上显示以下错误消息:
在主机迁移期间预迁移阶段失败 [原因: [vMotion] 无法继续迁移: 对虚拟机 b'3-vm_Client_VM_Ubuntu_1404-shared-1410' 执行 vMotion 操作的尝试次数达到上限] (Pre-migrate stage failed during host migration [Reason: [Vmotion] Can not proceed with migration: Max attempt done to vmotion vm b'3-vm_Client_VM_Ubuntu_1404-shared-1410'])。解决办法:重试主机迁移。
- 问题 2543239 - 升级到 NSX-T Data Center 3.0.0 后,NAT 流量不会按照特定 NAT 规则的防火墙处理设置进行处理。
出现此问题是因为在 NSX-T Data Center 3.0.0 中已弃用防火墙参数“无”。对于在用户界面中将“防火墙”参数配置为“无”的任何 NAT 规则,以及通过 API 配置的不含“Firewall_Match”参数的任何 NAT 规则,升级后不会按照防火墙处理设置进行处理,即使在网关防火墙中配置了必要的防火墙规则也是如此。
解决办法:有关详细信息,请参见 VMware 知识库文章 79010。
- 问题 2541923 - 不支持在全局管理器上创建 Tier-0 VRF。
您可以从全局管理器中在单位置 Tier-0 网关上配置 VRF,但此配置不受支持。如果从全局管理器中在延伸 Tier-0 网关上配置 VRF,您将看到错误。
解决办法:无。
- 问题 2518183 - 对于管理器 UI 屏幕,“警报”列并非始终显示最新的警报计数。
最近生成的警报不会反映在管理器实体屏幕上。
解决办法:
- 刷新管理器实体屏幕以查看正确的警报计数。
- 也可以从警报仪表板页面中查看缺失警报的详细信息。
- 问题 2543353 - 执行 eSP 封装后 NSX T0 Edge 为 IPsec 隧道流量计算的 UDP 校验和不正确。
由于 UDP 数据包中的校验和错误,导致流量被丢弃。
解决办法:无。
- 问题 2561740 - 由于 NS 组中的有效成员未更新,未应用 PAS 输出 DFW 规则。
由于出现 ConcurrentUpdateException,未处理 LogicalPort 创建,从而导致更新相应的 NS 组失败。
解决办法:无。
- 问题 2572394 - 使用 SFTP 服务器时无法提取备份,其中“keyboard-interactive”身份验证已启用,但“password”身份验证已禁用。
用户无法使用 SFTP 服务器,其中“keyboard-interactive”身份验证已启用,但禁用了“password”身份验证。
解决办法:使用基于 Ubuntu 的服务器作为 SFTP 服务器,或在 SFTP 服务器上启用“password”身份验证。
- 问题 2577452:替换全局管理器上的证书将断开连接添加到该全局管理器的位置。
替换全局管理器上的反向代理或设备代理中心 (APH) 证书时,会断开与添加到该全局管理器的位置的连接,因为 REST API 和 NSX RPC 连接会断开。
解决办法:
- 如果您使用以下 API 更改本地管理器或全局管理器上的证书,则必须进行进一步的配置更改以避免出现此问题:
- 更改节点 API 证书:
POST https:///api/v1/node/services/http?action=apply_certificate&certificate_id= - 更改集群 API 证书:
POST https:///api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id= - 更改设备代理证书:
POST https:///api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
- 更改节点 API 证书:
- 如果更改某个本地管理器节点或集群上的 API 证书,则必须从全局管理器中重新添加此位置。
- 如果更改某个全局管理器节点或集群上的 API 证书,则必须从全局管理器中重新添加之前连接的所有位置。
- 如果更改某个本地管理器上的设备代理证书,则必须通过“
restart service applianceproxy”在集群中的所有节点上重新启动设备代理服务,然后从全局管理器中重新添加该位置。
请参见《NSX-T Data Center 安装指南》中的添加位置。
- 如果您使用以下 API 更改本地管理器或全局管理器上的证书,则必须进行进一步的配置更改以避免出现此问题:
- 问题 2730634:Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。
Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。
解决办法:使用管理员凭据登录到 NSX Manager,然后运行“start search resync policy”命令。加载网络组件将需要几分钟时间。
- 问题 2761589:从 NSX-T 2.x 升级到 NSX-T 3.x 后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。
仅当未通过策略配置规则,且管理平面上的默认第 3 层规则具有丢弃操作时,才会出现此问题。升级后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。
解决办法:升级后,从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。
- 问题 2522909 - 如果升级部署失败并显示 Invaildurl,在更正 URL 后,服务虚拟机升级不起作用。
升级处于失败状态,并显示错误的 URL,阻止进行升级。
解决办法:创建一个用于触发升级的新 deployment_spec。
- 问题 2530110 - 升级到 NSX-T Data Center 3.0.0 或重新启动 NSX Manager 节点后,集群状态为“已降级”。
“监控”组已降级,因为重新启动的节点上的“监控”应用程序仍处于“关闭”状态。还原可能会失败。“监控”应用为“关闭”状态的管理器中的警报可能不会显示。
解决办法:重新启动“监控”应用为“关闭”状态的受影响的 NSX-T Manager 节点。
- 问题 2546509 - ESXi 从 vSphere 6.7 升级到 vSphere 7.0 后,未安装 ESXi 7.0 NSX 内核模块。
在 ESXi 从 6.7 升级到 7.0 后,传输节点状态为“关闭”。
解决办法:请参见 VMware 知识库文章 78679。
- 问题 2541232 - 升级到 NSX-T 3.0.0 后,CORFU/config 磁盘空间可能会达到 100%。
仅当从启用 AppDiscovery 功能的旧版 NSX-T 升级时才会出现此问题。/config 分区空间达到 100%,此后 NSX 管理集群将会变得不稳定。
解决办法:有关详细信息,请参见 VMware 知识库文章 78551。
- 问题 2475963 - 由于空间不足,导致无法安装 NSX-T VIB。
由于 ESXi 主机上 bootbank 中的空间不足,导致无法安装 NSX-T VIB,并返回 BootBankInstaller.pyc:错误。第三方供应商提供的某些 ESXi 映像可能包括未使用的 VIB(可能相对较大)。在安装/升级任何 VIB 时,这可能会导致 bootbank/alt-bootbank 中的空间不足。
解决办法:请参见知识库文章 74864 NSX-T VIB 无法安装,原因是 ESXi 主机上 bootbank 中的空间不足。
- 问题 2400379 -“上下文配置文件”页面显示不支持的 APP_ID 错误消息。
“上下文配置文件”页面显示以下错误消息:“此上下文配置文件使用不支持的 APP_ID - [<APP_ID>]。请在确保任何规则中均未使用此上下文配置文件后,手动将其删除。”这是由于升级后存在六个已弃用且在数据路径上已无效的 APP_ID(AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC 和 SVN)所导致的。
解决办法:确保不再使用这六个 APP_ID 后,手动删除其上下文配置文件。
- 问题 2462079 - 如果 ESXi 主机上存在失效的 DV 筛选器,则在升级期间会重新引导某些版本的 ESXi 主机。
对于运行 ESXi 6.5-U2/U3 和/或 6.7-U1/U2 的主机,在维护模式升级到 NSX-T 2.5.1 时,如果在移出虚拟机后发现主机上存在失效的 DV 筛选器,则主机可能会重新引导。
解决办法:如果要避免在 NSX-T Data Center 升级期间重新引导主机,请在升级到 NSX-T Data Center 2.5.1 之前先升级到 ESXi 6.7 U3 或 ESXi 6.5 P04。有关详细信息,请参见知识库文章 76607。
- 问题 2515489 - 升级到 NSX-T 3.0 后,第一个基于证书的 IPSec VPN 会话启动失败,并显示“配置失败”错误。
在一个基于证书的 IPSec VPN 会话下,可以在隧道上看到流量丢失。
解决办法:通过移除 CA 证书并重新添加,修改有问题的 IPSec VPN 会话的本地端点。这会导致使用相同本地端点的所有 IPSec VPN 会话的会话摆动。
- 问题 2536980 - 在“重新引导”步骤中,PCG 升级失败。
通过 CSM 升级 UI 升级 PCG 失败。PCG CLI“get upgrade progress-status”将“reboot”任务的状态显示为 SUCCESS。PCG 未能升级到 NSX-T 3.0 且未运行。
解决办法:通过 PCG 设备 CLI,按以下顺序完成失败的 PCG 升级。
- start upgrade-bundle VMware-NSX-public-gateway-<target-version> step migrate_users
例如:start upgrade-bundle VMware-NSX-public-gateway-3.0.0.0.0.34747521 step migrate_users - start upgrade-bundle VMware-NSX-public-gateway-<target-version> step 41-postboot-exit_maintenance_mode
例如:start upgrade-bundle VMware-NSX-public-gateway-3.0.0.0.0.34747521 step 41-postboot-exit_maintenance_mode - start upgrade-bundle VMware-NSX-public-gateway-<target-version> step finish_upgrade
例如:start upgrade-bundle VMware-NSX-public-gateway-3.0.0.0.0.34747521 step finish_upgrade
- start upgrade-bundle VMware-NSX-public-gateway-<target-version> step migrate_users
- 问题 2283559 - 当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。
如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。
解决办法:获取 RIB/FIB 有两种方案可供选择。
- 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
- CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
- 问题 2513231 - 每个逻辑路由器的最大 arp 数量(默认值)为 2 万。
Edge 将 arp/neigh 条目的总数限制为 10 万(每个 Edge 节点)和 2 万(每个逻辑路由器)。达到这些数字后,Edge 将无法向 arp 缓存表添加更多 arp/neigh 条目。由于没有 arp 解析,arp 解析失败并丢弃数据包。
解决办法:可以使用以下 CLI 命令增大每个逻辑路由器的 arp 限制。
edge1> set dataplane neighbor max-arp-logical-router max-arp-logical-router max-arp-transport-node max-arp-transport-node max-packet-held-transport-node max-packet-held-transport-node edge1> set debug edge1> set dataplane neighbor max-arp-logical-router 30000 maximum number of arp per logical router: 30000 edge1> get dataplane neighbor info arp cache timeout(s) : 1200 maximum number of arp per node : 100000 number of arp entries per node : 1 maximum number of mbuf held per node : 1000 number of mbuf held per node : 0 maximum number of arp per logical router: 30000注意:使用的最大数量不是持久的。重新启动数据路径或重新引导 Edge 节点后,您应重新发出相同的命令。
- 问题 2521230 - 在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。
BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。
解决办法:依赖于“get bfd-sessions”的输出,然后选中“状态”字段以获取最新的 BFD 状态。
- 问题 2532755 - 路由表的 CLI 输出和策略输出不一致。
与 CLI 输出相比,从 UI 下载的路由表具有额外数量的路由。从策略下载的输出中列出了一个额外的路由(默认路由)。这对功能没有任何影响。
解决办法:无。
- 问题 2289150 - 对 AWS 的 PCM 调用启动失败。
如果用户将 CSM 上 AWS 帐户的 PCG 角色从 old-pcg-role 更新为 new-pcg-role,则 CSM 会将 AWS 上 PCG 实例的角色更新为 new-pcg-role。但是,PCM 不知道 PCG 角色已经更新,因此继续使用通过 old-pcg-role 创建的旧 AWS 客户端。这会导致 AWS 云清单扫描和其他 AWS 云调用失败。
解决办法:如果遇到此问题,请在更改为新角色至少 6.5 小时内,不要立即修改/删除旧的 PCG 角色。重新启动 PCG 将使用新的角色凭据重新初始化所有 AWS 客户端。
- 问题 2491800 - 不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。
连接将使用已过期/已吊销的 SSL。
解决办法:重新启动管理器节点上的 APH 以触发重新连接。
- 问题 2533116 - 在联合 A 中备份某个特定站点并在联合 B 中的另一个站点上还原时,错误地将联合 A 的站点详细信息添加到联合 B。
升级全局管理器后,备份 UI 可能会显示空白页面。
解决办法:无。
- 问题 2532343 - 在联合部署中,如果 RTEP MTU 大小小于 VTEP MTU 大小,就会出现 IP 分片,从而导致物理路由器丢弃 IP 片段并使跨站点流量停止。
当 RTEP MTU 大小 (1500) 小于 VTEP MTU (1600) 时,tracepath 工具无法完成。大型 ping 命令(例如,ping -s 2000)也会失败。不能使用较小的 RTEP MTU。
解决办法:在 RTEP 和 VTEP 上使用相同的 MTU。
- 问题 2535234 - 在跨 vCenter vMotion 期间重置虚拟机标记。
从站点 1 到站点 2(在联合设置中)并在 30 分钟内返回到站点 1 的 vMotion 将导致标记重置为站点 1 上应用的内容。如果您使用的是基于虚拟机标记的全局策略,则不会应用该策略。
解决办法:在站点 1 上重新应用标记。
- 问题 2630813 - 针对计算虚拟机的 SRM 恢复或冷 vMotion 将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。
如果启动了 SRM 恢复测试或运行,则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。同样,当通过冷 vMotion 将虚拟机移动到另一个受其他 LM 管理的位置时,虚拟机将不会在该新位置上应用任何 NSX 标记。
- 2630819:在 GM 上注册 LM 之前不应启用 LM 外部 VIP。
如果需要在同一 LM 上使用联合和 PKS,则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务,然后再在 GM 上注册 LM。如果按相反的顺序操作,则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信,且该 LM 的全局配置将丢失。
- 问题 2622672:无法在联合中使用裸机 Edge 节点。
无法为位置间通信 (RTEP) 配置裸机 Edge 节点。
- 问题 2630808 - 从 3.0.0/3.0.1 到任何更高版本的升级都会造成中断。
在将全局管理器 (GM) 或本地管理器 (LM) 从 3.0.0/3.0.1 升级到更高版本后,将无法在 GM 和 LM 之间进行通信。
解决办法:要还原 LM 和 GM 之间的通信,需要将所有 LM 和 GM 都升级到更高版本。
