VMware NSX-T Data Center 3.0.1 | 2020 年 6 月 23 日 | 内部版本 16404613

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

新增功能

NSX-T Data Center 3.0.1 是一个维护版本,其中包含一些新功能和错误修复。有关本版本中已解决的问题列表,请参见“已解决的问题”部分。

NSX-T Data Center 3.0.1 版本提供了以下新功能和增强功能。

  • NSX Manager 用户界面 (UI) 提供了控制平面和数据平面的 Edge 节点的详细内存使用情况。在 UI 中还报告了详细的 CPU 使用情况。  

  • 可以使用 CLI 命令从 ESXi 主机中移除 NSX。如果您 ESX 主机的 NSX VIB 处于失效状态,并且无法从该主机中卸载 NSX,则可以登录到该主机,使用 CLI 命令“del nsx”按照引导式分步过程从该主机中移除 NSX,并将其恢复到干净状态,以便可以从头开始重新安装 NSX。

  • 活动全局管理器集群:全局管理器虚拟机现在可以形成一个集群,以提供增强的本地故障恢复能力。

  • 本地管理器替代工作流:如果无法从本地管理器访问全局管理器,则可以替代本地管理器上一组有限的全局对象参数。

  • 嵌套组:在全局管理器上,现在可以嵌套组(组中的组)。

  • 跨区域的防火墙规则:在全局管理器上,防火墙规则现在可以使用与该规则所属的防火墙策略不同的区域中的一个组。

  • Tier-0 活动/备用拓扑:在全局管理器上,现在可以将 Tier-0 配置为活动/备用,将位置配置为主要/辅助。

  • 联合规模:最多支持四个位置,合计最多 128 个主机。

  • 鉴于规模和升级限制(请参见下面的“联合已知问题”),联合不适用于 NSX-T 3.0.x 版本中的生产部署。

兼容性和系统要求

有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》

API 弃用和行为变化

  • 移除应用程序发现 - 已弃用并移除此功能。
  • 从 NSX-T 2.4 和 2.5 升级后“高级网络连接和安全性”UI 中的变化 - 如果从 NSX-T Data Center 2.4 和 2.5 进行升级,在 NSX-T Data Center 3.0 中,通过单击“管理器”模式可使用“高级网络和安全”UI 选项卡下的菜单选项。
  • 自动禁用快照:从 NSX-T Data Center 3.0.1 版本开始,在部署设备后,将自动禁用快照。您不需要执行此手动操作过程。
  • API 弃用策略 - VMware 现在会在 NSX API 指南中发布我们的 API 弃用策略,以帮助使用 NSX 实现自动化的客户了解哪些 API 被视为已弃用,以及未来何时会将它们从产品中移除。

API 和 CLI 资源

请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

可从 API 参考选项卡获取 API 文档。可从文档选项卡获取 CLI 文档。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 6 月 23 日。第一版。
2020 年 8 月 24 日。第二版。添加了已知问题 2577452。
2020 年 8 月 28 日。第三版。添加了已知问题 2622672、2630808、2630813 和 2630819。
2021 年 3 月 15 日。第四版。添加了已知问题 2730634。
2021 年 9 月 17 日。第五版。添加了已知问题 2761589。

已解决的问题

  • 已修复问题 2513231 - 每个逻辑路由器的最大 arp 数量(默认值)为 2 万。

    Edge 将 arp/neigh 条目的总数限制为 10 万(每个 Edge 节点)和 2 万(每个逻辑路由器)。达到这些数字后,Edge 将无法向 arp 缓存表添加更多 arp/neigh 条目。由于没有 arp 解析,arp 解析失败并丢弃数据包。

  • 已修复问题 2515006 - NSX-v 到 NSX-T 的迁移回滚操作间歇性失败。

    在 NSX-v 到 NSX-T 迁移期间,回滚失败,并显示以下消息:“无法删除实体 Edge 集群 <edge-cluster-id>,因为该集群正在被以下实体引用: <logical-router-id>”

  • 已修复问题 2515489 - 升级到 NSX-T 3.0 后,第一个基于证书的 IPSec VPN 会话启动失败,并显示“配置失败”错误。

    在一个基于证书的 IPSec VPN 会话下,可以在隧道上看到流量丢失。

  • 已修复问题 2532343 - 在联合部署中,如果 RTEP MTU 大小小于 VTEP MTU 大小,就会出现 IP 分片,从而导致物理路由器丢弃 IP 片段并使跨站点流量停止。

    当 RTEP MTU 大小 (1500) 小于 VTEP MTU (1600) 时,tracepath 工具无法完成。大型 ping 命令(例如,ping -s 2000)也会失败。不能使用较小的 RTEP MTU。

  • 已修复问题 2536980 - 在“重新引导”步骤中,PCG 升级失败。

    通过 CSM 升级 UI 升级 PCG 失败。PCG CLI“get upgrade progress-status”将“reboot”任务的状态显示为 SUCCESS。PCG 未能升级到 NSX-T 3.0 且未运行。

  • 已修复问题 2533617 - 创建、更新或删除服务时,API 调用成功,但服务实体更新实现失败。

    创建、更新或删除服务(NatRule、LB VIP 等)时,API 调用成功,但未处理服务实体更新,因为后台中的活动提交失败。这些服务变得无法访问。

  • 已修复问题 2535234 - 在跨 vCenter vMotion 期间重置虚拟机标记。

    从站点 1 到站点 2(在联合设置中)并在 30 分钟内返回到站点 1 的 vMotion 将导致标记重置为站点 1 上应用的内容。如果您使用的是基于虚拟机标记的全局策略,则不会应用该策略。

  • 已修复问题 2532796 - 在最新的 Windows 知识库更新下,HNSEndpoint 删除失败。

    如果您将 Windows 更新到最新的知识库更新(直到 2020 年 3 月),则 HNSEndpoint 删除操作将会挂起。您无法删除 Windows 容器实例。使用相同的 HNSEndpoint 名称创建新容器时,可能会发生冲突。

  • 已修复问题 2536877 - X-Forwarded-For (XFF) 在传输阶段配置了负载均衡器规则的情况下会显示错误数据(HTTPS 流量)。

    如果使用 XFF (INSERT/REPLACE) 配置 HTTP 配置文件,并在传输阶段使用负载均衡器规则,则可能会看到 XFF 标头的值不正确。

  • 已修复问题 2541232 - 升级到 NSX-T 3.0.0 后,CORFU/config 磁盘空间可能会达到 100%。

    仅当从启用 AppDiscovery 功能的旧版 NSX-T 升级时才会出现此问题。/config 分区空间达到 100%,此后 NSX 管理集群将会变得不稳定。

  • 已修复问题 2538557 - 在 IP 发现配置文件中启用 ARP 侦听后,ARP 数据包上的 Spoofguard 可能不起作用。

    即使在 IP 发现配置文件中启用了 Spoofguard 和 ARP 侦听,客户机虚拟机的 ARP 缓存条目也可能不正确。Spoofguard 功能对 ARP 数据包不起作用。

  • 已修复问题 2550327 - 全局管理器不支持草稿功能,但可以使用草稿 API。

    已从全局管理器 UI 中禁用草稿功能。草稿发布可能无法按预期工作,并且您可能会发现全局管理器防火墙配置和本地管理器防火墙配置之间存在不一致。

  • 已修复问题 2546509 - ESXi 从 vSphere 6.7 升级到 vSphere 7.0 后,未安装 ESXi 7.0 NSX 内核模块。

    在 ESXi 从 6.7 升级到 7.0 后,传输节点状态为“关闭”。

  • 已修复问题 2543239 - 升级到 NSX-T Data Center 3.0.0 后,NAT 流量不会按照特定 NAT 规则的防火墙处理设置进行处理。

    出现此问题是因为在 NSX-T Data Center 3.0.0 中已弃用防火墙参数“无”。对于在用户界面中将“防火墙”参数配置为“无”的任何 NAT 规则,以及通过 API 配置的不含“Firewall_Match”参数的任何 NAT 规则,升级后不会按照防火墙处理设置进行处理,即使在网关防火墙中配置了必要的防火墙规则也是如此。

  • 已修复的问题 2526083 - 当 NSX Manager 与 NSX Intelligence 设备断开连接时,某些 NSX Services 可能无法正常运行。

    在 NSX Manager UI 的“系统”>“设备”页面中,NSX Intelligence 设备卡显示一个错误,或显示一种状态,指示设备似乎停滞在数据获取状态。

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 2320529 - 为新添加的数据存储添加第三方虚拟机后,出现“服务部署无法访问存储”错误。

    为新添加的数据存储添加第三方虚拟机后,即使可以通过集群上的所有主机来访问该存储,也会出现“服务部署无法访问存储”错误。该错误状态持续长达三十分钟的时间。

    在三十分钟后重试。作为替代方法,进行以下 API 调用以更新数据存储的缓存条目:

    https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime

    其中   <nsx-manager> 是服务部署 API 失败的 NSX Manager 的 IP 地址,< CC Ext ID> 是集群中正在尝试执行部署的 NSX 标识符。

  • 问题 2328126 - 裸机问题:在 NSX 上行链路配置文件中使用时,Linux OS 绑定接口返回错误。

    如果在 Linux OS 中创建一个绑定接口,然后在 NSX 上行链路配置文件中使用该接口,将会看到以下错误消息:“创建传输节点可能会失败”(Transport Node creation may fail)。出现该问题是因为,VMware 不支持 Linux OS 绑定。不过,VMware 在裸机服务器传输节点中支持 Open vSwitch (OVS) 绑定。

    解决办法:如果遇到该问题,请参见知识库文章 67835 裸机服务器在 NSX-T 传输节点配置中支持 OVS 绑定

  • 问题 2390624 - 当主机处于维护模式时,反关联性规则会阻止服务虚拟机执行 vMotion。

    如果服务虚拟机部署在恰好包含两个主机的集群中,则具有反关联性规则的 HA 对将会在执行任何维护模式任务期间阻止虚拟机对其他主机执行 vMotion。这可能会阻止主机自动进入维护模式。

    解决办法:在 vCenter 上启动维护模式任务之前,关闭主机上服务虚拟机的电源。

  • 问题 2389993 - 使用“策略”页面或 API 修改重新分发规则后,路由映射会被移除。

    如果在重新分发规则中使用管理平面 UI/API 添加了路由映射,并在简化的(策略)UI/API 中修改了相同的重新分发规则,则将会移除该映射。

    解决办法:您可以返回“管理平面”界面或 API 来重新将路由映射添加到同一规则,从而还原该路由映射。如果您希望在重新分发规则中包含路由映射,建议您始终使用“管理平面”界面或 API 来创建并修改该规则。

  • 问题 2329273 - 同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。

    不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。

    解决办法:无 

  • 问题 2355113 - 对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。

    在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。

    解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。

  • 问题 2370555 - 用户可以删除高级界面中的某些对象,但删除不会反映在简化界面中。

    具体来说,可以在“高级”界面“分布式防火墙排除列表”设置中删除作为分布式防火墙排除列表的一部分添加的组。这会导致界面中出现不一致的行为。

    解决办法:使用以下过程来解决此问题:

    1. 在简化界面中,将某个对象添加到排除列表。
    2. 确认它是否显示在高级界面的分布式防火墙排除列表中。
    3. 从高级界面的分布式防火墙排除列表中删除该对象。
    4. 返回到简化界面,将第二个对象添加到排除列表并应用该对象。
    5. 确认新对象是否显示在高级界面中。
  • 问题 2520803 - EVPN 部署中手动路由标识和路由目标配置的编码格式。

    您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是,强烈建议使用 Type-1 编码方案在 EVPN 部署中配置手动路由标识。此外,仅允许手动路由目标配置的 Type-0 编码。

    解决办法:仅为路由标识配置 Type-1 编码。

  • 问题 2490064 - 尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2516481 - 一个 UA 节点已停止接受任何新的 API 调用,并显示“服务器已过载”消息。

    UA 节点停止接受任何新的 API 调用,并显示“服务器已过载”消息。大约有 200 个连接卡在 CLOSE_WAIT 状态。这些连接尚未关闭。因此将拒绝新的 API 调用。

    解决办法:使用以下命令重新启动 proton 服务: 

    service proton restart

     

  • 问题 2529228 - 在备份和还原后,系统中的证书出现不一致状态,并且客户在备份时设置的证书已不存在。

    反向代理和 APH 开始使用与备份集群中使用的证书不同的证书。

    解决办法:

    1. 使用 API POST /api/v1/node/services/http?action=apply_certificate&certificate_id=<cert-id>,更新全部三个新节点上的 Tomcat 证书,并使其恢复为原始状态(与已备份的集群一样)。证书 ID 对应于原始设置中正在使用的 tomcat 证书的 ID(已备份的集群)。
    2. 使用 API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<cert-id> 在主节点上应用集群证书。证书 ID 对应于原始设置中正在使用的集群证书的 ID(已备份的集群)。
    3. 使用 API POST /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication,更新全部三个新节点上的 APH 证书,并使其恢复为原始状态(与已备份的集群一样)。
    4. 在根命令行中,使用以下命令来检查 GET /api/v1/trust-management/certificates 的输出(尤其是 used_by 部分),并释放与旧节点 uuid(执行备份的集群中的节点 uuid)绑定的所有证书:“curl -i -k -X POST -H 'Content-type: application/json' -H 'X-NSX-Username:admin' -H 'X-NSX-Groups:superuser' -T data.json "http://127.0.0.1:7440/nsxapi/api/v1/trust-management/certificates/cert-id?action=release”。此 API 只能在本地使用,需要在集群中任何一个节点上的命令行中以 root 用户身份执行。对于与旧节点 uuid(执行备份的集群中的节点 uuid)绑定的所有证书,都需要执行此步骤。 
    5. 现在删除所有未使用的证书并验证“/api/v1/trust-management/certificates”和集群稳定性。
  • 问题 2535793 - 在管理器节点上未考虑 Central Node Config (CNC) disabled 标记。

    当用户对 CNC 配置文件进行更改时(请参见 UI 中的“系统-> Fabric->配置文件”),将会覆盖在管理器节点本地进行的 NTP、syslog 和 SNMP 配置更改,即使已在该管理器节点上本地禁用了 CNC(请参见 CLI set node central-config disabled)。但是,只要 CNC 配置文件保持不变,就会保留本地 NTP、syslog 和 SNMP 配置。

    解决办法:

    有两种选择。

    • 第一种选择是在不进行本地更改的情况下使用 CNC(即,get node central-config 为 Enabled)。
    • 第二种选择是清除 CNC 配置文件,并为 NTP、syslog 和 SNMP 设置单独配置每个管理器。要从第一种选择转换为第二种选择,请使用以下解决办法。
    1. 从 CNC 配置文件中删除所有配置。
    2. 一段时间过后,确认已从所有管理器和 Edge 节点中删除配置(在每个节点上使用 Node API 或 CLI)。同时还确认已从所有 KVM HV 节点中删除了 SNMP 配置。
    3. 分别在每个管理器和 Edge 节点上配置 NTP、syslog 和 SNMP(使用 NSX Node API 或 CLI)。
    4. 使用 VMware SNMP Agent 配置命令,分别在每个 KVM HV 节点上配置 VMware SNMP Agent。
  • 问题 2537989 - 清除 VIP(虚拟 IP)并不会清除所有节点上的 vIDM 集成。

    如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager,则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP,则必须在每个单独的节点上手动修复 vIDM 集成。

    解决办法:分别访问每个节点,手动修复每个节点上的 vIDM 配置。

  • 问题 2538956 - DHCP 配置文件显示“未设置”消息,并在分段上配置网关 DHCP 时禁用“应用”按钮。

    如果在已连接的网关上未配置 DHCP 时尝试在分段上配置网关 DHCP,因为没有要保存的有效 DHCP,所以无法应用 DHCP 配置文件。

    解决办法:无。

  • 问题 2525205 - 在某些情况下,管理平面集群操作会失败。

    通过在管理器 N2 上发出“join”命令尝试将管理器 N2 加入到管理器 N1 时,join 命令失败。您无法形成管理平面集群,这可能会影响可用性。

    解决办法:

    1. 要在集群中保留管理器 N1,请在管理器 N1 上发出 CLI 命令“deactivate”。这将从集群中移除所有其他管理器,并将管理器 N1 作为集群的唯一成员。
    2. 通过发出“systemctl start corfu-nonconfig-server”命令,确保非配置 Corfu 服务器已启动并在管理器 N1 上运行。
    3. 通过在其他新管理器上发出“join”命令,将这些管理器加入到集群。
  • 问题 2526769 - 在多节点集群上还原失败。

    在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。

    解决办法:部署新的设置(一个节点集群),然后启动还原过程。

  • 问题 2538041 - 可以从全局管理器创建包含管理器模式 IP 集的组。

    通过使用全局管理器,可以创建包含在管理器模式下创建的 IP 集的组。将接受配置,但不会在本地管理器上实现组。

    解决办法:无。

  • 问题 2463947 - 如果配置了主动模式 HA,并且启用了 IPSec HA,在双重故障切换时,会看到通过 VPN 的数据包丢弃情况。

    通过 VPN 的流量将在对等端丢弃。IPSec 重放错误将会增加。

    解决办法:等待下一个 IPSec 重新加密。或者先禁用再启用该特定 IPSec 会话。

  • 问题 2523212 - nsx-policy-manager 变得无响应并重新启动。

    对 nsx-policy-manager 的 API 调用将开始失败,并且服务不可用。直到策略管理器重新启动并变为可用之后,您才能访问该管理器。

    解决办法:调用最多包含 2000 个对象的 API。

  • 问题 2482672 - 在 L2VPN 上延伸的隔离覆盖网络分段无法访问对等站点上的默认网关。

    在站点 1 和站点 2 之间配置了 L2VPN 隧道,以便从站点 1 在 L2VPN 上延伸 T0/T1 覆盖网络分段,并从站点 2 在 L2VPN 上延伸隔离的覆盖网络分段。此外,站点 2 上的另一个 T0/T1 覆盖网络分段位于同一传输区域中,并且在连接到隔离分段的工作负载虚拟机所在的 ESXi 主机上存在 DR 的实例。

    当隔离分段(站点 2)上的虚拟机尝试访问默认网关(位于站点 1 上的 DR 下行链路)时,将由站点 2 ESXi 主机接收发送到默认网关的单播数据包,并且不会转发到远程站点。到对等站点上的默认网关的 L3 连接失败。

    解决办法:将站点 2 上的隔离覆盖网络分段连接到 LR,并提供与站点 1 相同的网关 IP 地址。

  • 问题 2521071 - 对于在全局管理器中创建的分段,如果它具有 BridgeProfile 配置,那么不会将第 2 层桥接配置应用于单个 NSX 站点。

    分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。

    解决办法:在 NSX 站点创建分段,并使用网桥配置文件对其进行配置。

  • 问题 2527671 - 未配置 DHCP 服务器时,在 Tier-0/Tier-1 网关或分段上检索 DHCP 统计信息/状态会显示一条错误消息,指示实现未成功。

    这对功能没有任何影响。这条错误消息不正确,应报告 DHCP 服务器未配置。

    解决办法:无。

  • 问题 2532127 - 仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时,LDAP 用户才无法登录 NSX。

    用户身份验证失败,并且用户无法登录到 NSX 用户界面。

    解决办法:无。

  • 问题 2540733 - 在集群中重新添加同一主机后,不会创建服务实例。

    在集群中重新添加同一主机后,不会在 NSX 中创建服务实例,即使主机上存在服务虚拟机也如此。部署状态将显示为成功,但将关闭对给定主机的保护。

    解决办法:从主机中删除服务虚拟机。这将创建一个问题,在 NSX 用户界面中将会看到该问题。解决该问题后,将会在 NSX 中创建新的 SVM 和对应的服务实例。

  • 问题 2530822 - 向 NSX Manager 注册 vCenter 失败,即使在 vCenter 上创建 NSX-T 扩展也如此。

    在 NSX 中将 vCenter 注册为计算管理器时,即使在 vCenter 上创建了“com.vmware.nsx.management.nsxt”扩展,NSX-T 中的计算管理器注册状态仍然是“未注册”。vCenter 上的操作(比如自动安装 Edge 等)无法使用 vCenter Server 计算管理器来执行。

    解决办法:

    1. 从 NSX-T Manager 中删除计算管理器。
    2. 使用 vCenter Managed Object Browser 从 vCenter 中删除“com.vmware.nsx.management.nsxt”扩展。
  • 问题 2482580 - 从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。

    从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

    解决办法:无。

  • 问题 2533365 - 将主机从启用了 IDFW 的集群移动到新集群(之前从未对 IDFW 启用/禁用),将不会在所移动的主机上禁用 IDFW。

    如果将主机从启用了 IDFW 的集群移动到其他集群(之前从未对 IDFW 启用/禁用),则 IDFW 在所移动的主机上仍保持启用状态。这将导致所移动的主机上出现意外的 IDFW 规则应用程序。

    解决办法:在集群 2 上启用 IDFW,然后将其禁用。此后,在这些集群之间移动主机或后续在这些集群上启用/禁用 IDFW 的操作将会按预期运行。

  • 问题 2534855 - 在简化的 UI 或策略 API 上创建的 Tier-0 网关的路由映射和重新分发规则将替换在高级 UI(或 MP API)上创建的路由映射和重新分发规则。

    升级期间,在简化的 UI(或策略 API)上创建的任何现有路由映射和规则都将替换直接在高级 UI(或 MP API)上完成的配置。

    解决办法:如果在高级 UI (MP UI) 上创建的重新分发规则/路由映射在升级后丢失,您可以从高级 UI (MP) 或简化 UI(策略)创建所有规则。请始终将策略或 MP 之一用于重新分发规则,而不是像 NSX-T 3.0 那样同时使用这两者,因为重新分发具有完全支持的功能。

  • 问题 2535355 - 在某些情况下,升级到 NSX-T 3.0 后,会话定时器可能不起作用。

    会话定时器设置不起作用。连接会话(例如 tcp established 和 tcp fin wait)将使用其系统默认会话定时器,而不是自定义会话定时器。这可能会导致建立连接 (tcp/udp/icmp) 会话的时间比预期更长或更短。

    解决办法:无。

  • 问题 2534933 - 无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。

    您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

    解决办法:请参见 VMware 知识库文章 78794

  • 问题 2499819 - 对于 vCenter 6.5 或 6.7,从 NSX for vSphere 到 NSX-T Data Center 的维护主机迁移可能会由于 vMotion 错误而失败。

    主机迁移页面上显示以下错误消息:
    在主机迁移期间预迁移阶段失败 [原因: [vMotion] 无法继续迁移: 对虚拟机 b'3-vm_Client_VM_Ubuntu_1404-shared-1410' 执行 vMotion 操作的尝试次数达到上限] (Pre-migrate stage failed during host migration [Reason: [Vmotion] Can not proceed with migration: Max attempt done to vmotion vm b'3-vm_Client_VM_Ubuntu_1404-shared-1410'])。

    解决办法:重试主机迁移。

  • 问题 2518183 - 对于管理器 UI 屏幕,“警报”列并非始终显示最新的警报计数。

    最近生成的警报不会反映在管理器实体屏幕上。

    解决办法:

    1. 刷新管理器实体屏幕以查看正确的警报计数。
    2. 也可以从警报仪表板页面中查看缺失警报的详细信息。
  • 问题 2543353 - 执行 eSP 封装后 NSX T0 Edge 为 IPsec 隧道流量计算的 UDP 校验和不正确。

    由于 UDP 数据包中的校验和错误,导致流量被丢弃。

    解决办法:无。

  • 问题 2561740 - 由于 NS 组中的有效成员未更新,未应用 PAS 输出 DFW 规则。

    由于出现 ConcurrentUpdateException,未处理 LogicalPort 创建,从而导致更新相应的 NS 组失败。

    解决办法:无。

  • 问题 2556730 - 在配置 LDAP 标识源时,如果混合使用大小写配置 LDAP 域名,则通过“LDAP 组 > NSX 角色映射”进行的身份验证不起作用。

    尝试登录的用户将被拒绝访问 NSX。

    解决办法:在 LDAP 标识源配置的域名字段中全部使用小写字符。

  • 问题 2557287 - 不会还原备份后完成的 TNP 更新。

    在还原的设备上看不到任何备份后完成的 TNP 更新。

    解决办法:在对 TNP 进行更新后进行备份。

  • 问题 2577452:替换全局管理器上的证书将断开连接添加到该全局管理器的位置。

    替换全局管理器上的反向代理或设备代理中心 (APH) 证书时,会断开与添加到该全局管理器的位置的连接,因为 REST API 和 NSX RPC 连接会断开。

    解决办法:

    • 如果您使用以下 API 更改本地管理器或全局管理器上的证书,则必须进行进一步的配置更改以避免出现此问题:
      • 更改节点 API 证书:POST https:// /api/v1/node/services/http?action=apply_certificate&certificate_id=
      • 更改集群 API 证书:POST https:// /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=
      • 更改设备代理证书:POST https:// /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    • 如果更改某个本地管理器节点或集群上的 API 证书,则必须从全局管理器中重新添加此位置。
    • 如果更改某个全局管理器节点或集群上的 API 证书,则必须从全局管理器中重新添加之前连接的所有位置。
    • 如果更改某个本地管理器上的设备代理证书,则必须通过“restart service applianceproxy”在集群中的所有节点上重新启动设备代理服务,然后从全局管理器中重新添加该位置。

    请参见《NSX-T Data Center 安装指南》中的添加位置。 

  • 问题 2730634:Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。

    Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。

    解决办法:使用管理员凭据登录到 NSX Manager,然后运行“start search resync policy”命令。加载网络组件将需要几分钟时间。

  • 问题 2761589:从 NSX-T 2.x 升级到 NSX-T 3.x 后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    仅当未通过策略配置规则,且管理平面上的默认第 3 层规则具有丢弃操作时,才会出现此问题。升级后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    解决办法:升级后,从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。

安装已知问题
  • 问题 2522909 - 如果升级部署失败并显示 Invaildurl,在更正 URL 后,服务虚拟机升级不起作用。

    升级处于失败状态,并显示错误的 URL,阻止进行升级。

    解决办法:创建一个用于触发升级的新 deployment_spec。

  • 问题 2530110 - 升级到 NSX-T Data Center 3.0.0 或重新启动 NSX Manager 节点后,集群状态为“已降级”。

    “监控”组已降级,因为重新启动的节点上的“监控”应用程序仍处于“关闭”状态。还原可能会失败。“监控”应用为“关闭”状态的管理器中的警报可能不会显示。

    解决办法:重新启动“监控”应用为“关闭”状态的受影响的 NSX-T Manager 节点。

升级已知问题
  • 问题 2475963 - 由于空间不足,导致无法安装 NSX-T VIB。

    由于 ESXi 主机上 bootbank 中的空间不足,导致无法安装 NSX-T VIB,并返回 BootBankInstaller.pyc:错误。第三方供应商提供的某些 ESXi 映像可能包括未使用的 VIB(可能相对较大)。在安装/升级任何 VIB 时,这可能会导致 bootbank/alt-bootbank 中的空间不足。

    解决办法:请参见知识库文章 74864 NSX-T VIB 无法安装,原因是 ESXi 主机上 bootbank 中的空间不足

  • 问题 2400379 -“上下文配置文件”页面显示不支持的 APP_ID 错误消息。

    “上下文配置文件”页面显示以下错误消息:“此上下文配置文件使用不支持的 APP_ID - [<APP_ID>]。请在确保任何规则中均未使用此上下文配置文件后,手动将其删除。”这是由于升级后存在六个已弃用且在数据路径上已无效的 APP_ID(AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC 和 SVN)所导致的。

    解决办法:确保不再使用这六个 APP_ID 后,手动删除其上下文配置文件。

  • 问题 2462079 - 如果 ESXi 主机上存在失效的 DV 筛选器,则在升级期间会重新引导某些版本的 ESXi 主机。

    对于运行 ESXi 6.5-U2/U3 和/或 6.7-U1/U2 的主机,在维护模式升级到 NSX-T 2.5.1 时,如果在移出虚拟机后发现主机上存在失效的 DV 筛选器,则主机可能会重新引导。

    解决办法:如果要避免在 NSX-T Data Center 升级期间重新引导主机,请在升级到 NSX-T Data Center 2.5.1 之前先升级到 ESXi 6.7 U3 或 ESXi 6.5 P04。有关详细信息,请参见知识库文章 76607

NSX Edge 已知问题
  • 问题 2283559 - 当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。

    • 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
    • CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
  • 问题 2521230 - 在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

    BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

    解决办法:依赖于“get bfd-sessions”的输出,然后选中“状态”字段以获取最新的 BFD 状态。

  • 问题 2532755 - 路由表的 CLI 输出和策略输出不一致。

    与 CLI 输出相比,从 UI 下载的路由表具有额外数量的路由。从策略下载的输出中列出了一个额外的路由(默认路由)。这对功能没有任何影响。

    解决办法:无。

NSX Cloud 已知问题
  • 问题 2289150 - 对 AWS 的 PCM 调用启动失败。

    如果用户将 CSM 上 AWS 帐户的 PCG 角色从 old-pcg-role 更新为 new-pcg-role,则 CSM 会将 AWS 上 PCG 实例的角色更新为 new-pcg-role。但是,PCM 不知道 PCG 角色已经更新,因此继续使用通过 old-pcg-role 创建的旧 AWS 客户端。这会导致 AWS 云清单扫描和其他 AWS 云调用失败。

    解决办法:如果遇到此问题,请在更改为新角色至少 6.5 小时内,不要立即修改/删除旧的 PCG 角色。重新启动 PCG 将使用新的角色凭据重新初始化所有 AWS 客户端。

安全已知问题
  • 问题 2491800 - 不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。

    连接将使用已过期/已吊销的 SSL。

    解决办法:重新启动管理器节点上的 APH 以触发重新连接。

联合已知问题
  • 问题 2622672:无法在联合中使用裸机 Edge 节点。

    无法为位置间通信 (RTEP) 配置裸机 Edge 节点。

  • 问题 2630808:从 3.0.0/3.0.1 到任何更高版本的升级都会造成中断。

    在将全局管理器 (GM) 或本地管理器 (LM) 从 3.0.0/3.0.1 升级到更高版本后,将无法在 GM 和 LM 之间进行通信。

    解决办法:要还原 LM 和 GM 之间的通信,需要将所有 LM 和 GM 都升级到更高版本。

  • 问题 2630813:针对计算虚拟机的 SRM 恢复或冷 vMotion 将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。

    如果启动了 SRM 恢复测试或运行,则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。同样,当通过冷 vMotion 将虚拟机移动到另一个受其他 LM 管理的位置时,虚拟机将不会在该新位置上应用任何 NSX 标记。

  • 问题 2630819:更改 LM 证书应在 LM 在 GM 上进行注册之前完成。

    如果需要在同一 LM 上使用联合和 PKS,则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务,然后再在 GM 上注册 LM。如果按相反的顺序操作,则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信,并且必须重新注册 LM。

check-circle-line exclamation-circle-line close-line
Scroll to top icon