VMware NSX-T Data Center 3.1.0 | 2020 年 10 月 30 日 | 内部版本 17107167 请定期查看以了解本发行说明的新增内容和更新。 |
发行说明内容
本发行说明包含以下主题:
新增功能
NSX-T Data Center 3.1 包含一系列新特性,为私有云、公有云和多云环境的虚拟化网络连接和安全提供多种新功能。主要特性和增强功能涵盖以下重点领域:
- 云级网络:联合增强功能、增强的多播功能。
- 迁移到下一代 SDN:简化了从 NSX-V 迁移到 NSX-T 的过程。
- 原生安全性:分布式 IPS、基于 FQDN 的增强功能。
- 生命周期和监控:在 vSphere Lifecycle Manager (vLCM) 中支持 NSX-T、简化的安装以及增强的监控、搜索和筛选。
- 包容性术语:在全公司努力消除产品包含的非包容性语言的行动中,NSX 团队对 NSX-T 3.1 产品 UI 和文档中使用的某些术语进行了更改。API、CLI 和日志仍使用旧术语。
除了这些增强功能以外,在产品的每个部分中还添加了很多其他功能。在 NSX-T Data Center 3.1.0 版本中提供了有关 NSX-T 3.1 新功能和增强功能的更多详细信息。
联合
- 支持备用全局管理器集群
- 现在,全局管理器可以具有一个活动集群,并在另一个位置中具有备用集群。活动集群和备用集群之间的延迟最多不超过 150 毫秒往返时间。
- 由于支持联合升级和备用全局管理器,现在联合处于生产就绪状态。
L2 网络连接
更改 TCP/IP 栈的显示名称:网络栈键仍为“vxlan”和“hyperbus”,但 UI 中的显示名称现在为“nsx-overlay”和“nsx-hyperbus”。
- 将同时在网络栈列表和 VMKNic 列表中更改显示名称
- 将在 vCenter 6.7 中显示该更改
L2 网桥监控和故障排除改进
- 在文档、UI 和 CLI 中具有统一的术语
- 添加了新的 CLI 命令以获取有关 L2 网桥配置文件和统计信息的摘要和详细信息
- 在日志消息中指明网桥配置文件、状态更改原因以及受影响的逻辑交换机
在不同的子网中支持 TEP 以充分利用不同的物理上行链路
传输节点可能具有多个主机交换机,这些交换机连接到多个覆盖网络传输区域。不过,所有这些主机交换机的 TEP 需要具有位于同一子网的 IP 地址。已消除该限制,以允许将不同的主机交换机固定到属于不同 L2 域的不同物理上行链路。
改进了 IP 发现和 NS 组:IP 发现配置文件现在可以应用于 NS 组,从而简化了防火墙管理员使用它们的过程。
L3 网络
策略 API 增强功能
- 能够通过策略 API 在网关上配置 BFD 对等项,以及为每个 VRF 配置转发启动定时器。
- 能够通过策略 API 检索网关的代理 ARP 条目。
BGP 增强功能
- RFC5549 支持:Tier-0 网关现在可以通过仅 IPv6 BGP 对等项通告 IPv4 前缀。这可最大程度地减少通告 IPv4 和 IPv6 前缀所需的 BGP 对等项数。
多播
NSX-T 3.1 是一个提供多播的主要版本,它扩展了其功能集并确认了其企业部署就绪状态。
- 在 Tier-1 网关上支持多播复制。允许为具有 Tier-1 服务路由器(强制性要求)的 Tier-1 启用多播,并为其连接多播接收端和源。
- 在来自 Tier-1 的所有下行链路和上行链路上支持 IGMPv2
- 在每个 Tier-0 与所有 TOR 之间的所有上行链路(支持的配置最大值)上支持 PIM-SM(防止 TOR 故障)
- 能够在 A/S 模式下运行多播,并在 A/A 模式下运行 Tier-1 → Tier-0 → TOR 的单播 ECMP
- 请注意,如果连接到的 T1 还启用了多播,则不支持 ESXi 主机 → T1 的单播 ECMP。
- 通过 BS 和支持为多个静态 RP 提供静态 RP 编程和发现支持
- 为多播流量提供分布式防火墙支持
- 改进了故障排除:增加了在上行链路上配置 IGMP 本地组的功能,以便 Edge 可以充当接收端。由于能够将特定组的多播流量吸引到 Edge,这将极大地帮助解决多播问题。
Edge 平台和服务
- 同一主机中的 TEP 间通信:Edge TEP IP 可以位于与本地 Hypervisor TEP 相同的子网中。
- 支持重新部署 Edge 节点:可以将失效的 Edge 节点、虚拟机或物理服务器替换为新的设备,而无需将其删除。
- 每个网关的 NAT 连接限制:可以为每个网关配置最大 NAT 会话数。
- 提高了 Edge 网络性能:通过向单个 vNIC 添加更多队列,大大提高了整体网络性能。要实现更高的吞吐量,必须在 Edge 节点虚拟机 .VMX 文件中手动添加参数 ethernetX.pnicFeature = "4"。在关闭 Edge 虚拟机电源后,必须将设置应用于 VMX 文件。必须将以下参数添加到 VMX 文件中:
- ethernet0.pnicFeatures = "4"
- ethernet1.pnicFeatures = "4"
- ethernet2.pnicFeatures = "4"
- ethernet3.pnicFeatures = "4"
- 必须为在 NSX-T 版本 3.1.0 之前创建的每个 Edge 节点手动添加 ethernetX.pnicFeatures 设置。在版本 3.1.0 上创建的每个 Edge 节点虚拟机已将这些设置应用到 .VMX 文件。从 NSX-T 版本 3.1.0 开始,在重新部署 Edge 节点虚拟机后,将自动添加 ethernetX.pnicFeatures 设置。
防火墙
- 改进了基于 FQDN 的防火墙:您可以定义可应用于分布式防火墙的 FQDN。您可以添加各个 FQDN,也可以从 CSV 文件中导入一组 FQDN。
防火墙可用性功能
- 防火墙导出和导入:现在,NSX 为您提供了以 CSV 格式导出和导入防火墙规则和策略的选项。
- 增强的搜索和筛选:改进了基于 IP 范围的防火墙规则的搜索索引和筛选选项。
分布式入侵检测/防御系统 (D-IDPS)
分布式 IPS
- NSX-T 将具有分布式入侵防御系统。您可以根据为检查配置的特征码以阻止威胁。
- 增强的仪表板;提供有关检测和阻止的威胁的详细信息。
- 通过攻击类型、攻击目标和 CVSS 分数改进了 IDS/IPS 配置文件的创建过程,从而创建更有针对性的检测。
负载均衡
- HTTP 服务器端保持活动状态:在客户端连接和服务器端连接之间保持一对一映射的选项;将一直保留后端连接,直到前端连接关闭。
- HTTP Cookie 安全合规性:HTTP Cookie 支持“httponly”和“secure”选项。
- 新的诊断 CLI 命令:单个命令捕获与负载均衡器相关的各种故障排除输出。
VPN
- L2 VPN 的 TCP MSS 限制:在 MTU 不匹配时,TCP MSS 限制功能允许 L2 VPN 会话传输流量。
自动化、OpenStack 和 API
- NSX-T Terraform 提供程序为联合提供支持:NSX-T Terraform 提供程序将其支持扩展到 NSX-T 联合。这样,您就可以在基础架构即代码模型中创建复杂的逻辑配置,其中包括网络连接、安全性(分段、网关、防火墙等)和服务。有关更多详细信息,请参见 NSX-T Terraform 提供程序发行说明。
- 将使用管理 API 的 OpenStack 环境转换为 NSX-T 策略 Neutron 插件:允许您将具有 NSX-T 的 OpenStack 环境从管理 API 迁移到策略 API。这样,您就可以将早于 NSX-T 2.5 的部署环境迁移到最新的 NSX-T Neutron 插件,并利用最新的平台功能。
- 能够在 OpenStack Neutron 路由器上更改 NAT 和防火墙顺序:这样,您就可以在部署中选择 NAT 和防火墙之间的运行顺序。在 OpenStack Neutron 路由器级别(映射到 NSX-T 中的 Tier-1),可以将运行顺序定义为先 NAT 后防火墙,或者定义为先防火墙后 NAT。这是给定 OpenStack 平台的全局设置。
- NSX 策略 API 增强功能:能够筛选和检索 NSX 策略 API 层次结构子树中的所有对象。在以前的版本中,筛选是从树根目录 policy/api/v1/infra?filter=Type- 中完成的。现在,您可以从子树中检索所有对象。例如,这允许网络管理员直接从 /policy/api/v1/infra/tier-0s?filter=Type- 中查看所有 Tier-0 配置,而不是从根目录中指定所有 Tier-0 相关对象。
运维
- 在 vSphere Lifecycle Manager (vLCM) 中支持 NSX-T:从 vSphere 7.0 Update 1 开始,可以在使用单个 vSphere Lifecycle Manager (vLCM) 映像管理的集群上支持 VMware NSX-T Data Center。因此,可以使用 NSX Manager 在使用单个映像管理的集群中的 ESXi 主机上安装、升级或移除 NSX 组件。
- 可以在使用单个 vSphere Lifecycle Manager 管理并启用了 VMware NSX-T Data Center 的集群中添加和移除主机。
- 可以在单个 vSphere Lifecycle Manager 修复任务中升级 VMware NSX-T Data Center 和 ESXi。只有在从 VMware NSX-T Data Center 3.1 版本升级时,才支持该工作流。
- 可以检查合规性,生成修复预检查报告,以及使用单个 vSphere Lifecycle Manager 映像修复集群并为其启用 VMware NSX-T Data Center。
- 简化了 NSX-T 主机/集群安装:通过使用 VMware NSX-T Data Center 用户界面中的“快速入门”按钮,只需选择需要安装 NSX 的主机集群,该 UI 将自动提示您 NSX 根据您的基础主机配置建议的网络配置。可以将其安装在主机集群上,从而在选择集群后单击一下鼠标即可完成整个安装。将在向导中通过丰富 UI 显示建议的主机网络配置,并动态更新在安装 NSX 之前对所需网络配置进行的任何更改,以便用户可以根据需要参考这些信息。
- 就地升级的增强功能:为 VMware NSX-T Data Center 就地主机升级过程提供了几项增强功能,例如,增加了每个主机支持的虚拟网卡的最大限制,消除了以前的限制并减少了就地升级期间的数据路径停机时间。有关更多详细信息,请参阅《VMware NSX-T Data Center 升级指南》。
- 减少了 NSX-T 中的 VIB 大小:VMware NSX-T Data Center 3.1.0 在所有 NSX 主机安装中具有较小的 VIB 占用空间,以便您可以在其 Hypervisor 上安装 ESX 和其他第三方 VIB 以及 NSX。
- NSX-T 物理服务器安装的增强功能:为了简化在物理服务器上安装 VMware NSX-T Data Center 的工作流,现在通过 NSX Manager 完成整个端到端物理服务器安装过程。不再要求运行 Ansible 脚本以配置主机网络连接。
- 在具有 ENS 的专用网络栈上支持 ERSPAN:在具有 ENS 的专用网络堆栈上支持 ERSPAN:现在,可以在专用网络镜像堆栈(即 VMK 镜像堆栈)上配置 ERSPAN,并由增强的 NSX 网络交换机(即 ENS)为其提供支持,从而为 ERSPAN 端口镜像提供更高的性能和吞吐量。
- 具有 vSphere HA 的单个 Manager:NSX 现在支持在生产部署中部署单个 NSX Manager。可以将其与 vSphere HA 结合使用以恢复发生故障的 NSX Manager。请注意,使用备份/还原或 vSphere HA 的单个 NSX Manager 的恢复时间可能比 NSX Manager 集群提供的可用性要长得多。
- NSX 组件之间的日志一致性:在不同 NSX 组件之间使用一致的日志记录格式和文档,以便可以轻松解析日志以实现自动化,并且您可以高效地使用日志以进行监控和故障排除。
- 支持丰富的通用筛选器:这是为了在操作功能(如数据包捕获、端口镜像、IPFIX 和延迟测量)中支持丰富的通用筛选器,以便在使用这些功能时提高客户的效率。当前,这些功能具有非常简单的筛选器(并非始终有用),或者没有筛选器而造成不便。
- CLI 增强功能:在该版本中提供了一些 CLI 相关增强功能:
- CLI“get”命令现在带有时间戳以帮助进行调试
- 通过 CLI 为 NSX 管理集群的虚拟 IP (VIP) 执行 GET/SET/RESET 操作
- 通过中央 CLI 进行调试时,直接在本地计算机上运行 Ping 命令,从而省去了登录到计算机并执行相同操作所需的额外步骤
- 通过 CLI 查看任何 NSX 组件上的核心列表
- 现在,在 CLI 中使用“*”运算符
- 在该版本中还引入了通过 CLI 调试 L2 网桥的命令
- 分布式负载均衡器流跟踪:流跟踪现在支持分布式负载均衡器,以排除从 vSphere with Tanzu 中部署的端点经由分布式负载均衡器到服务端点的通信故障。
监控
- 事件和警报
- 容量仪表板:最大容量、最大容量阈值、最小容量阈值
- Edge 运行状况:备用 Edge 移动到不同的 Edge 节点、数据路径线程已死锁、已生成 NSX-T Edge 核心文件、逻辑路由器故障切换事件、存储错误
- ISD/IPS:NSX-IDPS 引擎启动/关闭、NSX-IDPS 引擎 CPU 使用率超过 75%、NSX-IDPS 引擎 CPU 使用率超过 85%、NSX-IDPS 引擎 CPU 使用率超过 95%、已达到最大事件数、NSX-IDPS 引擎内存使用率超过 75%、
NSX-IDPS 引擎内存使用率超过 85%、NSX-IDPS 引擎内存使用率超过 95% - IDFW:到 AD 服务器的连接、增量同步期间的错误数
- 联合:全局管理器到全局管理器脑裂
- 通信:至传输节点的控制通道关闭、至传输节点的控制通道关闭时间过长、至管理器节点的控制通道关闭、至管理器节点的控制通道关闭太长时间、至传输节点的管理通道关闭、至传输节点的管理通道长时间关闭、管理器 FQDN 查找失败、管理器 FQDN 反向查找失败
- 适用于 ENS 快速路径的 ERSPAN:为 ENS 快速路径提供端口镜像支持。
- 系统运行状况插件增强功能:系统运行状况插件增强功能以及监控在不同节点上运行的进程的状态;可以通过及时检测错误以确保系统正常运行。
- 实时流量分析和跟踪:这是一个实时流量分析工具,可以支持内部部署和 VMC 数据中心之间的双向流跟踪。
- UA 节点的延迟统计信息和测量:测量每个 NSX Manager 集群的 NSX Manager 节点之间以及不同站点中的 NSX Manager 集群之间的延迟。
- 使用服务插入的网络监控的性能特性:为使用服务插入的网络监控提供性能衡量指标。
可用性和用户界面
- VPN 图形可视化:“网络拓扑”图表现在直观地显示配置的 VPN 隧道和会话。这可以帮助您快速查看 VPN 配置和设置以及对其进行故障排除。
- 暗模式:NSX UI 现在支持暗模式。您可以在明暗模式之间切换。
- 防火墙导出和导入:现在,NSX 为您提供了以 CSV 格式导出和导入防火墙规则和策略的选项。
- 增强的搜索和筛选:改进了基于 IP 范围的防火墙规则的搜索索引和筛选选项。
- 减少单击次数:通过使用该 UI 增强功能,NSX-T 现在提供了一种轻松简便的方法以编辑网络对象。
许可
- 多个许可证密钥:NSX 现在能够接受相同版本和衡量指标的多个许可证密钥。通过使用该功能,您可以保留所有许可证密钥,而无需合并您的许可证密钥。
- 许可证实施:现在,NSX-T 根据许可证版本限制功能访问,以确保用户符合许可证要求。新用户只能访问他们购买的版本中提供的那些功能。如果现有用户使用其许可证版本中未提供的功能,则将其限制为仅查看对象,而禁止创建和编辑对象。
- 新的 VMware NSX Data Center 许可证:增加了对 2020 年 10 月推出的新的 VMware NSX Firewall 和 NSX Firewall with Advanced Threat Prevention 许可证的支持,并继续支持 2018 年 6 月推出的 NSX Data Center 许可证(Standard、Professional、Advanced、Enterprise Plus、Remote Office Branch Office)以及以前的 VMware NSX for vSphere 许可证密钥。有关 NSX 许可证的详细信息,请参见 VMware 产品指南。
AAA 和平台安全性
- 使用证书和密钥库管理的安全增强功能:通过使用该架构增强功能,NSX-T 提供了一种简便安全的方法以存储和管理大量证书,这些证书对于平台运行至关重要并符合行业和政府准则。该增强功能还简化了使用 API 安装和管理证书的过程。
- 审核日志失败警示:审核日志在组织中管理网络安全风险方面具有非常重要的作用,除了帮助诊断系统性能问题以外,审核日志通常还是取证分析、安全分析和刑事诉讼的基础。NSX 遵循 NIST-800-53 和行业基准合规性指令;如果无法生成或处理审核数据,则会通过警报提供警示通知。
- 基于自定义角色的访问控制:用户希望能够配置针对其特定运行环境自定义的角色和权限。自定义 RBAC 功能允许根据功能进行精细的特权自定义,从而使 NSX 客户能够根据最小特权原则灵活地实施授权。用户可以利用该功能以满足特定的运行要求或合规性准则。请注意,在 NSX-T 3.1 中,只能对基于策略的功能进行角色自定义。
- FIPS - 与 vSphere 7.x 的互操作性:从 NSX-T 2.5 开始,与 NSX-T 一起使用的加密模块通过了 FIPS 140-2 验证。这种更改扩展了正式认证,以包括模块升级以及与 vSphere 7.0 的互操作性。
NSX Data Center for vSphere 到 NSX-T Data Center 的迁移
- 迁移具有 vRealize Automation 的 NSX for vSphere 环境:迁移协调器现在与 vRealize Automation (vRA) 进行交互,以便迁移 vRealize Automation 在其中提供自动化功能的环境。这会提供可以在具有 vRealize Automation 和 NSX-T Data Center 的环境中迁移的第一组拓扑。注意:这需要获得 vRealize Automation 支持。
- 模块化分布式防火墙配置迁移:迁移协调器现在能够将防火墙配置和状态从 NSX Data Center for vSphere 环境迁移到 NSX-T Data Center 环境。通过使用该功能,客户可以将虚拟机从一个环境迁移到另一个环境(使用 vMotion),并保留其防火墙规则和状态。
- 迁移多个 VTEP:NSX 迁移协调器现在可以迁移部署了多个 VTEP 的环境。
- 将迁移协调器的规模增加到 256 个主机:迁移协调器现在可以将最多 256 个 Hypervisor 主机从 NSX Data Center for vSphere 迁移到 NSX-T Data Center。
- 迁移协调器范围涵盖服务插入和客户机侦测:迁移协调器可以迁移具有服务插入和客户机侦测的环境。这样,合作伙伴就可以提供与完整迁移程序工作流集成的迁移解决方案。
兼容性和系统要求
有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》。
API 弃用和行为变化
未分配的标记的保留期:在 NSX-T 3.0.x 中,系统在 5 天后自动删除分配了 0 个虚拟机的 NSX 标记。在 NSX-T 3.1.0 中,系统任务已修改为每天运行,从而清理时间超过一天的未分配标记。无法通过手动方法强制删除未分配的标记。
API 和 CLI 资源
请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。
本地化语言
NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。
文档修订历史
2020 年 10 月 29 日。第一版。
2020 年 11 月 13 日。第二版。添加了已知问题 2659168、2655295、2658950、2609681、2562189、2657943、2550492、2653227、2636771、2637241、2658092、2643610、2658199、2555383、2658713、2662225、2610851、2652154、2622576、2587257、2659234、2622846、2656929、2587513、2639671、2645877。
2021 年 3 月 11 日。第三版。在“新增功能”中添加了对 L3 网络的 BGP 增强功能。
2021 年 4 月 22 日。第四版。在“新增功能”中添加了对 Edge 平台和服务的 Edge 网络性能改进。添加了已知问题 2738345 和 2740587。添加了已解决的问题 2628121。
2021 年 9 月 17 日。第五版。添加了已知问题 2761589。
已解决的问题
- 已修复的问题 2462079:如果 ESXi 主机上存在失效的 DV 筛选器,则在升级期间会重新引导某些版本的 ESXi 主机。
对于运行 ESXi 6.5-U2/U3 和/或 6.7-U1/U2 的主机,在维护模式升级到 NSX-T 2.5.1 时,如果在移出虚拟机后发现主机上存在失效的 DV 筛选器,则主机可能会重新引导。
- 已修复的问题 2475963:由于空间不足,导致无法安装 NSX-T VIB。
由于 ESXi 主机上 bootbank 中的空间不足,导致无法安装 NSX-T VIB,并返回 BootBankInstaller.pyc:错误。第三方供应商提供的某些 ESXi 映像可能包括未使用的 VIB(可能相对较大)。在安装/升级任何 VIB 时,这可能会导致 bootbank/alt-bootbank 中的空间不足。
- 已修复的问题 2538956:DHCP 配置文件显示“未设置”消息,并在分段上配置网关 DHCP 时禁用“应用”按钮。
如果在已连接的网关上未配置 DHCP 时尝试在分段上配置网关 DHCP,因为没有要保存的有效 DHCP,所以无法应用 DHCP 配置文件。
- 已修复的问题 2538041:可以从全局管理器创建包含管理器模式 IP 集的组。
通过使用全局管理器,可以创建包含在管理器模式下创建的 IP 集的组。将接受配置,但不会在本地管理器上实现组。
- 已修复的问题 2463947:如果配置了主动模式 HA,并且启用了 IPSec HA,在双重故障切换时,会看到通过 VPN 的数据包丢弃情况。
通过 VPN 的流量将在对等端丢弃。IPSec 重放错误将会增加。
- 已修复的问题 2540733:在集群中重新添加同一主机后,不会创建服务实例。
在集群中重新添加同一主机后,不会在 NSX 中创建服务实例,即使主机上存在服务虚拟机也如此。部署状态将显示为成功,但将关闭对给定主机的保护。
- 已修复的问题 2530822:向 NSX Manager 注册 vCenter 失败,即使在 vCenter 上创建了 NSX-T 扩展也如此。
在 NSX 中将 vCenter 注册为计算管理器时,即使在 vCenter 上创建了“com.vmware.nsx.management.nsxt”扩展,NSX-T 中的计算管理器注册状态仍然是“未注册”。vCenter 上的操作(比如自动安装 Edge 等)无法使用 vCenter Server 计算管理器来执行。
- 已修复的问题 2532755:路由表的 CLI 输出和策略输出不一致。
与 CLI 输出相比,从 UI 下载的路由表具有额外数量的路由。从策略下载的输出中列出了一个额外的路由(默认路由)。这对功能没有任何影响。
- 已修复的问题 2534855:在简化的 UI 或策略 API 上创建的 Tier-0 网关的路由映射和重新分发规则将替换在高级 UI(或 MP API)上创建的路由映射和重新分发规则。
升级期间,在简化的 UI(或策略 API)上创建的任何现有路由映射和规则都将替换直接在高级 UI(或 MP API)上完成的配置。
- 已修复的问题 2535355:在某些情况下,升级到 NSX-T 3.0 后,会话定时器可能不起作用。
会话定时器设置不起作用。连接会话(例如 tcp established 和 tcp fin wait)将使用其系统默认会话定时器,而不是自定义会话定时器。这可能会导致建立连接 (tcp/udp/icmp) 会话的时间比预期更长或更短。
- 已修复的问题 2518183:对于管理器 UI 屏幕,“警报”列并非始终显示最新的警报计数。
最近生成的警报不会反映在管理器实体屏幕上。
- 已修复的问题 2543353:执行 eSP 封装后 NSX T0 Edge 为 IPsec 隧道流量计算的 UDP 校验和不正确。
由于 UDP 数据包中的校验和错误,导致流量被丢弃。
- 已修复问题 2556730:在配置 LDAP 标识源时,如果混合使用大小写配置 LDAP 域名,则通过“LDAP 组”>“NSX 角色映射”进行的身份验证不起作用。
尝试登录的用户将被拒绝访问 NSX。
- 已修复问题 2572052:可能不会生成已计划的备份。
在某些极端情况下,不会生成计划的备份。
- 已修复问题 2557166:应用于 Kubernetes pod 时,使用上下文配置文件(第 7 层)的分布式防火墙规则无法按预期工作。
在 Kubernetes pod 上配置 L7 规则后,应匹配 L7 规则的流量反而会达到默认规则。
- 已修复问题 2486119:将 PNIC 从 NVDS 迁移回 VDS 上行链路,该映射与 VDS 中的原始映射不同。
使用具有 PNIC 安装和卸载映射的传输节点配置文件创建传输节点时,PNIC 将从 VDS 迁移到 NVDS。稍后从传输节点中移除 NSX-T Data Center 时,PNIC 将迁移回 VDS,但 PNIC 至上行链路的映射可能不同于 VDS 中的原始映射。
- 已修复的问题 2628634:即使在调用“vds-migrate disable-migrate”后,Day2tools 也会尝试将 TN 从 NVDS 迁移到 CVDS。
从 NVDS 到 CVDS 的迁移将失败,并且主机将保持处于维护模式。
- 已修复问题 2607196:对于从 NVDS 到 CVDS 的迁移,不支持使用基于主机的部署的服务插入 (SI) 和客户机侦测 (GI)。
无法使用 NVDS 到 CVDS 迁移工具来迁移使用 NVDS 的传输节点。
- 已修复问题 2586606:在大量虚拟服务器中配置源 IP 持久性后,负载均衡器无法正常使用。
在负载均衡器上的大量虚拟服务器中配置源 IP 持久性后,会消耗大量内存,并且可能导致 NSX Edge 内存不足。但是,如果添加更多虚拟服务器,可能会再次出现该问题。
- 已修复问题 2540352:CSM 的“还原备份”窗口中没有可用的备份。
从备份中还原 CSM 设备时,在“还原”向导中输入备份文件服务器的详细信息后,UI 中却不显示备份列表,即使备份在服务器上可用也不会显示。
- 已修复问题 2605420:UI 显示一般错误消息,而不显示指示本地管理器 VIP 发生更改的具体错误消息。
全局管理器与站点的通信受到影响。
- 已修复问题 2638571:删除 5000 条 NAT 规则有时需要超过 1 小时的时间。
NAT 规则在 UI 中仍然可见,但处于灰显状态。您必须等待系统清理这些规则,然后才能创建具有相同名称的 NAT 规则。使用不同名称时则不受影响。
- 已修复问题 2629422:如果 Tier-1 网关上同时具有 DNS 服务和 LB 服务,则当系统尝试载入站点时,UI 中显示的消息将不完整。
对于同时提供 DNS/DHCP 服务和单臂 LB 服务的 Tier-1 网关,系统将阻止载入操作。阻止载入操作属于预期行为。
UI 中显示的关于可行解决方案的文本仅涉及 DHCP 服务。但同样的解决方案也适用于 DNS 服务。 - 已修复的问题 2328126:裸机问题:在 NSX 上行链路配置文件中使用时,Linux OS 绑定接口返回错误。
如果在 Linux OS 中创建一个绑定接口,然后在 NSX 上行链路配置文件中使用该接口,将会看到以下错误消息:“创建传输节点可能会失败”(Transport Node creation may fail)。出现该问题是因为,VMware 不支持 Linux OS 绑定。不过,VMware 在裸机服务器传输节点中支持 Open vSwitch (OVS) 绑定。
- 已修复的问题 2390624:当主机处于维护模式时,反关联性规则会阻止服务虚拟机执行 vMotion。
如果服务虚拟机部署在恰好包含两个主机的集群中,则具有反关联性规则的 HA 对将会在执行任何维护模式任务期间阻止虚拟机对其他主机执行 vMotion。这可能会阻止主机自动进入维护模式。
- 已修复的问题 2389993:使用“策略”页面或 API 修改重新分发规则后,路由映射会被移除。
如果在重新分发规则中使用管理平面 UI/API 添加了路由映射,并在简化的(策略)UI/API 中修改了相同的重新分发规则,则将会移除该映射。
- 已修复的问题 2400379:“上下文配置文件”页面显示不支持的 APP_ID 错误消息。
“上下文配置文件”页面显示以下错误消息:“此上下文配置文件使用不支持的 APP_ID - [<APP_ID>]。请在确保任何规则中均未使用此上下文配置文件后,手动将其删除。”这是由于升级后存在六个已弃用且在数据路径上已无效的 APP_ID(AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC 和 SVN)所导致的。
- 已修复问题 2628121:在某些配置中,如果两个安全组配置了相同的动态条件,在极少数情况下,可能不会将与条件匹配的计算虚拟机添加到安全组中。
在某些配置中,如果两个安全组配置了相同的动态条件,在极少数情况下,可能不会将与条件匹配的计算虚拟机添加到安全组中。
已知问题
已知问题分为以下几类。
一般已知问题- 问题 2320529:为新添加的数据存储添加第三方虚拟机后,出现“服务部署无法访问存储”错误。
为新添加的数据存储添加第三方虚拟机后,即使可以通过集群上的所有主机来访问该存储,也会出现“服务部署无法访问存储”错误。该错误状态持续长达三十分钟的时间。
在三十分钟后重试。作为替代方法,进行以下 API 调用以更新数据存储的缓存条目:
https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime
其中
<nsx-manager> 是服务部署 API 失败的 NSX Manager 的 IP 地址,< CC Ext ID> 是集群中正在尝试执行部署的 NSX 标识符。 - 问题 2329273:同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。
不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。
解决办法:无
- 问题 2355113:对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。
在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。
解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。
- 问题 2370555:用户可以删除高级界面中的某些对象,但删除不会反映在简化界面中。
具体来说,可以在“高级”界面“分布式防火墙排除列表”设置中删除作为分布式防火墙排除列表的一部分添加的组。这会导致界面中出现不一致的行为。
解决办法:使用以下过程来解决此问题:
- 在简化界面中,将某个对象添加到排除列表。
- 确认它是否显示在高级界面的分布式防火墙排除列表中。
- 从高级界面的分布式防火墙排除列表中删除该对象。
- 返回到简化界面,将第二个对象添加到排除列表并应用该对象。
- 确认新对象是否显示在高级界面中。
- 问题 2520803:EVPN 部署中手动路由标识和路由目标配置的编码格式。
您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是,强烈建议使用 Type-1 编码方案在 EVPN 部署中配置手动路由标识。此外,仅允许手动路由目标配置的 Type-0 编码。
解决办法:仅为路由标识配置 Type-1 编码。
- 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。
在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。
解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。
- 问题 2537989:清除 VIP(虚拟 IP)并不会清除所有节点上的 vIDM 集成。
如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager,则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP,则必须在每个单独的节点上手动修复 vIDM 集成。
解决办法:分别访问每个节点,手动修复每个节点上的 vIDM 配置。
- 问题 2525205:在某些情况下,管理平面集群操作会失败。
通过在管理器 N2 上发出“join”命令尝试将管理器 N2 加入到管理器 N1 时,join 命令失败。您无法形成管理平面集群,这可能会影响可用性。
解决办法:
- 要在集群中保留管理器 N1,请在管理器 N1 上发出 CLI 命令“deactivate”。这将从集群中移除所有其他管理器,并将管理器 N1 作为集群的唯一成员。
- 通过发出“systemctl start corfu-nonconfig-server”命令,确保非配置 Corfu 服务器已启动并在管理器 N1 上运行。
- 通过在其他新管理器上发出“join”命令,将这些管理器加入到集群。
- 问题 2526769:多节点集群上的还原操作失败。
在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。
解决办法:部署新的设置(一个节点集群),然后启动还原过程。
- 问题 2523212:nsx-policy-manager 变得无响应并重新启动。
对 nsx-policy-manager 的 API 调用将开始失败,并且服务不可用。直到策略管理器重新启动并变为可用之后,您才能访问该管理器。
解决办法:调用最多包含 2000 个对象的 API。
- 问题 2521071:对于在全局管理器中创建的分段,如果它具有 BridgeProfile 配置,那么不会将第 2 层桥接配置应用于单个 NSX 站点。
分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。
解决办法:在 NSX 站点创建分段,并使用网桥配置文件对其进行配置。
- 问题 2527671:未配置 DHCP 服务器时,在 Tier-0/Tier-1 网关或分段上检索 DHCP 统计信息/状态会显示一条错误消息,指示实现不成功。
这对功能没有任何影响。这条错误消息不正确,应报告 DHCP 服务器未配置。
解决办法:无。
- 问题 2532127:仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时,LDAP 用户才无法登录 NSX。
用户身份验证失败,并且用户无法登录到 NSX 用户界面。
解决办法:无。
- 问题 2482580:从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。
从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。
解决办法:无。
- 问题 2534933:无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。
您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。
解决办法:请参见 VMware 知识库文章 78794。
- 问题 2499819:对于 vCenter 6.5 或 6.7,从 NSX for vSphere 到 NSX-T Data Center 的基于维护的主机迁移可能会由于 vMotion 错误而失败。
主机迁移页面上显示以下错误消息:
在主机迁移期间预迁移阶段失败 [原因: [vMotion] 无法继续迁移: 对虚拟机 b'3-vm_Client_VM_Ubuntu_1404-shared-1410' 执行 vMotion 操作的尝试次数达到上限] (Pre-migrate stage failed during host migration [Reason: [Vmotion] Can not proceed with migration: Max attempt done to vmotion vm b'3-vm_Client_VM_Ubuntu_1404-shared-1410'])。解决办法:重试主机迁移。
- 问题 2557287:不会还原备份后完成的 TNP 更新。
在还原的设备上看不到任何备份后完成的 TNP 更新。
解决办法:在对 TNP 进行更新后进行备份。
- 问题 2549175:策略搜索失败,并显示以下消息:“无法使用 start search resync policy 解决 (Unable to resolve with start search resync policy)”。
NSX Manager 节点获得新 IP 时,由于搜索不同步,策略搜索失败。
解决办法:确保所有 NSX Manager 的 DNS PTR 记录(DNS 服务器中的 IP 到主机名映射)正确无误。
- 问题 2588072:NVDS 交换机上具有 VMK 时,NVDS 到 CVDS 交换机迁移程序不支持无状态 ESX。
对于无状态 ESX 主机,如果 NVDS 交换机上具有 VMK,则将无法使用 NVDS 到 CVDS 交换机迁移程序进行迁移。
解决办法:将 VMK 从 NVDS 中迁移出来或者从 NSX 中移除该主机,然后再执行迁移。
- 问题 2627439:如果在迁移之前将传输节点配置文件应用于集群,则系统会在迁移后创建一个处于分离状态的额外传输节点配置文件。
系统将为每个原始传输节点配置文件生成一个额外的传输节点配置文件。
解决办法:无。
- 问题 2392064:Edge 阶段迁移失败,并显示“无法获取错误列表”(Failed to fetch error list) 错误。
迁移失败,但未显示失败(DHCP 插件异常)原因。
解决办法:回滚迁移,然后重试。
- 问题 2468774:如果启用了“检测到 NSX 配置更改”选项,即使没有进行配置更改,也会创建备份。
创建的备份太多,因为即使没有进行配置更改,也会创建备份。
解决办法:增加与该选项关联的时间,从而降低创建备份的速度。
- 问题 2523421:在配置了外部负载均衡器(配置了循环连接持久性)时,LDAP 身份验证无法正常工作。
API LDAP 身份验证无法可靠地工作,并且仅在负载均衡器将 API 请求转发到特定管理器时才有效。
解决办法:无。
- 问题 2527344:如果在 Tier-0 VRF LR 路由重新分发中选择“TIER0_EVPN_TEP_IP”以作为类型,则 TIER0_EVPN_TEP_IP 不会重新分发到 BGP 中,因为它位于父 Tier-0 LR 中,从而导致数据路径中断。
这样做不会向 DC 网关(对等项 BGP 路由器)通告 TIER0_EVPN_TEP_IP。在 Tier-0 VRF LR 路由重新分发中,您可以选择“TIER0_EVPN_TEP_IP”以作为类型,但在 Tier-0 VRF LR 上没有“TIER0_EVPN_TEP_IP”的路由。
解决办法:在父 Tier-0 LR(而不是 VRF Tier-0 LR)的路由重新分发中选择“TIER0_EVPN_TEP_IP”,并移除从 VRF Tier-0 LR 中选择它的选项。
- 问题 2534921:如果在 PATCH API 调用中未指定 inter_sr_ibgp 属性,则会禁止在 BgpRoutingConfig 实体中更新其他字段。
PATCH API 调用无法更新 BGP 路由配置实体,并显示“BGP 服务路由器间路由需要启用全局 BGP 和 ECMP 标记”(BGP inter SR routing requires global BGP and ECMP flags enabled) 错误消息。不会更新 BgpRoutingConfig。
解决办法:在 PATCH API 调用中指定 inter_sr_ibgp 属性,以允许更改其他字段。
- 问题 2566121:UA 节点停止接受任何新的 API 调用,并显示“某些设备组件未正常运行”(Some appliance components are not functioning properly) 消息。
UA 节点停止接受任何新的 API 调用,并显示“某些设备组件未正常运行”(Some appliance components are not functioning properly) 消息。大约有 200 个连接卡在 CLOSE_WAIT 状态。这些连接尚未关闭。将拒绝新的 API 调用。
解决办法:重新启动 proton 服务 (service proton restart) 或重新启动 Unified Appliance 节点。
- 问题 2573975:在配置“任意到任意”SNAT 规则时,如果为 source-network/destination-network/translated-network 属性指定的地址为空字符串 (""),将导致管理平面上的实现失败。
不会在 Edge 和管理平面上实现该规则。
解决办法:对于 source-network/destination-network/translated-network 属性,请指定正确的地址或将值设置为 Null。
- 问题 2574281:策略最多仅允许 500 个 VPN 会话。
NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:
{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}解决办法:使用管理平面 API 创建其他 VPN 会话。
- 问题 2596162:在交换机名称包含单引号时,无法更新交换机的 nsxaHealthStatus。
NSX 配置状态为部分成功,因为无法更新交换机的运行状况。
解决办法:更改主机交换机名称,以使其不包含任何单引号。
- 问题 2596696:从 API 中创建分段端口时,在策略日志中观察到 NsxTRestException。
在策略日志中观察到 NsxTRestException。无法使用 API 创建分段端口。
解决办法:在 PortAttachmentDto 中填充 Id 字段,或者在 API 输入中将其作为 Null 传递。
- 问题 2610718:如果未明确指定 lb_enable 和 vidm_enable 标记,尝试使用 nsx-cli 将 vIDM 连接到 NSX 将失败。
将显示“在尝试更新 vIDM 属性时出错”(An error occurred attempting to update the vidm properties) 错误。您只能使用 UI 或直接通过 REST API 连接 vIDM,或者在通过 CLI 连接时明确定义 lb_enable 和 vidm_enable 标记。
解决办法:在使用 nsx-cli 连接 vIDM 时,请将 vidm_enable 或 lb_enable 标记视为非可选标记。
- 问题 2628503:甚至在强制删除管理器 NS 组后,仍会应用 DFW 规则。
在强制删除 NS 组时,可能仍会阻止流量。
解决办法:不要强制删除 DFW 规则仍使用的 NS 组,而是清空 NS 组或删除 DFW 规则。
- 问题 2631703:在对具有 vIDM 集成的设备进行备份/还原时,vIDM 配置将被破坏。
通常,在升级和/或还原环境后,尝试还原已启动并运行 vIDM 集成的设备将导致该集成被破坏,您必须重新进行配置。
解决办法:在还原后,手动重新配置 vIDM。
- 问题 2362271:将具有固定的 PNIC 的 VMK 连接到 NVDS 支持的逻辑交换机时,不支持 NVDS 到 CVDS 的迁移。
NVDS 到 CVDS 的迁移将在迁移阶段失败。
解决办法:无。
- 问题 2638673:清点未发现虚拟机的 SRIOV vNIC。
在“添加新的 SPAN 会话”对话框中未列出 SRIOV vNIC。在添加新的 SPAN 会话时,您将看不到 SRIOV vNIC。
解决办法:无。
- 问题 2641824:在 UI 上,BFD 配置文件实现状态显示为“未初始化”。
没有任何影响。可以忽略该实现状态。
解决办法:无。
- 问题 2643313:在载入的站点上成功实现的全局 T0 的实现状态为站点 Edge 传输节点错误地显示“逻辑路由器端口配置实现错误”(logical router port configuration realization error)。
在实现 T0 逻辑路由器端口时,您可能会注意到实现失败并显示错误。如果使用策略 API,该问题是暂时性的,将在 T0-T1 检测完成时解决。
解决办法:如果使用管理平面或管理平面 API,请删除在 T0 上创建的用于连接到 T1 的逻辑路由器端口,或者完成与 T1 之间的连接。
- 问题 2646814:总体合并状态显示 IN_PROGRESS,而每个实施点的单个合并状态显示 SUCCESS。
合并状态显示 IN_PROGRESS,但未提供有关哪个站点具有 IN_PROGRESS 状态的信息。
解决办法:无。在同步完成后,将正确反映状态。
- 问题 2647620:在具有大量无状态主机(传输节点)的 NSX 配置环境中,将管理平面节点升级到 3.0.0 和更高版本时,某些无状态主机上的工作负载虚拟机的连接可能会暂时中断。
这仅适用于为 NSX 3.0.0 和更高版本配置的无状态 ESX 主机。
解决办法:无。
- 问题 2648349:在管理平面收集流跟踪的观察结果或实时跟踪的跟踪操作结果时,显示重复的 ObjectNotFoundException 日志和异常回溯追踪。
在创建 LTA/流跟踪会话时,您将会在 nsxapi.log 中看到重复的 ObjectNotFoundException 日志内容。
解决办法:无。
- 问题 2654842:可能在 Windows 物理服务器传输节点创建成功之前创建分段端口,从而导致分段端口变为失败状态。
没有可见的 UI 指示,以说明您需要等到传输节点状态变为“成功”,然后再继续为 Windows 物理服务器创建分段端口。如果尝试在传输节点成功之前创建分段端口,该操作将失败并且主机完全断开连接。
解决办法:在安装 Windows 物理服务器时,在到达向导的步骤 3 时,选择“稍后继续”选项。
在稍后成功安装了传输节点时,通过“管理分段”操作创建分段端口。 - 问题 2658484:在 vSphere Update Manager“并行模式”下,不完全支持通过 vSphere Update Manager 从 NVDS 迁移到 CVDS。
如果在并行模式下通过 vSphere Update Manager 升级 ESX 以触发 NVDS 到 CVDS 的迁移,则可能会出现迁移问题。交换机不会自动从 NVDS 迁移到 CVDS。系统可能会处于不一致状态。
解决办法:
在 Update Manager 并行模式下,将要升级的主机数设置为最多 4 个。
如果您已运行 Update Manager 升级而没有实施任何限制,请根据系统状态使用以下选项之一:
- 为每个主机手动触发迁移。
或
- 删除具有 NVDS 交换机的现有传输节点,然后使用 CVDS 交换机重新创建它们。这要求您先从 NVDS 交换机中移出工作负载,然后再将它们移回到基于 CVDS 交换机的传输节点。
- 问题 2658676:在创建分别包含 1000 个规则的安全策略时,API 失败。
在创建具有大量规则的区域时,将会失败。
解决办法:无。
- 问题 2649228:在故障切换期间将 IP 从一个 SR 移动到另一个 SR 时,IPv6 重复 IP 检测 (DAD) 状态机在 T0/T1 SR 背板端口(以及 T1 SR 上行链路端口)上产生 3 秒的延迟。
在使用 T0 A/A 进行故障切换期间,南北向连接最多丢失 6 秒的 v6 流量。
解决办法:避免不对称流量,并依靠 BGP 1/3 定时器检测 T0 上行链路上的 HA 故障切换。
- 问题 2623704:如果使用管理平面 API 配置 L3 转发模式,策略将使用默认模式 IPV4_ONLY 覆盖管理平面更改并中断 IPv6 连接。
L3 转发模式配置是在 NSX-T 3.0.0 版本的策略中引入的。该问题影响从 NSX-T 3.0.1 和 3.0.2 升级到 NSX-T 3.1.0。从 NSX-T 2.5.x 升级到 NSX-T 3.1.0 以及从 NSX-T 3.0.0 升级到 NSX-T 3.1.0 不受影响。将在数据路径中禁用 IPv6 转发,从而导致 IPv6 连接中断。
解决办法:有关详细信息,请参见 VMware 知识库文章 81349。
- 问题 2639424:在基于主机的服务虚拟机部署中,对 vLCM 集群中的主机进行修复时,修复进度在完成 95% 后失败。
主机的修复进度将停留在 95%,并在到达 70 分钟的超时时间后失败。
解决办法:请参见 VMware 知识库文章 81447。
- 问题 2636855:在系统范围的逻辑交换机端口数超过 25K 个时,将引发最大容量警报。
在系统范围的逻辑交换机端口数超过 25K 个时,将引发最大容量警报。但实际上,对于 PKS 大型环境,容器端口的限制为 60K 个;PKS 环境中的逻辑交换机端口数超过 25K 个是正常情况。
解决办法:无。
- 问题 2609681:在具有第 7 层 APPID 或 FQDN 上下文配置文件的规则上不支持 DFW 跳转规则操作。
在执行 vMotion 后,流量将不符合预期的规则。规则匹配是不正确的,它允许本应阻止的流量通过。
解决办法:无。
- 问题 2653227:从 NSX 中移除物理服务器时,到物理服务器的连接断开,并且 NSX 卸载失败。
物理服务器上的分段端口的连接接口配置为“使用现有的 IP”。 如果从 NSX 中移除物理服务器而未先移除分段端口,到物理服务器的连接将断开,并且 NSX 卸载失败。
解决办法:先移除分段端口,然后再卸载物理服务器。
- 问题 2636771:在使用多个标记对标记资源并且标记和范围与任何标记和范围值匹配时,搜索可能会返回资源。
这会影响使用标记和范围条件的搜索查询。如果标记和范围与任何对匹配,筛选器可能会返回额外的数据。
解决办法:无。
- 问题 2643610:负载均衡器统计信息 API 不返回统计信息。
未设置 API 的统计信息。您看不到负载均衡器状态。
解决办法:减少配置的负载均衡器数。
- 问题 2658199: 在添加 Windows 裸机服务器 2016/2019 时,在“应用 NSX 交换机配置”步骤中显示“主机已断开连接”(host disconnected) 错误。
不管错误消息如何(可能存在问题,也可能不存在),安装似乎继续进行并最终正确完成。
解决办法:不要立即解决问题,而是等待安装完成。
- 问题 2555383:在 API 执行期间出现内部服务器错误。
在 API 调用执行期间观察到内部服务器错误。API 将导致 500 错误,并且未提供所需的输出。
解决办法:遇到该错误是因为会话失效。在这种情况下,请重新执行会话创建 API 以创建新的会话。
- 问题 2658713:在连接到 T0 分段的工作负载为 G 组发送 IGMP 退出时,没有从 T0 SR 上的 IGMP 侦听表中移除该条目。
在连接到 T0 分段的工作负载为 G 组发送 IGMP 退出时,没有从 T0 SR 上的 IGMP 侦听表中移除该条目。
解决办法:无。
- 问题 2662225:当活动 Edge 节点在传输南北向流量期间变为非活动 Edge 节点时,将会丢失流量。
当前南北向流在多播活动节点上运行。TOR 上到源的首选路由应仅通过多播活动 Edge 节点。
启动另一个 Edge 可能会接替多播活动节点(级别较低的 Edge 成为活动多播节点)。当前的南北向流量将丢失最多 4 分钟的时间。如果停止并重新启动当前流,这不会影响新的流。解决办法:当前的南北向流量将在 3.5 到 4 分钟内自动恢复。要更快地进行恢复,请禁用多播并通过配置重新启用。
- 问题 2610851:对于少数资源类型筛选器组合,命名空间、计算集合、L2VPN 服务网格筛选可能不返回任何数据。
即使具有符合条件的数据,同时为几种类型应用多个筛选器也不会返回任何结果。这不是一种常见的情况,仅对于以下筛选器属性组合,这些网格的筛选器才会失败:
- 对于命名空间网格 ==> 在集群名称和 Pod 名称筛选器上
- 对于网络拓扑页面 ==> 在 L2VPN 服务上应用远程 IP 筛选器
- 对于计算集合 ==> 在计算管理器筛选器上
解决办法:您可以每次为这些资源类型应用一个筛选器。
- 问题 2587257:在某些情况下,在目标收到 NSX-T Edge 发送的 PMTU 数据包时,将其忽略。
PMTU 发现失败而导致分段和重组,并丢弃数据包。这会导致性能下降或流量中断。
解决办法:无。
- 问题 2659234:在并行触发实时流量分析 (LTA) 请求时,未释放 LTA 会话。
当存在未清除的 LTA 会话时:
- 主机将不断向管理平面 (MP) 报告 LTA 结果,因此,MP 始终接收泄露的 LTA 会话并在 nsxapi.log 中输出日志。
- 从具有未清除的 LTA 会话的主机中发送的数据包将填充 LTA INT Geneve 标头。
解决办法:重新引导存在 LTA 会话的 ESXi 主机。
- 问题 2622846:启用了代理设置的 IDS 无法访问用于下载签名的 GitHub。
下载签名包的新更新将失败。
解决办法:如果没有网络连接,请使用脱机下载功能下载和上载签名。
- 问题 2656929:如果 Windows 2016/2019 物理服务器未完成,在尝试创建分段端口时,分段端口将失败。
分段端口将显示失败。
解决办法:等待传输节点的配置状态变为“成功”,然后再创建分段端口。
- 问题 2587513:在网桥配置文件绑定中配置多个 VLAN 范围时,策略显示错误。
您将看到“VLAN ID 无效”(INVALID VLAN IDs) 错误消息。
解决办法:在分段上使用 VLAN 范围创建多个网桥端点,而不是使用所有 VLAN 范围创建一个网桥端点。
- 问题 2639671:REST API 客户端每 2 分钟调用一次 /fabric/nodes API,但在返回 API 响应之前断开连接。
不会影响功能,但在 syslog 中看到“java.io.IOException: 管道中断”(java.io.IOException: Broken pipe) 错误。
解决办法:无。
- 问题 2645877:在裸机 Edge 中,通过 VRF 网关的流量可能无法到达其目标。
链路伙伴上的数据包捕获显示,收到的数据包没有校验和,但在 IP 标头中具有分段偏移。将丢弃跨 VRF 网关的流量,因为数据包已损坏。
解决办法:要充分利用 VRF Lite 功能,请使用虚拟机 Edge。
- 问题 2651036:vSphere Lifecycle Manager 中的集群修复可能会在启用了锁定模式的主机上失败。
在 vSphere 集群修复过程中,操作可能会失败,并且 NSX 显示主机处于“已跳过的主机”状态。日志文件可能会显示消息“Host scan task failed”、“com.vmware.vcIntegrity.lifecycle.EsxImage.UnknownError<An unknown error occurred while performing the operation.>”
解决办法:将 root 用户添加到例外列表中,然后重试该操作。
- 问题 2534089:在传输节点(主机)上启用 IDS 服务后,启用了 IDS 的主机上的虚拟机流量将意外停止传输。
在 vSphere 集群上启用 NSX IDS/IPS(以仅检测模式或检测并阻止模式)并将 IDS/IPS 应用于工作负载时,启用 IDPS 引擎就可能会触发锁定状况。结果,将丢弃与 Hypervisor 上受 IDS/IPS 或深度数据包检查服务 (L7 App-ID) 限制的所有工作负载之间的所有流量。不受 IDS/IPS 或深度数据包检查限制的流量不会受到影响;在禁用 IDS/IPS 或不再将其应用于流量时,将会立即恢复流量。解决办法:
解决办法:请参见 VMware 知识库文章 82043。
- 问题 2738345:BGP 扩展大型社区属性在使用正则表达式配置后失败。
如果使用正则表达式配置 BGP 扩展大型社区属性,则 FRR-CLI 将失败,并且配置不会生效,由此导致 BGP 路由筛选无法正常执行。
解决办法:无。
- 问题 2740587:如果在禁用 BFD 或删除 BGP 邻居之前删除 Tier-0 上行链路,路由模块会将 BFD 配置设置为启用。
这没有任何影响,但在删除最后一个上行链路后,Tier-0-HA 将处于“关闭”状态,因为没有北向连接。
解决办法:在删除上行链路之前,禁用 BFD 或删除 BGP 邻居。
- 问题 2761589:从 NSX-T 2.x 升级到 NSX-T 3.x 后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。
仅当未通过策略配置规则,且管理平面上的默认第 3 层规则具有丢弃操作时,才会出现此问题。升级后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。
解决办法:升级后,从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。
- 已修复的问题 2522909:如果升级部署失败并显示 Invaildurl,在更正 URL 后,服务虚拟机升级不起作用。
升级处于失败状态,并显示错误的 URL,阻止进行升级。
- 问题 2538492:在执行还原操作后,某些传输节点一直处于挂起状态。
在执行还原操作后,受影响的传输节点显示为挂起状态。传输节点状态变为挂起状态,并且还原的数据库中的配置可能不会推送到传输节点。
解决办法:使用以下 POST API 重新应用现有的传输节点配置。
POST /api/v1/transport-nodes/<transportnode-id>?action=resync_host_config
在主机上重新同步传输节点配置。这类似于使用现有配置更新传输节点,
但强制将这些配置同步到主机(无后端优化)。 - 问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。
仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。
解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。
- 问题 2562189:如果在传输节点删除操作期间关闭了 NSX Manager 电源,将无限期地执行删除操作。
如果在删除传输节点时关闭了 NSX Manager 电源,在没有用户干预的情况下,可能会无限期地执行传输节点删除操作。
解决办法:在备份 Manager 后,请再次准备节点,然后再次启动删除过程。
- 问题 2560981:在升级时,可能不会持久保存 vIDM 配置。
如果使用 vIDM,您必须在成功升级后重新登录,然后在集群上重新启用 vIDM。
解决办法:在升级后,禁用 vIDM 配置,然后重新启用。
- 问题 2550492:在升级期间,暂时显示“凭据不正确或者指定的帐户已锁定”(The credentials were incorrect or the account specified has been locked) 消息,
并且系统自动进行恢复。在升级期间显示暂时性的错误消息。
解决办法:无。
- 问题 2674146:在升级到 NSX-T 3.1.0 时,在主机升级部分中为所有集群/主机组显示并激活“转储”按钮。该选项仅适用于启用了 vSphere Lifecycle Management (vLCM) 的集群,而不适用于这种情况,因为对 vLCM 的 NSX-T 支持是从 NSX-T 3.1.0 和 vSphere 7.0 U1 版本组合开始启用的。
尽管未在任何集群上启用 vSphere Lifecycle Management,但为所有集群激活了“转储”按钮。如果单击“转储”选项,将显示一条确认消息,如果您随后单击“是”,集群显示好像已进行了升级转储。如果您随后单击“开始”以开始升级,集群执行的升级就像从常规 NSX 主机升级中启动一样。
解决办法:忽略“转储”选项,并按照常规 NSX 主机升级过程执行 NSX 主机升级。
- 问题 2655295:在升级后,存储库同步状态在 NSX Manager UI 上标记为“失败”。
存储库同步状态在 NSX Manager UI 上显示为“失败”。不过,您可以执行所有安装和升级相关操作。
解决办法:从 NSX Manager UI 中执行解决操作。
- 问题 2657943:升级在具有多个磁盘的裸机服务器上部署的 Edge 可能会失败。
当系统在更新期间重新引导时,引导失败并显示与挂载文件系统相关的错误。Edge 升级将失败。
解决办法:确保 Edge 在裸机服务器上只有一个磁盘。
- 问题 2283559:当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。
如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。
解决办法:获取 RIB/FIB 有两种方案可供选择。
- 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
- CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
- 问题 2521230:在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。
BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。
解决办法:依赖于“get bfd-sessions”的输出,然后选中“状态”字段以获取最新的 BFD 状态。
- 问题 2641990:在 Edge vMotion 期间,可能最多丢失 30 秒(默认 PIM 通信间隔)的多播流量。
如果通过 vMotion 迁移 Edge 并在 TOR 上启用了 IGMP 侦听,TOR 需要了解新的 Edge 位置。从 Edge 中获取任何多播控制或数据流量时,TOR 可以了解该信息。在通过 vMotion 迁移 Edge 时,最多丢失 30 秒的多播流量。
解决办法:无。将在 TOR 收到多播数据包后恢复流量,或者,要更快地进行恢复,请在连接到 TOR 的上行链路接口上禁用/启用 PIM。
- 问题 2289150:对 AWS 的 PCM 调用失败。
如果用户将 CSM 上 AWS 帐户的 PCG 角色从 old-pcg-role 更新为 new-pcg-role,则 CSM 会将 AWS 上 PCG 实例的角色更新为 new-pcg-role。但是,PCM 不知道 PCG 角色已经更新,因此继续使用通过 old-pcg-role 创建的旧 AWS 客户端。这会导致 AWS 云清单扫描和其他 AWS 云调用失败。
解决办法:如果遇到此问题,请在更改为新角色至少 6.5 小时内,不要立即修改/删除旧的 PCG 角色。重新启动 PCG 将使用新的角色凭据重新初始化所有 AWS 客户端。
- 问题 2491800:不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。
连接将使用已过期/已吊销的 SSL。
解决办法:重新启动管理器节点上的 APH 以触发重新连接。
- 问题 2658950:如果使用本地管理器的 VIP 将其添加到全局管理器,但随后发布了本地管理器的 FQDN,本地管理器的升级工作流将会中断。
如果使用本地管理器的 VIP 将其添加到全局管理器,并随后发布了本地管理器的 FQDN,则全局管理器无法访问本地管理器以执行升级。
解决办法:在发布本地管理器的 FQDN 后,对其进行更新。
- 问题 2630813:针对计算虚拟机的 SRM 恢复将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。
如果启动了 SRM 恢复测试或运行,则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。
- 问题 2601493:为防止处理负载过高,全局管理器上不支持并发配置载入操作。
虽然并行配置载入操作互不干扰,但在 GM 上执行多个此类配置载入操作通常会使 GM 在处理其他操作时变得缓慢。
解决办法:安全管理员/用户必须同步维护时段,以避免并发启动配置载入操作。
- 问题 2613113:如果正在执行载入操作,在完成本地管理器还原后,全局管理器上的状态不会从 IN_PROGRESS 发生更改。
UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入已还原站点的配置。
解决办法:如果需要,使用本地管理器 API 启动本地管理器站点的载入操作。
- 问题 2628428:全局管理器状态最初显示为成功,然后更改为“IN_PROGRESS”。
在大规模设置中,如果频繁修改太多区域,全局管理器将需要一些时间才能反映配置的正确状态。这会导致稍后才能在 UI/API 上看到“分布式防火墙配置已完成”这一正确状态。
解决办法:无。
- 问题 2625009:当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时,SR 间 iBGP 会话将不断抖动。
这会影响联合拓扑中的站点间连接。
解决办法:使物理网卡的 MTU 和中间路由器的 MTU 大于全局 MTU(即由 SR 间端口使用的 MTU)。由于封装,数据包的大小将大于 MTU,并且数据包无法通过。
- 问题 2634034、2656024:更改延伸的 T1-LR(逻辑路由器)的站点角色后,该逻辑路由器的所有流量会受到影响,受影响时间大约为 6-8 分钟。
静态路由需要很长时间进行编程且会影响数据路径。更改站点角色后,将会有大约 6-8 分钟的流量丢失。根据配置的规模,该时间甚至可能会更长。
解决办法:无。
- 问题 2547524:在跨站点 vMotion 用例中,如果在全局组中使用发现的分段端口,则不会应用防火墙规则。
未按预期方式推送规则。
解决办法:重新配置规则。
- 问题 2606452:在尝试通过 API 载入时,载入被阻止。
载入 API 失败,并显示“在站点上找不到默认传输区域”(Default transport zone not found at site) 错误消息。
解决办法:等待全局管理器和本地管理器之间的 Fabric 同步完成。
- 问题 2643632:在本地管理器上将全局服务添加为嵌套服务时,不显示任何错误。
策略意图创建成功,但实现失败。不会在管理平面上实现本地服务,因此,无法在分布式防火墙规则中使用该服务。
解决办法:重新配置该服务以移除全局服务条目,并将本地服务添加为成员。从本地策略管理器中创建的服务只应将本地嵌套服务作为其成员。
- 问题 2643749:无法将在特定站点上创建的自定义区域中的组嵌套到属于系统创建的站点特定区域的组中。
在选择子组以作为在系统创建的区域中的组(具有相同位置)的成员时,您将看不到在站点特定的自定义区域中创建的组。
- 问题 2649240:使用单个删除 API 删除大量实体时,删除速度很慢。
需要大量时间才能完成删除过程。
解决办法:使用分层 API 进行批量删除。
- 问题 2649499:在依次创建各个防火墙规则时,需要很长时间才能创建这些规则。
缓慢的 API 需要更多的时间才能创建规则。
解决办法:使用分层 API 创建多个规则。
- 问题 2650292:在联合中,如果在两个不同的组中使用子组,并且第二个父组具有较大的跨度,由于创建引用对象,子组的跨度将大于第一个父组的跨度。可以扩展第一个父组的跨度,但无法恢复为原始跨度。
您无法在全局管理器上缩小域的跨度。
解决办法:不要在两个具有不同跨度的父组中添加相同的子组。
- 问题 2652418:在删除大量实体时,删除速度缓慢。
删除速度较慢。
解决办法:使用分层 API 进行批量删除。
- 问题 2655539:在使用 CLI 更新主机名时,在全局管理器 UI 的“位置管理器”页面上未更新主机名。
显示旧主机名。
解决办法:无。
- 问题 2658656:在备用全局管理器上未复制添加到活动全局管理器的计算管理器的状态。
在备用全局管理器变为活动状态时,添加到活动全局管理器的计算管理器在全局管理器上不可见。如果备用全局管理器在发生故障切换时变为活动状态,您无法使用自动部署功能部署新的全局管理器节点。
解决办法:在现在处于活动状态的全局管理器上将 vCenter 添加为计算管理器。
- 问题 2658687:在事务失败但发生故障切换时,全局管理器切换 API 报告失败。
API 失败,但全局管理器切换完成。
解决办法:无。
- 问题 2630819:更改 LM 证书应在 LM 在 GM 上进行注册之前完成。
如果需要在同一 LM 上使用联合和 PKS,则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务,然后再在 GM 上注册 LM。如果按相反的顺序操作,则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信,并且必须重新注册 LM。
- 问题 2661502:对于计划外切换,如果全局管理器丢失,但在切换后恢复联机,则无法从 UI 中将该全局管理器设置为备用全局管理器。
在切换到备用全局管理器(新的活动全局管理器)后,如果以前的活动全局管理器恢复联机,则旧活动全局管理器的状态为“无”。在您尝试从 UI 中将其设置为备用全局管理器时,该操作将失败。
解决办法:将以下 API 与包含 connection_info 的负载一起使用,以将全局管理器的状态从“无”更改为“备用”:
PUT https://<active-GM-IP>/global-manager/api/v1/global-infra/global-managers/<ID of GM with the status NONE> 示例请求正文: { "display_name": "<Display Name of GM with status NONE>", "mode": "STANDBY", "_revision" : <Revision-Number>, "connection_info": [ {"fqdn": "<FQDN or IP of the GM with status NONE>", "username": "<username>", "password": "<password>", "thumbprint": "<API thumbprint of the GM with status NONE>"} ] }
- 问题 2659168:在节点重新启动期间,异步复制程序通道有时保持关闭状态。
同步状态为“关闭”。全局管理器上的更改不会传输到本地管理器。
解决办法:发出“service async-replicator-service restart”命令以重新启动异步复制程序进程。
- 问题 2658092:在本地管理器上配置 NSX Intelligence 时,载入失败。
载入失败并显示主体身份错误,您无法使用主体身份用户载入系统。
解决办法:通过 NSX Intelligence 使用的相同主体身份名称创建一个临时主体身份用户。
- 问题 2652154:在站点中删除大量资源的情况下,全局管理器处理删除操作的速度可能较慢。
显示错误消息,以指出无法创建或删除特定的资源,因为它将影响站点上的很多待清理资源的范围。这些错误消息指示全局管理器仍在确认从所有站点中清理很多资源的操作。
解决办法:将 Tier-1 与 Tier-0 断开连接以移除继承的范围。如果它们无法断开连接,并且您要将资源发回到另一个站点,请等待几分钟,然后再重试该操作。
- 问题 2622576:由于重复配置而导致的失败不会正确传播到用户。
在进行载入时,您看到“载入失败”(Onboarding Failure) 消息。
解决办法:还原本地管理器,然后重试载入。
- 问题 2637241:在更换本地管理器证书后,全局管理器到本地管理器的通信中断(依靠密码/指纹的工作流)。
全局管理器到本地管理器的通信缺少状态更新和某些功能。
解决办法:使用 API 调用在全局管理器上更换本地管理器指纹。