VMware NSX-T Data Center 3.0.2 | 2020 年 9 月 17 日 | 内部版本 16887200

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

新增功能

NSX-T Data Center 3.0.2 是一个维护版本,其中包含一些新功能和错误修复。有关本版本中已解决的问题列表,请参见“已解决的问题”部分。

NSX-T Data Center 3.0.2 版本提供了以下新功能和增强功能。

  • 联合增强功能
    • 全局管理器自动部署
    • 将 NSX 本地管理器对象载入到全局管理器
  • 适用于 Oracle Enterprise Linux 物理服务器的第 4 层 DFW
  • 用于将 N-VDS 升级到 VDS 的 API 支持
  • 根据 RFC 5280 对最终实体证书进行基本限制检查
  • 能够更改现有传输区域中分布式路由器的 MAC 地址

鉴于规模和升级限制(请参见下面的“联合已知问题”),联合不适用于 NSX-T 3.0.x 版本中的生产部署。

兼容性和系统要求

有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》

API 弃用和行为变化

  • 移除应用程序发现 - 已弃用并移除此功能。
  • 从 NSX-T 2.4 和 2.5 升级后“高级网络连接和安全性”UI 中的变化 - 如果从 NSX-T Data Center 2.4 和 2.5 进行升级,在 NSX-T Data Center 3.0 中,通过单击“管理器”模式可使用“高级网络和安全”UI 选项卡下的菜单选项。
  • 自动禁用快照:从 NSX-T Data Center 3.0.1 版本开始,在部署设备后,将自动禁用快照。您不需要执行此手动操作过程。
  • API 弃用策略 - VMware 现在会在 NSX API 指南中发布我们的 API 弃用策略,以帮助使用 NSX 实现自动化的客户了解哪些 API 被视为已弃用,以及未来何时会将它们从产品中移除。

API 和 CLI 资源

请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

可从 API 参考选项卡获取 API 文档。可从文档选项卡获取 CLI 文档。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2020 年 9 月 17 日。第一版。
2020 年 9 月 25 日。第二版。添加了已解决的问题 2561740、2577452 和 2622672。添加了以下已知问题:2540352、2586606、2588072、2601493、2605420、2613113、2627439、2629422、2638571。
2020 年 10 月 20 日。第三版。添加了已解决的问题 2605659。添加了已知问题 2628428 和 2625009。
2020 年 11 月 20 日。第四版。添加了已解决的问题 2587253。添加了已知问题 2622846。
2021 年 2 月 19 日。第五版。添加了已知问题 2641749。
2021 年 3 月 15 日。第六版。添加了已知问题 2730634。
2021 年 4 月 27 日。第七版。添加了已知问题 2719526。
2021 年 9 月 17 日。第八版。添加了已知问题 2761589。

已解决的问题

  • 已修复问题 2567865:nginx 核心转储和 vip 停止响应。

    某些客户端事务失败。

  • 已修复问题 2529228:在备份和还原后,系统中的证书出现不一致状态,并且客户在备份时设置的证书已不存在。

    反向代理和 APH 开始使用与备份集群中使用的证书不同的证书。

  • 已修复的问题 2535793:在管理器节点上未考虑 Central Node Config (CNC) disabled 标记。

    当用户对 CNC 配置文件进行更改时(请参见 UI 中的“系统-> Fabric->配置文件”),将会覆盖在管理器节点本地进行的 NTP、syslog 和 SNMP 配置更改,即使已在该管理器节点上本地禁用了 CNC(请参见 CLI set node central-config disabled)。但是,只要 CNC 配置文件保持不变,就会保留本地 NTP、syslog 和 SNMP 配置。

  • 已修复的问题 2530110:升级到 NSX-T Data Center 3.0.0 或重新启动 NSX Manager 节点后,集群状态为“已降级”。

    “监控”组已降级,因为重新启动的节点上的“监控”应用程序仍处于“关闭”状态。还原可能会失败。“监控”应用为“关闭”状态的管理器中的警报可能不会显示。

  • 已修复的问题 2482672:在 L2VPN 上延伸的隔离覆盖网络分段无法访问对等站点上的默认网关。

    在站点 1 和站点 2 之间配置了 L2VPN 隧道,以便从站点 1 在 L2VPN 上延伸 T0/T1 覆盖网络分段,并从站点 2 在 L2VPN 上延伸隔离的覆盖网络分段。此外,站点 2 上的另一个 T0/T1 覆盖网络分段位于同一传输区域中,并且在连接到隔离分段的工作负载虚拟机所在的 ESXi 主机上存在 DR 的实例。

    当隔离分段(站点 2)上的虚拟机尝试访问默认网关(位于站点 1 上的 DR 下行链路)时,将由站点 2 ESXi 主机接收发送到默认网关的单播数据包,并且不会转发到远程站点。到对等站点上的默认网关的 L3 连接失败。

  • 已修复的问题 2561740:由于 NS 组中的有效成员未更新,未应用 PAS 输出 DFW 规则。

    由于出现 ConcurrentUpdateException,未处理 LogicalPort 创建,从而导致更新相应的 NS 组失败。

  • 已修复的问题 2577452:替换全局管理器上的证书将断开连接添加到该全局管理器的位置。

    替换全局管理器上的反向代理或设备代理中心 (APH) 证书时,会断开与添加到该全局管理器的位置的连接,因为 REST API 和 NSX RPC 连接会断开。

  • 已修复的问题 2622672:无法在联合中使用裸机 Edge 节点。

    无法为位置间通信 (RTEP) 配置裸机 Edge 节点。

  • 已修复问题 2569691:在特定情况下,外部网络与逻辑交换机/分段之间的 Ping 功能不起作用。

    请考虑以下配置:1)创建上行链路为 x.x.x.x 的网络。2)为下一跃点创建的默认路由:  x.x.x.y。3) 再将上行链路的已连 IP 更新为:  x.x.x.y。这是错误配置,会导致从外部网络 ping 至逻辑交换机或分段时失败。

  • 已修复问题 2607651:如果缺少名字属性,NSX Manager 不会反映 vIDM 中的用户。

    如果在 AD 中创建的 vIDM 用户没有 First Name/Last Name/Email ID 属性,则该用户不会出现在 NSX Manager 中。

  • 已修复问题 2577028:主机准备可能会失败。

    由于配置哈希不匹配导致发现循环,主机准备可能会失败。

  • 已修复问题 2572394/2574635:使用 SFTP 服务器时无法提取备份,其中“keyboard-interactive”身份验证已启用,但“password”身份验证已禁用。

    用户无法使用 SFTP 服务器,其中“keyboard-interactive”身份验证已启用,但禁用了“password”身份验证。

  • 已修复问题 2555333:在主机准备期间,无法创建“nsxuser”。 

    在主机准备生命周期(安装/卸载/升级)中,“nsxuser”是在由 vCenter Server 管理的 ESXi 主机内部创建的,用于管理 NSX VIB。由于 ESXi 密码要求,此用户创建会间歇性失败。

  • 已修复的问题 2519300:NSX Manager 升级失败,并且没有明确的错误消息。

    升级 NSX Manager 可能会失败,升级协调器提供了如下消息:“此页面仅在运行升级协调器的 NSX Manager 上可用 (This page is only available on the NSX Manager where Upgrade Coordinator is running)”,或者没有明确的错误消息。

  • 已修复问题 2484006:受保护虚拟机失去网络连接。 

    当辅助站点上的占位虚拟机打开电源时,在 NSX-T Data Center 环境中的 SRM 受保护虚拟机会失去网络连接,尽管在其他逻辑网络上已配置连接。出现此问题的原因是,同一个 VIF UUID 同时应用于受保护虚拟机和占位虚拟机。 

  • 已修复问题 2575649:在 Edge 节点上配置的远程隧道端口不支持指定的绑定策略。

    如果配置了指定的绑定策略并中断跨站点转发,则远程隧道配置将失败。

  • 已修复问题 2605659:如果未静态配置服务器池的 NSGroup,则数据包不会转发到正确端口上的池成员,规则操作是转发阶段中的“选择池”,并且没有虚拟服务器的默认池。在第一个非匹配数据包之后的匹配数据包将转发到端口 80 上的后端服务器。

    数据包将被设置为错误的端口。

  • 已修复的问题 2587253:只能将一个用户域映射到每个 LDAP 标识源。

    Active Directory 具有备用 UPN 后缀的概念,即用户域名。增加了对多个域名的支持。以前,LDAP 标识源中的所有用户名都需要存在于同一个域中。

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 2320529:为新添加的数据存储添加第三方虚拟机后,出现“服务部署无法访问存储”错误。

    为新添加的数据存储添加第三方虚拟机后,即使可以通过集群上的所有主机来访问该存储,也会出现“服务部署无法访问存储”错误。该错误状态持续长达三十分钟的时间。

    在三十分钟后重试。作为替代方法,进行以下 API 调用以更新数据存储的缓存条目:

    https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime

    其中   <nsx-manager> 是服务部署 API 失败的 NSX Manager 的 IP 地址,< CC Ext ID> 是集群中正在尝试执行部署的 NSX 标识符。

  • 问题 2328126:裸机问题:在 NSX 上行链路配置文件中使用时,Linux OS 绑定接口返回错误。

    如果在 Linux OS 中创建一个绑定接口,然后在 NSX 上行链路配置文件中使用该接口,将会看到以下错误消息:“创建传输节点可能会失败”(Transport Node creation may fail)。出现该问题是因为,VMware 不支持 Linux OS 绑定。不过,VMware 在裸机服务器传输节点中支持 Open vSwitch (OVS) 绑定。

    解决办法:如果遇到该问题,请参见知识库文章 67835 裸机服务器在 NSX-T 传输节点配置中支持 OVS 绑定

  • 问题 2390624:当主机处于维护模式时,反关联性规则会阻止服务虚拟机执行 vMotion。

    如果服务虚拟机部署在恰好包含两个主机的集群中,则具有反关联性规则的 HA 对将会在执行任何维护模式任务期间阻止虚拟机对其他主机执行 vMotion。这可能会阻止主机自动进入维护模式。

    解决办法:在 vCenter 上启动维护模式任务之前,关闭主机上服务虚拟机的电源。

  • 问题 2389993:使用“策略”页面或 API 修改重新分发规则后,路由映射会被移除。

    如果在重新分发规则中使用管理平面 UI/API 添加了路由映射,并在简化的(策略)UI/API 中修改了相同的重新分发规则,则将会移除该映射。

    解决办法:您可以返回“管理平面”界面或 API 来重新将路由映射添加到同一规则,从而还原该路由映射。如果您希望在重新分发规则中包含路由映射,建议您始终使用“管理平面”界面或 API 来创建并修改该规则。

  • 问题 2329273:同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。

    不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。

    解决办法:无 

  • 问题 2355113:对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。

    在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。

    解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。

  • 问题 2370555:用户可以删除高级界面中的某些对象,但删除不会反映在简化界面中。

    具体来说,可以在“高级”界面“分布式防火墙排除列表”设置中删除作为分布式防火墙排除列表的一部分添加的组。这会导致界面中出现不一致的行为。

    解决办法:使用以下过程来解决此问题:

    1. 在简化界面中,将某个对象添加到排除列表。
    2. 确认它是否显示在高级界面的分布式防火墙排除列表中。
    3. 从高级界面的分布式防火墙排除列表中删除该对象。
    4. 返回到简化界面,将第二个对象添加到排除列表并应用该对象。
    5. 确认新对象是否显示在高级界面中。
  • 问题 2520803:EVPN 部署中手动路由标识和路由目标配置的编码格式。

    您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是,强烈建议使用 Type-1 编码方案在 EVPN 部署中配置手动路由标识。此外,仅允许手动路由目标配置的 Type-0 编码。

    解决办法:仅为路由标识配置 Type-1 编码。

  • 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2537989:清除 VIP(虚拟 IP)并不会清除所有节点上的 vIDM 集成。

    如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager,则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP,则必须在每个单独的节点上手动修复 vIDM 集成。

    解决办法:分别访问每个节点,手动修复每个节点上的 vIDM 配置。

  • 问题 2538956:DHCP 配置文件显示“未设置”消息,并在分段上配置网关 DHCP 时禁用“应用”按钮。

    如果在已连接的网关上未配置 DHCP 时尝试在分段上配置网关 DHCP,因为没有要保存的有效 DHCP,所以无法应用 DHCP 配置文件。

    解决办法:无。

  • 问题 2525205:在某些情况下,管理平面集群操作会失败。

    通过在管理器 N2 上发出“join”命令尝试将管理器 N2 加入到管理器 N1 时,join 命令失败。您无法形成管理平面集群,这可能会影响可用性。

    解决办法:

    1. 要在集群中保留管理器 N1,请在管理器 N1 上发出 CLI 命令“deactivate”。这将从集群中移除所有其他管理器,并将管理器 N1 作为集群的唯一成员。
    2. 通过发出“systemctl start corfu-nonconfig-server”命令,确保非配置 Corfu 服务器已启动并在管理器 N1 上运行。
    3. 通过在其他新管理器上发出“join”命令,将这些管理器加入到集群。
  • 问题 2526769:多节点集群上的还原操作失败。

    在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。

    解决办法:部署新的设置(一个节点集群),然后启动还原过程。

  • 问题 2538041:可以从全局管理器创建包含管理器模式 IP 集的组。

    通过使用全局管理器,可以创建包含在管理器模式下创建的 IP 集的组。将接受配置,但不会在本地管理器上实现组。

    解决办法:无。

  • 问题 2463947:如果配置了主动模式 HA,并且启用了 IPSec HA,在双重故障切换时,会看到通过 VPN 的数据包丢弃情况。

    通过 VPN 的流量将在对等端丢弃。IPSec 重放错误将会增加。

    解决办法:等待下一个 IPSec 重新加密。或者先禁用再启用该特定 IPSec 会话。

  • 问题 2523212:nsx-policy-manager 变得无响应并重新启动。

    对 nsx-policy-manager 的 API 调用将开始失败,并且服务不可用。直到策略管理器重新启动并变为可用之后,您才能访问该管理器。

    解决办法:调用最多包含 2000 个对象的 API。

  • 问题 2521071:对于在全局管理器中创建的分段,如果它具有 BridgeProfile 配置,那么不会将第 2 层桥接配置应用于单个 NSX 站点。

    分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。

    解决办法:在 NSX 站点创建分段,并使用网桥配置文件对其进行配置。

  • 问题 2527671:未配置 DHCP 服务器时,在 Tier-0/Tier-1 网关或分段上检索 DHCP 统计信息/状态会显示一条错误消息,指示实现不成功。

    这对功能没有任何影响。这条错误消息不正确,应报告 DHCP 服务器未配置。

    解决办法:无。

  • 问题 2532127:仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时,LDAP 用户才无法登录 NSX。

    用户身份验证失败,并且用户无法登录到 NSX 用户界面。

    解决办法:无。

  • 问题 2540733:在集群中重新添加同一主机后,不会创建服务实例。

    在集群中重新添加同一主机后,不会在 NSX 中创建服务实例,即使主机上存在服务虚拟机也如此。部署状态将显示为成功,但将关闭对给定主机的保护。

    解决办法:从主机中删除服务虚拟机。这将创建一个问题,在 NSX 用户界面中将会看到该问题。解决该问题后,将会在 NSX 中创建新的 SVM 和对应的服务实例。

  • 问题 2530822:向 NSX Manager 注册 vCenter 失败,即使在 vCenter 上创建了 NSX-T 扩展也如此。

    在 NSX 中将 vCenter 注册为计算管理器时,即使在 vCenter 上创建了“com.vmware.nsx.management.nsxt”扩展,NSX-T 中的计算管理器注册状态仍然是“未注册”。vCenter 上的操作(比如自动安装 Edge 等)无法使用 vCenter Server 计算管理器来执行。

    解决办法:

    1. 从 NSX-T Manager 中删除计算管理器。
    2. 使用 vCenter Managed Object Browser 从 vCenter 中删除“com.vmware.nsx.management.nsxt”扩展。
  • 问题 2482580:从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。

    从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

    解决办法:无。

  • 问题 2534855:在简化的 UI 或策略 API 上创建的 Tier-0 网关的路由映射和重新分发规则将替换在高级 UI(或 MP API)上创建的路由映射和重新分发规则。

    升级期间,在简化的 UI(或策略 API)上创建的任何现有路由映射和规则都将替换直接在高级 UI(或 MP API)上完成的配置。

    解决办法:如果在高级 UI (MP UI) 上创建的重新分发规则/路由映射在升级后丢失,您可以从高级 UI (MP) 或简化 UI(策略)创建所有规则。请始终将策略或 MP 之一用于重新分发规则,而不是像 NSX-T 3.0 那样同时使用这两者,因为重新分发具有完全支持的功能。

  • 问题 2535355:在某些情况下,升级到 NSX-T 3.0 后,会话定时器可能不起作用。

    会话定时器设置不起作用。连接会话(例如 tcp established 和 tcp fin wait)将使用其系统默认会话定时器,而不是自定义会话定时器。这可能会导致建立连接 (tcp/udp/icmp) 会话的时间比预期更长或更短。

    解决办法:无。

  • 问题 2534933:无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。

    您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

    解决办法:请参见 VMware 知识库文章 78794

  • 问题 2499819:对于 vCenter 6.5 或 6.7,从 NSX for vSphere 到 NSX-T Data Center 的基于维护的主机迁移可能会由于 vMotion 错误而失败。

    主机迁移页面上显示以下错误消息:
    在主机迁移期间预迁移阶段失败 [原因: [vMotion] 无法继续迁移: 对虚拟机 b'3-vm_Client_VM_Ubuntu_1404-shared-1410' 执行 vMotion 操作的尝试次数达到上限] (Pre-migrate stage failed during host migration [Reason: [Vmotion] Can not proceed with migration: Max attempt done to vmotion vm b'3-vm_Client_VM_Ubuntu_1404-shared-1410'])。

    解决办法:重试主机迁移。

  • 问题 2518183:对于管理器 UI 屏幕,“警报”列并非始终显示最新的警报计数。

    最近生成的警报不会反映在管理器实体屏幕上。

    解决办法:

    1. 刷新管理器实体屏幕以查看正确的警报计数。
    2. 也可以从警报仪表板页面中查看缺失警报的详细信息。
  • 问题 2543353:执行 eSP 封装后 NSX T0 Edge 为 IPsec 隧道流量计算的 UDP 校验和不正确。

    由于 UDP 数据包中的校验和错误,导致流量被丢弃。

    解决办法:无。

  • 问题 2556730:在配置 LDAP 标识源时,如果混合使用大小写配置 LDAP 域名,则通过“LDAP 组”>“NSX 角色映射”进行的身份验证不起作用。

    尝试登录的用户将被拒绝访问 NSX。

    解决办法:在 LDAP 标识源配置的域名字段中全部使用小写字符。

  • 问题 2557287:不会还原备份后完成的 TNP 更新。

    在还原的设备上看不到任何备份后完成的 TNP 更新。

    解决办法:在对 TNP 进行更新后进行备份。

  • 问题 2572052:可能不会生成已计划的备份。

    在某些极端情况下,不会生成计划的备份。

    解决办法:重新启动所有 NSX Manager 设备。

  • 问题 2557166:应用于 Kubernetes pod 时,使用上下文配置文件(第 7 层)的分布式防火墙规则无法按预期工作。

    在 Kubernetes pod 上配置 L7 规则后,应匹配 L7 规则的流量反而会达到默认规则。

    解决办法:使用服务而不是上下文配置文件。

  • 问题 2549175:策略搜索失败,并显示以下消息:“无法使用 start search resync policy 解决 (Unable to resolve with start search resync policy)”。

    NSX Manager 节点获得新 IP 时,由于搜索不同步,策略搜索失败。

    解决办法:确保所有 NSX Manager 的 DNS PTR 记录(DNS 服务器中的 IP 到主机名映射)正确无误。

  • 问题 2486119:将 PNIC 从 NVDS 迁移回 VDS 上行链路,该映射与 VDS 中的原始映射不同。

    使用具有 PNIC 安装和卸载映射的传输节点配置文件创建传输节点时,PNIC 将从 VDS 迁移到 NVDS。稍后从传输节点中移除 NSX-T Data Center 时,PNIC 将迁移回 VDS,但 PNIC 至上行链路的映射可能不同于 VDS 中的原始映射。

    解决办法:转到 vCenter Server UI 以在主机的 VDS 中更改 PNIC 至上行链路的分配。

  • 问题 2628634:即使在调用“vds-migrate disable-migrate”后,Day2tools 也会尝试将 TN 从 NVDS 迁移到 CVDS。

    从 NVDS 到 CVDS 的迁移将失败,并且主机将保持处于维护模式。

    解决办法:手动将主机退出维护模式。

  • 问题 2607196:对于从 NVDS 到 CVDS 的迁移,不支持使用基于主机的部署的服务插入 (SI) 和客户机侦测 (GI)。

    无法使用 NVDS 到 CVDS 迁移工具来迁移使用 NVDS 的传输节点。

    解决办法:取消部署 GI/SI,然后尝试从 NVDS 迁移到 CVDS。此操作将删除所有 SVM 实例。
    在所有传输节点上完成迁移后,重新部署 GI/SI 实例。

  • 问题 2588072:NVDS 交换机上具有 VMK 时,NVDS 到 CVDS 交换机迁移程序不支持无状态 ESX。

    对于无状态 ESX 主机,如果 NVDS 交换机上具有 VMK,则将无法使用 NVDS 到 CVDS 交换机迁移程序进行迁移。

    解决办法:将 VMK 从 NVDS 中迁移出来或者从 NSX 中移除该主机,然后再执行迁移。

  • 问题 2627439:如果在迁移之前将传输节点配置文件应用于集群,则系统会在迁移后创建一个处于分离状态的额外传输节点配置文件。

    系统将为每个原始传输节点配置文件生成一个额外的传输节点配置文件。

    解决办法:无。

  • 问题 2586606:在大量虚拟服务器中配置源 IP 持久性后,负载均衡器无法正常使用。 

    在负载均衡器上的大量虚拟服务器中配置源 IP 持久性后,会消耗大量内存,并且可能导致 NSX Edge 内存不足。但是,如果添加更多虚拟服务器,可能会再次出现该问题。

    解决办法:禁用源 IP 持久性,或将配置了源 IP 持久性的 VIP 移至不同的 LB 服务。

  • 问题 2540352:CSM 的“还原备份”窗口中没有可用的备份。

    从备份中还原 CSM 设备时,在“还原”向导中输入备份文件服务器的详细信息后,UI 中却不显示备份列表,即使备份在服务器上可用也不会显示。

    解决办法:在要还原的新安装的 CSM 设备上,转到“备份”选项卡,然后在配置窗口中提供备份服务器的详细信息。当切换到“还原”选项卡并启动“还原”向导时,您将看到要从中还原的备份的列表。

  • 问题 2622846:启用了代理设置的 IDS 无法访问用于下载签名的 GitHub。

    下载签名包的新更新将失败。

    解决办法:如果没有网络连接,请使用脱机下载功能下载和上载签名。

  • 问题 2641749:在 vSphere Update Manager“并行模式”下,不完全支持通过 vSphere Update Manager 从 NVDS 迁移到 CVDS。

    如果在并行模式下通过 vSphere Update Manager 升级 ESX 以触发 NVDS 到 CVDS 的迁移,则可能会出现迁移问题。交换机不会自动从 NVDS 迁移到 CVDS。系统可能会处于不一致状态。

    在 Update Manager 并行模式下,将要升级的主机数设置为最多 4 个。

    如果您已运行 Update Manager 升级而没有实施任何限制,请根据系统状态使用以下选项之一:

    • 为每个主机手动触发迁移。

    • 删除具有 NVDS 交换机的现有传输节点,然后使用 CVDS 交换机重新创建它们。这要求您先从 NVDS 交换机中移出工作负载,然后再将它们移回到基于 CVDS 交换机的传输节点。
  • 问题 2730634:Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。

    Uniscale 升级后网络组件页面显示“索引不同步”(Index out of sync) 错误。

    解决办法:使用 admin 凭据登录到 NSX Manager,然后运行“start search resync policy”命令。加载网络组件将需要几分钟时间。

  • 问题 2719526:vSwitch 丢弃来自覆盖网络客户端端口到上行链路的 Internet 组管理协议 (IGMP) 报告。

    在物理网络中 VLAN 上的另一计算机上不会收到从覆盖网络分段上的虚拟机发送的“IGMP 报告”消息。

    解决办法:在物理交换机上静态配置多播组。

  • 问题 2761589:从 NSX-T 2.x 升级到 NSX-T 3.x 后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    仅当未通过策略配置规则,且管理平面上的默认第 3 层规则具有丢弃操作时,才会出现此问题。升级后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    解决办法:升级后,从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。

安装已知问题
  • 问题 2522909:如果升级部署失败并显示 Invaildurl,在更正 URL 后,服务虚拟机升级不起作用。

    升级处于失败状态,并显示错误的 URL,阻止进行升级。

    解决办法:创建一个用于触发升级的新 deployment_spec。

升级已知问题
  • 问题 2475963:由于空间不足,导致无法安装 NSX-T VIB。

    由于 ESXi 主机上 bootbank 中的空间不足,导致无法安装 NSX-T VIB,并返回 BootBankInstaller.pyc:错误。第三方供应商提供的某些 ESXi 映像可能包括未使用的 VIB(可能相对较大)。在安装/升级任何 VIB 时,这可能会导致 bootbank/alt-bootbank 中的空间不足。

    解决办法:请参见知识库文章 74864 NSX-T VIB 无法安装,原因是 ESXi 主机上 bootbank 中的空间不足

  • 问题 2400379:“上下文配置文件”页面显示不支持的 APP_ID 错误消息。

    “上下文配置文件”页面显示以下错误消息:“此上下文配置文件使用不支持的 APP_ID - [<APP_ID>]。请在确保任何规则中均未使用此上下文配置文件后,手动将其删除。”这是由于升级后存在六个已弃用且在数据路径上已无效的 APP_ID(AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC 和 SVN)所导致的。

    解决办法:确保不再使用这六个 APP_ID 后,手动删除其上下文配置文件。

  • 问题 2462079:如果 ESXi 主机上存在失效的 DV 筛选器,则在升级期间会重新引导某些版本的 ESXi 主机。

    对于运行 ESXi 6.5-U2/U3 和/或 6.7-U1/U2 的主机,在维护模式升级到 NSX-T 2.5.1 时,如果在移出虚拟机后发现主机上存在失效的 DV 筛选器,则主机可能会重新引导。

    解决办法:如果要避免在 NSX-T Data Center 升级期间重新引导主机,请在升级到 NSX-T Data Center 2.5.1 之前先升级到 ESXi 6.7 U3 或 ESXi 6.5 P04。有关详细信息,请参见知识库文章 76607

NSX Edge 已知问题
  • 问题 2283559:当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。

    • 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
    • CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
  • 问题 2521230:在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

    BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

    解决办法:依赖于“get bfd-sessions”的输出,然后选中“状态”字段以获取最新的 BFD 状态。

  • 问题 2532755:路由表的 CLI 输出和策略输出不一致。

    与 CLI 输出相比,从 UI 下载的路由表具有额外数量的路由。从策略下载的输出中列出了一个额外的路由(默认路由)。这对功能没有任何影响。

    解决办法:无。

NSX Cloud 已知问题
  • 问题 2289150:对 AWS 的 PCM 调用失败。

    如果用户将 CSM 上 AWS 帐户的 PCG 角色从 old-pcg-role 更新为 new-pcg-role,则 CSM 会将 AWS 上 PCG 实例的角色更新为 new-pcg-role。但是,PCM 不知道 PCG 角色已经更新,因此继续使用通过 old-pcg-role 创建的旧 AWS 客户端。这会导致 AWS 云清单扫描和其他 AWS 云调用失败。

    解决办法:如果遇到此问题,请在更改为新角色至少 6.5 小时内,不要立即修改/删除旧的 PCG 角色。重新启动 PCG 将使用新的角色凭据重新初始化所有 AWS 客户端。

安全已知问题
  • 问题 2491800:不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。

    连接将使用已过期/已吊销的 SSL。

    解决办法:重新启动管理器节点上的 APH 以触发重新连接。

联合已知问题
  • 问题 2630808:从 3.0.0/3.0.1 到任何更高版本的升级都会造成中断。

    在将全局管理器 (GM) 或本地管理器 (LM) 从 3.0.0/3.0.1 升级到更高版本后,将无法在 GM 和 LM 之间进行通信。

    解决办法:要还原 LM 和 GM 之间的通信,需要将所有 LM 和 GM 都升级到更高版本。

  • 问题 2630813:针对计算虚拟机的 SRM 恢复将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。

    如果启动了 SRM 恢复测试或运行,则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。

  • 问题 2630819:更改 LM 证书应在 LM 在 GM 上进行注册之前完成。

    如果需要在同一 LM 上使用联合和 PKS,则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务,然后再在 GM 上注册 LM。如果按相反的顺序操作,则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信,并且必须重新注册 LM。

  • 问题 2601493:为防止处理负载过高,全局管理器上不支持并发配置载入操作。

    虽然并行配置载入操作互不干扰,但在 GM 上执行多个此类配置载入操作通常会使 GM 在处理其他操作时变得缓慢。

    解决办法:安全管理员/用户必须同步维护时段,以避免并发启动配置载入操作。

  • 问题 2605420:UI 显示一般错误消息,而不显示指示本地管理器 VIP 发生更改的具体错误消息。

    全局管理器与站点的通信受到影响。

    解决办法:重新启动全局管理器集群,且一次仅对一个节点执行此操作。

  • 问题 2613113:如果正在执行载入操作,在完成本地管理器还原后,全局管理器上的状态不会从 IN_PROGRESS 发生更改。

    UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入已还原站点的配置。

    解决办法:如果需要,使用本地管理器 API 启动本地管理器站点的载入操作。

  • 问题 2638571:删除 5000 条 NAT 规则有时需要超过 1 小时的时间。

    NAT 规则在 UI 中仍然可见,但处于灰显状态。您必须等待系统清理这些规则,然后才能创建具有相同名称的 NAT 规则。使用不同名称时则不受影响。 

    解决办法:无。

  • 问题 2629422:如果 Tier-1 网关上同时具有 DNS 服务和 LB 服务,则当系统尝试载入站点时,UI 中显示的消息将不完整。

    对于同时提供 DNS/DHCP 服务和单臂 LB 服务的 Tier-1 网关,系统将阻止载入操作。阻止载入操作属于预期行为。 
    UI 中显示的关于可行解决方案的文本仅涉及 DHCP 服务。但同样的解决方案也适用于 DNS 服务。

    解决办法:无。

  • 问题 2628428:全局管理器状态最初显示为成功,然后更改为“IN_PROGRESS”。

    在大规模设置中,如果频繁修改太多区域,全局管理器将需要一些时间才能反映配置的正确状态。这会导致稍后才能在 UI/API 上看到“分布式防火墙配置已完成”这一正确状态。

    解决办法:无。

  • 问题 2625009:当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时,SR 间 iBGP 会话将不断抖动。

    这会影响联合拓扑中的站点间连接。

    解决办法:使物理网卡的 MTU 和中间路由器的 MTU 大于全局 MTU(即由 SR 间端口使用的 MTU)。由于封装,数据包的大小将大于 MTU,并且数据包无法通过。

  • 问题 2634034:更改延伸的 T1-LR(逻辑路由器)的站点角色后,该逻辑路由器的所有流量会受到影响,受影响时间大约为 6-8 分钟。

    静态路由需要很长时间进行编程且会影响数据路径。更改站点角色后,将会有大约 6-8 分钟的流量丢失。根据配置的规模,该时间甚至可能会更长。

    解决办法:无。

check-circle-line exclamation-circle-line close-line
Scroll to top icon