VMware NSX-T Data Center 3.0.3 | 2021 年 3 月 25 日 | 内部版本 17778534 请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题：

• 新增功能
• 兼容性和系统要求
• 此版本的升级说明
• API 和 CLI 资源
• 本地化语言
• 文档修订历史
• 已解决的问题
• 已知问题

新增功能

功能、增强功能和扩展

此版本的 NSX-T Data Center 是一个维护版本，没有主要或次要功能、增强功能或扩展更新。

兼容性和系统要求

有关兼容性和系统要求信息，请参见《VMware 产品互操作性列表》和《NSX-T Data Center 安装指南》。

此版本的升级说明

有关升级 NSX-T Data Center 组件的说明，请参见《NSX-T Data Center 升级指南》。

API 和 CLI 资源

请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

可从 API 参考选项卡获取 API 文档。可从文档选项卡获取 CLI 文档。

本地化语言

NSX-T Data Center 已本地化为多种语言：英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置，因此，请确保您的设置与期望的语言相匹配。

文档修订历史

2021 年 3 月 25 日。第一版。
2021 年 4 月 15 日。第二版。添加了已解决的问题 2736837。
2021 年 8 月 20 日。第三版。添加了已解决的问题 2699417。
2021 年 9 月 17 日。第四版。添加了已知问题 2761589。
2022 年 5 月 31 日。第五版。更新了有关已知问题 2690455 的知识库文章的链接。

 

已解决的问题

• 已修复问题 2557166：应用于 Kubernetes pod 时，使用上下文配置文件（第 7 层）的分布式防火墙规则无法按预期工作。

  在 Kubernetes pod 上配置 L7 规则后，应匹配 L7 规则的流量反而会达到默认规则。

• 已修复问题 2486119：物理网卡从 NVDS 迁回到 VDS 上行链路，但其映射与 VDS 中的原始映射不同。

  使用具有 pNIC 安装和卸载映射的传输节点配置文件创建传输节点时，pNIC 将从 VDS 迁移到 NVDS。稍后从传输节点中移除 NSX-T Data Center 时，pNIC 将迁移回 VDS，但 pNIC 至上行链路的映射可能不同于 VDS 中的原始映射。

• 已修复问题 2586606：在大量虚拟服务器中配置源 IP 持久性后，负载均衡器无法正常使用。 

  在负载均衡器上的大量虚拟服务器中配置源 IP 持久性后，会消耗大量内存，并且可能导致 NSX Edge 内存不足。但是，如果添加更多虚拟服务器，可能会再次出现该问题。

• 已修复问题 2577028：主机准备可能会失败。

  由于配置哈希不匹配导致发现循环，主机准备可能会失败。

• 已修复问题 2685284：在循环替换证书后，控制平面与主机断开连接。 

  主机与控制平面断开连接，并需要重新引导。如果将证书 1 替换为证书 2，然后将证书 2 重新替换为证书 1，则会发生这种情况。 

• 已修复问题 2688015：从 NSX Edge 节点中删除 Tier-0 SR 时，Tier-0 的实现状态显示为“正在进行中”。 

  如果从 NSX Edge 节点中删除了 Tier-0 SR，Tier-0 的实现状态可能开始在该 NSX Edge 节点上显示为“正在进行中”。  

• 已修复的问题 2688410：在多个 TEP 设置中，MAC 同步表可能不会在备用节点和活动 Edge 节点之间同步，这可能会导致流量丢失。

  使用多个 TEP 时，活动 Edge 节点会学习 L2 MAC 表并同步到备用 Edge 节点。这称为 MAC 同步机制。在这种情况下，MAC 同步代码不遵循此规则，导致备用节点丢弃 MAC 同步消息。由于 MAC 同步表为空，可能会发生流量丢失。 

• 已修复的问题 2603550：某些使用 vMotion 迁移的虚拟机可能会在 NSX Manager 节点升级过程中失去网络连接。

  在 NSX Manager 节点升级过程中，您可能发现某些虚拟机已通过 DRS 迁移，并且在迁移后失去网络连接。

• 已修复的问题 2692829：更新上行链路时，不会创建或清除 VRF ARP 代理条目。

  对于 VRF，更新上行链路后 ping 不起作用。因此，在 NSX Edge 上不会显示 ARP 条目。

• 已修复的问题 2690675：NSX-T Data Center API 中的排序无法正常工作。

  NSX-T Data Center API 将忽略 sort_by 和 sort_ascending 参数。API 响应会按与给定参数无关的 sequence_number 对规则进行排序。

• 已修复问题 2692946：如果配置了具有 SSL 直通的虚拟服务器规则，则不需要配置客户端 SSL 证书。

  如果配置了具有 SSL 直通操作但没有特定 SNI 条件的虚拟服务器规则，VIP 不需要使用客户端证书的 SSL 配置。

• 已修复的问题 2715469：对于部署在具有多个磁盘的裸机服务器上的 NSX Edge，升级可能会失败。 

  升级部署在具有多个磁盘的裸机服务器上的 NSX Edge 时，可能会导致在重新引导后失败。

• 已修复问题 2708200：由于无类别域际路由 (CIDR) NAT 规则问题，NSX Manager 可能会出现内存不足问题并停止。

  使用包含较小前缀的 CIDR 的 NAT 规则可能会导致 NSX Manager 服务报告 OutOfMemory 问题并失败。

• 已修复问题 2708189：NSX Edge 停止工作。

  由于 NSX Edge 停止工作，NSX-T Data Center 部署中断。 

• 已修复的问题 2704023：当部署的 ENS 交换机的 TeamPolicyUpDelay 运行时可选参数在默认值的基础上增加时，NSX-T Data Center 升级会失败。

  当部署的 ENS 交换机的 TeamPolicyUpDelay 运行时可选参数在默认值 100 毫秒的基础上增加时，NSX-T Data Center 升级会失败。

• 已修复的问题 2699607：配置 SSL 直通后，LB SNAT 端口分配可能会失败。

  配置 SSL 直通后，分配 LB SNAT 端口的 HTTP 请求将无法转发到后端服务器。这可能会导致无法释放端口和分配失败。

• 已修复的问题 2695259：由于连接超时错误，Edge 出现内存不足问题。

  由于 LB 配置更改和许多会话同时运行，Edge 可能会因连接超时错误而内存不足。

• 已修复的问题 2706241：如果 Edge 上的两个 VRF 在防火墙规则中共享“拒绝”设置，则数据路径服务可能会失败。

  如果 Edge 上的两个不同 VRF 构成循环拒绝策略，则数据路径服务可能会失败。如果在 TCP 重置数据包尝试返回时被第一个 VRF 中的拒绝规则停止，则会发生故障。

• 已修复问题 2701344：您遇到服务插入流量中断的情况。

  SPF 端口可能缺少所需的属性（例如 VXLAN ID），这会导致服务插入流量中断。

• 已修复的问题 2694838：在将 T0 连接到为 BM-Edge 配置了指定绑定策略的分段时，可能会出现验证错误。

  如果为 BM-Edge 配置了包含 LAG 的指定绑定策略，则在创建 T0 接口并将其连接到使用相同指定绑定策略的分段时，会产生验证错误。

• 已修复的问题 2692952：策略工作流可能会失败。

  策略搜索可能无法 NSX Manager 节点上解析“start search resync policy”。

• 已修复问题 2692961：CLI 命令“nsxcli -c get nodes”将控制器节点作为单独节点进行报告。

  NSX-T Data Center CLI 命令“nsxcli -c get nodes”会分别报告管理器节点和控制器节点。这可能令人困惑，因为这些节点以前会报告为不同的节点，但即使节点合并之后，CLI 仍会单独报告这些节点。CLI 报告不准确，可以忽略。

• 已修复问题 2693089：分布式防火墙无法正确处理 0.0.0.0/0 或 ::0 地址。

  使用地址 0.0.0.0/0 或 ::0 时，vMotion 导入可能会失败，并且端口可能会断开连接。

• 已修复问题 2693109：自动 Edge 备份/还原到新的 NSX Edge 虚拟机不适应于新的上行链路 MAC 地址（例如，fp-eth0），导致出现流量问题。

  执行新的 NSX Edge 虚拟机还原后，由于错误的 MAC 地址，通过上行链路流向外部设备的流量可能会失败。

• 已修复的问题 2693112：Palo Alto Networks 监视程序无法接收通知。

  当 Palo Alto Networks (PAN) 监视程序的服务不正常时，无法接收通知。NSX-T Data Center 会持续发送“refresh_needed=true”，但收到发送失败，直到 PAN 监视程序变为正常状态为止。

• 已修复问题 2693158：NSX-T 设备的磁盘空间不足，从而导致正常运行的服务出现问题。

  某些 NSX-T 表不会定期移除数据条目，从而导致磁盘空间问题，并且可能导致正常的服务功能受到影响。

• 已修复问题 2693193：分布式防火墙会丢弃 SYN ACK 数据包，从而导致会话失败。

  分布式防火墙会丢弃 SYN ACK 数据包，从而导致会话失败。

• 已修复的问题 2693156：启用或手动触发运行状况检查后，可能无法访问运行状况检查结果。

  启用或手动触发运行状况检查后，可能无法访问运行状况检查结果和其他功能数据，如流跟踪观察结果。当达到最大 pendMap 大小时，可能导致此问题，从而造成 opsagent 停止。

• 已修复问题 2693146：删除策略组后，“系统概览”页面无法加载。

  当“系统概览”页面加载失败时，会显示错误“无法获取‘{{reportName}}’报告 - 无法获取系统详细信息。请与管理员联系 (Failed to get "{{reportName}}" report - Failed to fetch System details. Please contact the administrator)。”如果删除包含重定向规则的策略组，则会出现此问题。

• 已修复问题 2693145：流经 NSX Edge 的流量可能会中断。如果为虚拟负载均衡器配置了单个端口范围，则可能出现此问题。

  流经 NSX Edge 的流量可能会中断。例如，与该 NSX Edge 节点对等互连的 BGP 可能会变得不可用。如果为虚拟负载均衡器配置了单个端口范围（例如 1000 到 2000），则可能出现此问题。

• 已修复问题 2693141：如果未从 SI 排除列表中排除 NSX Edge 虚拟机，可能会出现流量延迟。

  如果未从 SI 排除列表中排除 NSX Edge 虚拟机，可能会出现流量延迟。

• 已修复问题 2693138：由于文件未能传输到基于 Windows 的 SFTP 服务器，备份失败。

  由于文件未能传输到基于 Windows 的 SFTP 服务器，备份失败。

• 已修复的问题 2693136：在具有 SI 虚拟机的上行链路上观察到高带宽消耗或每秒数据包计数。

  在具有 SI 虚拟机的上行链路上观察到高带宽消耗或每秒数据包计数。 

• 已修复问题 2693134：如果在备份和还原过程中引用 FQDN 配置时未使用相同的区分大小写的字符，将还原失败。

  如果在备份和还原过程中引用 FQDN 配置时未使用相同的区分大小写的字符，将还原失败。

• 已修复问题 2693120：NSX-T Data Center DHCP 不支持协议中的广播位。

  具有过期 TCP/IP 堆栈的旧设备可能无法使用 DHCP 获取 IP 地址。出现该问题是因为 NSX-T Data Center DHCP 不支持协议中的广播位。

• 已修复问题 2712832：您的 ESXi 主机可能停止响应。

  如果启用了 ESXi 流量缓存并且流量具有多个目标（例如多播流量）时，由于罕见的争用状况，ESXi 主机可能会变得不可用。

• 已修复问题 2713627：即使发生流量丢失，NSX 代理也会错误地将 BGP 邻居状态报告为“正在运行”。 

  在 NSX Edge 内存不足之后，NSX 代理错误地将 BGP 邻居状态报告为“正在运行”。 

• 已修复问题 2699271：有关容器流量的分布式防火墙 IPFIX 报告不包含任何记录。

  有关容器流量的分布式防火墙 IPFIX 报告不包含任何记录，即使符合流量防火墙规则也是如此。

• 已修复问题 2704063：使用 ENS 中断模式或增强型数据路径模式时，NSX Edge 虚拟机或 IP 发现可能无法正常工作。

  解析逻辑无法识别 UDP 数据包，并跳过对 NSX Edge 虚拟机或 IP 发现的相关处理。这可能会影响 NSX Edge 虚拟机操作和 IP 发现交换配置文件。

• 已修复的问题 2693154：启用 NT LAN 管理器 (NTLM) 后，负载均衡器可能会停止工作。

  启用 NT LAN 管理器 (NTLM) 后，负载均衡器可能会停止工作。ntlm ctx 仍保留释放的连接，该连接将供下一个请求重复使用。

• 已修复的问题 2708175：NSX-T 虚拟分布式交换机运行时选项不会在重新引导期间保留下来。 

  如果在 N-VDS 运行时选项中设置了非默认值，在重新引导后不会保留这些值；仅保留配置选项。

• 已修复问题 2701323：OVF 不支持多个 DNS 服务器。

  OVF 不支持多个 DNS 服务器。

• 已修复问题 2701327：错误状况中提到的 SVM ID 具有不匹配的命名约定。

  错误状况中提到的 SVM ID 具有不匹配的命名约定。

• 已修复问题 2692969：MTU 更改（或需要重新启动网卡的其他任何重新配置）后，物理网卡链路变得不可用。

  在裸机 NSX-T Edge 中，执行任何需要重新启动网卡的重新配置后，Intel XXV710 25G 网卡不可用。其中包括 MTU 更改。

• 已修复的问题 2705074：丢弃损坏的数据包后，用于测试两个主机之间的连接的 Ping 流量失败。 

  在具有 Intel 网卡的裸机 NSX Edge 中，在 IP 标头中设置了 DF（不分段）位的 ICMP 流量可能会在传输过程中损坏。

• 已修复的问题 2690714：如果虚拟机防火墙配置组成员资格的构造不佳，则 vMotion 导入过程中可能出现 NSX 不可屏蔽的中断 (NMI)。

  在通过 vMotion 导入虚拟机的防火墙配置数据过程中，目标主机 CPU 被阻止。这可能会导致主机 NMI 异常。当相同的 IP 地址是多个组的成员，并且这些组在多个规则中使用时，可能会出现此情况。此类型的配置并不常见。

• 已修复的问题 263199：从 NSX 2.5.x 或 3.0.2 升级时，如果传输节点配置了使用指定绑定策略的 N-VDS，则 ESXi 6.7 主机的 NSX VIB 升级将失败。

  从 NSX 2.5.x 或 3.0.2 升级时，如果 TN 配置了使用指定绑定策略的 N-VDS，则 ESXi 6.7 主机的 NSX VIB 升级将失败。opsAgent 无法清除以前创建的指定绑定策略，这会导致升级途径中出现问题。

• 已修复问题 2693101：如果启用的粘性表过多，负载均衡器可能会内存不足。

  在具有 100 多个虚拟服务器并启用了粘性表的大型负载均衡器服务器上，服务在内存不足后可能会变得不可用。

• 已修复的问题 2736837：在某些配置中，如果两个安全组配置了相同的动态条件，在极少数情况下，可能不会将与条件匹配的计算虚拟机添加到安全组中。

  虚拟机可能无法连接到相应的安全组，从而导致不正确的规则验证。

• 已修复的问题 2699417：负载均衡器 SNAT 端口分配失败。

  负载均衡器无法将流量转发到后端服务器。

已知问题

已知问题分为以下几类。

• 一般已知问题
• 安装已知问题
• 升级已知问题
• NSX Edge 已知问题
• NSX Cloud 已知问题
• 安全已知问题
• 联合已知问题

一般已知问题

• 问题 2320529：为新添加的数据存储添加第三方虚拟机后，出现“服务部署无法访问存储”错误。

  为新添加的数据存储添加第三方虚拟机后，即使可以通过集群上的所有主机来访问该存储，也会出现“服务部署无法访问存储”错误。该错误状态持续长达三十分钟的时间。

  解决办法：在三十分钟后重试。作为替代方法，进行以下 API 调用以更新数据存储的缓存条目：

  https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime

  其中   <nsx-manager> 是服务部署 API 失败的 NSX Manager 的 IP 地址，< CC Ext ID> 是集群中正在尝试执行部署的 NSX 标识符。

• 问题 2328126：裸机问题：在 NSX 上行链路配置文件中使用时，Linux OS 绑定接口返回错误。

  如果在 Linux OS 中创建一个绑定接口，然后在 NSX 上行链路配置文件中使用该接口，将会看到以下错误消息：“创建传输节点可能会失败”(Transport Node creation may fail)。出现该问题是因为，VMware 不支持 Linux OS 绑定。不过，VMware 在裸机服务器传输节点中支持 Open vSwitch (OVS) 绑定。

  解决办法：如果遇到该问题，请参见知识库文章 67835 裸机服务器在 NSX-T 传输节点配置中支持 OVS 绑定。

• 问题 2390624：当主机处于维护模式时，反关联性规则会阻止服务虚拟机执行 vMotion。

  如果服务虚拟机部署在恰好包含两个主机的集群中，则具有反关联性规则的 HA 对将会在执行任何维护模式任务期间阻止虚拟机对其他主机执行 vMotion。这可能会阻止主机自动进入维护模式。

  解决办法：在 vCenter 上启动维护模式任务之前，关闭主机上服务虚拟机的电源。

• 问题 2389993：使用“策略”页面或 API 修改重新分发规则后，路由映射会被移除。

  如果在重新分发规则中使用管理平面 UI/API 添加了路由映射，并在简化的（策略）UI/API 中修改了相同的重新分发规则，则将会移除该映射。

  解决办法：您可以返回“管理平面”界面或 API 来重新将路由映射添加到同一规则，从而还原该路由映射。如果您希望在重新分发规则中包含路由映射，请始终使用“管理平面”界面或 API 来创建并修改该规则。

• 问题 2690455：由于证书被拒绝，还原可能无法完成。

  还原可能无法完成，因为安装的证书没有 CRL 分发点，并且设置不正确（crl_checking_enable 配置为 true）。

  解决办法：请参见 VMware 知识库文章 83257。

• 问题 2329273：同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。

  不支持在同一 Edge 节点上两次桥接一个分段。但是，可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。

  解决办法：无 

• 问题 2355113：对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机，无法在此类虚拟机中安装 NSX Tools。

  在 Microsoft Azure 中，如果在基于 RedHat（7.4 或更高版本）或 CentOS（7.4 或更高版本）的操作系统上，启用加速网络连接并在其中安装 NSX 代理，那么以太网接口不包含 IP 地址。

  解决办法：在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前，请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。

• 问题 2370555：用户可以删除高级界面中的某些对象，但删除不会反映在简化界面中。

  具体来说，可以在“高级”界面“分布式防火墙排除列表”设置中删除作为分布式防火墙排除列表的一部分添加的组。这会导致界面中出现不一致的行为。

  解决办法：使用以下过程来解决此问题：

  1. 在简化界面中，将某个对象添加到排除列表。
  2. 确认它是否显示在高级界面的分布式防火墙排除列表中。
  3. 从高级界面的分布式防火墙排除列表中删除该对象。
  4. 返回到简化界面，将第二个对象添加到排除列表并应用该对象。
  5. 确认新对象是否显示在高级界面中。
• 问题 2520803：EVPN 部署中手动路由标识和路由目标配置的编码格式。

  您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是，要确保为在 EVPN 部署中配置手动路由标识提供最佳的编码方案，请使用 Type-1 编码。仅实施手动路由目标配置的 Type-0 编码。

  解决办法：仅为路由标识配置 Type-1 编码。

• 问题 2490064：尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

  在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后，如果您尝试通过关闭“外部 LB”来禁用集成，则在大约一分钟后，初始配置将重新出现并覆盖本地更改。

  解决办法：尝试禁用 vIDM 时，请勿将外部 LB 标记切换为关闭状态；仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

• 问题 2537989：清除 VIP（虚拟 IP）并不会清除所有节点上的 vIDM 集成。

  如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager，则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP，则可以在每个单独的节点上手动修复 vIDM 集成。

  解决办法：分别在每个节点上手动修复 vIDM 配置。

• 问题 2538956：DHCP 配置文件显示“未设置”消息，并在分段上配置网关 DHCP 时禁用“应用”按钮。

  如果在已连接的网关上未配置 DHCP 时尝试在分段上配置网关 DHCP，因为没有要保存的有效 DHCP，所以无法应用 DHCP 配置文件。

  解决办法：无。

• 问题 2525205：在某些情况下，管理平面集群操作会失败。

  通过在管理器 N2 上发出“join”命令尝试将管理器 N2 加入到管理器 N1 时，join 命令失败。您无法形成管理平面集群，这可能会影响可用性。

  解决办法：

  1. 要在集群中保留管理器 N1，请在管理器 N1 上发出 CLI 命令“deactivate”。这将从集群中移除所有其他管理器，并将管理器 N1 作为集群的唯一成员。
  2. 通过发出“systemctl start corfu-nonconfig-server”命令，确保非配置 Corfu 服务器已启动并在管理器 N1 上运行。
  3. 通过在其他新管理器上发出“join”命令，将这些管理器加入到集群。
• 问题 2526769：多节点集群上的还原操作失败。

  在多节点集群上启动还原时，还原会失败，您必须重新部署该设备。

  解决办法：部署新的设置（一个节点集群），然后启动还原过程。

• 问题 2538041：可以从全局管理器创建包含管理器模式 IP 集的组。

  借助全局管理器，可以创建包含在管理器模式下创建的 IP 集的组。将接受配置，但不会在本地管理器上实现组。

  解决办法：无。

• 问题 2463947：如果配置了主动模式 HA，并且启用了 IPSec HA，在双重故障切换时，会看到通过 VPN 的数据包丢弃情况。

  通过 VPN 的流量将在对等端丢弃。IPSec 重放错误将会增加。

  解决办法：等待下一个 IPSec 重新加密。或者先禁用再启用该特定 IPSec 会话。

• 问题 2523212：nsx-policy-manager 变得无响应并重新启动。

  对 nsx-policy-manager 的 API 调用将开始失败，并且服务不可用。直到策略管理器重新启动并变为可用之后，您才能访问该管理器。

  解决办法：调用最多包含 2000 个对象的 API。

• 问题 2521071：对于在全局管理器中创建的分段，如果它具有 BridgeProfile 配置，那么不会将第 2 层桥接配置应用于单个 NSX 站点。

  分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。

  解决办法：在 NSX 站点创建分段，并使用网桥配置文件对其进行配置。

• 问题 2527671：未配置 DHCP 服务器时，在 Tier-0/Tier-1 网关或分段上检索 DHCP 统计信息/状态会显示一条错误消息，指示实现不成功。

  这对功能没有任何影响。这条错误消息不正确，应报告 DHCP 服务器未配置。

  解决办法：无。

• 问题 2532127：仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时，LDAP 用户才无法登录 NSX。

  用户身份验证失败，并且用户无法登录到 NSX 用户界面。

  解决办法：无。

• 问题 2540733：在集群中重新添加同一主机后，不会创建服务实例。

  在集群中重新添加同一主机后，不会在 NSX 中创建服务实例，即使主机上存在服务虚拟机也如此。部署状态将显示为成功，但将关闭对给定主机的保护。

  解决办法：从主机中删除服务虚拟机。这将创建一个问题，在 NSX 用户界面中将会看到该问题。解决该问题后，将会在 NSX 中创建新的 SVM 和对应的服务实例。

• 问题 2530822：向 NSX Manager 注册 vCenter 失败，即使在 vCenter 上创建了 NSX-T 扩展也如此。

  在 NSX 中将 vCenter 注册为计算管理器时，即使在 vCenter 上创建了“com.vmware.nsx.management.nsxt”扩展，NSX-T 中的计算管理器注册状态仍然是“未注册”。vCenter 上的操作（比如自动安装 Edge 等）无法使用 vCenter Server 计算管理器来执行。

  解决办法：

  1. 从 NSX-T Manager 中删除计算管理器。
  2. 使用 vCenter Managed Object Browser 从 vCenter 中删除“com.vmware.nsx.management.nsxt”扩展。
• 问题 2482580：从 vCenter 中删除 IDFW/IDS 集群时，不会更新 IDFW/IDS 配置。

  从 vCenter 中删除已启用 IDFW/IDS 的集群时，不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

  解决办法：无。

• 问题 2534855：在简化的 UI 或策略 API 上创建的 Tier-0 网关的路由映射和重新分发规则将替换在高级 UI（或 MP API）上创建的路由映射和重新分发规则。

  升级期间，在简化的 UI（或策略 API）上创建的任何现有路由映射和规则都将替换直接在高级 UI（或 MP API）上完成的配置。

  解决办法：如果在高级 UI (MP UI) 上创建的重新分发规则/路由映射在升级后丢失，您可以从高级 UI (MP) 或简化 UI（策略）创建所有规则。请始终将策略或 MP 之一用于重新分发规则，而不是像 NSX-T 3.0 那样同时使用这两者，因为重新分发具有完全支持的功能。

• 问题 2535355：在某些情况下，升级到 NSX-T 3.0 后，会话定时器可能不起作用。

  会话定时器设置不起作用。连接会话（例如 tcp established 和 tcp fin wait）将使用其系统默认会话定时器，而不是自定义会话定时器。这可能会导致建立连接 (TCP/UDP/ICMP) 会话的时间比预期更长或更短。

  解决办法：无。

• 问题 2534933：无法将具有基于 LDAP 的 CDP（CRL 分发点）的证书用作 tomcat/集群证书。

  您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

  解决办法：请参见 VMware 知识库文章 78794。

• 问题 2499819：对于 vCenter 6.5 或 6.7，从 NSX for vSphere 到 NSX-T Data Center 的基于维护的主机迁移可能会由于 vMotion 错误而失败。

  主机迁移页面上显示以下错误消息：
  在主机迁移期间预迁移阶段失败 [原因: [vMotion] 无法继续迁移: 对虚拟机 b'3-vm_Client_VM_Ubuntu_1404-shared-1410' 执行 vMotion 操作的尝试次数达到上限] (Pre-migrate stage failed during host migration [Reason: [Vmotion] Can not proceed with migration: Max attempt done to vmotion vm b'3-vm_Client_VM_Ubuntu_1404-shared-1410'])。

  解决办法：重试主机迁移。

• 问题 2518183：对于管理器 UI 屏幕，“警报”列并非始终显示最新的警报计数。

  最近生成的警报不会反映在管理器实体屏幕上。

  解决办法：

  1. 刷新管理器实体屏幕以查看正确的警报计数。
  2. 也可以从警报仪表板页面中查看缺失警报的详细信息。
• 问题 2543353：执行 eSP 封装后 NSX T0 Edge 为 IPsec 隧道流量计算的 UDP 校验和不正确。

  由于 UDP 数据包中的校验和错误，导致流量被丢弃。

  解决办法：无。

• 问题 2556730：在配置 LDAP 标识源时，如果混合使用大小写配置 LDAP 域名，则通过“LDAP 组”>“NSX 角色映射”进行的身份验证不起作用。

  尝试登录的用户将被拒绝访问 NSX。

  解决办法：在 LDAP 标识源配置的域名字段中全部使用小写字符。

• 问题 2557287：不会还原备份后完成的 TNP 更新。

  在还原的设备上看不到任何备份后完成的 TNP 更新。

  解决办法：在对 TNP 进行更新后进行备份。

• 问题 2572052：可能不会生成已计划的备份。

  在某些极端情况下，不会生成计划的备份。

  解决办法：重新启动所有 NSX Manager 设备。

• 问题 2549175：策略搜索失败，并显示以下消息：“无法使用 start search resync policy 解决 (Unable to resolve with start search resync policy)”。

  NSX Manager 节点获得新 IP 时，由于搜索不同步，策略搜索失败。

  解决办法：确保所有 NSX Manager 的 DNS PTR 记录（DNS 服务器中的 IP 到主机名映射）正确无误。

• 问题 2628634：即使在调用“vds-migrate disable-migrate”后，Day2tools 也会尝试将 TN 从 NVDS 迁移到 CVDS。

  从 NVDS 到 CVDS 的迁移将失败，并且主机将保持处于维护模式。

  解决办法：手动将主机退出维护模式。

• 问题 2607196：对于从 NVDS 到 CVDS 的迁移，不支持使用基于主机的部署的服务插入 (SI) 和客户机侦测 (GI)。

  无法使用 NVDS 到 CVDS 迁移工具来迁移使用 NVDS 的传输节点。

  解决办法：取消部署 GI/SI，然后尝试从 NVDS 迁移到 CVDS。此操作将删除所有 SVM 实例。
  在所有传输节点上完成迁移后，重新部署 GI/SI 实例。

• 问题 2588072：NVDS 交换机上具有 VMK 时，NVDS 到 CVDS 交换机迁移程序不支持无状态 ESX。

  对于无状态 ESX 主机，如果 NVDS 交换机上具有 VMK，则将无法使用 NVDS 到 CVDS 交换机迁移程序进行迁移。

  解决办法：将 VMK 从 NVDS 中迁移出来或者从 NSX 中移除该主机，然后再执行迁移。

• 问题 2627439：如果在迁移之前将传输节点配置文件应用于集群，则系统会在迁移后创建一个处于分离状态的额外传输节点配置文件。

  系统可能会为每个原始传输节点配置文件生成一个额外的传输节点配置文件。

  解决办法：无。

• 问题 2540352：CSM 的“还原备份”窗口中没有可用的备份。

  从备份中还原 CSM 设备时，在“还原”向导中输入备份文件服务器的详细信息后，UI 中却不显示备份列表，即使备份在服务器上可用也不会显示。

  解决办法：在要还原的新安装的 CSM 设备上，选择“备份”选项卡，然后在配置窗口中提供备份服务器的详细信息。当切换到“还原”选项卡并启动“还原”向导时，您将看到要从中还原的备份的列表。

• 问题 2622846：启用了代理设置的 IDS 无法访问用于下载签名的 GitHub。

  下载签名包的新更新将失败。

  解决办法：如果没有网络连接，请使用脱机下载功能下载和上载签名。

• 问题 2723812：在 NSX-T Data Center 中，UI 或 REST API 可能无法显示最新的传输节点状态。

  根据规模大小和系统负载，UI 和 REST API 可能无法显示最新的传输节点状态。

  解决办法：重新引导 MP proton 服务。

• 问题 2761589：从 NSX-T 2.x 升级到 NSX-T 3.x 后，管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

  仅当未通过策略配置规则，且管理平面上的默认第 3 层规则具有丢弃操作时，才会出现此问题。升级后，管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

  解决办法：升级后，从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。

安装已知问题

• 问题 2522909：如果升级部署失败并显示 Invalidurl，在更正 URL 后，服务虚拟机升级不起作用。

  升级可能处于失败状态并显示错误的 URL，从而阻止进行升级。

  解决办法：创建一个用于触发升级的新 deployment_spec。

升级已知问题

• 问题 2475963：由于空间不足，导致无法安装 NSX-T VIB。

  由于 ESXi 主机上 bootbank 中的空间不足，导致无法安装 NSX-T VIB，并返回 BootBankInstaller.pyc：错误。第三方供应商提供的某些 ESXi 映像可能包括未使用的 VIB（可能相对较大）。在安装/升级任何 VIB 时，这可能会导致 bootbank/alt-bootbank 中的空间不足。

  解决办法：请参见知识库文章 74864 NSX-T VIB 无法安装，原因是 ESXi 主机上 bootbank 中的空间不足。

• 问题 2400379：“上下文配置文件”页面显示不支持的 APP_ID 错误消息。

  “上下文配置文件”页面显示以下错误消息：“此上下文配置文件使用不支持的 APP_ID - [<APP_ID>]。请在确保任何规则中均未使用此上下文配置文件后，手动将其删除。”这是由于升级后存在六个已弃用且在数据路径上已无效的 APP_ID（AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC 和 SVN）所导致的。

  解决办法：确保不再使用这六个 APP_ID 后，手动删除其上下文配置文件。

• 问题 2462079：如果 ESXi 主机上存在失效的 DV 筛选器，则在升级期间会重新引导某些版本的 ESXi 主机。

  对于运行 ESXi 6.5-U2/U3 和 6.7-U1/U2 的主机，在维护模式升级到 NSX-T 2.5.1 时，如果在移出虚拟机后发现主机上存在失效的 DV 筛选器，则主机可能会重新引导。

  解决办法：在升级到 NSX-T Data Center 2.5.1 之前先升级到 ESXi 6.7 U3 或 ESXi 6.5 P04，以避免在 NSX-T Data Center 升级期间重新引导主机。有关详细信息，请参见知识库文章 76607。

• 问题 2730634：对于基于 Uniscale 的设置（具有缩放级别逻辑对象数），“网络组件”页面在升级后显示“索引不同步”(Index out of sync) 错误。

  对于基于 Uniscale 的设置（具有缩放级别逻辑对象数），“网络组件”页面在升级后显示“索引不同步”(Index out of sync) 错误。

  解决办法：使用 admin 凭据登录到 NSX Manager，然后运行“start search resync policy”命令。加载网络组件将需要几分钟时间。

• 问题 2693195：将 MP 节点升级到 310 个无状态传输节点时，工作负载虚拟机可能发生临时 DP 中断。

  将 MP 节点升级到 310 个无状态 TN 时，工作负载虚拟机可能发生临时 DP 中断。升级 MP 节点并重新启动 proton 服务后，在具有超过五十个传输节点的网络上会出现此问题，而且仅在升级期间出现。

  解决办法：无。

• 问题 2716575：NSX-V 到 NSX-T 拓扑迁移失败，并显示前缀列表实现错误消息。

  由于在尝试执行 NSX-V 到 NSX-T 拓扑迁移后未清除路由映射中警报，将显示类似“实现失败，正在等待实现 [{PrefixList}]...”(Realization failure, waiting for realization of [{PrefixList}]...) 的错误消息。

  解决办法：实现完成后清除路由映射上的所有警报。

• 问题 2717667：从 NSX-T 2.5.x 升级到 3.0.x/3.1.x 的环境不能超过 32000 个 POD。

  从 NSX-T 2.5.x 升级到 3.0.x/3.1.x 的环境不能超过 32000 个 POD。超出 32000 个的 POD 不会移动到“正在运行”状态。/var/log/proton/nsxapi.log 中显示以下错误：“No free id found to allocate for request AllocationRequest.”

  解决办法：无。

NSX Edge 已知问题

• 问题 2283559：当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时，https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。

  如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由，从 MP 到 Edge 的请求将耗时 10 秒以上，从而导致超时。这是只读 API，仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

  解决办法：获取 RIB/FIB 有两种方案可供选择。

  • 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
  • CLI 支持需要整个 RIB/FIB 表的情况，且无超时。
• 问题 2521230：在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

  BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分，BGP 还会显示 BFD 状态。如果 BGP 已关闭，则不会处理任何 BFD 通知，并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

  解决办法：依赖于“get bfd-sessions”的输出，然后选中“状态”字段以获取最新的 BFD 状态。

• 问题 2532755：路由表的 CLI 输出和策略输出不一致。

  与 CLI 输出相比，从 UI 下载的路由表具有额外数量的路由。从策略下载的输出中列出了一个额外的路由（默认路由）。这对功能没有任何影响。

  解决办法：无。

NSX Cloud 已知问题

• 问题 2289150：对 AWS 的 PCM 调用失败。

  如果用户将 CSM 上 AWS 帐户的 PCG 角色从 old-pcg-role 更新为 new-pcg-role，则 CSM 会将 AWS 上 PCG 实例的角色更新为 new-pcg-role。但是，PCM 不知道 PCG 角色已经更新，因此继续使用通过 old-pcg-role 创建的旧 AWS 客户端。这会导致 AWS 云清单扫描和其他 AWS 云调用失败。

  解决办法：如果遇到此问题，请在更改为新角色至少 6.5 小时内，不要立即修改/删除旧的 PCG 角色。重新启动 PCG 将使用新的角色凭据重新初始化所有 AWS 客户端。

安全已知问题

• 问题 2491800：不会定期检查 AR 通道 SSL 证书的有效性，这可能会导致对现有连接使用已过期/已吊销的证书。

  连接可能使用已过期/已吊销的 SSL。

  解决办法：重新启动管理器节点上的 APH 以触发重新连接。

联合已知问题

• 问题 2630808：从 3.0.0/3.0.1 到任何更高版本的升级都会造成中断。

  在将全局管理器 (GM) 或本地管理器 (LM) 从 3.0.0/3.0.1 升级到更高版本后，将无法在 GM 和 LM 之间进行通信。

  解决办法：要还原 LM 和 GM 之间的通信，需要将所有 LM 和 GM 都升级到更高版本。

• 问题 2630813：针对计算虚拟机的 SRM 恢复将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。

  如果启动了 SRM 恢复测试或运行，则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。

• 问题 2630819：更改 LM 证书应在 LM 在 GM 上进行注册之前完成。

  如果需要在同一 LM 上使用联合和 PKS，则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务，然后再在 GM 上注册 LM。如果按相反的顺序操作，则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信，并且必须重新注册 LM。

• 问题 2601493：为防止处理负载过高，全局管理器上不支持并发配置载入操作。

  虽然并行配置载入操作互不干扰，但在 GM 上执行多个此类配置载入操作通常会使 GM 在处理其他操作时变得缓慢。

  解决办法：安全管理员/用户必须同步维护时段，以避免并发启动配置载入操作。

• 问题 2605420：UI 显示一般错误消息，而不显示指示本地管理器 VIP 发生更改的具体错误消息。

  全局管理器与站点的通信受到影响。

  解决办法：重新启动全局管理器集群，且一次仅对一个节点执行此操作。

• 问题 2613113：如果正在执行载入操作，在完成本地管理器还原后，全局管理器上的状态不会从 IN_PROGRESS 发生更改。

  UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入已还原站点的配置。

  解决办法：如果需要，使用本地管理器 API 启动本地管理器站点的载入操作。

• 问题 2638571：删除 5000 条 NAT 规则有时需要超过 1 小时的时间。

  NAT 规则在 UI 中仍然可见，但处于灰显状态。您必须等待系统清理这些规则，然后才能创建具有相同名称的 NAT 规则。使用不同名称时则不受影响。 

  解决办法：无。

• 问题 2629422：如果 Tier-1 网关上同时具有 DNS 服务和 LB 服务，则当系统尝试载入站点时，UI 中显示的消息将不完整。

  对于同时提供 DNS/DHCP 服务和单臂 LB 服务的 Tier-1 网关，系统将阻止载入操作。阻止载入操作属于预期行为。 
  UI 中显示的关于可行解决方案的文本仅涉及 DHCP 服务。但同样的解决方案也适用于 DNS 服务。

  解决办法：无。

• 问题 2628428：全局管理器状态最初显示为成功，然后更改为“IN_PROGRESS”。

  在大规模设置中，如果频繁修改太多区域，全局管理器将需要一些时间才能反映配置的正确状态。这会导致稍后才能在 UI/API 上看到“分布式防火墙配置已完成”这一正确状态。

  解决办法：无。

• 问题 2625009：当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时，SR 间 iBGP 会话将不断抖动。

  这会影响联合拓扑中的站点间连接。

  解决办法：使 pNiC 的 MTU 和中间路由器的 MTU 大于全局 MTU（即由 SR 间端口使用的 MTU）。由于封装，数据包的大小将大于 MTU，并且数据包无法通过。

• 问题 2634034：更改延伸的 T1-LR（逻辑路由器）的站点角色后，该逻辑路由器的所有流量会受到影响，受影响时间大约为 6-8 分钟。

  静态路由需要很长时间进行编程且会影响数据路径。更改站点角色后，将会有大约 6-8 分钟的流量丢失。根据配置的规模，该时间甚至可能会更长。

  解决办法：无。