VMware NSX-T Data Center 3.1.1 | 2021 年 1 月 27 日 | 内部版本 17483185

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

新增功能

NSX-T Data Center 3.1.1 包含一系列新特性,从而为私有云、公有云和多云环境提供新的虚拟化网络和安全功能。主要特性和增强功能涵盖以下重点领域。

L3 网络

  • 在 Tier-0 网关上支持 OSPFv2
    • NSX-T Data Center 现在支持将 OSPF 版本 2 作为 Tier-0 网关和物理路由器之间的动态路由协议。只能在外部接口上启用 OSPF,并且 OSPF 可以全部位于同一 OSPF 区域(标准区域或 NSSA)中,甚至跨多个 Edge 节点。这简化了从已使用 OSPF 的现有 NSX for vSphere 部署到 NSX-T Data Center 的迁移。

NSX Data Center for vSphere 到 NSX-T Data Center 的迁移

  • 支持单个站点的通用对象迁移
    • 您可以在主要模式(而不是辅助模式)下迁移部署了单个 NSX Manager 的 NSX Data Center for vSphere 环境。由于这是单个 NSX 部署,对象(本地和通用)将迁移到本地 NSX-T 上的本地对象。该功能不支持具有主要和辅助 NSX Manager 的跨 vCenter 环境。
  • 迁移具有 vRealize Automation 的 NSX-V 环境 - 阶段 2
    • 迁移协调器与 vRealize Automation (vRA) 进行交互,以迁移 vRealize Automation 在其中提供自动化功能的环境。除了 NSX-T 3.1.0 中已支持的拓扑和用例以外,该版本还添加了额外的拓扑和用例。
  • 主机和分布式防火墙的模块化迁移
    • NSX-T 迁移协调器添加了一种新的模式以仅迁移分布式防火墙配置和主机,而由您完成逻辑拓扑(L3 拓扑、服务)迁移。您可以利用迁移协调器提供的就地迁移功能(主机在维护模式下从 NSX-V 移动到 NSX-T,保留了防火墙状态和成员资格,在迁移期间在 NSX for vSphere 和 NSX-T 之间扩展了第 2 层),以使您(或第三方自动化)能够部署 Tier-0/Tier-1 网关和相关服务,从而在拓扑方面提供更大的灵活性。从 UI 和 API 中提供了该功能。
  • 可以从 UI 中对分布式防火墙进行模块化迁移
    •  现在,NSX-T 用户界面提供了防火墙规则的模块化迁移功能。该功能是在 3.1.0 中引入的(仅 API),允许将防火墙配置、成员资格和状态从 NSX Data Center for vSphere 环境迁移到 NSX-T Data Center 环境。该功能迁移防火墙规则并保留状态和成员资格(从而在旧环境和新环境中的虚拟机之间保持安全性)以简化直接迁移,即,在具有 NSX for vSphere 主机的环境和具有 NSX-T 主机的环境之间通过 vMotion 迁移虚拟机。
  • 为利用 vMotion、分布式防火墙迁移和使用桥接功能的 L2 扩展的直接迁移提供了完全验证的场景
    • 该功能支持在两个并行环境之间进行迁移(直接)的完整场景,从而利用 NSX-T 网桥在 NSX for vSphere 和 NSX-T 之间扩展 L2 并进行模块化分布式防火墙迁移。

身份防火墙

  • 为身份防火墙配置提供 NSX 策略 API 支持 - 现在可以通过 NSX 策略 API (https://<nsx-mgr>/policy/api/v1/infra/firewall-identity-stores) 配置 Active Directory 设置以用于身份防火墙规则,该 API 相当于现有的 NSX Manager API (https://<nsx-mgr>/api/v1/directory/domains)。

Advanced Load Balancer 集成

  •  支持使用策略 API 进行 Avi 配置
    • 可以使用 NSX 策略 API 管理虚拟服务及其相关对象的 NSX Advanced Load Balancer 配置。这些独特的对象类型是通过 https://<nsx-mgr>/policy/api/v1/infra/alb-<objecttype> 端点公开的。
       
  • 服务插入阶段 2
    • 该功能支持 NSX-T Advanced Load Balancer (Avi) 中的透明 LB。Avi 将负载均衡的流量发送到服务器,并将客户端的 IP 作为源 IP。该功能利用服务插入将返回流量重定向回服务引擎以提供透明的负载均衡,而无需进行任何服务器端修改。

Edge 平台和服务

  • 服务接口上的 DHCPv4 中继
    • Tier-0 和 Tier-1 网关在服务接口上支持 DHCPv4 中继,从而允许第三方 DHCP 服务器位于物理网络上。 

AAA 和平台安全性

  • 来宾用户 - 本地用户帐户:NSX 客户集成了现有的企业身份存储以载入用户,从而正常运行 NSX-T。不过,确实需要具有一组数量有限的本地用户,在很多情况下,这有助于进行身份和访问管理。例如,(1) 在部署的早期阶段,在以非管理模式配置身份源之前能够引导和运行 NSX,或者 (2) 在无法访问企业身份存储库或与之通信时能够引导和运行 NSX。在这些情况下,可以通过本地用户有效地将 NSX-T 恢复正常运行状态。此外,在某些情况下,例如 (3) 能够在符合行业或联邦法规要求的特定合规状态下管理 NSX,此时使用本地来宾用户是非常有用的。除了现有的 admin 和 audit 本地用户以外,还在 3.1.1 中引入了两个客户机本地用户以支持这些用例并轻松运行 NSX-T。通过使用该功能,NSX admin 获得扩展的特权以管理用户的生命周期(例如,密码轮换等),包括能够自定义和分配相应的 RBAC 权限。请注意,在 NSX-T 本地管理器 (LM) 和全局管理器 (GM) 上均提供了本地用户功能,但在 3.1.1 中无法通过 API 和 UI 在 Edge 节点上使用该功能。默认情况下,将禁用来宾用户,必须明确将其激活才能使用,并且可以随时将其禁用。 
     
  • FIPS 兼容 Bouncy Castle 升级:NSX-T 3.1.1 包含更新版本的 FIPS 兼容 Bouncy Castle (v1.0.2.1)。Bouncy Castle 模块是一个基于 Java 的密码库、函数和 API 集合。Bouncy Castle 模块在 NSX-T Manager 上广泛使用。升级的版本解决了严重的安全错误,并有助于以合规且安全的方式运行 NSX-T。 

NSX Cloud

  • Azure 中的 NSX Marketplace 设备:从 NSX-T 3.1.1 开始,您可以选择在公有云中完全部署 NSX 管理平面和控制平面(对于 NSX-T 3.1.1,仅支持 Azure。在将来的版本中支持 AWS)。NSX 管理/控制平面组件和 NSX Cloud 公有云网关 (PCG) 打包为 VHD,并在 Azure Marketplace 中提供。对于公有云中的绿地部署,您还可以选择使用“一键式”Terraform 脚本在 Azure 中执行完整 NSX 安装。 
  • NSX Cloud Service Manager HA:如果您在公有云中部署 NSX 管理/控制平面,NSX Cloud Service Manager (CSM) 也具有 HA。PCG 已在活动-备用模式下部署,从而启用了 HA。 
  • 适用于 Horizon Cloud VDI 的 NSX Cloud 增强功能:从 NSX-T 3.1.1 开始,在使用 NSX Cloud 保护 Azure 中的 Horizon VDI 时,您可以将 NSX 代理作为 VDI 中的 Horizon Agent 安装的一部分进行安装。该功能还解决了使用多个组件(VDI、PCG 等)及其相应操作系统版本时遇到的难题之一。任何版本的 PCG 可以与虚拟机上的任何版本的代理一起使用。如果不兼容,则会在 NSX Cloud Service Manager (CSM) 中显示不兼容问题,从而利用现有的框架。 

运维

  • 使用基于 UI 的升级准备工具从 NVDS 迁移到具有 NSX-T Data Center 的 VDS
    • 要将传输节点从 NVDS 迁移到具有 NSX-T 的 VDS,您可以使用 NSX Manager 用户界面上的入门向导中提供的升级准备工具。可以使用该工具获取建议的具有 NSX 的 VDS 配置,创建或编辑建议的具有 NSX 的 VDS,然后在将 ESX 主机升级到 vSphere Hypervisor (ESXi) 7.0 U2 时自动将交换机从 NVDS 迁移到具有 NSX 的 VDS。

许可

  • 在所有 vSphere 版本中为 NSX-T Data Center 用户启用 VDS:从 NSX-T 3.1.1 开始,您可以在所有版本的 vSphere 中使用 VDS。您有权使用相等数量的 CPU 许可证以使用 VDS。该功能确保您可以实例化 VDS。

容器网络连接和安全

  • 在 vSphere with Tanzu 集群上,对于每个启用了 vLCM 的 vCenter,该版本最多支持 50 个集群(ESXi 集群),如 configmax.vmware.com 中所述。

联合

兼容性和系统要求

有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》

API 弃用和行为变化

未分配的标记的保留期:在 NSX-T 3.0.x 中,系统在 5 天后自动删除分配了 0 个虚拟机的 NSX 标记。在 NSX-T 3.1.0 中,系统任务已修改为每天运行,从而清理时间超过一天的未分配标记。无法通过手动方法强制删除未分配的标记。

不允许使用重复的证书扩展:从 NSX-T 3.1.1 开始,根据安全证书管理 RFC 准则和行业最佳做法,NSX-T 拒绝具有重复扩展(或字段)的 x509 证书。请注意,这不会影响升级到 3.1.1 之前已在使用的证书。否则,当 NSX 管理员在部署 NSX-T 3.1.1 后尝试替换现有证书或安装新证书时,将强制进行检查。

API 和 CLI 资源

请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2021 年 1 月 27 日。第一版。
2021 年 2 月 5 日。第二版。添加了已知问题 2663483、2693576、2697537 和 2711497。
2021 年 3 月 4 日。第三版。在“新增功能”部分添加了“联合”。
2021 年 4 月 26 日。第四版。添加了已知问题 2674759、2679344、2689867、2697116、2738345、2740587。
2021 年 6 月 16 日。第五版。添加了已解决的问题 2668561。
2021 年 9 月 17 日。第六版。添加了已知问题 2761589。

已解决的问题

  • 已修复问题 2641824:在 UI 上,BFD 配置文件实现状态显示为“未初始化”。

    没有任何影响。可以忽略该实现状态。

  • 已修复问题 2643313:在载入的站点上成功实现的全局 T0 的实现状态为站点 Edge 传输节点错误地显示“逻辑路由器端口配置实现错误”(logical router port configuration realization error)。

    在实现 T0 逻辑路由器端口时,您可能会注意到实现失败并显示错误。如果使用策略 API,该问题是暂时性的,将在 T0-T1 检测完成时解决。

  • 已修复问题 2643632:在本地管理器上将全局服务添加为嵌套服务时,不显示任何错误。

    策略意图创建成功,但实现失败。不会在管理平面上实现本地服务,因此,无法在分布式防火墙规则中使用该服务。

  • 已修复问题 2646814:总体合并状态显示 IN_PROGRESS,而每个实施点的单个合并状态显示 SUCCESS。

    合并状态显示 IN_PROGRESS,但未提供有关哪个站点具有 IN_PROGRESS 状态的信息。

  • 已修复问题 2648349:在管理平面收集流跟踪的观察结果或实时跟踪的跟踪操作结果时,显示重复的 ObjectNotFoundException 日志和异常回溯追踪。

    在创建 LTA/流跟踪会话时,您将会在 nsxapi.log 中看到重复的 ObjectNotFoundException 日志内容。

  • 已修复问题 2650292:在联合中,如果在两个不同的组中使用子组,并且第二个父组具有较大的跨度,由于创建引用对象,子组的跨度将大于第一个父组的跨度。可以扩展第一个父组的跨度,但无法恢复为原始跨度。

    您无法在全局管理器上缩小域的跨度。

  • 已修复问题 2654842:可能在 Windows 物理服务器传输节点创建成功之前创建分段端口,从而导致分段端口变为失败状态。

    没有可见的 UI 指示,以说明您需要等到传输节点状态变为“成功”,然后再继续为 Windows 物理服务器创建分段端口。如果尝试在传输节点成功之前创建分段端口,该操作将失败。

  • 已修复的问题 2658484:在 vSphere Update Manager“并行模式”下,不完全支持通过 vSphere Update Manager 从 NVDS 迁移到 CVDS。

    如果在并行模式下通过 vSphere Update Manager 升级 ESX 以触发 NVDS 到 CVDS 的迁移,则可能会出现迁移问题。交换机不会自动从 NVDS 迁移到 CVDS。系统可能会处于不一致状态。

  • 已修复问题 2649228:在故障切换期间将 IP 从一个 SR 移动到另一个 SR 时,IPv6 重复 IP 检测 (DAD) 状态机在 T0/T1 SR 背板端口(以及 T1 SR 上行链路端口)上产生 3 秒的延迟。 

    在使用 T0 A/A 进行故障切换期间,南北向连接最多丢失 6 秒的 v6 流量。

  • 已修复的问题 2661502:对于计划外切换,如果全局管理器丢失,但在切换后恢复联机,则无法从 UI 中将该全局管理器设置为备用全局管理器。

    在切换到备用全局管理器(新的活动全局管理器)后,如果以前的活动全局管理器恢复联机,则旧活动全局管理器的状态为“无”。在您尝试从 UI 中将其设置为备用全局管理器时,该操作将失败。

  • 已修复问题 2623704:如果使用管理平面 API 配置 L3 转发模式,策略将使用默认模式 IPV4_ONLY 覆盖管理平面更改并中断 IPv6 连接。

    L3 转发模式配置是在 NSX-T 3.0.0 版本的策略中引入的。该问题影响从 NSX-T 3.0.1 和 3.0.2 升级到 NSX-T 3.1.0。从 NSX-T 2.5.x 升级到 NSX-T 3.1.0 以及从 NSX-T 3.0.0 升级到 NSX-T 3.1.0 不受影响。将在数据路径中禁用 IPv6 转发,从而导致 IPv6 连接中断。

  • 已修复的问题 2674146:在升级到 NSX-T 3.1.0 时,在主机升级部分中为所有集群/主机组显示并激活“转储”按钮。该选项仅适用于启用了 vSphere Lifecycle Management (vLCM) 的集群,而不适用于这种情况,因为对 vLCM 的 NSX-T 支持是从 NSX-T 3.1.0 和 vSphere 7.0 U1 版本组合开始启用的。

    尽管未在任何集群上启用 vSphere Lifecycle Management,但为所有集群激活了“转储”按钮。如果单击“转储”选项,将显示一条确认消息,如果您随后单击“是”,集群显示好像已进行了升级转储。如果您随后单击“开始”以开始升级,集群执行的升级就像从常规 NSX 主机升级中启动一样。

  • 已修复问题 2659168:在节点重新启动期间,异步复制程序通道有时保持关闭状态。

    同步状态为“关闭”。全局管理器上的更改不会传输到本地管理器。

  • 已修复问题 2655295:在升级后,存储库同步状态在 NSX Manager UI 上标记为“失败”。

    存储库同步状态在 NSX Manager UI 上显示为“失败”。不过,您可以执行所有安装和升级相关操作。

  • 已修复问题 2658950:如果使用本地管理器的 VIP 将其添加到全局管理器,但随后发布了本地管理器的 FQDN,本地管理器的升级工作流将会中断。

    如果使用本地管理器的 VIP 将其添加到全局管理器,并随后发布了本地管理器的 FQDN,则全局管理器无法访问本地管理器以执行升级。

  • 已修复问题 2609681:在具有第 7 层 APPID 或 FQDN 上下文配置文件的规则上不支持 DFW 跳转规则操作。

    在执行 vMotion 后,流量将不符合预期的规则。规则匹配是不正确的,它允许本应阻止的流量通过。

  • 已修复问题 2657943:升级在具有多个磁盘的裸机服务器上部署的 Edge 可能会失败。

    当系统在更新期间重新引导时,引导失败并显示与挂载文件系统相关的错误。Edge 升级将失败。

  • 已修复问题 2653227:从 NSX 中移除物理服务器时,到物理服务器的连接断开,并且 NSX 卸载失败。

    物理服务器上的分段端口的连接接口配置为“使用现有的 IP”。  如果从 NSX 中移除物理服务器而未先移除分段端口,到物理服务器的连接将断开,并且 NSX 卸载失败。

  • 已修复问题 2658199:  在添加 Windows 裸机服务器 2016/2019 时,在“应用 NSX 交换机配置”步骤中显示“主机已断开连接”(host disconnected) 错误。

    不管错误消息如何(可能存在问题,也可能不存在),安装似乎继续进行并最终正确完成。

  • 已修复的问题 2658713:在连接到 T0 分段的工作负载为 G 组发送 IGMP 退出时,没有从 T0 SR 上的 IGMP 侦听表中移除该条目。

    在连接到 T0 分段的工作负载为 G 组发送 IGMP 退出时,没有从 T0 SR 上的 IGMP 侦听表中移除该条目。

  • 已修复问题 2652154:在站点中删除大量资源的情况下,全局管理器处理删除操作的速度可能较慢。

    显示错误消息,以指出无法创建或删除特定的资源,因为它将影响站点上的很多待清理资源的范围。这些错误消息指示全局管理器仍在确认从所有站点中清理很多资源的操作。

  • 已修复问题 2659234:在并行触发实时流量分析 (LTA) 请求时,未释放 LTA 会话。

    当存在未清除的 LTA 会话时:

    1. 主机将不断向管理平面 (MP) 报告 LTA 结果,因此,MP 始终接收泄露的 LTA 会话并在 nsxapi.log 中输出日志。
    2. 从具有未清除的 LTA 会话的主机中发送的数据包将填充 LTA INT Geneve 标头。
  • 已修复问题 2622846:启用了代理设置的 IDS 无法访问用于下载签名的 GitHub。

    下载签名包的新更新将失败。

  • 已修复问题 2656929:如果 Windows 2016/2019 物理服务器未完成,在尝试创建分段端口时,分段端口将失败。

    分段端口将显示失败。

  • 已修复问题 2645877:在裸机 Edge 中,通过 VRF 网关的流量可能无法到达其目标。

    链路伙伴上的数据包捕获显示,收到的数据包没有校验和,但在 IP 标头中具有分段偏移。将丢弃跨 VRF 网关的流量,因为数据包已损坏。

  • 已修复问题 2637241:在更换本地管理器证书后,全局管理器到本地管理器的通信中断(依靠密码/指纹的工作流)。

    全局管理器到本地管理器的通信缺少状态更新和某些功能。

  • 已修复的问题 2522909:如果升级部署失败并显示“URL 无效”(Invalid url),在更正 URL 后,服务虚拟机升级无法正常工作。

    升级将处于失败状态并显示错误的 URL,从而阻止进行升级。

  • 已修复的问题 2527671:未配置 DHCP 服务器时,在 Tier-0/Tier-1 网关或分段上检索 DHCP 统计信息/状态会显示一条错误消息,指示实现不成功。

    这对功能没有任何影响。这条错误消息不正确,应报告 DHCP 服务器未配置。

  • 已修复问题 2549175:策略搜索失败,并显示以下消息:“无法使用 start search resync policy 解决 (Unable to resolve with start search resync policy)”。

    NSX Manager 节点获得新 IP 时,由于搜索不同步,策略搜索失败。

  • 已修复问题 2588072:NVDS 交换机上具有 VMK 时,NVDS 到 CVDS 交换机迁移程序不支持无状态 ESX。

    对于无状态 ESX 主机,如果 NVDS 交换机上具有 VMK,则将无法使用 NVDS 到 CVDS 交换机迁移程序进行迁移。

  • 已修复问题 2627439:如果在迁移之前将传输节点配置文件应用于集群,则系统会在迁移后创建一个处于分离状态的额外传输节点配置文件。

    系统将为每个原始传输节点配置文件生成一个额外的传输节点配置文件。

  • 已修复问题 2628428:全局管理器状态最初显示为成功,然后更改为“IN_PROGRESS”。

    在大规模设置中,如果频繁修改太多区域,全局管理器将需要一些时间才能反映配置的正确状态。这会导致稍后才能在 UI/API 上看到“分布式防火墙配置已完成”这一正确状态。

  • 已修复问题 2634034、2656024:更改延伸的 T1-LR(逻辑路由器)的站点角色后,该逻辑路由器的所有流量会受到影响,受影响时间大约为 6-8 分钟。

    静态路由需要很长时间进行编程且会影响数据路径。更改站点角色后,将会有大约 6-8 分钟的流量丢失。根据配置的规模,该时间甚至可能会更长。

  • 已修复问题 2527344:如果在 Tier-0 VRF LR 路由重新分发中选择“TIER0_EVPN_TEP_IP”以作为类型,则 TIER0_EVPN_TEP_IP 不会重新分发到 BGP 中,因为它位于父 Tier-0 LR 中,从而导致数据路径中断。

    这样做不会向 DC 网关(对等项 BGP 路由器)通告 TIER0_EVPN_TEP_IP。在 Tier-0 VRF LR 路由重新分发中,您可以选择“TIER0_EVPN_TEP_IP”以作为类型,但在 Tier-0 VRF LR 上没有“TIER0_EVPN_TEP_IP”的路由。

  • 已修复问题 2547524:在跨站点 vMotion 用例中,如果在全局组中使用发现的分段端口,则不会应用防火墙规则。

    未按预期方式推送规则。

  • 已修复问题 2573975:在配置“任意到任意”SNAT 规则时,如果为 source-network/destination-network/translated-network 属性指定的地址为空字符串 (""),将导致管理平面上的实现失败。

    不会在 Edge 和管理平面上实现该规则。

  • 已修复的问题 2668561:如果负载均衡器虚拟服务器配置了单个端口范围(例如 1000-2000),这可能会导致实现该负载均衡器的 Edge 节点上的数据路径进程崩溃,从而导致流量中断。

    通过 Edge 的流量可能会中断,并且与该 Edge 节点之间的 BGP 对等连接可能会中断。

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 2329273:同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。

    不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。

    解决办法:无 

  • 问题 2355113:对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。

    在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。

    解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。

  • 问题 2520803:EVPN 部署中手动路由标识和路由目标配置的编码格式。

    您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是,强烈建议使用 Type-1 编码方案在 EVPN 部署中配置手动路由标识。此外,仅允许手动路由目标配置的 Type-0 编码。

    解决办法:仅为路由标识配置 Type-1 编码。

  • 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2537989:清除 VIP(虚拟 IP)并不会清除所有节点上的 vIDM 集成。

    如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager,则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP,则必须在每个单独的节点上手动修复 vIDM 集成。

    解决办法:分别访问每个节点,手动修复每个节点上的 vIDM 配置。

  • 问题 2526769:多节点集群上的还原操作失败。

    在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。

    解决办法:部署新的设置(一个节点集群),然后启动还原过程。

  • 问题 2523212:nsx-policy-manager 变得无响应并重新启动。

    对 nsx-policy-manager 的 API 调用将开始失败,并且服务不可用。直到策略管理器重新启动并变为可用之后,您才能访问该管理器。

    解决办法:调用最多包含 2000 个对象的 API。

  • 问题 2521071:对于在全局管理器中创建的分段,如果它具有 BridgeProfile 配置,那么不会将第 2 层桥接配置应用于单个 NSX 站点。

    分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。

    解决办法:在 NSX 站点创建分段,并使用网桥配置文件对其进行配置。

  • 问题 2532127:仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时,LDAP 用户才无法登录 NSX。

    用户身份验证失败,并且用户无法登录到 NSX 用户界面。

    解决办法:无。

  • 问题 2482580:从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。

    从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

    解决办法:无。

  • 问题 2534933:无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。

    您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

    解决办法:请参见 VMware 知识库文章 78794

  • 问题 2499819:对于 vCenter 6.5 或 6.7,从 NSX for vSphere 到 NSX-T Data Center 的基于维护的主机迁移可能会由于 vMotion 错误而失败。

    主机迁移页面上显示以下错误消息:
    在主机迁移期间预迁移阶段失败 [原因: [vMotion] 无法继续迁移: 对虚拟机 b'3-vm_Client_VM_Ubuntu_1404-shared-1410' 执行 vMotion 操作的尝试次数达到上限] (Pre-migrate stage failed during host migration [Reason: [Vmotion] Can not proceed with migration: Max attempt done to vmotion vm b'3-vm_Client_VM_Ubuntu_1404-shared-1410'])。

    解决办法:重试主机迁移。

  • 问题 2557287:不会还原备份后完成的 TNP 更新。

    在还原的设备上看不到任何备份后完成的 TNP 更新。

    解决办法:在对 TNP 进行更新后进行备份。

  • 问题 2392064:Edge 阶段迁移失败,并显示“无法获取错误列表”(Failed to fetch error list) 错误。

    迁移失败,但未显示失败(DHCP 插件异常)原因。

    解决办法:回滚迁移,然后重试。

  • 问题 2468774:如果启用了“检测到 NSX 配置更改”选项,即使没有进行配置更改,也会创建备份。

    创建的备份太多,因为即使没有进行配置更改,也会创建备份。

    解决办法:增加与该选项关联的时间,从而降低创建备份的速度。

  • 问题 2523421:在配置了外部负载均衡器(配置了循环连接持久性)时,LDAP 身份验证无法正常工作。

    API LDAP 身份验证无法可靠地工作,并且仅在负载均衡器将 API 请求转发到特定管理器时才有效。

    解决办法:无。

  • 问题 2534921:如果在 PATCH API 调用中未指定 inter_sr_ibgp 属性,则会禁止在 BgpRoutingConfig 实体中更新其他字段。

    PATCH API 调用无法更新 BGP 路由配置实体,并显示“BGP 服务路由器间路由需要启用全局 BGP 和 ECMP 标记”(BGP inter SR routing requires global BGP and ECMP flags enabled) 错误消息。不会更新 BgpRoutingConfig。

    解决办法:在 PATCH API 调用中指定 inter_sr_ibgp 属性,以允许更改其他字段。

  • 问题 2566121:UA 节点停止接受任何新的 API 调用,并显示“某些设备组件未正常运行”(Some appliance components are not functioning properly) 消息。

    UA 节点停止接受任何新的 API 调用,并显示“某些设备组件未正常运行”(Some appliance components are not functioning properly) 消息。大约有 200 个连接卡在 CLOSE_WAIT 状态。这些连接尚未关闭。将拒绝新的 API 调用。

    解决办法:重新启动 proton 服务 (service proton restart) 或重新启动 Unified Appliance 节点。

  • 问题 2574281:策略最多仅允许 500 个 VPN 会话。

    NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:
    {'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}

    解决办法:使用管理平面 API 创建其他 VPN 会话。

  • 问题 2596162:在交换机名称包含单引号时,无法更新交换机的 nsxaHealthStatus。

     NSX 配置状态为部分成功,因为无法更新交换机的运行状况。 

    解决办法:更改主机交换机名称,以使其不包含任何单引号。

  • 问题 2596696:从 API 中创建分段端口时,在策略日志中观察到 NsxTRestException。

    在策略日志中观察到 NsxTRestException。无法使用 API 创建分段端口。

    解决办法:在 PortAttachmentDto 中填充 Id 字段,或者在 API 输入中将其作为 Null 传递。

  • 问题 2610718:如果未明确指定 lb_enable 和 vidm_enable 标记,尝试使用 nsx-cli 将 vIDM 连接到 NSX 将失败。

    将显示“在尝试更新 vIDM 属性时出错”(An error occurred attempting to update the vidm properties) 错误。您只能使用 UI 或直接通过 REST API 连接 vIDM,或者在通过 CLI 连接时明确定义 lb_enable 和 vidm_enable 标记。

    解决办法:在使用 nsx-cli 连接 vIDM 时,请将 vidm_enable 或 lb_enable 标记视为非可选标记。

  • 问题 2628503:甚至在强制删除管理器 NS 组后,仍会应用 DFW 规则。

    在强制删除 NS 组时,可能仍会阻止流量。

    解决办法:不要强制删除 DFW 规则仍使用的 NS 组,而是清空 NS 组或删除 DFW 规则。

  • 问题 2631703:在对具有 vIDM 集成的设备进行备份/还原时,vIDM 配置将被破坏。

    通常,在升级和/或还原环境后,尝试还原已启动并运行 vIDM 集成的设备将导致该集成被破坏,您必须重新进行配置。

    解决办法:在还原后,手动重新配置 vIDM。

  • 问题 2638673:清点未发现虚拟机的 SRIOV vNIC。

    在“添加新的 SPAN 会话”对话框中未列出 SRIOV vNIC。在添加新的 SPAN 会话时,您将看不到 SRIOV vNIC。

    解决办法:无。

  • 问题 2647620:在具有大量无状态主机(传输节点)的 NSX 配置环境中,将管理平面节点升级到 3.0.0 和更高版本时,某些无状态主机上的工作负载虚拟机的连接可能会暂时中断。

    这仅适用于为 NSX 3.0.0 和更高版本配置的无状态 ESX 主机。

    解决办法:无。

  • 问题 2639424:在基于主机的服务虚拟机部署中,对 vLCM 集群中的主机进行修复时,修复进度在完成 95% 后失败。

    主机的修复进度将停留在 95%,并在到达 70 分钟的超时时间后失败。

    解决办法:请参见 VMware 知识库文章 81447

  • 问题 2636855:在系统范围的逻辑交换机端口数超过 25K 个时,将引发最大容量警报。

    在系统范围的逻辑交换机端口数超过 25K 个时,将引发最大容量警报。但实际上,对于 PKS 大型环境,容器端口的限制为 60K 个;PKS 环境中的逻辑交换机端口数超过 25K 个是正常情况。

    解决办法:无。

  • 问题 2636771:在使用多个标记对标记资源并且标记和范围与任何标记和范围值匹配时,搜索可能会返回资源。

    这会影响使用标记和范围条件的搜索查询。如果标记和范围与任何对匹配,筛选器可能会返回额外的数据。

    解决办法:无。

  • 问题 2643610:负载均衡器统计信息 API 不返回统计信息。

    未设置 API 的统计信息。您看不到负载均衡器状态。

    解决办法:减少配置的负载均衡器数。

  • 问题 2555383:在 API 执行期间出现内部服务器错误。

    在 API 调用执行期间观察到内部服务器错误。API 将导致 500 错误,并且未提供所需的输出。

    解决办法:遇到该错误是因为会话失效。在这种情况下,请重新执行会话创建 API 以创建新的会话。

  • 问题 2662225:当活动 Edge 节点在传输南北向流量期间变为非活动 Edge 节点时,将会丢失流量。

    当前南北向流在多播活动节点上运行。TOR 上到源的首选路由应仅通过多播活动 Edge 节点。
    启动另一个 Edge 可能会接替多播活动节点(级别较低的 Edge 成为活动多播节点)。当前的南北向流量将丢失最多 4 分钟的时间。如果停止并重新启动当前流,这不会影响新的流。

    解决办法:当前的南北向流量将在 3.5 到 4 分钟内自动恢复。要更快地进行恢复,请禁用多播并通过配置重新启用。

  • 问题 2610851:对于少数资源类型筛选器组合,命名空间、计算集合、L2VPN 服务网格筛选可能不返回任何数据。

    即使具有符合条件的数据,同时为几种类型应用多个筛选器也不会返回任何结果。这不是一种常见的情况,仅对于以下筛选器属性组合,这些网格的筛选器才会失败:

    • 对于命名空间网格 ==> 在集群名称和 Pod 名称筛选器上
    • 对于网络拓扑页面 ==> 在 L2VPN 服务上应用远程 IP 筛选器
    • 对于计算集合 ==> 在计算管理器筛选器上

    解决办法:您可以每次为这些资源类型应用一个筛选器。

  • 问题 2587257:在某些情况下,在目标收到 NSX-T Edge 发送的 PMTU 数据包时,将其忽略。

    PMTU 发现失败而导致分段和重组,并丢弃数据包。这会导致性能下降或流量中断。

    解决办法:无。

  • 问题 2587513:在网桥配置文件绑定中配置多个 VLAN 范围时,策略显示错误。

    您将看到“VLAN ID 无效”(INVALID VLAN IDs) 错误消息。

    解决办法:在分段上使用 VLAN 范围创建多个网桥端点,而不是使用所有 VLAN 范围创建一个网桥端点。

  • 问题 2682480:可能发出虚假的 NCP 运行状况警报。

    NCP 运行状况警报可能是不可靠的,即,在 NCP 系统处于正常运行状态时发出警报。

    解决办法:无。

  • 问题 2690457:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器,proton 服务可能无法在加入节点上正确重新启动。

    加入管理器无法正常工作,并且 UI 不可用。

    解决办法:为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。

  • 问题 2691432:还原可能会失败。

    在某些情况下,还原可能无法正常工作。

    解决办法:单击 UI 中的“重试”按钮以再次尝试进行还原。

  • 问题 2685550:在应用于桥接的分段时,防火墙规则实现状态始终显示为“正在进行中”。

    在将防火墙规则应用于 NS 组时,如果该 NS 组包含桥接的分段以作为其成员之一,实现状态将始终显示为“正在进行中”。您无法检查应用于桥接的分段的防火墙规则的实现状态。

    解决办法:从 NS 组成员列表中手动移除桥接的分段。

  • 问题 2690996:如果系统分配的 L2 转发器 VTEP 组 ID 与分配给传输节点的 VTEP 标签冲突,跨站点数据包转发可能会在 KVM 节点上失败。

    连接到延伸分段的虚拟机可能会断开跨位置的连接。跨站点流量不适用于 KVM 部署的冲突分段。

    解决办法:定义新的分段,并将工作负载切换到新分段。

  • 问题 2694496:通过 Webclient/UAG 访问 VDI 引发错误。

    尝试从 Horizon 门户访问 VDI 时,在端口“22443”上发生超时并显示错误。

    解决办法:重新引导 VDI。

  • 问题 2694707:如果公有云网关发生 HA 故障切换,云虚拟机上的某些防火墙规则的运行状态可能显示“未知”。

    NSX 策略 UI 上的防火墙规则运行状态可能显示“未知”。这对功能没有任何影响。将成功实现所有规则。在两个公有云网关均联机时,将会自行清除该状态并变为正常运行。

    解决办法:无。

  • 问题 2684574:如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。

    如果 Edge 具有 6000 多个路由,用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误:
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv

    如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。这是一个只读 API,仅在使用 API/UI 下载 6000 多个用于 OSPF 路由和数据库的路由时才会有影响。

    解决办法:使用 CLI 命令从 Edge 中检索信息。

  • 问题 2674689:如果在 URT 和开始迁移之间更新了传输节点,它将丢失额外的配置文件。

    传输节点迁移在 TN_Validate 阶段失败。

    解决办法:运行 URT,然后再次触发 MigrateToCvdsTask。您可以使用以下 API 进行清理:"POST https://<manager-ip>/api/v1/nvds-urt?action=cleanup"

  • 问题 2697549:如果在集群上部署了 GI 服务,URT ApplyTopology 将失败,因为 URT 无法对传输节点部署的 GI 服务进行更改。

    URT ApplyTopology 返回总体状态 APPLY_TOPOLOGY_FAILED。

    解决办法:移除 GI 部署,然后重新运行 URT 预检查和 ApplyTopology。

  • 问题 2687948:从 IP 地址切换到 FQDN 后,LR 无法正常工作。

     在 UI 中观察到“获取 LR 状态超时”(Fetching LR status timed out) 错误,并且 GM 日志复制将停止。

    解决办法:取消设置 FQDN,并在活动和备用站点上重新启动所有 LR 节点。

  • 问题 2603550:在 UA 节点升级期间,已使用 vMotion 迁移某些虚拟机,并且它们断开网络连接。

    在 NSX UA 节点升级期间,您可能会发现已通过 DRS 迁移某些虚拟机,并且它们在迁移后断开网络连接。

    解决办法:在执行 UA 升级之前,将 DRS 自动化模式更改为手动。

  • 问题 2622240:跨 7.0.2 (X.Y.Z-U.P) 版本的 ESX 升级仅触发 NVDS 到 CVDS 的迁移。

    不会为任何“U.P”(更新-修补程序)升级触发迁移。ESX 版本指定为 X.Y.Z-U.P,其中 X = 主要版本,Y = 次要版本,Z = 维护版本,U = 更新,P = 修补程序

    解决办法:需要使用 API/UI 启动 NVDS 到 CVDS 的迁移。
    POST https://{{nsxmanager-ip}}/api/v1/transport-nodes/{{transportnode-id}}?action=migrate_to_vds

  • 问题 2702168:从 NSX-T 3.0 升级到 NSX-T 3.1 后,您无法对 VRF LR 进行任何更改。

    如果在 VRF LR 重新分发规则中添加了 TIER0_EVPN_TEP_IP,您无法对 VRF LR 进行任何更改。将显示一条验证错误,以指出 VRF LR 不支持“TIER0_EVPN_TEP_IP”。

    解决办法:

    1. 使用策略 API 在 VRF 区域设置服务中移除 TIER0_EVPN_TEP_IP。
    2. 根据需要,更改名称。
  • 问题 2534089:在传输节点(主机)上启用 IDS 服务后,启用了 IDS 的主机上的虚拟机流量将意外停止传输。

    在 vSphere 集群上启用 NSX IDS/IPS(以仅检测模式或检测并阻止模式)并将 IDS/IPS 应用于工作负载时,启用 IDPS 引擎就可能会触发锁定状况。结果,将丢弃与 Hypervisor 上受 IDS/IPS 或深度数据包检查服务 (L7 App-ID) 限制的所有工作负载之间的所有流量。不受 IDS/IPS 或深度数据包检查限制的流量不会受到影响;在禁用 IDS/IPS 或不再将其应用于流量时,将会立即恢复流量。

    解决办法:请参见 VMware 知识库文章 82043

  • 问题 2688584:由于一个 LR 节点发生 TransactionAbortedException 并关闭其线程池,获取 LR 同步状态超时。

     您将无法进行切换,并且 LR 将会停止。

    解决办法:在活动和备用站点上重新启动所有 LR 节点。

  • 问题 2692344:如果您删除 Avi 实施点,它将从策略中删除所有实现的对象,这会从策略中删除默认对象的所有实现的实体。在添加新的实施点时,无法从 Avi 控制器中重新同步默认对象。 

    在删除并重新创建 AVIConnectionInfo 的实施点后,您将无法使用系统默认对象。

    解决办法:不应删除实施点。如果进行了任何更改,可以对其进行更新,但不应将其删除。

  • 问题 2636420:如果备份后在集群上运行“移除 NSX”,主机将在还原后变为“已跳过 NSX 安装”状态,并且集群处于“失败”状态。

    主机将显示“已跳过 NSX 安装”。

    解决办法:在还原后,您必须再次在集群上运行“移除 NSX”,以实现备份后存在的状态(“未配置”状态)。

  • 问题 2679344:在扩展的 Active Directory 配置中以 LDAP 用户身份登录到 NSX-T Manager 节点可能需要很长的时间或失败。

    登录需要很长的时间或超时,并且可能会失败。

    解决办法:请参见 VMware 知识库文章 82331

  • 问题 2711497:将 NSX Cloud 从旧版本升级到 NSX-T 3.1.1 可能会使代理的虚拟机暂时陷入错误状态。

    在升级 PCG 之前,您将失去对虚拟机的访问权限,并且可能出现应用停止运行情况。

    解决办法:

    1. 导航到 CSM 升级页面。
    2. 等待升级页面加载。(可能需要最多 5 分钟才能完成加载。)
    3. 单击开始升级。同步完成后,将显示 VPC/实例列表。
    4. 单击下一步
    5. 单击跳过 NSX Tools 升级
    6. 选择要升级的 PCG。
    7. 单击下一步
    8. 在 CSM CLI 上重新启动升级协调器:restart service install-upgrade
    9. 导航到 CSM 升级页面。等待升级页面加载。(可能需要最多 5 分钟才能完成加载。)
    10. 单击开始升级。同步完成后,将显示 VPC/实例列表。
    11. 选择要升级的代理。
    12. 单击下一步。将显示代理升级状态。
  • 问题 2697537:启用锁定模式后,创建首个逻辑交换机时会出现长达 4 分钟的延迟。

    启用锁定模式后,首个逻辑交换机的创建过程会延迟 4 分钟。

    解决办法:无。

  • 问题 2738345:BGP 扩展大型社区属性在使用正则表达式配置后失败。

    如果使用正则表达式配置 BGP 扩展大型社区属性,则 FRR-CLI 将失败,并且配置不会生效,由此导致 BGP 路由筛选无法正常执行。

    解决办法:无。

  • 问题 2740587:如果在禁用 BFD 或删除 BGP 邻居之前删除 Tier-0 上行链路,路由模块会将 BFD 配置设置为启用。

    这没有任何影响,但在删除最后一个上行链路后,Tier-0-HA 将处于“关闭”状态,因为没有北向连接。

    解决办法:在删除上行链路之前,禁用 BFD 或删除 BGP 邻居。

  • 问题 2674759:从 NSX-T 3.0 升级到 NSX-T 3.1.1 后,无法对 VRF LR 进行更改,并且会出现“需移除在 VRF LR 重新分发中配置的 TIER0_EVPN_TEP_IP”的验证错误。

    如果在 NSX-T 3.0 中向 VRF LR 重新分发规则添加了 TIER0_EVPN_TEP_IP,则在升级到 NSX-T 3.1.1 后,您无法对 VRF LR 进行任何更改。

    解决办法:

    1. 仅通过 API 从 VRF LR 重新分发中移除“TIER0_EVPN_TEP_IP”。
    2. 更改 VRF LR 名称。
  • 问题 2697116:载入后,连接到单臂负载均衡器 Tier-1 网关的 CSP 接口出现错误。

    从单臂负载均衡器传出的流量将会丢失。

    解决办法:使用正确的分段重新配置单臂负载均衡器 Tier-1。

  • 问题 2689867:分段端口停留在“待删除”状态。

    分段端口与全局管理器断开连接后,在本地管理器上,它们显示为停留在“待删除”状态。  

    解决办法:

    1. 要删除本地管理器上的所有分段端口,请调用以下 API。列出要删除的分段端口的所有路径。
      POST https://nsx-lm/policy/api/v1/troubleshooting/infra/tree/realization?action=cleanup
      {    
      "paths" : ["/global-infra/segments/ENT_TST_MISC/ports/default:32ea95e4-9fce-4891-a8ba-71781916d9bb"]
      }
    2. 通过调用以下 API,确保在本地管理器上删除分段端口。此 API 在本地管理器上应该找不到分段端口。
      GET "https://10.152.3.31/policy/api/v1/global-infra/segments/ENT_TST_MISC/ports/default:32ea95e4-9fce-4891-a8ba-71781916d9bb
    3. 在本地管理器上运行通知完全同步(以更正全局管理器上的状态)。
      POST https://nsx-lm/policy/api/v1/infra/full-sync-action?action=request_notifications_full_sync
    4. 等待任务完成。您可以通过调用以下 API 监控此任务在全局管理器上的状态。
      GET https://nsx-GM/global-manager/api/v1/infra/full-sync-states
    5. 检查是否正在从所关注的本地管理器进行完全同步。
  • 问题 2761589:从 NSX-T 2.x 升级到 NSX-T 3.x 后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    仅当未通过策略配置规则,且管理平面上的默认第 3 层规则具有丢弃操作时,才会出现此问题。升级后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    解决办法:升级后,从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。

安装已知问题
  • 问题 2562189:如果在传输节点删除操作期间关闭了 NSX Manager 电源,将无限期地执行删除操作。

    如果在删除传输节点时关闭了 NSX Manager 电源,在没有用户干预的情况下,可能会无限期地执行传输节点删除操作。

    解决办法:在备份 Manager 后,请再次准备节点,然后再次启动删除过程。

升级已知问题
  • 问题 2693576:在将 KVM RHEL 7.9 升级到 RHEL 8.2 后,传输节点显示“NSX 安装失败 (NSX Install Failed)”。

    将 RHEL 7.9 升级到 8.2 后,依赖项 nsx-opsagent 和 nsx-cli 会缺失。主机被标记为“安装失败”。无法从 UI 解决该故障:无法在主机上安装软件。无法解决的依赖项:[PyYAML、python-mako、python-netaddr、python3]

    解决办法:在升级主机操作系统后手动安装 NSX RHEL 8.2 VIB,然后从 UI 中解决该故障。

  • 问题 2560981:在升级时,可能不会持久保存 vIDM 配置。

    如果使用 vIDM,您必须在成功升级后重新登录,然后在集群上重新启用 vIDM。

    解决办法:在升级后,禁用 vIDM 配置,然后重新启用。

  • 问题 2550492:在升级期间,暂时显示“凭据不正确或者指定的帐户已锁定”(The credentials were incorrect or the account specified has been locked) 消息,
    并且系统自动进行恢复。

    在升级期间显示暂时性的错误消息。

    解决办法:无。

NSX Edge 已知问题
  • 问题 2283559:当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。

    • 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
    • CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
  • 问题 2521230:在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

    BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

    解决办法:依赖于“get bfd-sessions”的输出,然后选中“状态”字段以获取最新的 BFD 状态。

  • 问题 2641990:在 Edge vMotion 期间,可能最多丢失 30 秒(默认 PIM 通信间隔)的多播流量。

    如果通过 vMotion 迁移 Edge 并在 TOR 上启用了 IGMP 侦听,TOR 需要了解新的 Edge 位置。从 Edge 中获取任何多播控制或数据流量时,TOR 可以了解该信息。在通过 vMotion 迁移 Edge 时,最多丢失 30 秒的多播流量。

    解决办法:无。将在 TOR 收到多播数据包后恢复流量,或者,要更快地进行恢复,请在连接到 TOR 的上行链路接口上禁用/启用 PIM。

安全已知问题
  • 问题 2491800:不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。

    连接将使用已过期/已吊销的 SSL。

    解决办法:重新启动管理器节点上的 APH 以触发重新连接。

  • 问题 2689449:如果公有云网关 (PCG) 正在重新引导,可能会看到不正确的清单。

    管理的实例的管理状态显示为“未知”。Cloud Service Manager 将无法使用某些清单信息,例如管理状态、错误和隔离状态。

    解决办法:等待 PCG 启动,然后等待定期同步或触发帐户同步。

联合已知问题
  • 问题 2630813:针对计算虚拟机的 SRM 恢复将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。

    如果启动了 SRM 恢复测试或运行,则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。

  • 问题 2601493:为防止处理负载过高,全局管理器上不支持并发配置载入操作。

    虽然并行配置载入操作互不干扰,但在 GM 上执行多个此类配置载入操作通常会使 GM 在处理其他操作时变得缓慢。

    解决办法:安全管理员/用户必须同步维护时段,以避免并发启动配置载入操作。

  • 问题 2613113:如果正在执行载入操作,在完成本地管理器还原后,全局管理器上的状态不会从 IN_PROGRESS 发生更改。

    UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入已还原站点的配置。

    解决办法:如果需要,使用本地管理器 API 启动本地管理器站点的载入操作。

  • 问题 2625009:当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时,SR 间 iBGP 会话将不断抖动。

    这会影响联合拓扑中的站点间连接。

    解决办法:使物理网卡的 MTU 和中间路由器的 MTU 大于全局 MTU(即由 SR 间端口使用的 MTU)。由于封装,数据包的大小将大于 MTU,并且数据包无法通过。

  • 问题 2606452:在尝试通过 API 载入时,载入被阻止。

    载入 API 失败,并显示“在站点上找不到默认传输区域”(Default transport zone not found at site) 错误消息。 

    解决办法:等待全局管理器和本地管理器之间的 Fabric 同步完成。

  • 问题 2643749:无法将在特定站点上创建的自定义区域中的组嵌套到属于系统创建的站点特定区域的组中。

    在选择子组以作为在系统创建的区域中的组(具有相同位置)的成员时,您将看不到在站点特定的自定义区域中创建的组。

  • 问题 2649240:使用单个删除 API 删除大量实体时,删除速度很慢。

    需要大量时间才能完成删除过程。

    解决办法:使用分层 API 进行批量删除。

  • 问题 2649499:在依次创建各个防火墙规则时,需要很长时间才能创建这些规则。

    缓慢的 API 需要更多的时间才能创建规则。

    解决办法:使用分层 API 创建多个规则。

  • 问题 2652418:在删除大量实体时,删除速度缓慢。

    删除速度较慢。

    解决办法:使用分层 API 进行批量删除。

  • 问题 2655539:在使用 CLI 更新主机名时,在全局管理器 UI 的“位置管理器”页面上未更新主机名。

    显示旧主机名。

    解决办法:无。

  • 问题 2658656:在备用全局管理器上未复制添加到活动全局管理器的计算管理器的状态。

    在备用全局管理器变为活动状态时,添加到活动全局管理器的计算管理器在全局管理器上不可见。如果备用全局管理器在发生故障切换时变为活动状态,您无法使用自动部署功能部署新的全局管理器节点。

    解决办法:在现在处于活动状态的全局管理器上将 vCenter 添加为计算管理器。

  • 问题 2658687:在事务失败但发生故障切换时,全局管理器切换 API 报告失败。

    API 失败,但全局管理器切换完成。

    解决办法:无。

  • 问题 2630819:更改 LM 证书应在 LM 在 GM 上进行注册之前完成。

    如果需要在同一 LM 上使用联合和 PKS,则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务,然后再在 GM 上注册 LM。如果按相反的顺序操作,则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信,并且必须重新注册 LM。

  • 问题 2658092:在本地管理器上配置 NSX Intelligence 时,载入失败。

    载入失败并显示主体身份错误,您无法使用主体身份用户载入系统。

    解决办法:通过 NSX Intelligence 使用的相同主体身份名称创建一个临时主体身份用户。

  • 问题 2622576:由于重复配置而导致的失败不会正确传播到用户。

    在进行载入时,您看到“载入失败”(Onboarding Failure) 消息。

    解决办法:还原本地管理器,然后重试载入。

  • 问题 2679614:在本地管理器上替换 API 证书后,全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

    在本地管理器上替换 API 证书后,全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

    解决办法:

    1. 打开全局管理器 UI 的“位置管理器”。
    2. 单击受影响的本地管理器下面的“操作”选项卡,然后输入新的指纹。
    3. 如果这不起作用,请卸载本地管理器,然后重新载入本地管理器。
  • 问题 2681092:您可以从活动全局管理器切换到备用全局管理器,即使后者的证书已过期。

    在不应允许的情况下,备用全局管理器上的过期证书继续允许通信。

    解决办法:确保证书未过期。在证书即将过期时,将发出警报。

  • 问题 2697111:无法通过全局管理器 UI 使用“导入 CRL”功能。

    在尝试导入 CRL 时,由于在 UI 中遇到错误的 URL,该操作失败。您将无法在全局管理器上使用“导入 CRL”选项。

    解决办法:使用以下 API:

    PUT https://{{gm-ip}}/global-manager/api/v1/global-infra/crls/cr11

  • 问题 2680854:在全局管理器上成功完成回滚后,再次尝试为站点执行配置载入失败。

    配置载入状态无限期停留在“正在进行中”。在首次尝试完成回滚后,您将无法再次为站点执行配置载入。

    解决办法:卸载并重新载入站点。该操作将触发在全局管理器上清除站点特定的配置载入状态,并帮助重新启动配置载入。

  • 问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。

check-circle-line exclamation-circle-line close-line
Scroll to top icon