VMware NSX-T Data Center 3.1.2 | 2021 年 4 月 17 日 | 内部版本 17883596

请定期查看以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

新增功能

NSX-T Data Center 3.1.2 包含一系列新特性,从而为私有云、公有云和多云环境提供新的虚拟化网络连接和安全功能。主要特性和增强功能涵盖以下重点领域。

NSX Cloud

  • 通过 NSX Cloud 对 Azure 上的 HCS 进行测试
    • 已通过 NSX Cloud 对其他 HCS 拓扑进行测试和验证。
  • 其他 NSX Cloud 操作系统支持增加了对以下操作系统的支持:
    • Standard Windows 2012、2016 和 2019 以及 Windows 10 Enterprise。
    • Red Hat Enterprise Linux 7.0、7.1、7.2、7.3、8.1、8.2、8.3。

事件和警报

  • 负载均衡器
    • 负载均衡器/分布式负载均衡器状态为“已降级”,负载均衡器服务内存使用率非常高。
  • Edge 运行状况
    • Edge 节点池成员容量使用率非常高,Edge 节点负载均衡器容量使用率高。
  • IPAM
    • IP 块使用率非常高,IP 池使用率非常高。
  • Edge 网卡超出接收缓冲区
    •  根据客户反馈,已将警报的严重性从“严重”更改为“警告”,并将默认阈值从 0.1% 更改为 2%。

运维

  • 用于对 Edge 上的数据路径问题进行故障排除的滚动数据包捕获功能
    • 现在,可以通过 nsxcli 在 Edge 上启用滚动数据包捕获功能,最多可捕获 25 个文件,每个文件的最大大小为 100 MB。这有助于在对间歇出现的数据路径问题进行故障排除时,长时间运行数据包捕获。

从 NVDS 迁移到 VDS

  • 从 NVDS 迁移到 VDS - 支持并行集群升级
    • 现在,将 ESXi 主机升级到 vSphere 7.0 U2 时,可以将 NVDS 主机交换机迁移到 VDS 交换机,在此过程中,将会并行升级主机集群。最多可以并行升级 4 个集群以支持此功能。
  • 从 NVDS 迁移到 VDS 时,支持 vSAN 文件服务和无共享架构虚拟机
    • 现在,可以将 NVDS 主机交换机迁移到某个主机(已将 vSAN 文件服务或 vSAN 无共享架构虚拟机连接到该主机上的 NVDS)上的 VDS 交换机。

N-VDS NSX-T 主机交换机弃用公告

NSX-T 3.0.0 及更高版本能够在 vSphere VDS 交换机版本 7.0 及更高版本上运行。这为要将 NSX-T 添加到其 vSphere 环境的客户提供了与 vSphere 的更紧密集成,并且简化了 NSX-T 的采用。

请注意,在即将发行的 NSX-T 版本中,VMware 打算移除对 ESXi 主机上的 NSX-T N-VDS 虚拟交换机的支持,该版本通常会在此消息发布之日(2021 年 4 月 17 日)起的一年内提供。N-VDS 仍将是 KVM、NSX-T Edge 节点、本机公有云 NSX 代理和裸机工作负载上支持的虚拟交换机。

建议 NSX-T 和 vSphere 的新部署利用这一紧密集成,并使用 VDS 交换机版本 7.0 及更高版本进行部署。此外,对于在 ESXi 主机上使用 N-VDS 的现有 NSX-T 部署,VMware 建议转为在 VDS 上使用 NSX-T。为了简化此过程,VMware 提供了基于 CLI 的交换机迁移工具(最先在 NSX-T 3.0.2 中提供)和基于 GUI 的升级准备工具(最先在 NSX-T 3.1.1 中提供)(请参见 NSX 文档以了解有关这些工具的更多详细信息)。

从 N-VDS 迁移到 VDS 时,建议考虑以下部署注意事项:

  • N-VDS API 和 VDS API 不同,而且 N-VDS 交换机和 VDS 交换机的虚拟机和 vmKernel 接口 API 的支持类型也有所不同。在转为在环境中使用 VDS 时,必须调用 VDS API 而不是 N-VDS API。必须在将 N-VDS 转换为 VDS 之前进行此生态系统更改。有关更多详细信息,请参阅知识库文章 https://kb.vmware.com/s/article/79872。

           注意:N-VDS 或 VDS API 本身未作任何更改。

  • VDS 通过 vCenter 进行配置。N-VDS 独立于 vCenter。由于 VDS 对 NSX-T 的支持,并且将最终弃用 N-VDS,NSX-T 将与 vCenter 密切绑定,而且需要 vCenter 才能在 vSphere 环境中启用 NSX。

兼容性和系统要求

有关兼容性和系统要求信息,请参见《NSX-T Data Center 安装指南》

API 和 CLI 资源

请参见 code.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

2021 年 4 月 17 日。第一版。
2021 年 4 月 30 日。第二版。添加了问题 2663064、2689867、2692347、2692436、2697537、2697550、2697824、2699857、2709978、2715237、2718052、2719526、2719973、2727859、2730109、2732839、2734742、2742234、2690344、2707873。
2021 年 8 月 30 日。第三版。添加了已解决的问题 2690014。
2021 年 9 月 17 日。第四版。添加了已知问题 2761589。

已解决的问题

  • 已修复的问题 2742234:升级后找不到 OSPF 实例。

    在从 NSX-T 2.5.0 升级到 3.1.0 以及从 NSX-T 3.1.0 升级到 3.1.1 后的 10 到 15 分钟内,OSPF 实例不存在。

  • 已修复的问题 2692347:不支持 network_path 参数。

    VS VIP API 调用不支持 network_path 参数。

  • 已修复的问题 2520803:EVPN 部署中手动路由标识和路由目标配置的编码格式。

    您当前可以在 Type-0 编码和 Type-0 编码中配置手动路由标识。但是,强烈建议使用 Type-1 编码方案在 EVPN 部署中配置手动路由标识。此外,仅允许手动路由目标配置的 Type-0 编码。

  • 已修复的问题 2537989:清除 VIP(虚拟 IP)并不会清除所有节点上的 vIDM 集成。

    如果在具有虚拟 IP 的集群上配置了 VMware Identity Manager,则禁用虚拟 IP 不会导致在整个集群中清除 VMware Identity Manager 集成。如果禁用了 VIP,则必须在每个单独的节点上手动修复 vIDM 集成。

  • 已修复的问题 2521071:对于在全局管理器中创建的分段,如果它具有 BridgeProfile 配置,那么不会将第 2 层桥接配置应用于单个 NSX 站点。

    分段的整合状态将仍为“错误”。这是由于在给定 NSX 站点上创建网桥端点失败所导致的。您将无法在通过全局管理器创建的分段上成功配置 BridgeProfile。

  • 已修复的问题 2532127:仅当用户的 Active Directory 条目不包含 UPN (userPrincipalName) 属性且仅包含 samAccountName 属性时,LDAP 用户才无法登录 NSX。

    用户身份验证失败,并且用户无法登录到 NSX 用户界面。

  • 已修复问题 2560981:在升级时,可能不会持久保存 vIDM 配置。

    如果使用 vIDM,您必须在成功升级后重新登录,然后在集群上重新启用 vIDM。

  • 已修复问题 2596162:在交换机名称包含单引号时,无法更新交换机的 nsxaHealthStatus。

     NSX 配置状态为部分成功,因为无法更新交换机的运行状况。 

  • 已修复的问题 2610718:如果未明确指定 lb_enable 和 vidm_enable 标记,尝试使用 nsx-cli 将 vIDM 连接到 NSX 将失败。

    将显示“在尝试更新 vIDM 属性时出错”(An error occurred attempting to update the vidm properties) 错误。您只能使用 UI 或直接通过 REST API 连接 vIDM,或者在通过 CLI 连接时明确定义 lb_enable 和 vidm_enable 标记。

  • 已修复的问题 2641990:在 Edge vMotion 期间,可能最多丢失 30 秒(默认 PIM 通信间隔)的多播流量。

    如果通过 vMotion 迁移 Edge 并在 TOR 上启用了 IGMP 侦听,TOR 需要了解新的 Edge 位置。从 Edge 中获取任何多播控制或数据流量时,TOR 可以了解该信息。在通过 vMotion 迁移 Edge 时,最多丢失 30 秒的多播流量。

  • 已修复问题 2691432:还原可能会失败。

    在某些情况下,还原可能无法正常工作。

  • 已修复问题 2690996:如果系统分配的 L2 转发器 VTEP 组 ID 与分配给传输节点的 VTEP 标签冲突,跨站点数据包转发可能会在 KVM 节点上失败。

    连接到延伸分段的虚拟机可能会断开跨位置的连接。跨站点流量不适用于 KVM 部署的冲突分段。

     

  • 已修复问题 2694707:如果公有云网关发生 HA 故障切换,云虚拟机上的某些防火墙规则的运行状态可能显示“未知”。

    NSX 策略 UI 上的防火墙规则运行状态可能显示“未知”。这对功能没有任何影响。将成功实现所有规则。在两个公有云网关均联机时,将会自行清除该状态并变为正常运行。

  • 已修复问题 2697111:无法通过全局管理器 UI 使用“导入 CRL”功能。

    在尝试导入 CRL 时,由于在 UI 中遇到错误的 URL,该操作失败。您将无法在全局管理器上使用“导入 CRL”选项。

  • 已修复问题 2674689:如果在 URT 和开始迁移之间更新了传输节点,它将丢失额外的配置文件。

    传输节点迁移在 TN_Validate 阶段失败。

     

  • 已修复问题 2697549:如果在集群上部署了 GI 服务,URT ApplyTopology 将失败,因为 URT 无法对传输节点部署的 GI 服务进行更改。

    URT ApplyTopology 返回总体状态 APPLY_TOPOLOGY_FAILED。

     

  • 已修复问题 2687948:从 IP 地址切换到 FQDN 后,LR 无法正常工作。

     在 UI 中观察到“获取 LR 状态超时”(Fetching LR status timed out) 错误,并且 GM 日志复制将停止。

  • 已修复问题 2680854:在全局管理器上成功完成回滚后,再次尝试为站点执行配置载入失败。

    配置载入状态无限期停留在“正在进行中”。在首次尝试完成回滚后,您将无法再次为站点执行配置载入。

  • 已修复的问题 2702168:从 NSX-T 3.0 升级到 NSX-T 3.1 后,您无法对 VRF LR 进行任何更改。

    如果在 VRF LR 重新分发规则中添加了 TIER0_EVPN_TEP_IP,您无法对 VRF LR 进行任何更改。将显示一条验证错误,以指出 VRF LR 不支持“TIER0_EVPN_TEP_IP”。

  • 已修复问题 2688584:由于一个 LR 节点发生 TransactionAbortedException 并关闭其线程池,获取 LR 同步状态超时。

     您将无法进行切换,并且 LR 将会停止。

  • 已修复问题 2679344:在扩展的 Active Directory 配置中以 LDAP 用户身份登录到 NSX-T Manager 节点可能需要很长的时间或失败。

    登录需要很长的时间或超时,并且可能会失败。

  • 已修复问题 2711497:将 NSX Cloud 从旧版本升级到 NSX-T 3.1.1 可能会使代理的虚拟机暂时陷入错误状态。

    在升级 PCG 之前,您将失去对虚拟机的访问权限,并且可能出现应用停止运行情况。

  • 已修复问题 2723546:在升级过程中,当主 PCG 进入待机模式时,南北向流量丢失。

    在升级过程中,主 PCG 进入待机模式。辅助 PCG 变为活动状态,并且所有虚拟机均连接到辅助 PCG。在此期间,南北向流量中断。

    升级完成后,主 PCG 变为活动状态。所有虚拟机重新连接到主 PCG,并且南北向流量也会恢复。

  • 已修复的问题 2738345:BGP 扩展大型社区属性在使用正则表达式配置后失败。

    如果使用正则表达式配置 BGP 扩展大型社区属性,则 FRR-CLI 将失败,并且配置不会生效,由此导致 BGP 路由筛选无法正常执行。

  • 已修复问题 2534089:在传输节点(主机)上启用 IDS 服务后,启用了 IDS 的主机上的虚拟机流量将意外停止传输。

    在 vSphere 集群上启用 NSX IDS/IPS(以仅检测模式或检测并阻止模式)并将 IDS/IPS 应用于工作负载时,启用 IDPS 引擎就可能会触发锁定状况。结果,将丢弃与 Hypervisor 上受 IDS/IPS 或深度数据包检查服务 (L7 App-ID) 限制的所有工作负载之间的所有流量。不受 IDS/IPS 或深度数据包检查限制的流量不会受到影响;在禁用 IDS/IPS 或不再将其应用于流量时,将会立即恢复流量。

    在 ESXi 7.0.2 中已修复此问题。

  • 已修复问题 2663064:将 NSX-T 从 3.0.2 升级到 3.1.1 不会触发以太网区域的 category_id 升级。

    将 NSX-T 从 3.0.2 升级到 3.1.1 时,不会触发以太网区域的 category_id 从 10 升级到 250,并且以太网规则会错误地保留在主机上的预筛选存储桶中。这会导致以太网 (L2) 规则无法按预期实施或工作。

    从策略 UI 或 API 中修改以太网区域,以触发将规则从策略发布到 proton 的操作。

  • 已修复的问题 2689867:分段端口停留在“待删除”状态。

    分段端口与全局管理器断开连接后,在本地管理器上,它们显示为停留在“待删除”状态。  

  • 已修复的问题 2692436:使用 vMotion 跨多个站点迁移虚拟机后,不会保留虚拟机标记。

    如果使用 vMotion 跨多个共享同一存储的站点迁移虚拟机,则无法检索新的或更新后的虚拟机标记。可能需要手动将标记添加到新站点上的虚拟机。

  • 已修复的问题 2697550:对 nanosleep() 的调用停滞,从而阻止 nsx-exporter 中的 RPC 库线程。

    从 NSX-T 2.5.2 升级到 3.1.1 后,由于 nanosleep() 调用停滞,nsx-exporter 中的 RPC 库线程被阻止。这会导致逻辑端口的操作状态显示为关闭。nsx-exporter 提供的其他服务也可能无法正常运行。

  • 已修复的问题 2697824:从 NSX-T 2.5.2 升级到 NSX-T 3.1.1 时,主机升级失败并显示错误。

    从 NSX-T 2.5.2 升级到 NSX-T 3.1.1 时,如果以分钟为单位设置了绑定策略 (TeamPolicyUpDelay) 配置,并且启用了 ENS,或者在升级过程中上行链路出现抖动,则主机升级会失败并显示“正在卸载模块 nsxt-vswitch (unloading module nsxt-vswitch)”错误。

  • 已修复的问题 2699857:FQDN 流量与意外规则匹配。

    在以下情况下,FQDN 流量与无效规则匹配:

    • IDS 与上下文配置文件中的 FQDN 属性一起启用。
    • 通过添加或删除 FQDN 属性对 FQDN 上下文配置文件进行了更改,并且当流量与相关规则匹配时,该规则触发 FQDN 重新验证失败。
  • 已修复的问题 2709978:连接到负载均衡器 VIP 时出错。

    负载均衡器应用程序规则无法正常工作,因此,在连接到负载均衡器 VIP 时收到“502 错误网关 (502 bad gateway)”错误。

  • 已修复的问题 2715237:启用服务插入后,在某些情况下发生紫屏死机 (PSOD)。

    启用服务插入后,诸如 vMotion 等某些操作或较大流量会导致随机主机上发生死锁和 PSOD。

  • 已修复的问题 2718052:防火墙规则无法在管理平面上实现。

    在策略中创建了源中仅包含原始 IPv4 地址以及目标中包含 IPv6 地址(反之亦然)的防火墙规则,但是该规则无法在管理平面上实现,因为此组合不受支持。尚未在策略中验证此类组合。

  • 已修复的问题 2719526:vSwitch 丢弃来自覆盖网络客户端端口到上行链路的 Internet 组管理协议 (IGMP) 报告。

    在物理网络中 VLAN 上的另一计算机上不会收到从覆盖网络分段上的虚拟机发送的“IGMP 报告”消息。

  • 已修复的问题 2719973:从 SR 间学习的路由保持失效状态。

    由于 BGP 对等项 GR 模式切换或在“重新启动”模式对等项重新启动时,从 SR 间学习的路由保持失效状态,从而导致 inter_sr_vrf 显示失效的导入路由并且“get route”输出显示失效的 isr 路由。

  • 已修复的问题 2727859:API GET : https://NSX-IP/policy/api/v1/infra/realized-state/virtual-machines 返回空指针异常。

    API GET : https://NSX-IP/policy/api/v1/infra/realized-state/virtual-machines 返回空指针异常。如果 VC MOB 上的某些虚拟机在虚拟机客户机信息中填充了操作系统名称或计算机名称(但不是同时填充两者),则会出现此问题。

  • 已修复的问题 2690344:与 Edge 位于同一 ESXi 主机和主机交换机上的虚拟机存在南北向连接问题,而 ICMP 流量不受影响。

    在 Edge VTEP vNIC 未连接到 VLAN 中继和上行链路的合并的集群部署中,vNIC 在启用了 ESX 流量缓存的 Edge 上行链路配置文件中使用 VLAN 0。在主机上的流量缓存功能为所有封装数据包设置传输 VLAN 卸载的情况下,主机上工作负载虚拟机的南北向流量会受到影响。由于 Edge 不需要带有 VLAN 标记的数据包,因此会丢弃这些数据包。

  • 已修复的问题 2697537:启用锁定模式后,创建首个逻辑交换机时会出现长达 4 分钟的延迟。

    启用锁定模式后,首个逻辑交换机的创建过程会延迟 4 分钟。

  • 已修复的问题 2707873:Edge 中缺少从策略或 MP 配置的 L2 转发器。

    Edge 中缺少由联合配置创建的 L2 转发器。本应通过缺少的 L2 转发器或延伸的 lswitch 转发的流量中的一些流量丢失,并且 syslog 显示以下错误。


    LogSwitchForwarderContextMsg 无效,lswitch [uuid] 正在使用服务上下文 ID [num] (Invalid LogSwitchForwarderContextMsg, service context ID [num] in use by lswitch [uuid])

  • 已修复问题 2690014:尽管到传输节点的控制通道已启动,但是通道“关闭”警报不会清除。

    这只是一个表面问题,不会对 CCP 或传输节点的运行产生影响。有关详细信息,请参见 VMware 知识库文章 85168

已知问题

已知问题分为以下几类。

一般已知问题
  • 问题 2734742:如果升级主机,而不重新引导主机,NestDB 内存预留会失败。

    如果升级主机,而不重新引导主机,NSX-T 3.1.2 中的 NestDB 内存预留会失败(可以使用主机上的本地 CLI 进行验证:“localcli system visorfs ramdisk list”),从而导致主机与控制平面之间的连接丢失。

    解决办法:重新引导 ESX 主机,NestDB 内存预留将生效。

  • 问题 2732839:不会为某些警报生成 SNMP 陷阱。

    不会发送某些 Edge 数据路径警报的 SNMP 陷阱。

  • 问题 2329273:同一 Edge 节点上桥接到同一分段的 VLAN 之间没有连接。

    不支持在同一 Edge 节点上两次桥接一个分段。但是,可以将两个 VLAN 桥接到两个不同 Edge 节点上的同一分段。

    解决办法:无 

  • 问题 2355113:对于在 Microsoft Azure 中启用加速网络连接的 RedHat 和 CentOS 工作负载虚拟机,无法在此类虚拟机中安装 NSX Tools。

    在 Microsoft Azure 中,如果在基于 RedHat(7.4 或更高版本)或 CentOS(7.4 或更高版本)的操作系统上,启用加速网络连接并在其中安装 NSX 代理,那么以太网接口不包含 IP 地址。

    解决办法:在 Microsoft Azure 中启动基于 RedHat 或 CentOS 的虚拟机后且在安装 NSX Tools 之前,请安装 https://www.microsoft.com/en-us/download/details.aspx?id=55106 上提供的最新 Linux Integration Services 驱动程序。

  • 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2526769:多节点集群上的还原操作失败。

    在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。

    解决办法:部署新的设置(一个节点集群),然后启动还原过程。

  • 问题 2523212:nsx-policy-manager 变得无响应并重新启动。

    对 nsx-policy-manager 的 API 调用将开始失败,并且服务不可用。直到策略管理器重新启动并变为可用之后,您才能访问该管理器。

    解决办法:调用最多包含 2000 个对象的 API。

  • 问题 2482580:从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。

    从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

    解决办法:无。

  • 问题 2534933:无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。

    您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

    解决办法:请参见 VMware 知识库文章 78794

  • 问题 2557287:不会还原备份后完成的 TNP 更新。

    在还原的设备上看不到任何备份后完成的 TNP 更新。

    解决办法:在对 TNP 进行更新后进行备份。

  • 问题 2468774:如果启用了“检测到 NSX 配置更改”选项,即使没有进行配置更改,也会创建备份。

    创建的备份太多,因为即使没有进行配置更改,也会创建备份。

    解决办法:增加与该选项关联的时间,从而降低创建备份的速度。

  • 问题 2523421:在配置了外部负载均衡器(配置了循环连接持久性)时,LDAP 身份验证无法正常工作。

    API LDAP 身份验证无法可靠地工作,并且仅在负载均衡器将 API 请求转发到特定管理器时才有效。

    解决办法:无。

  • 问题 2534921:如果在 PATCH API 调用中未指定 inter_sr_ibgp 属性,则会禁止在 BgpRoutingConfig 实体中更新其他字段。

    PATCH API 调用无法更新 BGP 路由配置实体,并显示“BGP 服务路由器间路由需要启用全局 BGP 和 ECMP 标记”(BGP inter SR routing requires global BGP and ECMP flags enabled) 错误消息。不会更新 BgpRoutingConfig。

    解决办法:在 PATCH API 调用中指定 inter_sr_ibgp 属性,以允许更改其他字段。

  • 问题 2566121:UA 节点停止接受任何新的 API 调用,并显示“某些设备组件未正常运行”(Some appliance components are not functioning properly) 消息。

    UA 节点停止接受任何新的 API 调用,并显示“某些设备组件未正常运行”(Some appliance components are not functioning properly) 消息。大约有 200 个连接卡在 CLOSE_WAIT 状态。这些连接尚未关闭。将拒绝新的 API 调用。

    解决办法:重新启动 proton 服务 (service proton restart) 或重新启动 Unified Appliance 节点。

  • 问题 2574281:策略最多仅允许 500 个 VPN 会话。

    NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:
    {'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}

    解决办法:使用管理平面 API 创建其他 VPN 会话。

  • 问题 2596696:从 API 中创建分段端口时,在策略日志中观察到 NsxTRestException。

    在策略日志中观察到 NsxTRestException。无法使用 API 创建分段端口。

    解决办法:在 PortAttachmentDto 中填充 Id 字段,或者在 API 输入中将其作为 Null 传递。

  • 问题 2628503:甚至在强制删除管理器 NS 组后,仍会应用 DFW 规则。

    在强制删除 NS 组时,可能仍会阻止流量。

    解决办法:不要强制删除 DFW 规则仍使用的 NS 组,而是清空 NS 组或删除 DFW 规则。

  • 问题 2631703:在对具有 vIDM 集成的设备进行备份/还原时,vIDM 配置将被破坏。

    通常,在升级和/或还原环境后,尝试还原已启动并运行 vIDM 集成的设备将导致该集成被破坏,您必须重新进行配置。

    解决办法:在还原后,手动重新配置 vIDM。

  • 问题 2638673:清点未发现虚拟机的 SRIOV vNIC。

    在“添加新的 SPAN 会话”对话框中未列出 SRIOV vNIC。在添加新的 SPAN 会话时,您将看不到 SRIOV vNIC。

    解决办法:无。

  • 问题 2647620:在具有大量无状态主机(传输节点)的 NSX 配置环境中,将管理平面节点升级到 3.0.0 和更高版本时,某些无状态主机上的工作负载虚拟机的连接可能会暂时中断。

    这仅适用于为 NSX 3.0.0 和更高版本配置的无状态 ESX 主机。

    解决办法:无。

  • 问题 2639424:在基于主机的服务虚拟机部署中,对 vLCM 集群中的主机进行修复时,修复进度在完成 95% 后失败。

    主机的修复进度将停留在 95%,并在到达 70 分钟的超时时间后失败。

    解决办法:请参见 VMware 知识库文章 81447

  • 问题 2636855:在系统范围的逻辑交换机端口数超过 25K 个时,将引发最大容量警报。

    在系统范围的逻辑交换机端口数超过 25K 个时,将引发最大容量警报。但实际上,对于 PKS 大型环境,容器端口的限制为 60K 个;PKS 环境中的逻辑交换机端口数超过 25K 个是正常情况。

    解决办法:无。

  • 问题 2636771:在使用多个标记对标记资源并且标记和范围与任何标记和范围值匹配时,搜索可能会返回资源。

    这会影响使用标记和范围条件的搜索查询。如果标记和范围与任何对匹配,筛选器可能会返回额外的数据。

    解决办法:无。

  • 问题 2643610:负载均衡器统计信息 API 不返回统计信息。

    未设置 API 的统计信息。您看不到负载均衡器状态。

    解决办法:减少配置的负载均衡器数。

  • 问题 2555383:在 API 执行期间出现内部服务器错误。

    在 API 调用执行期间观察到内部服务器错误。API 将导致 500 错误,并且未提供所需的输出。

    解决办法:遇到该错误是因为会话失效。在这种情况下,请重新执行会话创建 API 以创建新的会话。

  • 问题 2662225:当活动 Edge 节点在传输南北向流量期间变为非活动 Edge 节点时,将会丢失流量。

    当前南北向流在多播活动节点上运行。TOR 上到源的首选路由应仅通过多播活动 Edge 节点。
    启动另一个 Edge 可能会接替多播活动节点(级别较低的 Edge 成为活动多播节点)。当前的南北向流量将丢失最多 4 分钟的时间。如果停止并重新启动当前流,这不会影响新的流。

    解决办法:当前的南北向流量将在 3.5 到 4 分钟内自动恢复。要更快地进行恢复,请禁用多播并通过配置重新启用。

  • 问题 2610851:对于少数资源类型筛选器组合,命名空间、计算集合、L2VPN 服务网格筛选可能不返回任何数据。

    即使具有符合条件的数据,同时为几种类型应用多个筛选器也不会返回任何结果。这不是一种常见的情况,仅对于以下筛选器属性组合,这些网格的筛选器才会失败:

    • 对于命名空间网格 ==> 在集群名称和 Pod 名称筛选器上
    • 对于网络拓扑页面 ==> 在 L2VPN 服务上应用远程 IP 筛选器
    • 对于计算集合 ==> 在计算管理器筛选器上

    解决办法:您可以每次为这些资源类型应用一个筛选器。

  • 问题 2587257:在某些情况下,在目标收到 NSX-T Edge 发送的 PMTU 数据包时,将其忽略。

    PMTU 发现失败而导致分段和重组,并丢弃数据包。这会导致性能下降或流量中断。

    解决办法:无。

  • 问题 2587513:在网桥配置文件绑定中配置多个 VLAN 范围时,策略显示错误。

    您将看到“VLAN ID 无效”(INVALID VLAN IDs) 错误消息。

    解决办法:在分段上使用 VLAN 范围创建多个网桥端点,而不是使用所有 VLAN 范围创建一个网桥端点。

  • 问题 2682480:可能发出虚假的 NCP 运行状况警报。

    NCP 运行状况警报可能是不可靠的,即,在 NCP 系统处于正常运行状态时发出警报。

    解决办法:无。

  • 问题 2690457:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器,proton 服务可能无法在加入节点上正确重新启动。

    加入管理器无法正常工作,并且 UI 不可用。

    解决办法:为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。

  • 问题 2685550:在应用于桥接的分段时,防火墙规则实现状态始终显示为“正在进行中”。

    在将防火墙规则应用于 NS 组时,如果该 NS 组包含桥接的分段以作为其成员之一,实现状态将始终显示为“正在进行中”。您无法检查应用于桥接的分段的防火墙规则的实现状态。

    解决办法:从 NS 组成员列表中手动移除桥接的分段。

  • 问题 2694496:通过 Webclient/UAG 访问 VDI 引发错误。

    尝试从 Horizon 门户访问 VDI 时,在端口“22443”上发生超时并显示错误。

    解决办法:重新引导 VDI。

  • 问题 2684574:如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。

    如果 Edge 具有 6000 多个路由,用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误:
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv

    如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。这是一个只读 API,仅在使用 API/UI 下载 6000 多个用于 OSPF 路由和数据库的路由时才会有影响。

    解决办法:使用 CLI 命令从 Edge 中检索信息。

  • 问题 2603550:在 UA 节点升级期间,已使用 vMotion 迁移某些虚拟机,并且它们断开网络连接。

    在 NSX UA 节点升级期间,您可能会发现已通过 DRS 迁移某些虚拟机,并且它们在迁移后断开网络连接。

    解决办法:在执行 UA 升级之前,将 DRS 自动化模式更改为手动。

  • 问题 2622240:跨 7.0.2 (X.Y.Z-U.P) 版本的 ESX 升级仅触发 NVDS 到 CVDS 的迁移。

    不会为任何“U.P”(更新-修补程序)升级触发迁移。ESX 版本指定为 X.Y.Z-U.P,其中 X = 主要版本,Y = 次要版本,Z = 维护版本,U = 更新,P = 修补程序

    解决办法:需要使用 API/UI 启动 NVDS 到 CVDS 的迁移。
    POST https://{{nsxmanager-ip}}/api/v1/transport-nodes/{{transportnode-id}}?action=migrate_to_vds

  • 问题 2692344:如果您删除 Avi 实施点,它将从策略中删除所有实现的对象,这会从策略中删除默认对象的所有实现的实体。在添加新的实施点时,无法从 Avi 控制器中重新同步默认对象。 

    在删除并重新创建 AVIConnectionInfo 的实施点后,您将无法使用系统默认对象。

    解决办法:不应删除实施点。如果进行了任何更改,可以对其进行更新,但不应将其删除。

  • 问题 2636420:如果备份后在集群上运行“移除 NSX”,主机将在还原后变为“已跳过 NSX 安装”状态,并且集群处于“失败”状态。

    主机将显示“已跳过 NSX 安装”。

    解决办法:在还原后,您必须再次在集群上运行“移除 NSX”,以实现备份后存在的状态(“未配置”状态)。

  • 问题 2646702:在执行“配置备份”操作期间,不会保留设备检测到的 IDS 事件。

    将配置备份还原到新设备后,所有先前检测到的 IDS 事件均无法检索,并且在新设备上不可见。

    解决办法:无。

  • 问题 2668717:对于由 vRA 创建且已连接到共享 Tier-1 的分段的网络之间的东西向路由,可能会观察到间歇性流量丢失。

    如果 vRA 创建多个分段并连接到共享的 ESG,V2T 会将此类拓扑转换为连接到 NSX-T 端上所有分段的共享 Tier-1。在主机迁移时间段内,可能会观察到连接到共享 Tier-1 的分段的工作负载之间的东西向流量间歇性丢失。

  • 问题 2638674:Azure Mellanox 驱动程序维护升级可能会导致南北向流量中断。

    当 Azure 对 Mellanox 设备执行涉及热添加 Mellanox 设备的维护事件时,南北向路径中的 PCG 可能会遇到南北向流量丢失问题。

    重新引导 PCG 以恢复 Edge 数据路径并还原南北向流量连接。

  • 问题 2558576:全局配置文件定义的全局管理器和本地管理器版本可能有所不同,并且可能在本地管理器上具有未知行为。

    在全局管理器上创建的全局 DNS、会话或泛洪配置文件无法从 UI 应用于本地组,但可以从 API 应用。因此,API 用户可能会在本地管理器上意外创建配置文件绑定映射并修改全局实体。

    使用 UI 界面配置系统。

  • 问题 2752246:当负载均衡器连接快速重用端口时,在 L7 虚拟服务器上启用 NTLM/Server-keepalive 可能会导致 Nginx 核心转储。

    由于 Nginx 核心转储,负载均衡器服务崩溃。

    解决办法:在 http 配置文件中禁用 NTLM/Server-keepalive 功能。

  • 问题 2730109:当 Edge 打开电源时,虽然存在环回,但 Edge 会尝试使用其路由器链路 IP 地址作为 OSPF 路由器 ID 与对等项建立 OSPF 邻居关系。

    重新加载 Edge 后,由于配置排序,OSPF 选择下行链路 IP 地址(较高 IP 地址)作为路由器 ID,直到收到 OSPF 路由器 ID 配置。在收到包含新路由器 ID 的 OSPF 通信时,具有较旧路由器 ID 的邻居条目将最终变为失效条目,并且在对等项上的失效定时器过期后,该条目将过期。

    解决办法:无。

  • 问题 2761589:从 NSX-T 2.x 升级到 NSX-T 3.x 后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    仅当未通过策略配置规则,且管理平面上的默认第 3 层规则具有丢弃操作时,才会出现此问题。升级后,管理平面上的默认第 3 层规则配置从 DENY_ALL 更改为 ALLOW_ALL。

    解决办法:升级后,从策略 UI 中将默认第 3 层规则的操作设置为“丢弃”。

安装已知问题
  • 问题 2562189:如果在传输节点删除操作期间关闭了 NSX Manager 电源,将无限期地执行删除操作。

    如果在删除传输节点时关闭了 NSX Manager 电源,在没有用户干预的情况下,可能会无限期地执行传输节点删除操作。

    解决办法:在备份 Manager 后,请再次准备节点,然后再次启动删除过程。

升级已知问题
  • 问题 2693576:在将 KVM RHEL 7.9 升级到 RHEL 8.2 后,传输节点显示“NSX 安装失败 (NSX Install Failed)”。

    将 RHEL 7.9 升级到 8.2 后,依赖项 nsx-opsagent 和 nsx-cli 会缺失。主机被标记为“安装失败”。无法从 UI 解决该故障:无法在主机上安装软件。无法解决的依赖项:[PyYAML、python-mako、python-netaddr、python3]

    解决办法:在升级主机操作系统后手动安装 NSX RHEL 8.2 VIB,然后从 UI 中解决该故障。

  • 问题 2550492:在升级期间,暂时显示“凭据不正确或者指定的帐户已锁定”(The credentials were incorrect or the account specified has been locked) 消息,
    并且系统自动进行恢复。

    在升级期间显示暂时性的错误消息。

    解决办法:无。

NSX Edge 已知问题
  • 问题 2283559:当 Edge 针对 RIB 具有超过 65000 条路径且针对 FIB 具有超过 100000 条路径时,https://<nsx-manager>/api/v1/routing-table 和 https://<nsx-manager>/api/v1/forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。

    • 这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。
    • CLI 支持需要整个 RIB/FIB 表的情况,且无超时。
  • 问题 2521230:在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

    BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

    解决办法:依赖于“get bfd-sessions”的输出,然后选中“状态”字段以获取最新的 BFD 状态。

安全已知问题
  • 问题 2491800:不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。

    连接将使用已过期/已吊销的 SSL。

    解决办法:重新启动管理器节点上的 APH 以触发重新连接。

  • 问题 2689449:如果公有云网关 (PCG) 正在重新引导,可能会看到不正确的清单。

    管理的实例的管理状态显示为“未知”。Cloud Service Manager 将无法使用某些清单信息,例如管理状态、错误和隔离状态。

    解决办法:等待 PCG 启动,然后等待定期同步或触发帐户同步。

联合已知问题
  • 问题 2630813:针对计算虚拟机的 SRM 恢复将导致应用于虚拟机和分段端口的所有 NSX 标记全部丢失。

    如果启动了 SRM 恢复测试或运行,则灾难恢复位置中的副本计算虚拟机将不会应用任何 NSX 标记。

  • 问题 2601493:为防止处理负载过高,全局管理器上不支持并发配置载入操作。

    虽然并行配置载入操作互不干扰,但在 GM 上执行多个此类配置载入操作通常会使 GM 在处理其他操作时变得缓慢。

    解决办法:安全管理员/用户必须同步维护时段,以避免并发启动配置载入操作。

  • 问题 2613113:如果正在执行载入操作,在完成本地管理器还原后,全局管理器上的状态不会从 IN_PROGRESS 发生更改。

    UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入已还原站点的配置。

    解决办法:如果需要,使用本地管理器 API 启动本地管理器站点的载入操作。

  • 问题 2625009:当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时,SR 间 iBGP 会话将不断抖动。

    这会影响联合拓扑中的站点间连接。

    解决办法:使物理网卡的 MTU 和中间路由器的 MTU 大于全局 MTU(即由 SR 间端口使用的 MTU)。由于封装,数据包的大小将大于 MTU,并且数据包无法通过。

  • 问题 2606452:在尝试通过 API 载入时,载入被阻止。

    载入 API 失败,并显示“在站点上找不到默认传输区域”(Default transport zone not found at site) 错误消息。 

    解决办法:等待全局管理器和本地管理器之间的 Fabric 同步完成。

  • 问题 2643749:无法将在特定站点上创建的自定义区域中的组嵌套到属于系统创建的站点特定区域的组中。

    在选择子组以作为在系统创建的区域中的组(具有相同位置)的成员时,您将看不到在站点特定的自定义区域中创建的组。

  • 问题 2649240:使用单个删除 API 删除大量实体时,删除速度很慢。

    需要大量时间才能完成删除过程。

    解决办法:使用分层 API 进行批量删除。

  • 问题 2649499:在依次创建各个防火墙规则时,需要很长时间才能创建这些规则。

    缓慢的 API 需要更多的时间才能创建规则。

    解决办法:使用分层 API 创建多个规则。

  • 问题 2652418:在删除大量实体时,删除速度缓慢。

    删除速度较慢。

    解决办法:使用分层 API 进行批量删除。

  • 问题 2655539:在使用 CLI 更新主机名时,在全局管理器 UI 的“位置管理器”页面上未更新主机名。

    显示旧主机名。

    解决办法:无。

  • 问题 2658687:在事务失败但发生故障切换时,全局管理器切换 API 报告失败。

    API 失败,但全局管理器切换完成。

    解决办法:无。

  • 问题 2630819:更改 LM 证书应在 LM 在 GM 上进行注册之前完成。

    如果需要在同一 LM 上使用联合和 PKS,则应先完成创建外部 VIP 和更改 LM 证书的 PKS 任务,然后再在 GM 上注册 LM。如果按相反的顺序操作,则在更改 LM 证书后将无法在 LM 和 GM 之间进行通信,并且必须重新注册 LM。

  • 问题 2658092:在本地管理器上配置 NSX Intelligence 时,载入失败。

    载入失败并显示主体身份错误,您无法使用主体身份用户载入系统。

    解决办法:通过 NSX Intelligence 使用的相同主体身份名称创建一个临时主体身份用户。

  • 问题 2622576:由于重复配置而导致的失败不会正确传播到用户。

    在进行载入时,您看到“载入失败”(Onboarding Failure) 消息。

    解决办法:还原本地管理器,然后重试载入。

  • 问题 2679614:在本地管理器上替换 API 证书后,全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

    在本地管理器上替换 API 证书后,全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

    解决办法:

    1. 打开全局管理器 UI 的“位置管理器”。
    2. 单击受影响的本地管理器下面的“操作”选项卡,然后输入新的指纹。
    3. 如果这不起作用,请卸载本地管理器,然后重新载入本地管理器。
  • 问题 2681092:您可以从活动全局管理器切换到备用全局管理器,即使后者的证书已过期。

    在不应允许的情况下,备用全局管理器上的过期证书继续允许通信。

    解决办法:确保证书未过期。在证书即将过期时,将发出警报。

  • 问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。

check-circle-line exclamation-circle-line close-line
Scroll to top icon