VMware NSX 3.2.1 | 2022 年 5 月 17 日 | 内部版本 19801959

请查看发行说明以了解新增内容及更新。

新增功能

NSX-T Data Center 3.2.1 包含一系列新特性,为虚拟化网络连接、安全以及从 NSX Data Center for vSphere 迁移提供了多种新功能。主要特性和增强功能涵盖以下重点领域。

联合

  • 再次支持联合棕地载入。您可以将本地管理器上的现有对象升级为全局管理器配置。

  • 联合跟踪流 - 跟踪流现在可以从全局管理器启动,并且可以显示数据包经过的不同位置。

  • 联合支持更高的延迟 - 以下组件之间支持的网络延迟从 150 毫秒增加到 500 毫秒往返时间:

    • 全局管理器活动集群和全局管理器备用集群之间

    • 全局管理器集群和本地管理器集群之间

    • 不同位置的本地管理器集群之间

    这为安全用例提供了更大的灵活性。对于网络延伸用例,RTEP 之间的最大延迟仍为 150 毫秒往返时间。

Edge 平台

  • NSX Edge 节点(虚拟机规格)- 最多支持 4 个数据路径接口 通过 NSX-T 3.2.1,您可以为绿地部署再添加一个数据路径接口。对于棕地部署,如果需要三个以上的 vmnic,则可以使用 NSX 重新部署。针对基于 OVF 的部署 NSX Edge 节点,您需要在部署期间拥有四个数据路径接口。

分布式防火墙

  • 分布式防火墙现在支持物理服务器 SLES 12 SP5。

网关防火墙

  • TLS 1.2 检查在 NSX-T 3.2 中处于技术预览版模式,现在在 NSX-T 3.2.1 中可用于生产环境。使用此功能,网关防火墙可以解密和检查负载,以防止任何高级持久性威胁。

  • NSX-T 3.2.1 中引入了 IDPS(入侵检测和防御系统)。 借助此功能,网关防火墙 IDPS 可检测到任何利用系统缺陷或未经授权访问系统的尝试。

NSX Data Center for vSphere 到 NSX-T Data Center 的迁移

  • 对于以下模式,迁移协调器现在支持迁移到具有两个 TEP 且部署了 Edge 节点的 NSX-T 环境:用户定义的拓扑、迁移分布式防火墙配置、主机和工作负载。

  • 迁移协调器支持在单个站点的迁移期间添加主机。

  • 向迁移协调器添加了对跨 vCenter 联合迁移的支持,仅包括端到端和配置。

  • 迁移协调器现在支持在迁移期间更改证书。

安装和升级

  • 滚动升级 NSX 管理集群 - 从 NSX-T 3.2.1 升级 NSX 管理集群时,现在可以通过滚动升级功能实现 NSX 管理平面 (MP) 接近零的停机时间。使用此功能,可缩短 MP 升级的维护时间段,并且在整个升级过程中可正常进行 NSX MP API/UI 访问,而不会像以前一样影响数据平面工作负载。

  • 以非 root 用户身份在裸机/物理服务器上安装 NSX - 在 NSX-T 3.2.1 中,您现在可以以非 root 用户身份在 Linux 裸机/物理服务器上安装 NSX。

N-VDS 到 VDS 迁移器工具

  • 重新引入 N-VDS 到 VDS 迁移器工具后,您可以将底层 N-VDS 连接迁移到 VDS 上的 NSX,同时保持工作负载在 Hypervisor 上运行。

  • 如果存在具有相同 N-VDS 名称的不同 N-VDS 配置,则 N-VDS 到 VDS 迁移器工具现在支持迁移底层 N-VDS 连接。

  • 在 ESX 上部署 NSX 期间,NSX 会检查 VDS 配置的 MTU 以确保其可以容纳覆盖网络流量。否则,VDS 的 MTU 将自动调整为 NSX 全局 MTU。

平台安全性

  • TLS 检查的证书管理增强功能 - 随着 TLS 检查功能的引入,证书管理现在支持添加和修改证书包,并且能够生成与 TLS 检查功能一起使用的 CA 证书。此外,常规证书管理 UI 可以进行修改以简化证书导入/导出。  

兼容性和系统要求

有关兼容性和系统要求信息,请参见《VMware 产品互操作性列表》《NSX-T Data Center 安装指南》

此版本的升级说明

有关升级 NSX-T Data Center 组件的说明,请参见《NSX-T Data Center 升级指南》

建议升级到此版本的客户先运行 NSX 升级评估工具,然后再启动升级过程。该工具旨在通过在升级之前检查 NSX Manager 的运行状况和就绪状态来确保升级成功。

API 和 CLI 资源

请参见 developer.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

可以从 API 参考选项卡中获取 API 文档。可以从文档选项卡中获取 CLI 文档。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、意大利语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

修订日期

版本

更改

2022 年 5 月 17 日

1

初始版本

2022 年 6 月 7 日

2

添加了已解决的问题 2937810

2022 年 7 月 7 日

3

添加了已解决的问题 2924317 和 2949527

2022 年 8 月 2 日

4

添加了已知问题 2989696

2022 年 9 月 7 日

5

已知问题 2816781 已修复;添加了已知问题 3025104

2022 年 9 月 12 日

6

添加了已知问题 2969847

2022 年 9 月 16 日

7

添加了已知问题 3025104

2022 年 9 月 26 日

8

向“本地化语言”中添加了意大利语

2022 年 10 月 1 日

9

  • 添加了已知问题 3012313

  • 将 NSX Intelligence 3.2.1 发行说明中的 NSX Application Platform 已知问题 2936504 和 2949575 移到了本文档中

2022 年 10 月 11 日

10

添加了已知问题 2983892

2022 年 10 月 11 日

11

添加了已知问题 2931403

已解决的问题

  • 已修复问题 2881471:在部署状态从失败切换到成功时,未更新服务部署状态。

    您可能会看到服务部署状态始终保持为关闭状态,并且还会看到引发的警报。

  • 已修复问题 2881281:同时配置多个虚拟服务器可能会失败。

    客户端到虚拟服务器的连接可能会超时。

  • 已修复问题 2878325:在管理器的“清单容量仪表板”视图中,“基于 IP 集的组”属性计数不包括包含从策略 UI 中创建的 IP 地址的组。

    在管理器的“清单容量仪表板”视图中,如果存在包含 IP 地址的策略组,则不会正确显示“基于 IP 集的组”的计数。

  • 已修复问题 2878030:在更改本地管理器站点的升级协调器节点时,未显示通知。

    如果在升级 UC 后更改了协调器节点,并且您单击任何操作按钮(预检查、启动等)以继续执行 UI 工作流,则不会在升级 UI 上看到任何进度。这仅适用于使用站点切换器在全局管理器 UI 中访问本地管理器升级 UI 的情况。

  • 已修复问题 2866885:事件日志采集器 (ELS) 要求 AD 域中配置的 NetBIOS 名称与 AD 服务器中的名称匹配。

    ELS 检测不到用户登录。

  • 已修复问题 2862418:在配置实时流量分析 (LTA) 以跟踪确切数量的数据包时,LTA 中可能会丢失第一个数据包。

    您看不到第一个数据包跟踪。

  • 已修复问题 2882070:管理器 API 列表中不显示全局组的 NS 组成员和条件。

    对功能没有任何影响。

  • 已修复问题 2875385:在新节点加入集群时,如果将本地用户(admin、audit、guestuser1、guestuser2)重命名为某些其他名称,这些本地用户可能无法登录。

    本地用户无法登录。

  • 已修复问题 2874236:升级后,如果仅重新部署 HA 对中的一个公有云网关 (PCG),则会重新使用较旧的 HA AMI/VHD 内部版本。

    仅在升级后的首次 PCG 重新部署时发生这种情况。

  • 已修复问题 2870645:在 /policy/api/v1/infra/realized-state/realized-entities API 响应中,即使“publish_status”为“SUCCESS”(意味着实现成功),“publish_status_error_details”也会显示错误详细信息。

    这对功能没有任何影响。

  • 已修复问题 2870529:如果在添加 AD 域时未使用确切大小写的 NetBIOS 名称,则身份防火墙 (IDFW) 的运行时信息不可用。

    您无法轻松获取 IDFW 当前运行时信息/状态。无法确定当前的活动登录。

  • 已修复问题 2868235:在“快速入门 - 网络和安全”对话框中,当有多个 pNIC 连接到同一 VDS 时,可视化显示重复的 VDS。

    可视化显示重复的 VDS。如果焦点位于可视化图表上,则可能很难找到或滚动到“自定义主机交换机”部分。

  • 已修复问题 2867243:没有有效成员的策略组或 NS 组的有效成员资格 API 不会在 API 响应中返回“results”和“result_count”字段。

    这对功能没有任何影响。

  • 已修复问题 2882769:在升级到 NSX-T 3.2 后,未转移 NSService 和 NSServiceGroup 对象上的标记。

    对 NSX 功能没有任何影响,因为任何工作流都不会使用 NSService 和 NSServiceGroup 上的标记。如果外部脚本具有依赖于这些对象上的标记的工作流,则可能会受到影响。

  • 已修复问题 2888658:启用恶意软件检测和沙箱功能后,在 NSX-T 网关防火墙上观察到每秒连接数和吞吐量方面的性能受到巨大影响。

    任何经过恶意软件检测的流量都会发生明显的延迟,并且可能出现连接故障。在网关上启用恶意软件检测后,还会影响 L7FW 流量,从而导致延迟和连接故障。

  • 已修复问题 2875962:云原生设置从 NSX-T 3.1 升级到 NSX-T 3.2 的工作流有所不同。

    执行通常的工作流将清除所有 CSM 数据。

  • 已修复问题 2889748:如果重新部署失败,Edge 节点删除将失败。删除操作在系统中保留失效的意向并显示在 UI 上。

    虽然将删除 Edge 虚拟机,但在系统中保留失效的 Edge 意向和内部对象,并在内部重试删除操作。对功能没有任何影响,因为将删除 Edge 虚拟机并且仅意向具有失效的条目。

  • 已修复问题 2887037:执行管理器到策略对象升级后,无法更新或删除 NAT 规则。

    在触发升级之前,当 PI(主体身份)用户在管理器上创建 NAT 规则时,将会发生这种情况。在管理器到策略对象升级后,无法更新或删除 PI 用户创建的 NAT 规则。

  • 已修复问题 2886971:执行删除操作后,未清理在全局管理器上创建的组。

    只有在该组是本地管理器站点上的参考组时,才会发生这种情况。对功能没有任何影响;不过,您无法创建另一个与删除的组具有相同策略路径的组。

  • 已修复问题 2886210:在还原期间,如果 VC 关闭,则会显示“备份/还原”对话框,以告知用户确保 VC 已启动并正在运行,但不会显示 VC 的 IP 地址。

    在还原期间,没有为 VC 连接显示 VC 的 IP 地址。

  • 已修复问题 2885552:如果您创建了一个使用 OpenLDAP 的 LDAP 标识源,并且定义了多个 LDAP 服务器,则仅使用第一个服务器。

    如果第一个 LDAP 服务器变得不可用,身份验证将失败,而不是尝试配置的其余 OpenLDAP 服务器。

  • 已修复问题 2885248:在 InterVtep 场景中,如果将 EdgeVnic 连接到 NSX 端口组(不考虑 Edge 虚拟机和 ESX 主机上的 VLAN),则 ESX 和 Edge 上工作负载虚拟机之间的南北向流量停止工作,因为 ESX 会丢弃发送到 Edge VTEP 的数据包。

    ESX 和 Edge 上工作负载虚拟机之间的南北向流量停止工作,因为 ESX 会丢弃发送到 Edge VTEP 的数据包。

  • 已修复问题 2885009:升级后,全局管理器具有其他默认交换配置文件。

    对功能没有任何影响。

  • 已修复问题 2884416:无法及时刷新负载均衡器状态。

    错误的负载均衡器状态。

  • 已修复问题 2884070:如果 NSX-T Edge 上行链路和对等路由器之间的 MTU 设置不匹配,OSPF 邻居关系将停滞在 Exstart 状态。

    在 NSX for vSphere 到 NSX-T 的迁移期间,不会自动迁移 MTU,因此,不匹配可能会在南北向 Edge 切换期间影响数据平面。OSPF 邻居关系停滞在 Exstart 状态。

  • 已修复问题 2882822:在 NSX for vSphere 到 NSX-T 的配置迁移期间,不会将临时 IPSet 添加到 Edge 防火墙规则/LB 池成员中使用的安全组。

    在迁移期间,在 NSX-T 上找到虚拟机/VIF 并通过静态/动态成员资格成为它们适用的 SG 的一部分之前,可能间隔一段时间。在南北向切换(南北向流量流经 NSX-T 网关)到迁移结束之间的这段时间内,这可能会导致违反 Edge 防火墙规则而丢弃或允许流量。

  • 已修复问题 2881168:与以前的格式“fc00::1”相比,LogicalPort GET API 输出采用扩展格式“fc00:0:0:0:0:0:0:1”。

    与 NSX-T 3.0 格式“fc00::1”相比,NSX-T 3.2 中的 LogicalPort GET API 输出采用扩展格式“fc00:0:0:0:0:0:0:1”。

  • 已修复问题 2877628:尝试在低于 6.6 的 ESX 主机交换机 VDS 版本上安装安全功能时,显示一条不清楚的错误消息。

    通过 UI 和 API 显示了错误消息。

  • 已修复问题 2872658:在注册站点后,UI 显示错误“由于不支持以下功能,因此无法导入:IDS."

    这对功能没有任何影响。在 NSX-T 3.2 中不支持配置导入。

  • 已修复问题 2866751:合并的有效成员资格 API 没有在响应中列出影子组的静态 IP。

    对功能或数据路径没有任何影响。您不会在 GET 合并有效成员资格 API 中看到影子组的静态 IP。这仅适用于影子组(也称为参考组)。

  • 已修复问题 2772500:在 ENS 上启用嵌套覆盖网络可能会导致 PSOD。

    可能导致 PSOD。

  • 已修复问题 2884518:将 NSX 设备升级到 NSX-T 3.2 后,在网络拓扑 UI 上显示的分段连接的虚拟机计数不正确。

    您将在“网络拓扑”上看到分段连接的虚拟机计数不正确。不过,在展开虚拟机的节点时,将显示与分段关联的虚拟机的实际计数。

  • 已修复问题 2864250:如果在创建传输节点时使用自定义 NIOC 配置文件,则传输节点实现会失败。

    尚未准备好使用传输节点。

  • 已修复问题 2613113:如果正在执行载入操作,在完成本地管理器还原后,全局管理器上的状态不会从 IN_PROGRESS 发生更改。

    UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入还原的站点的配置。

  • 已修复问题 2526769:多节点集群上的还原操作失败。

    在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。

  • 已修复问题 2628503:即使在强制删除管理器 NS 组后,仍会应用 DFW 规则。

    在强制删除 NS 组时,可能仍会阻止流量。

  • 已修复问题 2882574:在 NSX-T 3.2.0 版本中已阻止“棕地配置载入”API,因为不完全支持该功能。

    您将无法使用“棕地配置载入”功能。

  • 已修复问题 2791490:联合:在更改备用全局管理器 (GM) 密码后,无法将对象同步到备用 GM。

    在备用 GM 的位置管理器上观察不到活动 GM,也观察不到来自活动 GM 的任何更新。

  • 已修复问题 2782010:即使“allow_changing_vdr_mac_in_use”为 false,策略 API 也允许更改 vdr_mac/vdr_mac_nested。

    即使 allow_changing 设置为 false,也会在 TN 上更新 VDR MAC。不会引发错误。

  • 已修复问题 2687084:在升级或重新启动后,搜索 API 可能会返回 400 错误,错误代码为 60508:“正在重新创建索引,这可能需要一些时间”(Re-creating indexes, this may take some time)。

    根据系统规模,在重新编制索引完成之前,无法使用搜索 API 和 UI。

  • 已修复问题 2636420:传输节点配置文件应用于在备份后调用了“remove nsx”的集群。

    主机未处于已准备就绪状态,但仍在集群中应用传输节点配置文件。

  • 已修复问题 2658092:在本地管理器上配置 NSX Intelligence 时,载入失败。

    载入失败,并出现主体身份错误。无法使用主体身份用户载入系统。

  • 已修复问题 2862606:对于版本低于 7.0.1 的 ESX,不支持 NIOC 配置文件。

    创建或更新传输节点似乎成功。但是,NIOC 配置文件的实际配置不会应用于数据路径,因此无法正常工作。

  • 已修复问题 2871162:负载均衡器池成员关闭时,无法通过 API 查看池成员故障原因。

    当负载均衡器池配置了一个监控器且池成员状态为“关闭”时,池成员状态中无法显示故障原因。

  • 已修复问题 2879667:迁移到 NSX-T 3.2 后,无法通过 Pub/Sub 流式传输流量。

    迁移到 NSX-T 3.2 时,不会更新 Pub/Sub 订阅的代理端点。如果代理 IP 不正确,订阅将停止接收流量。

  • 已修复问题 2881503:如果 dvs 名称包含空格,则脚本无法在升级期间清除 PVLAN 属性。

    由于在升级后不会清除 PVLAN 属性,因此与 VC 的冲突将仍然存在。

  • 已修复问题 2885820:对于从 0.0.0.0 开始的 IP 范围,其中少数 IP 的 CCP 上缺少转换。

    IP 范围从 0.0.0.0 开始的 NS 组(例如,“0.0.0.0-255.255.255.0”)存在转换问题(缺少 0.0.0.0/1 子网)。IP 范围为“1.0.0.0-255.255.255.0”的 NS 组不受影响。

  • 已修复问题 2890348:如果在 GC/HL 中更改了默认 VNI 池的名称,则需要将默认 VNI 池正确迁移到 IM。

    在 NSX-T 3.2 之前,默认 VNI 池命名为“DefaultVniPool”。如果在 NSX-T 3.2 版本之前重命名了 VNI 池,则该池将被错误地迁移。升级或迁移不会失败,但池数据将会不一致。

  • 已修复问题 2893170:SAP - 策略 API 无法获取清单、网络连接或安全详细信息。UI 将显示错误消息:“错误:索引当前不同步,系统正在尝试恢复”(Error: Index is currently out of sync, system is trying to recover)。

    在 NSX-T 3.x 中,已将弹性搜索配置为采用 IP 范围(而不是字符串)格式为 IP 范围数据编制索引。可以从为任何规则配置的 IP 地址范围中搜索特定的 IP 地址。尽管弹性搜索适用于 IPv4 地址和范围、IPv6 地址和范围以及 CIDR 等现有格式,但它不支持使用 CIDR 表示法的 IPv4 映射的 IPv6 地址,并且会引发异常。这将导致 UI 显示“索引不同步”(Index out of sync) 错误,进而导致数据加载失败。

  • 已修复问题 2914742:为邻居的 L2VPN_EVPN 地址系列设置一个或多个 BGP 邻居路由筛选器“最大路由”后,Tier-0 逻辑路由进入错误状态。

    路由将停止工作。

  • 已修复问题 2938347:重新引导后,裸机 Edge 上的 ISO 安装失败并显示黑屏。

    在处于 UEFI 引导模式的 Dell PowerEdge R750 服务器上完成安装后,在首次重新引导期间安装 NSX-T Edge(裸机)可能会失败。

  • 已修复问题 2936347:如果 Edge 重新部署无法成功找到或删除仍连接到 MP 的先前 Edge 虚拟机,则必须发出警报。

    通过 VC 执行关闭电源和删除操作失败时,Edge 重新部署操作最终可能会致使两个 Edge 虚拟机同时运行,从而导致出现 IP 冲突和其他问题。

  • 已修复问题 2946102:升级到 320 或 3201 的路径 GC/HL 中缺少 /internal (mp) 条目中的防火墙排除列表记录,这可能会导致 CCP 在排除防火墙排除列表中的成员时出现问题。

    如果升级途径包括 NSX-T 3.2.0 或 3.2.0.1 版本,CCP 可能会在配置 DFW 排除列表时出现问题。您将无法从 MP 端看到 DFW 防火墙排除列表成员,并且可能会发现没有排除防火墙排除列表中的成员。数据库中缺少 CCP 使用的某个条目,因为内部记录被基础架构条目覆盖。如果客户直接从 NSX-T 3.0.x 或 3.1.x 版本升级到 NSX-T 3.2.1 版本,则不会出现此问题。

  • 已修复问题 2941110:由于大规模设置的速度较慢,无法在 UI 中加载升级协调器页面。

     启动大规模升级后,您可能无法导航和检查升级状态,因为无法在 UI 中加载升级协调器页面,并显示错误升级状态列表生成失败:网关超时 (Gateway Time-out)。

  • 已修复问题 2894642:对于具有 SandyBridge、IvyBridge 或 Westmere CPU 或者将 EVC 模式设置为 IvyBridge 或更早版本的主机,无法对该主机上部署的 Edge 虚拟机启动数据路径进程。

    新部署 Edge 的配置状态为“失败”,并显示了一个错误。其结果是,Edge 数据路径不起作用。

  • 已修复问题 2909840:在串行升级期间,将绑定接口配置为管理接口的 NSX-T 裸机 Edge 升级失败。系统报告 PNIC 处于关闭状态。

    升级重新引导后,数据平面服务将无法启动。syslog 指示 python 脚本中存在错误。例如,2021-12-24T15:19:19.274Z HKEDGE02.am-int01.net datapath-systemd-helper 6976 - - fd = file(path) 2021-12-24T15:19:19.296Z HKEDGE02.am-int01.net datapath-systemd-helper 6976 - - NameError: name 'file' is not defined

    在部分升级的 Edge 上,数据平面服务处于关闭状态。集群中仍存在活动 Edge,但这可能是单点故障所致。

  • 已修复问题 2880406:如果实现的 NSService 或 NSServiceGroup 是通过搜索 API 检索的,则其标记中将不会有 policyPath。

    如果在策略端创建 Service 或 ServiceEntry 并使用搜索 API 进行检索,则返回的 NSServiceGroup 或 NSService 将没有 policyPath 标记,该标记包含策略端的 Service 或 ServiceEntry 路径。

  • 已修复问题 2873440:在虚拟机 vMotion 期间,VIF 成员资格 API 返回错误。

    在虚拟机 vMotion 期间,有效的 VIF 成员资格 API (https://{{ip}}/policy/api/v1/infra/domains/:domains/groups/:group/members/vifs) 将返回错误。虚拟机 vMotion 成功完成后,API 可正常工作。完成虚拟机 vMotion 后,您可以使用有效的 VIF 成员资格 API。

  • 已修复问题 2865827:对客户机虚拟机执行 vMotion 操作后,虚拟机失去现有的 TCP 和/或 ICMP 连接。

    配置服务插入时,在对客户机虚拟机执行 vMotion 操作后,虚拟机将失去现有的 TCP 和/或 ICMP 连接。

  • 已修复问题 2878414:在成员的组成员类型对话框中创建组时,如果单击“查看成员”,该组的成员将复制到当前组中。

    在查看其成员时,您可能会看到成员是从其他组复制而来的。您可以随时修改和取消选择/移除这些项目。

  • 已修复问题 2875563:删除 IN_PROGRESS LTA 会话可能会导致 PCAP 文件泄露。

    当 LTA 会话状态为“IN_PROGRESS”时,如果使用 PCAP 操作删除该 LTA,PCAP 文件将泄露。这可能会导致 ESXi 的 /tmp 分区变满。

  • 已修复问题 2875667:当 NSX /tmp 分区已满时,下载 LTA PCAP 文件会导致错误。

    由于 /tmp 分区已满,无法下载 LTA PCAP 文件。

  • 已修复问题 2883505:在将 NSX for vSphere 迁移到 NSX-T 期间,ESXi 主机出现 PSOD。

    在迁移期间,多个 ESXi 主机出现 PSOD。这会导致数据路径故障。

  • 已修复问题 2914934:将 NSX for vSphere 迁移到 NSX-T 后,dvPortGroup 上的 DFW 规则丢失。

    迁移后,所有仍连接到 vSphere dvPortGroup 的工作负载都将不会具有 DFW 配置。

  • 已修复问题 2921704:将 L7 负载均衡器与 IP 哈希负载均衡算法结合使用时,Edge 服务 CPU 可能会因为 nginx 进程死锁而激增。

    您无法连接到负载均衡器后面的后端服务器。

  • 已修复问题 2933905:替换 NSX-T Manager 会导致传输节点断开与控制器的连接。

    在 Manager 集群中添加或移除节点可能会导致某些传输节点断开与控制器的连接。

  • 已修复问题 2894988:DFW 正常运行期间出现 PSOD。

    pollWorld 或 NetWorld 环境中的主机发生 PSOD,且调用堆栈将 rn_match_int() 和 pfr_update_stats() 显示为前 2 个函数。 地址集对象由于被重新编程而处于转换中,但数据包处理线程(pollWorld 或 NetWorld)正在同时遍历地址集。

  • 已修复问题 2927442:升级到 NSX-T 3.2.0.1 后,不同主机和集群中虚拟机上的流量有时会命中默认拒绝 DFW 规则。

    此问题是由争用情况所致,在这种情况下,两个不同线程会同时访问同一内存地址空间。有时这会导致将不完整的地址集转发到控制平面分片位于受影响控制器上的传输节点。

  • 已修复问题 2938194:刷新 API 失败,并显示错误代码 100 - NullPointerException。

    通过刷新,NSX Manager 可以收集 Edge 的当前配置。配置同步不起作用并失败,同时出现错误“无法刷新传输节点配置: 未定义”(Failed to refresh the transport node configuration: undefined)。任何外部更改都不会引发警报。

  • 已修复问题 2938407:Edge 节点无法在 NSX-T 3.2.0.x 上的 NSX-T 联合设置中完全部署。

    UI 中没有适合该 Edge 节点的更新。Edge 节点无法完全部署,并显示“注册超时”(Registration Timedout)。

  • 已修复问题 2962901:Edge 节点升级后显示“Edge 数据路径配置失败”警报。

    在 NSX-T 联合设置中,当 T1 网关使用下行链路分段的 DHCP 静态绑定进行延伸时,MP 还会为 DHCP 交换机创建 L2 转发器端口。如果一个 Edge 节点具有两个 DHCP 交换机,则在重新启动后,将会导致故障。

  • 已修复问题 2645632:在对本地 Edge 执行切换操作期间,对等体将删除并重新建立 IKE 会话。

    如果某些 IPSec 设置配置了大量(超过 30 个)IKE 会话,本地 Edge 以活动-备用模式部署且启用了 HA 同步,同时对等体已使用默认设置启用了 DPD,则某些 IKE 会话可能会由于 DPD 超时而被对等体拆除,并在切换期间重新建立。

  • 已修复问题 2937810:无法启动数据路径服务,并且某些 Edge 网桥功能(例如,Edge 网桥端口)无法正常工作。

    如果在 Edge 节点上启用了 Edge 桥接,中央控制平面 (CCP) 会将 DFW 规则发送到 Edge 节点,这些规则应仅发送到主机节点。如果 DFW 规则包含 Edge 防火墙不支持的功能,Edge 节点将无法处理不受支持的 DFW 配置,从而导致数据路径无法启动。

  • 已修复问题 2924317:主机迁移开始几分钟后,主机迁移失败,并显示 Fabric 节点创建失败错误。

    必须正确选择 NSX-T 端的覆盖网络状态。否则,主机迁移将失败。

  • 已修复问题 2949527:如果虚拟机迁移到 opsAgent 将不生成 VIF 连接通知的主机,则虚拟机会丢失 DFW 规则。

    如果虚拟机属于应用了防火墙规则的安全组并迁移到故障 TransportNode,则虚拟机会丢失从安全组继承的 DFW 规则。虚拟机仍具有用户已配置的任何默认 DFW 规则。

  • 已修复问题 2816781:无法为物理服务器配置基于负载均衡的绑定策略,因为它们支持单个 VTEP。

    您将无法为物理服务器配置基于负载均衡的绑定策略。

已知问题

  • 问题 2983892:与 NSX Metrics 功能关联的 Kubernetes Pod 间歇性地发生故障而无法检测输入流量。

    当与 NSX Metrics 功能关联的 Kubernetes Pod 间歇性地发生故障而无法检测输入流量时,输入衡量指标数据将无法存储。结果,缺少的数据会影响由其他 NSX 功能(例如 NSX Intelligence、NSX Network Detection and Response 以及 NSX 恶意软件防护)执行的衡量指标数据分析。

    解决办法:让基础架构管理员执行以下步骤。

    1. 登录到与 NSX Metrics 功能关联的 Kubernetes Pod,并在系统提示符下运行以下命令。

      kubectl edit deploy/monitor -n nsxi-platform  
    2. 将网络策略从 allow-traffic-to-contour 更改为 allow-traffic-to-all,然后保存所做的更改。

      Kubernetes Pod 重新启动后,NSX Metrics 功能应当正确收集并存储输入流量数据。

  • 问题 2931403:网络接口验证阻止 API 用户执行更新。

    可以为 Edge 虚拟机网络接口配置网络资源,例如,指定计算和存储资源可访问的端口组、VLAN 逻辑交换机或分段。电源中断后,Compute-Id regroup MoRef 失效,并且不再存在于 VC 中(在 VC 还原后资源池的 MoRef 会发生更改)。API 用户无法执行更新操作。

    解决办法:重新部署 Edge 并指定有效的 MoRef ID。

  • 问题 2936504:NSX Application Platform 监控页面顶部显示加载旋转状态。

    在成功安装 NSX Application Platform 后查看 NSX Application Platform 页面时,最初会在页面顶部显示加载旋转状态。此加载旋转状态可能会让人以为存在连接问题,但其实并不存在任何问题。

    解决办法:加载 NSX Application Platform 页面后,立即刷新 Web 浏览器页面以清除旋转状态。

  • 问题 2949575:关闭集群中的一个 Kubernetes 工作节点的电源会将 NSX Application Platform 无限期置于降级状态。

    从集群中移除一个 Kubernetes 工作节点后,如果事先没有在其上引流 Pod,则会将 NSX Application Platform 置于降级状态。使用 kubectl get pod -n nsxi-platform 命令检查 Pod 的状态时,某些 Pod 会显示Terminating状态,并且已长时间处于该状态。

    解决办法:使用以下信息手动删除每个显示 Terminating 状态的 Pod。

    1. 从 NSX Manager 或运行程序 IP 主机(即可从中访问 Kubernetes 集群的 Linux 跳转主机)中,运行以下命令以列出所有处于 Terminating 状态的 Pod。

      kubectl get pod -A | grep Terminating
    2. 使用以下命令删除列出的每个 Pod。

      kubectl delete pod <pod-name> -n <pod-namespace> --force --grace-period=0

  • 问题 3012313:将 NSX 恶意软件防护或 NSX Network Detection and Response 从版本 3.2.0 升级到 NSX ATP 3.2.1 或 3.2.1.1 失败。

    将 NSX Application Platform 从 NSX 3.2.0 成功升级到 NSX ATP 3.2.1 或 3.2.1.1 后,升级 NSX 恶意软件防护 (MP) 或 NSX Network Detection and Response (NDR) 功能将会失败,并出现以下一个或多个症状。

    1. 升级 UI 窗口对 NSX NDR 和云连接器 Pod 显示 FAILED 状态。

    2. 对于 NSX NDR 升级,几个前缀为 nsx-ndr 的 Pod 处于 ImagePullBackOff 状态。   

    3. 对于 NSX MP 升级,几个前缀为 cloud-connector 的 Pod 处于 ImagePullBackOff 状态。   

    4. 单击升级后升级失败,但之前的 NSX MP 和 NSX NDR 功能仍与开始升级之前一样正常运行。但是,NSX Application Platform 可能会变得不稳定。

    解决办法:请参见 VMware 知识库文章 89418

  • 问题 3025104:对 IP 不同但 FQDN 相同的主机执行还原时,主机显示“失败”状态

    使用 IP 不同而 FQDN 相同的 MP 节点执行还原时,主机无法连接到 MP 节点。

    解决办法:使用以下命令刷新主机的 DNS 缓存:/etc/init.d/nscd restart

  • 问题 2989696:执行 NSX Manager 还原操作后,无法启动计划备份。

    计划备份不会生成备份。手动备份将继续工作。

    解决办法:请参见知识库文章 89059

  • 问题 2969847:DSCP 优先级不正确

    当值为 0 时,自定义 QoS 配置文件中的 DSCP 优先级不会传播到主机,从而导致流量优先级问题。

    解决办法:无

  • 问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。

  • 问题 2879979:由于无法访问 IPsec 对等体而执行“不活动对等检测”后,IKE 服务可能不会启动基于路由的新 IPsec 会话。

    基于路由的特定 IPsec 会话可能会中断。

    解决办法:在 IPsec 会话上启用/禁用可以解决该问题。

  • 问题 2879734:在两个不同的 IPsec 本地端点中使用相同的自签名证书时,配置将失败。

    在解决该错误之前,不会建立失败的 IPsec 会话。

    解决办法:在每个本地端点中使用唯一的自签名证书。

  • 问题 2879133:恶意软件防护功能最多可能需要 15 分钟才能开始工作。

    在首次配置恶意软件防护功能时,最多可能需要 15 分钟的时间以初始化该功能。在该初始化期间,不会进行恶意软件分析,但没有迹象表明正在进行初始化。

    解决办法:等待 15 分钟。

  • 问题 2868944:将超过 1,000 个 DFW 规则从 NSX for vSphere 迁移到 NSX-T Data Center 时,不会显示 UI 反馈,但区域会被拆分为具有 1,000 个或更少规则的区域。

    未显示 UI 反馈。

    解决办法:检查日志。

  • 问题 2865273:如果从 NSX for vSphere 迁移到 NSX-T Data Center 之前具有阻止端口 22、443、8443 和 123 的 DFW 规则,Advanced Load Balancer (Avi) 搜索引擎将无法连接到 Avi 控制器。

    Avi 搜索引擎无法连接到 Avi 控制器。

    解决办法:添加显式 DFW 规则以允许 SE 虚拟机使用端口 22、443、8443 和 123,或从 DFW 规则中排除 SE 虚拟机。

  • 问题 2864929:从 NSX for vSphere 迁移到 NSX-T Data Center 上的 Avi 负载均衡器时,池成员计数较高。

    您将看到较高的池成员计数。运行状况监控器将这些池成员标记为关闭,但不会将流量发送到无法访问的池成员。

    解决办法:无。

  • 问题 2719682:Avi 控制器中的计算字段未同步到策略上的意向,从而导致在 Avi UI 和 NSX-T UI 上显示的数据存在差异。

    Avi 控制器中的计算字段在 NSX-T UI 上显示为空白。

    解决办法:使用应用程序切换器检查 Avi UI 中的数据。

  • 问题 2848614:将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns,并且外部 DNS 服务器中缺少正向或反向查找条目或者加入节点缺少 dns 条目,则不会为加入节点生成正向或反向警报。

    即使在 DNS 服务器中缺少正向/反向查找条目或加入节点缺少 dns 条目,也不会为加入节点生成正向/反向警报。

    解决办法:为具有正向和反向 DNS 条目的所有管理器节点配置外部 DNS 服务器。

  • 问题 2871585:对于低于 7.0.3 的 DVS 版本,在使用 DVS 的集群上启用 vSphere DVPortgroup 的 NSX 安全功能后,允许从 DVS 中移除主机和删除 DVS。

    您可能需要解决传输节点或集群配置中的任何问题,这些问题是由于从 DVS 中移除主机或删除 DVS 引起的。

    解决办法:无。

  • 问题 2870085:为所有规则启用/禁用日志记录的安全策略级别日志记录不起作用。

    您无法通过更改安全策略的“logging_enabled”来更改所有规则的日志记录。

    解决办法:修改每个规则以启用/禁用日志记录。

  • 问题 2866682:在 Microsoft Azure 中,如果在 SUSE Linux Enterprise Server (SLES) 12 SP4 工作负载虚拟机上启用了加速网络并安装了 NSX 代理,则以太网接口不会获取 IP 地址。

    虚拟机代理无法启动,并且虚拟机变为未管理状态。

    解决办法:禁用加速网络。

  • 问题 2884939:NSX-T 策略 API 导致以下错误:客户端“admin”超出了每秒请求速率 100(错误代码:102).

    当我们将大量 VS 从 NSX for vSphere 迁移到 NSX-T ALB 时,达到了每秒 100 个请求的 NSX 速率限制,并临时阻止所有 API。

    解决办法:将客户端 API 速率限制更新为每秒 200 个或更多请求。

    注意:对 AVI 版本 21.1.4 版本进行了修复。

  • 问题 2792485:显示 NSX Manager IP,而不是 vCenter 中安装的管理器的 FQDN。

    vCenter 中集成的 NSX-T UI 显示 NSX Manager IP,而不是安装的管理器的 FQDN。

    解决办法:无。

  • 问题 2888207:在启用了 vIDM 时,无法重置本地用户凭据。

    在启用了 vIDM 时,您无法更改本地用户密码。

    解决办法:必须(暂时)禁用 vIDM 配置,在此期间重置本地凭据,然后重新启用集成。

  • 问题 2885330:未显示 AD 组的有效成员。

    未显示 AD 组的有效成员。对数据路径没有任何影响。

    解决办法:无。

  • 问题 2879119:在添加虚拟路由器后,相应的内核网络接口未启动。

    VRF 上的路由失败。不会为通过 VRF 连接的虚拟机建立连接。

    解决办法:重新启动数据平面服务。

  • 问题 2877776:与 controller-info.xml 文件相比,“get controllers”输出可能会显示有关非主控制器的失效信息。

    该 CLI 输出令人困惑。

    解决办法:在该 TN 上重新启动 nsx-proxy。

  • 问题 2874995:即使未使用,LCore 也可能保持较高的优先级,从而导致某些虚拟机无法使用它们。

    “正常延迟”虚拟机的性能下降。

    解决办法:有两种选择。

    • 重新引导系统。

    • 移除高优先级 LCore,并重新创建它们。然后,它们将默认恢复为正常优先级的 LCore。

  • 问题 2854139:对于 Edge 上的 Tier-0 SR 具有多个 BGP 邻居并且这些 BGP 邻居向 Tier-0 SR 发送 ECMP 前缀的拓扑,在 RIB 中持续添加/移除 BGP 路由。

    持续添加/删除的前缀丢弃流量。

    解决办法:添加一个入站路由映射,以筛选与静态路由下一跃点位于同一子网中的 BGP 前缀。

  • 问题 2853889:在创建 EVPN 租户配置(使用 vlan-vni 映射)时,创建了子分段,但子分段的实现状态变为失败,并在大约 5 分钟后自动恢复。

    实现 EVPN 租户配置将需要 5 分钟的时间。

    解决办法:无。等待 5 分钟。

  • 问题 2690457:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器,proton 服务可能无法在加入节点上正确重新启动。

    加入管理器无法正常工作,并且 UI 不可用。

    解决办法:为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。

  • 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 不起作用。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2668717:对于由 vRA 创建且已连接到共享 Tier-1 的分段的网络之间的东西向路由,可能会观察到间歇性流量丢失。

    如果 vRA 创建多个分段并连接到共享的 ESG,则 NSX for vSphere 到 NSX-T 的迁移会将此类拓扑转换为连接到 NSX-T 端上所有分段的共享 Tier-1。在主机迁移时间段内,可能会观察到连接到共享 Tier-1 的分段的工作负载之间的东西向流量间歇性丢失。

    解决办法:无。

  • 问题 2355113:不支持在 Azure 加速网络实例上运行 RedHat 和 CentOS 的工作负载虚拟机。

    在 Azure 中,如果在基于 RedHat 或 CentOS 的操作系统上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。

    解决办法:为基于 RedHat 和 CentOS 的操作系统禁用加速网络。

  • 问题 2283559:如果 Edge 的 RIB 包含 65,000 个以上路由且 FIB 包含 100,000 个以上路由,则 /routing-table 和 /forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65,000 个以上路由且 FIB 包含 100,000 个以上路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。CLI 支持需要整个 RIB/FIB 表的情况,且无超时。

  • 问题 2684574:如果 Edge 将 6,000 个以上路由用于数据库和路由,策略 API 将会超时。

    如果 Edge 具有 6,000 个以上路由,用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误:/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv 如果 Edge 将 6,000 个以上路由用于数据库和路由,策略 API 将会超时。这是一个只读 API,仅在使用 API/UI 下载 6000 个以上用于 OSPF 路由和数据库的路由时才会有影响。

    解决办法:使用 CLI 命令从 Edge 中检索信息。

  • 问题 2574281:策略最多仅允许 500 个 VPN 会话。

    NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:{'httpStatus':'BAD_REQUEST', 'error_code':500230, 'module_name':'Policy', 'error_message':'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}

    解决办法:使用管理平面 API 创建其他 VPN 会话。

  • 问题 2839782:无法从 NSX-T 2.4.1 升级到 2.5.1,因为 CRL 实体很大,并且 Corfu 在 2.4.1 中施加了大小限制,从而阻止升级期间在 Corfu 中创建 CRL 实体。

    无法升级。

    解决办法:将证书替换为由不同 CA 签名的证书。

  • 问题 2838613:对于低于 7.0.3 的 ESX 版本,在集群上安装安全功能后,在从 6.5 升级到更高版本的 VDS 上未启用 NSX 安全功能。

    在从 6.5 升级到更高版本 (6.6+) 的 VDS 连接的虚拟机上未启用 NSX 安全功能,在该 VDS 中支持 vSphere DVPortgroup 上的 NSX 安全功能。

    解决办法:在升级 VDS 后,重新引导主机,并打开虚拟机电源以在虚拟机上启用安全功能。

  • 问题 2799371:即使 L2 VPN 和 IPSec 会话已启动,也不会清除 L2 VPN 的 IPSec 警报。

    除了看到不必要的未解决警报以外,对功能没有任何影响。

    解决办法:手动解决警报。

  • 问题 2584648:切换 T0/T1 网关的主节点影响北向连接。

    位置故障切换时间导致中断几秒钟,并且可能会影响位置故障切换或故障恢复测试。

    解决办法:无。

  • 问题 2561988:所有 IKE/IPSEC 会话暂时中断。

    流量中断将持续一段时间。

    解决办法:分阶段修改本地端点,而不是同时修改所有端点。

  • 问题 2491800:不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。

    连接将使用已过期/已吊销的 SSL。

    解决办法:重新启动管理器节点上的 APH 以触发重新连接。

  • 问题 2558576:全局配置文件定义的全局管理器和本地管理器版本可能有所不同,并且可能在本地管理器上具有未知行为。

    在全局管理器上创建的全局 DNS、会话或泛洪配置文件无法从 UI 应用于本地组,但可以从 API 应用。因此,API 用户可能会在本地管理器上意外创建配置文件绑定映射并修改全局实体。

    解决办法:使用 UI 配置系统。

  • 问题 2639424:在基于主机的部署中,在修复 vLCM 集群中的主机时,修复进度在完成 95% 后失败。

    主机的修复进度将停留在 95%,并在到达 70 分钟的超时时间后失败。

    解决办法:请参见 VMware 知识库文章 81447

  • 问题 2950206:升级 MP 之后并在 CSM 升级之前,无法访问 CSM。

    升级 MP 后,在 CSM 设备完全升级之前,无法从 UI 访问 CSM 设备。CSM 上的 NSX Services 此时已关闭。这是升级期间一种临时状态,在此状态下无法访问 CSM。影响极小。

    解决办法:这是预期的行为。您必须升级 CSM 设备才能访问 CSM UI 并确保所有服务均可正常运行。

  • 问题 2945515:Azure 中的 NSX Tools 升级可能会在 Redhat Linux 虚拟机上失败。

    默认情况下,NSX Tools 安装在 /opt 目录上。但是,在 NSX Tools 安装期间,可能会使用传递到安装脚本的“--chroot-path”选项覆盖默认路径。

    在安装 NSX Tools 的分区上,如果磁盘空间不足,可能会导致 NSX Tools 升级失败。

    解决办法:增加安装了 NSX Tools 的分区大小,然后启动 NSX Tools 升级。https://docs.microsoft.com/zh-cn/azure/virtual-machines/linux/resize-os-disk-gpt-partition 页面中介绍了增加磁盘空间的步骤。

  • 问题 2882154:部分 Pod 未列在“kubectl top pods -n nsxi-platform”的输出中。

    “kubectl top pods -n nsxi-platform”的输出不会列出要调试的所有 Pod。这不会影响部署或正常操作。对于某些问题,调试可能会受到影响。  这对功能没有任何影响。这只会影响调试功能。

    解决办法:具有两种解决办法:

    • 解决办法 1:在部署 NAPP 平台之前,请确保 Kubernetes 集群提供了 0.4.x 版本的 metrics-server Pod。部署 metrics-server 0.4.x 时不会出现此问题。

    • 解决办法 2:删除 NAPP Chart 部署的 metrics-server 实例,然后部署上游 Kubernetes metrics-server 0.4.x。

  • 问题 2871440:对于使用 vSphere dvPortGroups 上的 NSX 安全功能保护的工作负载,在通过 vMotion 移到与已关闭的 NSX Manager 连接的主机时,将丢失其安全设置。

    对于安装了 vSphere dvPortGroups 上的 NSX 安全功能的集群,如果虚拟机通过 vMotion 移到与已关闭 NSX Manager 连接的主机,其将不会实施其 DFW 和安全规则。重新建立与 NSX Manager 的连接时,将会重新实施这些安全设置。

    解决办法:在 NSX Manager 关闭时,不要通过 vMotion 移到受影响的主机。如果其他 NSX Manager 节点正常运行,请使用 vMotion 将虚拟机移动到另一个已连接到正常 NSX Manager 的主机。

  • 问题 2898020:传输节点的状态中显示错误“FRR 配置失败::ROUTING_CONFIG_ERROR (-1)”(FRR config failed:: ROUTING_CONFIG_ERROR (-1))。

    Edge 节点拒绝配置了拒绝操作的路由映射序列,该操作将多个社区属性列表连接到其匹配条件。如果 Edge 节点没有管理员预期的配置,则会导致意外行为。

    解决办法:无

  • 问题 2910529:DHCP 分配后,Edge 丢失 IPv4 地址。

    在安装 Edge 虚拟机并从 DHCP 服务器收到 IP 后,Edge 会在短时间内丢失 IP 地址并变得无法访问。这是因为 DHCP 服务器未提供网关,因此 Edge 节点会丢失 IP。

    解决办法:确保 DHCP 服务器提供正确的网关地址。如果未提供,请执行以下步骤:

    1. 以 admin 身份登录到 Edge 虚拟机的控制台。

    2. 停止服务数据平面。

    3. 设置 interface <mgmt intf> dhcp plane mgmt。

    4. 启动服务数据平面。

  • 问题 2942900:Active Directory 查询超时后,身份防火墙无法正常抓取事件日志。

    身份防火墙发出递归 Active Directory 查询以获取用户的组信息。Active Directory 查询可能会超时,并显示命名异常“LDAP 响应读取超时,已用超时:60000 ms”(LDAP response read timed out, timeout used: 60000 ms)。因此,不会使用事件日志采集器 IP 地址填充防火墙规则。

    解决办法:要缩短递归查询时间,Active Directory 管理员可以对 AD 对象进行组织并编制索引。

  • 问题 2958032:如果您正在使用 NSX-T 3.2 或正在升级到 NSX-T 3.2 维护版本,则文件类型在“恶意软件防护”仪表板上将无法正确显示,并且会被截断为 12 个字符。

    在“恶意软件防护”仪表板上,在单击以查看已检查文件的详细信息时,您将看到不正确的数据,因为文件类型将被截断为 12 个字符。例如,对于文件类型为 WindowsExecutableLLAppBundleTarArchiveFile 的文件,您只会在恶意软件防护 UI 上看到文件类型为 WindowsExecu。

    解决办法:使用 NSX-T 3.2 维护内部版本执行全新 NAPP 安装,而不是从 NSX-T 3.2 升级到 NSX-T 3.2 维护版本。

  • 问题 2954520:在从策略创建分段并从 MP 配置网桥后,UI 中与桥接断开连接的选项对该分段不可用。

    如果分段是从策略创建的并且从 MP 配置了网桥,则无法从 UI 与桥接断开连接或对其进行更新。

    如果从策略端创建分段,建议您仅从策略端配置桥接。同样,如果从 MP 端创建逻辑交换机,则应仅从 MP 端配置桥接。

    解决办法:您需要使用 API 移除桥接:

    1.更新相关的 LogicalPort 并移除附件

    PUT :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>,将此内容添加到 PUT 负载标头字段中的标头 -> X-Allow-Overwrite : true

    2.删除网桥端点

    DELETE :: https://<mgr-ip>/api/v1/bridge-endpoints/<bridge-endpoint-id>

    3.删除逻辑端口

    DELETE :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>

  • 问题 2889482:更新已发现端口的分段配置文件时,显示错误的保存确认信息。

    策略 UI 允许编辑发现的端口,但在更新分段配置文件后,不会为端口更新请求发送更新后的绑定映射。单击“保存”后,将显示一条误报消息。已发现端口的分段似乎已更新,但实际上并未更新。

    解决办法:使用 MP API 或 UI 更新已发现端口的分段配置文件。

  • 问题 2919218:在 MC 服务重新启动后,对主机迁移所做的选择将重置为默认值。

    重新启动 MC 服务后,之前所做的与主机迁移相关的所有选择(例如启用或禁用集群、迁移模式、集群迁移顺序等)都将重置为默认值。

    解决办法:确保在重新启动 MC 服务后再次执行与主机迁移相关的所有选择。

check-circle-line exclamation-circle-line close-line
Scroll to top icon