发行说明内容

关于 NSX-T Data Center 3.2.0 的重要信息

新增功能

• 第 2 层网络
• 第 3 层网络
• 多播
• Edge 平台
• 分布式防火墙
• 分布式入侵检测/防御系统 (D-IDPS)
• 网关防火墙
• 新的 NSX Application Platform
• 网络检测和响应
• VPN
• 客户机侦测
• 联合
• 容器网络连接和安全
• 负载均衡
• NSX Cloud
• 运维和监控
• 监控
• 可用性和用户界面
• 策略
• AAA 和平台安全性
• 规模
• 许可
• NSX Data Center for vSphere 到 NSX-T Data Center 的迁移

技术预览版功能

包容性术语

兼容性和系统要求

功能/API 弃用和行为变化

• NSX Manager API 和 NSX Advanced UI 的弃用公告
• N-VDS NSX-T 主机交换机弃用公告
• OpenStack 和 KVM
• NSX-T 负载均衡 API 的弃用公告
• 警报
• 实时流量分析 API 弃用和更改
• API 弃用和行为变化

此版本的升级说明

API 和 CLI 资源

本地化语言

文档修订历史

已解决的问题

• 已修复问题 2692344：如果您删除 Avi 实施点，它将从策略中删除所有实现的对象，这会从策略中删除默认对象的所有实现的实体。在添加新的实施点时，无法从 Avi 控制器中重新同步默认对象。

  在删除并重新创建 AVIConnectionInfo 的实施点后，您将无法使用系统默认对象。

• 已修复问题 2858893：基于集群的部署的服务部署清理失败。

  对功能没有任何影响。如果尝试在待定 ServiceDeployment 或实例中取消注册 ServiceDefinion，则无法清理服务。必须手动/强制从数据库中进行清理。

• 已修复问题 2557287：不会还原备份后完成的 TNP 更新。

  在还原的设备上看不到在备份后进行的任何 TNP 更新。

• 已修复问题 2679614：在本地管理器上替换 API 证书后，全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

  在本地管理器上替换 API 证书后，全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

• 已修复问题 2658687：在事务失败但发生故障切换时，全局管理器切换 API 报告失败。

  API 失败，但全局管理器切换完成。

• 已修复问题 2652418：在删除大量实体时，删除速度缓慢。

  删除速度较慢。

• 已修复问题 2649499：在依次创建各个防火墙规则时，需要很长时间才能创建这些规则。

  缓慢的 API 需要更多的时间才能创建规则。

• 已修复问题 2649240：使用单个删除 API 删除大量实体时，删除速度很慢。

  需要大量时间才能完成删除过程。

• 已修复问题 2606452：在尝试通过 API 载入时，载入被阻止。

  载入 API 失败，并显示“在站点中找不到默认传输区域”(Default transport zone not found at site) 错误消息。

• 已修复问题 2587513：在网桥配置文件绑定中配置多个 VLAN 范围时，策略显示错误。

  您将看到“VLAN ID 无效”(INVALID VLAN IDs) 错误消息。

• 已修复问题 2662225：当活动 Edge 节点在传输南北向流量期间变为非活动 Edge 节点时，将会丢失流量。

  当前南北向流在多播活动节点上运行。TOR 上到源的首选路由应仅通过多播活动 Edge 节点。启动另一个 Edge 可能会接替多播活动节点（级别较低的 Edge 成为活动多播节点）。当前的南北向流量将丢失最多 4 分钟的时间。如果停止并重新启动当前流，这不会影响新的流。

• 已修复问题 2625009：当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时，SR 间 iBGP 会话将不断抖动。

  这会影响联合拓扑中的站点间连接。

• 已修复问题 2521230：在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

  BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分，BGP 还会显示 BFD 状态。如果 BGP 已关闭，则不会处理任何 BFD 通知，并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

• 已修复问题 2550492：在升级期间，暂时显示“凭据不正确或者指定的帐户已锁定”(The credentials were incorrect or the account specified has been locked) 消息，并且系统自动进行恢复。

  在升级期间显示暂时性的错误消息。

• 已修复问题 2682480：可能发出虚假的 NCP 运行状况警报。

  NCP 运行状况警报可能是不可靠的，即，在 NCP 系统处于正常运行状态时发出警报。

• 已修复问题 2655539：在使用 CLI 更新主机名时，在全局管理器 UI 的“位置管理器”页面上未更新主机名。

  显示旧主机名。

• 已修复问题 2631703：在对具有 vIDM 集成的设备进行备份/还原时，vIDM 配置将被破坏。

  通常，在升级和/或还原环境后，尝试还原已启动并运行 vIDM 集成的设备将导致该集成被破坏，您必须重新进行配置。

• 已修复问题 2730109：当 Edge 打开电源时，虽然存在环回，但 Edge 会尝试使用其路由器链路 IP 地址作为 OSPF 路由器 ID 与对等体建立 OSPF 邻居关系。

  重新加载 Edge 后，由于配置排序，OSPF 选择下行链路 IP 地址（较高 IP 地址）作为路由器 ID，直到收到 OSPF 路由器 ID 配置。在收到包含新路由器 ID 的 OSPF 通信时，具有较旧路由器 ID 的邻居条目将最终变为失效条目，并且在对等体上的失效定时器过期后，该条目将过期。

• 已修复问题 2610851：对于少数资源类型筛选器组合，命名空间、计算集合、L2VPN 服务网格筛选可能不返回任何数据。

  即使具有符合条件的数据，同时为几种类型应用多个筛选器也不会返回任何结果。这不是一种常见的情况，仅对于以下筛选器属性组合，这些网格的筛选器才会失败：对于命名空间网格 ==> 在集群名称和 Pod 名称筛选器上；对于网络拓扑页面 ==> 在 L2VPN 服务上应用远程 IP 筛选器；对于计算集合 ==> 在计算管理器筛选器上

• 已修复问题 2482580：从 vCenter 中删除 IDFW/IDS 集群时，不会更新 IDFW/IDS 配置。

  从 vCenter 中删除已启用 IDFW/IDS 的集群时，不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

• 已修复问题 2587257：在某些情况下，在目标收到 NSX-T Edge 发送的 PMTU 数据包时，将其忽略。

  PMTU 发现失败而导致分片和重组，并丢弃数据包。这会导致性能下降或流量中断。

• 已修复问题 2622576：由于重复配置而导致的失败不会正确传播到用户。

  在进行载入时，您看到“载入失败”(Onboarding Failure) 消息。

• 已修复问题 2638673：清点未发现虚拟机的 SRIOV vNIC。

  在“添加新的 SPAN 会话”对话框中未列出 SRIOV vNIC。在添加新的 SPAN 会话时，您将看不到 SRIOV vNIC。

• 已修复问题 2643749：无法将在特定站点上创建的自定义区域中的组嵌套到属于系统创建的站点特定区域的组中。

  在选择子组以作为在系统创建的区域中的组（具有相同位置）的成员时，您将看不到在站点特定的自定义区域中创建的组。

• 已修复问题 2805986：无法部署 NSX-T 管理的 Edge 虚拟机。

  使用 ESX UI 完成 NSX-T Edge 部署后，部署失败。

• 已修复问题 2685550：在应用于桥接的分段时，防火墙规则实现状态始终显示为“正在进行中”。

  在将防火墙规则应用于 NS 组时，如果该 NS 组包含桥接的分段以作为其成员之一，实现状态将始终显示为“正在进行中”。您无法检查应用于桥接的分段的防火墙规则的实现状态。

已知问题

• 问题 3025104：对 IP 不同但 FQDN 相同的主机执行还原时，主机显示“失败”状态。

  使用 IP 不同而 FQDN 相同的 MP 节点执行还原时，主机无法连接到 MP 节点。

  解决办法：刷新主机的 DNS 缓存。使用命令 /etc/init.d/nscd restart。

• 问题 3012313：将 NSX 恶意软件防护或 NSX Network Detection and Response 从版本 3.2.0 升级到 NSX ATP 3.2.1 或 3.2.1.1 失败。

  将 NSX Application Platform 从 NSX 3.2.0 成功升级到 NSX ATP 3.2.1 或 3.2.1.1 后，升级 NSX 恶意软件防护 (MP) 或 NSX Network Detection and Response (NDR) 功能将会失败，并出现以下一个或多个症状。

  1. 升级 UI 窗口对 NSX NDR 和云连接器 Pod 显示 FAILED 状态。

  2. 对于 NSX NDR 升级，几个前缀为 nsx-ndr 的 Pod 处于 ImagePullBackOff 状态。

  3. 对于 NSX MP 升级，几个前缀为 cloud-connector 的 Pod 处于 ImagePullBackOff 状态。

  4. 单击升级后升级失败，但之前的 NSX MP 和 NSX NDR 功能仍与开始升级之前一样正常运行。但是，NSX Application Platform 可能会变得不稳定。

  解决办法：请参见 VMware 知识库文章 89418。

• 问题 2989696：执行 NSX Manager 还原操作后，计划的备份无法启动。

  计划备份不会生成备份。手动备份可继续工作。

  解决办法：请参见知识库文章 89059。

• 问题 3015843：DFW 数据包日志标识符在 NSX-T 3.2.0 中进行了更改，并且未在发行说明中提及。

  无法查看具有以前版本中使用的日志标识符的 DFW 数据包日志。

  以下 NSX-T syslog 字段已更改为符合 RFC 合规性：

  • FIREWALL_PKTLOG 已更改为 FIREWALL-PKTLOG

  • DLB_PKTLOG 已更改为 DLB-PKTLOG

  • IDPS_EVT 已更改为 IDPS-EVT

  • nsx_logger 已更改为 nsx-logger

  由于进行这些更改是为了符合 RFC 合规性，因此不存在未来 NSX 版本重新恢复到以前版本中的日志结构的可预见场景。

• 问题 2355113：不支持在 Azure 加速网络实例上运行 RedHat 和 CentOS 的工作负载虚拟机。

  在 Azure 中，如果在基于 RedHat 或 CentOS 的操作系统上启用了加速网络并安装了 NSX 代理，则以太网接口不会获得 IP 地址。

  解决办法：为基于 RedHat 和 CentOS 的操作系统禁用加速网络。

• 问题 2283559：如果 Edge 的 RIB 包含 65k 个以上路由且 FIB 包含 100k 个以上路由，则 /routing-table 和 /forwarding-table MP API 会返回错误。

  如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由，从 MP 到 Edge 的请求将耗时 10 秒以上，从而导致超时。这是只读 API，仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

  解决办法：获取 RIB/FIB 有两种方案可供选择。这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。CLI 支持需要整个 RIB/FIB 表的情况，且无超时。

• 问题 2693576：在将 KVM RHEL 7.9 升级到 RHEL 8.2 后，传输节点显示“NSX 安装失败”(NSX Install Failed)。

  从 RHEL 7.9 升级到 8.2 后，缺少依赖项 nsx-opsagent 和 nsx-cli，而将主机标记为安装失败。无法从 UI 中解决该故障：无法在主机上安装软件。无法解决的依赖项：[PyYAML、python-mako、python-netaddr、python3]

  解决办法：在升级主机操作系统后，手动安装 NSX RHEL 8.2 VIB，然后从 UI 中解决该故障。

• 问题 2628503：甚至在强制删除管理器 NS 组后，仍会应用 DFW 规则。

  解决办法：不要强制删除 DFW 规则仍使用的 NS 组，而是清空 NS 组或删除 DFW 规则。

• 问题 2684574：如果 Edge 将 6000 多个路由用于数据库和路由，策略 API 将会超时。

  如果 Edge 具有 6000 多个路由，用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误：/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv 如果 Edge 将 6000 多个路由用于数据库和路由，策略 API 将会超时。这是一个只读 API，仅在使用 API/UI 下载 6000 多个用于 OSPF 路由和数据库的路由时才会有影响。

  解决办法：使用 CLI 命令从 Edge 中检索信息。

• 问题 2663483：如果您替换单节点 NSX Manager 上的 APH-AR 证书，该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

  仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书，该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

  解决办法：单节点 NSX Manager 集群部署不是支持的部署选项，因此，请使用三节点 NSX Manager 集群。

• 问题 2636771：在使用多个标记对标记资源并且标记和范围与任何标记和范围值匹配时，搜索可能会返回资源。

  这会影响使用标记和范围条件的搜索查询。如果标记和范围与任何对匹配，筛选器可能会返回额外的数据。

  解决办法：无。

• 问题 2668717：对于由 vRA 创建且已连接到共享 Tier-1 的分段的网络之间的东西向路由，可能会观察到间歇性流量丢失。

  如果 vRA 创建多个分段并连接到共享的 ESG，V2T 会将此类拓扑转换为连接到 NSX-T 端上所有分段的共享 Tier-1。在主机迁移时间段内，可能会观察到连接到共享 Tier-1 的分段的工作负载之间的东西向流量间歇性丢失。

  解决办法：无。

• 问题 2490064：尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

  在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后，如果您尝试通过关闭“外部 LB”来禁用集成，则在大约一分钟后，初始配置将重新出现并覆盖本地更改。

  解决办法：尝试禁用 vIDM 时，请勿将外部 LB 标记切换为关闭状态；仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

• 问题 2526769：多节点集群上的还原操作失败。

  在多节点集群上启动还原时，还原会失败，您必须重新部署该设备。

  解决办法：部署新的设置（一个节点集群），然后启动还原过程。

• 问题 2534933：无法将具有基于 LDAP 的 CDP（CRL 分发点）的证书用作 tomcat/集群证书。

  您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

  解决办法：有两种选择。

  1. 使用具有基于 HTTP 的 CDP 的证书。

  2. 使用 PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig API 禁用 CRL 检查（在 PUT 负载中，确保将“crl_checking_enabled”设置为 false。）

• 问题 2566121：在服务器过载时，显示不正确的错误消息“某些设备组件未正常运行”(Some appliance components are not functioning properly)。

  如果对 NSX 进行的 API 调用过多，UI/API 将显示错误“某些设备组件未正常运行”(Some appliance components are not functioning properly) 而不是“服务器过载”(server is overloaded)。

  解决办法：无。

• 问题 2613113：如果正在执行载入操作，在完成本地管理器还原后，全局管理器上的状态不会从 IN_PROGRESS 发生更改。

  UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入还原的站点的配置。

  解决办法：重新启动全局管理器集群，且一次仅对一个节点执行此操作。

• 问题 2690457：在将 MP 加入 MP 集群时，如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器，proton 服务可能无法在加入节点上正确重新启动。

  加入管理器无法正常工作，并且 UI 不可用。

  解决办法：为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。

• 问题 2574281：策略最多仅允许 500 个 VPN 会话。

  NSX 宣称每个大型 Edge 支持 512 个 VPN 会话，但由于策略自动检测安全策略，因此，策略最多仅允许 500 个 VPN 会话。在 Tier-0 上配置第 501 个 VPN 会话时，将显示以下错误消息：{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}

  解决办法：使用管理平面 API 创建其他 VPN 会话。

• 问题 2658092：在本地管理器上配置 NSX Intelligence 时，载入失败。

  载入失败并显示主体身份错误，您无法使用主体身份用户载入系统。

  解决办法：通过 NSX Intelligence 使用的相同主体身份名称创建一个临时主体身份用户。

• 问题 2639424：在基于主机的部署中，在修复 vLCM 集群中的主机时，修复进度在完成 95% 后失败。

  主机的修复进度将停留在 95%，并在到达 70 分钟的超时时间后失败。

  解决办法：请参见 VMware 知识库文章 81447。

• 问题 2636420：如果备份后在集群上运行“移除 NSX”，主机将在还原后变为“已跳过 NSX 安装”状态，并且集群处于“失败”状态。

  主机将显示“已跳过 NSX 安装”。

  解决办法：在还原后，您必须再次在集群上运行“移除 NSX”，以实现备份后存在的状态（“未配置”状态）。

• 问题 2558576：全局配置文件定义的全局管理器和本地管理器版本可能有所不同，并且可能在本地管理器上具有未知行为。

  在全局管理器上创建的全局 DNS、会话或泛洪配置文件无法从 UI 应用于本地组，但可以从 API 应用。因此，API 用户可能会在本地管理器上意外创建配置文件绑定映射并修改全局实体。

  解决办法：使用 UI 配置系统。

• 问题 2491800：不会定期检查 AR 通道 SSL 证书的有效性，这可能会导致对现有连接使用已过期/已吊销的证书。

  连接将使用已过期/已吊销的 SSL。

  解决办法：重新启动管理器节点上的 APH 以触发重新连接。

• 问题 2561988：所有 IKE/IPSEC 会话暂时中断。

  流量中断将持续一段时间。

  解决办法：分阶段修改本地端点，而不是同时修改所有端点。

• 问题 2584648：切换 T0/T1 网关的主节点影响北向连接。

  位置故障切换时间导致中断几秒钟，并且可能会影响位置故障切换或故障恢复测试。

  解决办法：无。

• 问题 2636420：传输节点配置文件应用于在备份后调用了“移除 NSX”的集群。

  主机未处于已准备就绪状态，但仍在集群中应用传输节点配置文件。

  解决办法：在还原后，再次在集群上运行“移除 NSX”，以实现备份后存在的状态（“未配置”状态）。

• 问题 2687084：在升级或重新启动后，搜索 API 可能会返回 400 错误，错误代码为 60508：“正在重新创建索引，这可能需要一些时间”(Re-creating indexes, this may take some time)。

  根据系统规模，在重新编制索引完成之前，无法使用搜索 API 和 UI。

  解决办法：无。

• 问题 2782010：即使“allow_changing_vdr_mac_in_use”为 false，策略 API 也允许更改 vdr_mac/vdr_mac_nested。

  即使 allow_changing 设置为 false，也会在 TN 上更新 VDR MAC。不会引发错误。

  解决办法：如果您不打算更改该字段，请将 VDR MAC 改回到旧值。

• 问题 2791490：联合：在更改备用全局管理器 (GM) 密码后，无法将对象同步到备用 GM。

  在备用 GM 的位置管理器上观察不到活动 GM，也观察不到来自活动 GM 的任何更新。

  解决办法：在备用 GM 的 UI 上请求强制同步。

• 问题 2799371：即使 L2 VPN 和 IPSec 会话已启动，也不会清除 L2 VPN 的 IPSec 警报。

  除了看到不必要的未解决警报以外，对功能没有任何影响。

  解决办法：手动解决警报。

• 问题 2838613：对于低于 7.0.3 的 ESX 版本，在集群上安装安全功能后，在从 6.5 升级到更高版本的 VDS 上未启用 NSX 安全功能。

  在从 6.5 升级到更高版本 (6.6+) 的 VDS 连接的虚拟机上未启用 NSX 安全功能，在该 VDS 中支持 vSphere DVPortgroup 上的 NSX 安全功能。

  解决办法：在升级 VDS 后，重新引导主机，并打开虚拟机电源以在虚拟机上启用安全功能。

• 问题 2839782：无法从 NSX-T 2.4.1 升级到 2.5.1，因为 CRL 实体很大，并且 Corfu 在 2.4.1 中施加了大小限制，从而阻止升级期间在 Corfu 中创建 CRL 实体。

  无法升级。

  解决办法：将证书替换为由不同 CA 签名的证书。

• 问题 2851991：如果具有 AD 组的策略组还嵌套了空源组，IDFW 将失败。

  如果具有 AD 组的策略组嵌套了空源组，IDFW 将失败。

  解决办法：移除空子组。

• 问题 2852419：如果为静态路由配置的非链路本地 IPv4/v6 下一跃点具有多个范围值，将显示错误消息。

  将拒绝非链路本地下一跃点 IP 具有多范围值配置的静态路由 API。

  解决办法：创建多个下一跃点而不是多个范围值，并确保每个下一跃点具有不同的 IP 地址。

• 问题 2853889：在创建 EVPN 租户配置（使用 vlan-vni 映射）时，创建了子分段，但子分段的实现状态变为失败，并在大约 5 分钟后自动恢复。

  实现 EVPN 租户配置将需要 5 分钟的时间。

  解决办法：无。等待 5 分钟。

• 问题 2854139：对于 Edge 上的 Tier-0 SR 具有多个 BGP 邻居并且这些 BGP 邻居向 Tier-0 SR 发送 ECMP 前缀的拓扑，在 RIB 中持续添加/移除 BGP 路由。

  持续添加/删除的前缀丢弃流量。

  解决办法：添加一个入站路由映射，以筛选与静态路由下一跃点位于同一子网中的 BGP 前缀。

• 问题 2864250：如果在创建传输节点时使用自定义 NIOC 配置文件，则会在传输节点实现中观察到失败。

  尚未准备好使用传输节点。

  解决办法：使用默认 NIOC 配置文件创建传输节点，然后应用自定义 NIOC 配置文件以更新该节点。

• 问题 2866682：在 Microsoft Azure 中，如果在 SUSE Linux Enterprise Server (SLES) 12 SP4 工作负载虚拟机上启用了加速网络并安装了 NSX 代理，则以太网接口不会获得 IP 地址。

  虚拟机代理无法启动，并且虚拟机变为未管理状态。

  解决办法：禁用加速网络。

• 问题 2867243：没有有效成员的策略组或 NS 组的有效成员资格 API 不会在 API 响应中返回“results”和“result_count”字段。

  这对功能没有任何影响。

  解决办法：无。

• 问题 2868235：在“快速入门 - 网络和安全”对话框中，在将多个 pNIC 连接到同一 VDS 时，可视化显示重复的 VDS。

  可视化显示重复的 VDS。如果焦点位于可视化图表上，则可能很难找到或滚动到“自定义主机交换机”部分。

  解决办法：对于滚动问题，请按 Tab 键或将鼠标指针移动到可视化区域外部，然后滚动到“自定义交换机配置”部分。

• 问题 2870085：为所有规则启用/禁用日志记录的安全策略级别日志记录不起作用。

  您无法通过更改安全策略的“logging_enabled”来更改所有规则的日志记录。

  解决办法：修改每个规则以启用/禁用日志记录。

• 问题 2870529：如果在添加 AD 域时未使用确切大小写的 NetBIOS 名称，则身份防火墙 (IDFW) 的运行时信息不可用。

  您无法轻松获取 IDFW 当前运行时信息/状态。无法确定当前的活动登录。

  解决办法：编辑相关的域并修复 NetBIOS 名称。在应用更改后，将正确报告所有将来的 IDFW 事件。

• 问题 2870645：在 /policy/api/v1/infra/realized-state/realized-entities API 响应中，即使“publish_status”是“SUCCESS”（意味着实现成功），“publish_status_error_details”也会显示错误详细信息。

  这对功能没有任何影响。

  解决办法：无。

• 问题 2871585：对于低于 7.0.3 的 DVS 版本，在使用 DVS 的集群上启用 vSphere DVPortgroup 上的 NSX 安全功能后，允许从 DVS 中移除主机和删除 DVS。

  您可能需要解决传输节点或集群配置中的任何问题，这些问题是由于从 DVS 中移除主机或删除 DVS 引起的。

  解决办法：无。

• 问题 2874236：在升级后，如果仅重新部署 HA 对中的一个公有云网关 (PCG)，则会重新使用较旧的 HA AMI/VHD 内部版本。

  仅在升级后的首次 PCG 重新部署时发生这种情况。

  解决办法：在升级后，通过 API 提供正确的 AMI 或 VHD。

• 问题 2875385：在新节点加入集群时，如果将本地用户（admin、audit、guestuser1、guestuser2）重命名为某种其他名称，这些本地用户可能无法登录。

  本地用户无法登录。

  解决办法：具有两种解决办法。

  • 解决办法 1：将用户重命名回任何名称，然后再重命名回所需的名称。

  • 解决办法 2：如果您无法重命名用户，请重新启动 NSX Manager。

• 问题 2848614：在将 MP 加入 MP 集群时，如果在 MP 集群上设置了 publish_fqdns，并且在外部 DNS 服务器中缺少正向或反向查找条目或加入节点缺少 dns 条目，则不会为加入节点生成正向或反向警报。

  即使在 DNS 服务器中缺少正向/反向查找条目或加入节点缺少 dns 条目，也不会为加入节点生成正向/反向警报。

  解决办法：为具有正向和反向 DNS 条目的所有管理器节点配置外部 DNS 服务器。

• 问题 2719682：Avi 控制器中的计算字段未同步到策略上的意向，从而导致在 Avi UI 和 NSX-T UI 上显示的数据存在差异。

  Avi 控制器中的计算字段在 NSX-T UI 上显示为空白。

  解决办法：使用应用程序切换器检查 Avi UI 中的数据。

• 问题 2747735：在还原后，由于网络兼容性问题，VIP 连接中断。

  还原备份时，客户可以在执行“将节点添加到集群”步骤之前更新 VIP。

  [如果有，请输入解决办法，否则说明“无”] 还原通常会在要求用户添加额外管理器节点的“将节点添加到集群”步骤中暂停。在该步骤中，a. 首先移除/更新 VIP，以使用“系统/设备 UI”页面中的新 IP；b. 在更正 VIP 后，将额外的节点添加到还原的单节点集群中。

• 问题 2816781：无法为物理服务器配置基于负载均衡的绑定策略，因为它们支持单个 VTEP。

  您将无法为物理服务器配置基于负载均衡的绑定策略。

  解决办法：将绑定策略更改为基于故障切换的绑定策略或任何具有单个 VTEP 的策略。

• 问题 2856109：如果 Avi 控制器版本为 21.1.2，在添加第 2000 个池成员时，将超过限制而出错。

  Avi 控制器 21.1.2 允许 1999 个池成员，而不是 2000 个池成员。

  解决办法：使用 Avi 控制器版本 20.1.7 或 21.1.3。

• 问题 2862418：在配置 LTA 以跟踪确切数量的数据包时，可能会在实时流量分析 (LTA) 中缺少第一个数据包。

  您看不到第一个数据包跟踪。

  解决办法：无。

• 问题 2864929：从 NSX for vSphere 迁移到 NSX-T Data Center 上的 Avi 负载均衡器时，池成员计数较高。

  您将看到较高的池成员计数。运行状况监控器将这些池成员标记为关闭，但不会将流量发送到无法访问的池成员。

  解决办法：无。

• 问题 2865273：如果从 NSX for vSphere 迁移到 NSX-T Data Center 之前具有阻止端口 22、443、8443 和 123 的 DFW 规则，Advanced Load Balancer (Avi) 搜索引擎将无法连接到 Avi 控制器。

  Avi 搜索引擎无法连接到 Avi 控制器。

  解决办法：添加显式 DFW 规则以允许 SE 虚拟机使用端口 22、443、8443 和 123，或从 DFW 规则中排除 SE 虚拟机。

• 问题 2866885：事件日志采集器 (ELS) 要求 AD 域中配置的 NetBIOS 名称与 AD 服务器中的名称匹配。

  ELS 检测不到用户登录。

  解决办法：更改 NetBIOS 名称以与 AD 服务器中的名称匹配。

• 问题 2868944：将超过 1,000 个 DFW 规则从 NSX for vSphere 迁移到 NSX-T Data Center 时，不会显示 UI 反馈，但将区域拆分为具有 1,000 个或更少规则的区域。

  未显示 UI 反馈。

  解决办法：检查日志。

• 问题 2878030：在更改本地管理器站点的升级协调器节点时，未显示通知。

  如果在升级 UC 后更改了协调器节点，并且您单击任何操作按钮（预检查、启动等）以继续执行 UI 工作流，则不会在升级 UI 上看到任何进度。这仅适用于使用站点切换器在全局管理器 UI 中访问本地管理器升级 UI 的情况。

  解决办法：转到该站点的本地管理器，并继续升级以查看预期的通知。

• 问题 2878325：在管理器的“清单容量仪表板”视图中，“基于 IP 集的组”属性计数不包括包含从策略 UI 中创建的 IP 地址的组。

  在管理器的“清单容量仪表板”视图中，如果存在包含 IP 地址的策略组，则不会正确显示“基于 IP 集的组”的计数。

  解决办法：无。

• 问题 2879133：恶意软件防护功能最多可能需要 15 分钟才能开始工作。

  在首次配置恶意软件防护功能时，最多可能需要 15 分钟的时间以初始化该功能。在该初始化期间，不会进行恶意软件分析，但没有迹象表明正在进行初始化。

  解决办法：等待 15 分钟。

• 问题 2879734：在两个不同的 IPsec 本地端点中使用相同的自签名证书时，配置将失败。

  在解决该错误之前，不会建立失败的 IPsec 会话。

  解决办法：在每个本地端点中使用唯一的自签名证书。

• 问题 2879979：在由于无法访问 IPsec 对等体而执行“不活动对等检测”后，IKE 服务可能不会启动基于路由的新 IPsec 会话。

  基于路由的特定 IPsec 会话可能会中断。

  解决办法：在 IPsec 会话上启用/禁用可以解决该问题。

• 问题 2881281：同时配置多个虚拟服务器可能会失败。

  客户端到虚拟服务器的连接可能会超时。

  解决办法：运行以下 API 以重新触发逻辑路由器工作流。

  https://{ip}/api/v1/logical-routers/<id>? action=reprocess

• 问题 2881471：在部署状态从失败切换到成功时，未更新服务部署状态。

  您可能会看到服务部署状态始终保持为关闭状态，并且还会看到引发的警报。

  解决办法：使用服务部署状态 API 检查状态。

  API：https://{{nsx-mgr-ip}}/api/v1/serviceinsertion/services/{{service-id}}/service-deployments/{{service-deployment-id}}/status

• 问题 2882070：在管理器 API 列表中不显示全局组的 NS 组成员和条件。

  对功能没有任何影响。

  解决办法：通过本地管理器上的策略 API 查看全局组定义。

• 问题 2882769：在升级到 NSX-T 3.2 后，未转移 NSService 和 NSServiceGroup 对象上的标记。

  对 NSX 功能没有任何影响，因为任何工作流都不会使用 NSService 和 NSServiceGroup 上的标记。如果外部脚本具有依赖于这些对象上的标记的工作流，则可能会受到影响。

  解决办法：在升级到 NSX-T 3.2 后，可以更新实体以将丢失的标记添加到 NSService 和 NSServiceGroup 中。

• 问题 2884939：在将大量虚拟服务从 NSX for vSphere 迁移到 NSX-T ALB 时，达到了每秒 100 个请求的 NSX 速率限制，并将所有 API 阻止一段时间。

  在迁移时达到迁移配置后的一段时间内，NSX-T 策略 API 导致错误：客户端“admin”经常超过每秒 100 个请求的请求速率（错误代码：102)。

  解决办法：将客户端 API 速率限制更新为每秒 200 个请求。

• 问题 2792485：显示 NSX Manager IP，而不是 vCenter 中安装的管理器的 FQDN。

  vCenter 中集成的 NSX-T UI 显示 NSX Manager IP，而不是安装的管理器的 FQDN。

  解决办法：无。

• 问题 2884518：在将 NSX 设备升级到 NSX-T 3.2 后，在网络拓扑 UI 上显示的分段连接的虚拟机计数不正确。

  您将在“网络拓扑”上看到分段连接的虚拟机计数不正确。不过，在展开虚拟机的节点时，将显示与分段关联的虚拟机的实际计数。

  解决办法：

  1. 在工程模式下登录到 NSX 设备。

  2. 运行以下命令：curl -XDELETE http://localhost:9200/topology_manager

• 问题 2874995：即使未使用，LCore 也可能保持较高的优先级，从而导致某些虚拟机无法使用它们。

  “正常延迟”虚拟机的性能下降。

  解决办法：有两种选择。

  • 重新引导系统。

  • 移除高优先级 LCore，并重新创建它们。然后，它们将默认恢复为正常优先级的 LCore。

• 问题 2772500：在 ENS 上启用嵌套覆盖网络可能会导致 PSOD。

  可能导致 PSOD。

  解决办法：禁用 ENS。

• 问题 2832622：IPv6 ND 配置文件在编辑或更改后未生效

  网络仍引用旧 NDRA 配置文件。

  解决办法：重新启动 ccp 以更新 IPv6 ND 配置文件。

• 问题 2840599：MP 规范化 API 出现 INVALID_ARGUMENT 错误。

  UI 体验较差。

  解决办法：无。

• 问题 2844756：分段删除失败并出现错误。

  您将无法删除分段。

  解决办法：强制删除连接到分段的端口。

  1. 使用以下 API 获取连接到该分段的所有逻辑端口。例如，对于 PolicySegment01。

     GET: https://<NSX MANAGER IP>/policy/api/v1/infra/segments/PolicySegment01/ports

  2. 对于上面调用中列出的每个逻辑端口，进行以下调用。

     DELETE: https://<NSX MANAGER IP>/api/v1/logical-ports/<LOGICAL PORT UUID>?detach=true

  在删除所有连接的端口后，可以删除分段。

• 问题 2866751：合并的有效成员资格 API 没有在响应中列出影子组的静态 IP。

  对功能或数据路径没有任何影响。您不会在 GET 合并有效成员资格 API 中看到影子组的静态 IP。这仅适用于影子组（也称为参考组）。

  解决办法：在影子组的原始站点上检查影子组的合并有效成员资格。

• 问题 2869356：在单击具有 IPSet 成员的 NS 组的“概览”选项卡时，在管理平面上显示错误。

  用户体验较差。

  解决办法：无。

• 问题 2872658：在注册站点后，UI 显示错误“由于不支持以下功能，因此无法导入：IDS”(Unable to import due to these unsupported features: IDS)。

  这对功能没有任何影响。在 NSX-T 3.2 中不支持配置导入。

  解决办法：从本地管理器中移除 IDS 配置，然后再次尝试进行注册。

• 问题 2877628：尝试在低于 6.6 的 ESX 主机交换机 VDS 版本上安装安全功能时，显示一条不清楚的错误消息。

  通过 UI 和 API 显示了错误消息。

  解决办法：在 ESX 上使用大于或等于 6.6 的 VDS 版本以安装 NSX 安全功能。

• 问题 2877776：与 controller-info.xml 文件相比，“get controllers”输出可能会显示有关非主控制器的失效信息。

  该 CLI 输出令人困惑。

  解决办法：在该 TN 上重新启动 nsx-proxy。

• 问题 2879119：在添加虚拟路由器时，相应的内核网络接口未启动。

  VRF 上的路由失败。不会为通过 VRF 连接的虚拟机建立连接。

  解决办法：重新启动数据平面服务。

• 问题 2881168：与以前的格式“fc00::1”相比，LogicalPort GET API 输出采用扩展格式“fc00:0:0:0:0:0:0:1”。

  与 NSX-T 3.0 格式“fc00::1”相比，NSX-T 3.2 中的 LogicalPort GET API 输出采用扩展格式“fc00:0:0:0:0:0:0:1”。

  解决办法：无。

• 问题 2882822：在 NSX for vSphere 到 NSX-T 的配置迁移期间，不会将临时 IPSet 添加到 Edge 防火墙规则/LB 池成员中使用的安全组。

  在迁移期间，在 NSX-T 上找到虚拟机/VIF 并通过静态/动态成员资格成为它们适用的 SG 的一部分之前，可能间隔一段时间。在南北向切换（南北向流量流经 NSX-T 网关）到迁移结束之间的这段时间内，这可能会导致违反 Edge 防火墙规则而丢弃或允许流量。

  解决办法：添加一个虚假的 DFW 规则，其中源/目标包含 Edge FW 中使用的所有安全组。另一种选择是，在迁移之前将 Edge 防火墙规则源和目标移动到 IPSet 中。

• 问题 2884070：如果 NSX-T Edge 上行链路和对等路由器之间的 MTU 设置不匹配，OSPF 邻居关系将停滞在 Exstart 状态。在 NSX for vSphere 到 NSX-T 的迁移期间，不会自动迁移 MTU，因此，不匹配可能会在南北向 Edge 切换期间影响数据平面。

  OSPF 邻居关系停滞在 Exstart 状态。

  解决办法：在执行 Edge 切换之前，在 OSPF 邻居接口上手动配置匹配的 MTU。

• 问题 2884416：无法及时刷新负载均衡器状态。

  错误的负载均衡器状态。

  解决办法：停止负载均衡器统计信息收集。

• 问题 2885009：在升级后，全局管理器具有额外的默认切换配置文件。

  对功能没有任何影响。

  解决办法：您不应使用以前缀“nsx-default”开头的默认切换配置文件。

• 问题 2885248：在 InterVtep 场景中，如果将 EdgeVnic 连接到 NSX 端口组（不考虑 Edge 虚拟机和 ESX 主机上的 VLAN），则 ESX 和 Edge 上工作负载虚拟机之间的南北向流量将停止工作，因为 ESX 将丢弃发送到 Edge VTEP 的数据包。

  解决办法：将分段与其接口断开连接，然后重新连接以更新 Edge TN。

• 问题 2885330：未显示 AD 组的有效成员。

  未显示 AD 组的有效成员。对数据路径没有任何影响。

  解决办法：无。

• 问题 2885552：如果您创建了一个使用 OpenLDAP 的 LDAP 身份源，并且定义了多个 LDAP 服务器，则仅使用第一个服务器。

  如果第一个 LDAP 服务器变得不可用，身份验证将失败，而不是尝试配置的其余 OpenLDAP 服务器。

  解决办法：如果可以在 OpenLDAP 服务器前面放置负载均衡器并为 NSX 配置负载均衡器的虚拟 IP，则可以获得高可用性。

• 问题 2886210：在还原期间，如果 VC 关闭，则会显示“备份/还原”对话框，以告诉用户确保 VC 已启动并正在运行，但不会显示 VC 的 IP 地址。

  在还原期间，没有为 VC 连接显示 VC 的 IP 地址。

  解决办法：在继续执行下一个还原步骤之前，检查所有注册的 VC 是否正在运行。

• 问题 2886971：在删除后，未清理在全局管理器上创建的组。只有在该组是本地管理器站点上的参考组时，才会发生这种情况。

  对功能没有任何影响；不过，您无法创建另一个与删除的组具有相同策略路径的组。

  解决办法：无。

• 问题 2887037：在管理器到策略对象升级后，无法更新或删除 NAT 规则。

  在触发升级之前，当 PI（主体身份）用户在管理器上创建 NAT 规则时，将会发生这种情况。在管理器到策略对象升级后，无法更新或删除 PI 用户创建的 NAT 规则。

  解决办法：在管理器到策略对象升级之前，可以使用不受保护的用户（如“admin”）创建具有相同配置的 NAT 规则。

• 问题 2888207：在启用了 vIDM 时，无法重置本地用户凭据。

  在启用了 vIDM 时，您将无法更改本地用户密码。

  解决办法：必须（暂时）禁用 vIDM 配置，在此期间重置本地凭据，然后重新启用集成。

• 问题 2889748：如果重新部署失败，Edge 节点删除将失败。删除操作在系统中保留失效的意向并显示在 UI 上。

  虽然将删除 Edge 虚拟机，但在系统中保留失效的 Edge 意向和内部对象，并在内部重试删除操作。对功能没有任何影响，因为将删除 Edge 虚拟机并且仅意向具有失效的条目。

  解决办法：无。

• 问题 2875962：对于 NSX-T 3.1 和 NSX-T 3.2，云原生设置的升级工作流是不同的。

  执行通常的工作流将清除所有 CSM 数据。

  解决办法：升级需要获得 VMware 帮助。请与 VMware 支持部门联系。

• 问题 2888658：启用恶意软件检测和沙箱功能后，在 NSX-T 网关防火墙上观察到每秒连接数和吞吐量方面的性能受到巨大影响。

  任何经过恶意软件检测的流量都会发生明显的延迟，并且可能出现连接故障。在网关上启用恶意软件检测后，还会影响 L7FW 流量，从而导致延迟和连接故障。

  解决办法：通过编写仅与少量流量相匹配的 IDS 规则，限制受恶意软件检测的流量。

• 问题 2882574：由于不完全支持“棕地配置载入”功能，因此在 NSX-T 3.2.0 版本中已阻止该 API。

  您将无法使用“棕地配置载入”功能。

  解决办法：无。

• 问题 2890348：升级到 NSX-T 3.2 后，重命名默认 VNI 池会导致 VNI 池不一致。

  VNI 分配和相关操作可能会失败。

  解决办法：升级到 NSX-T 3.2 之前，使用 API PUT https://{{url}}/api/v1/pools/vni-pools/<vni-pool-id> 将默认 VNI 池重命名为 DefaultVniPool。

• 问题 2885820：从 0.0.0.0 开始的 IP 范围中的某些 IP 地址缺少转换。

  IP 范围从 0.0.0.0 开始的 NS 组（例如，“0.0.0.0-255.255.255.0”）存在转换问题（缺少 0.0.0.0/1 子网）。

  IP 范围为“1.0.0.0-255.255.255.0”的 NS 组不受影响。

  解决办法：要配置 IP 范围从 0.0.0.0 开始的组，请在组配置中手动添加 0.0.0.0/1。

• 问题 2871440：对于使用 vSphere dvPortGroups 上的 NSX 安全功能保护的工作负载，在通过 vMotion 移到与已关闭 NSX Manager 连接的主机时，将丢失其安全设置。

  对于安装了 vSphere dvPortGroups 上的 NSX 安全功能的集群，如果虚拟机通过 vMotion 移到与已关闭 NSX Manager 连接的主机，其将不会实施其 DFW 和安全规则。重新建立与 NSX Manager 的连接时，将会重新实施这些安全设置。

  解决办法：在 NSX Manager 关闭时，不要通过 vMotion 移到受影响的主机。如果其他 NSX Manager 节点正常运行，请使用 vMotion 将虚拟机移动到另一个已连接到正常 NSX Manager 的主机。

• 问题 2945515：Azure 中的 NSX Tools 升级可能会在 Redhat Linux 虚拟机上失败。

  默认情况下，NSX Tools 安装在 /opt 目录上。但是，在 NSX Tools 安装期间，可能会使用传递到安装脚本的“--chroot-path”覆盖默认路径。

  在安装 NSX Tools 的分区上，如果磁盘空间不足，可能会导致 NSX Tools 升级失败。

  解决办法：无。

• 问题 2875563：删除 IN_PROGRESS LTA 会话可能会导致 PCAP 文件泄露。

  当 LTA 会话状态为“IN_PROGRESS”时，如果使用 PCAP 操作删除该 LTA，PCAP 文件将泄露。这可能会导致 ESXi 的 /tmp 分区变满。

  解决办法：清除 /tmp 分区可能会有所帮助。

• 问题 2875667：当 NSX /tmp 分区已满时，下载 LTA PCAP 文件会导致错误。

  由于 /tmp 分区已满，无法下载 LTA PCAP 文件。

  解决办法：清除 /tmp 分区可能会有所帮助。

• 问题 2883505：NSX V2T 迁移期间，ESXi 主机上出现 PSOD 问题。

  在 V2T 迁移期间，多个 ESXi 主机上出现 PSOD（紫屏死机）。这会导致数据路径故障。

  解决办法：无。

• 问题 2914934：将 NSX-V 迁移到 NSX-T 后，dvPortGroups 上的 DFW 规则丢失。

  在将 NSX-V 迁移到 NSX-T 后，所有仍连接到 vSphere dvPortGroup 的工作负载都将不会具有 DFW 配置。

  解决办法：将 NSX-V 迁移到 NSX-T 后，VLAN 分段将配置为使用相同的 DFW 配置。因此，请使用 VLAN 分段，而不是 dvPortGroups。

  另一个解决办法是卸载 NSX-V，然后在仅安全模式下安装 NSX-T。随后，您便可以使用现有 dvPortGroups 上的工作负载。

• 问题 2921704：将 L7 负载均衡器与 IP 哈希负载均衡算法结合使用时，Edge 服务 CPU 可能会因为 nginx 进程死锁而激增。

  这会导致无法连接负载均衡器后面的后端服务器。

  解决办法：切换到 L4 引擎可修复该问题。如果想要继续使用 L7 负载均衡器，请将负载均衡算法更改为循环算法，而不是 IP 哈希算法。

• 问题 2933905：替换 NSX-T Manager 会导致传输节点断开与控制器的连接。

  在 Manager 集群中添加或移除节点可能会导致某些传输节点断开与控制器的连接。

  解决办法：每当在管理集群中添加或移除 Manager 时，便会在受影响的传输节点上重新启动 NSX 代理服务。这将重新填充 controller-info.xml 并重新建立控制器连接。

• 问题 2927442：NSX-T 3.2.0.1 升级后，不同主机和集群中虚拟机上的流量有时会命中默认的拒绝 DFW 规则。

  将 NSX for vSphere 迁移到 NSX-T 3.1.3 后出现了一些 PSOD 问题。因此，建议升级到 3.2.0.1。但是，此后，主机不会始终如一地应用分布式防火墙规则。不同的主机将匹配不同的规则，这些规则会不一致并且不符合预期。

  解决办法：

  - 如果在特定控制器上出现上述异常，则可以重新引导该控制器以临时解决该问题。

  - 此外，如果该问题影响 DFW，则可以在规则列表顶部创建任意/任意允许规则，以绕过命中的不需要块规则。

• 问题 2937810：无法启动数据路径服务，并且某些 Edge 网桥功能（例如 Edge 网桥端口）无法正常工作。

  如果在 Edge 节点上启用了 Edge 桥接，中央控制平面 (CCP) 会将 DFW 规则发送到 Edge 节点，这些规则应仅发送到主机节点。如果 DFW 规则包含 Edge 防火墙不支持的功能，Edge 节点将无法处理不受支持的 DFW 配置，从而导致数据路径无法启动。

  解决办法：移除或禁用 Edge 防火墙不支持的 DFW 规则。