This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

VMware NSX 3.2 | 2021 年 12 月 16 日 | 内部版本 19067070

请查看发行说明以了解新增内容及更新。

关于 NSX-T Data Center 3.2.0 的重要信息

请注意,VMware NSX 团队发现从以前版本升级到 NSX-T Data Center 3.2.0 时会出现问题,并决定从下载页面中撤消该版本,以改用 NSX-T Data Center 3.2.0.1。

下载并部署 NSX-T Data Center 3.2.0 的客户仍受支持,但建议升级到 NSX-T Data Center 3.2.0.1。

新增功能

NSX-T Data Center 3.2.0 是一个主要版本,在 NSX-T 的所有垂直领域提供了很多新功能:网络、安全、服务和载入。以下是一些主要的增强功能。

  • 与交换机无关的分布式安全功能:能够将微分段扩展到 vSphere 网络上部署的工作负载。

  • 网关安全功能:增强的 L7 应用程序 ID、恶意软件检测和沙箱、URL 筛选、用户 ID 防火墙、TLS 检查(技术预览版)和入侵检测和防御服务 (IDS/IPS)。

  • 增强的分布式安全功能:恶意软件检测和防御、行为 IDS/IPS、L7 防火墙的增强应用程序身份。

  • 改进了与 NSX Advanced Load Balancer(以前称为 Avi)的集成:从 NSX-T UI 中安装和配置 NSX ALB (Avi);将 NSX for vSphere LB 迁移到 NSX ALB (Avi)。

  • NSX for vSphere 到 NSX-T 的迁移:迁移协调器的主要增强功能可以扩展支持的 NSX for vSphere 拓扑的覆盖范围,并在目标 NSX-T 拓扑上提供了灵活性。

  • 改进了对 Log4j 漏洞的保护:Apache Log4j 已更新到版本 2.16 以解决 CVE-2021-44228 和 CVE-2021-45046。有关这些漏洞及其对 VMware 产品所造成影响的详细信息,请参见 VMSA-2021-0028

除了这些功能以外,还在产品的每个领域中添加了很多其他功能。

第 2 层网络

  • 在 Windows 物理服务器上支持双网卡绑定 - 现在,在物理服务器上支持使用双物理网卡 (pNIC) 绑定的连接。这允许配置活动/活动或活动/备用绑定。在 VLAN 和覆盖网络上支持该功能。

  • NUMA 感知绑定策略 - NSX 现在支持在与用于离开 ESXi 的 pNIC 相同的 NUMA 节点上处理流量。对于在多个 NUMA 中利用绑定策略的部署,该功能提高了性能。

  • 增强的数据路径新功能 - 增强的数据路径交换机现在支持分布式防火墙 (DFW)、分布式负载均衡器 (DLB) 和端口镜像功能。

第 3 层网络

  • 支持 L3 EVPN 路由服务器模式 - ESXi 现在可以绕过数据路径中的 Edge 节点,以将 VXLAN 流量直接发送到数据中心 Fabric 路由器。在该部署模型中,仍然仅需使用 Edge 节点上托管的 Tier-0 SR(服务路由器)处理控制平面,即通过 EVPN L2VPN 地址系列向 Fabric 通告连接的前缀。ESXi 现在支持到 Fabric 中的多个物理路由器的 ECMP,并使用 BFD 测试路由器的可用性。

  • ESXi 和 KVM 上的 5 元组 ECMP - 在启用了 ECMP 时,ESXi 上托管的分布式路由器 (DR) 现在支持 5 元组哈希算法。对于该功能,哈希基于 IP 地址源、IP 地址目标、IP 协议、第 4 层端口源、第 4 层端口目标。这可以在所有可用的服务路由器 (SR) 之间更好地分配流量。

  • 活动/活动 Tier-0 网关上的代理 ARP 支持 - 在不需要动态路由的简单拓扑中,现在可以使用处于活动/活动 HA 模式的 Tier-0 网关,从而提供更高的吞吐量。

多播

  • 在 Tier-0 SR 上为多播流量提供活动/活动支持 - 现在,NSX 为多个 Tier-0 SR(服务路由器)之间的多播流量提供 ECMP 支持,从而为多播流量提供更好的吞吐量。

Edge 平台

  • 裸机 Edge 上的 UEFI 支持 - NSX 现在支持在以 UEFI 模式运行的服务器上部署裸机 Edge 节点。这允许 Edge 节点部署在一组更广泛的服务器上。

分布式防火墙

  • 分布式防火墙支持在 VDS 交换机中的分布式端口组上部署的虚拟机 - 在以前的版本中,NSX 只能为 N-VDS 交换机端口实施分布式安全功能。现在,您可以将分布式防火墙功能用于基于 VDS 的 VLAN 网络,而无需将交换机端口转换为 N-VDS。

  • 在 IP 地址组上支持动态标记条件。

  • 物理服务器的分布式防火墙支持 - Redhat Enterprise Linux 8.0 操作系统。

  • 添加了更多应用程序 ID 以供 L7 防火墙使用。

  • 分布式防火墙的恶意软件防护(东西向用例)- NSX Distributed Firewall 现在提供了使用高级机器学习技术的零日恶意软件检测和防护功能以及沙箱功能。

  • 为 IDFW 配置 AD 选择性同步 - 身份防火墙 AD 配置现在支持有选择地添加 OU 和用户。

  • 身份防火墙统计信息 - 增强了安全概览仪表板,以包括活动用户和活动用户会话的身份防火墙统计信息。

  • 为 SMB 协议提供身份防火墙支持。

分布式入侵检测/防御系统 (D-IDPS)

  • 在 VDS 上的分布式端口组上部署的虚拟机支持分布式 IDS/IPS。

  • 分布式 IDS/IPS 现在支持基于行为的检测和防御 - 现在,在分布式 IDPS 和 Edge 上提供了一类新的 IDS 特征码。这些特征码尝试识别可能与成功感染迹象相关的网络行为,而不是尝试识别恶意软件特定的行为。例如,这包括识别网络中的 Tor 通信,确定在高端口上是否存在自签名 TLS 证书,或进行更复杂的有状态检测,例如,检测信标行为。此类特征码的特点是,严重性级别为“信息性”。如果启用了 NSX NDR,则在这些特征码生成的警示上应用进一步的基于 ML 的处理,以优先处理在特定监控环境中可能出现的异常情况。

  • Trustwave 和 VMware 特征码管理和组合 - NSX IDS/IPS 特征码集现在允许访问由 VMware 开发和管理的新 IDS 规则集,以确保高安全有效性并最大限度降低误报的可能性。该规则集将 Trustwave 和 Emerging Threats 等第三方供应商开发的检测与 VMware 开发的特征码语料库相结合,并针对 NSX IDS 引擎进行了优化。

网关防火墙

  • 基于用户身份的访问控制 - 网关防火墙引入了以下额外的用户身份防火墙功能:

    1. 对于将 Active Directory 作为用户身份验证系统的部署,NSX 利用 Active Directory 日志。

    2. 对于所有其他身份验证系统,NSX 现在可以利用基于 vRealize Log Insight 的日志以确定用户身份到 IP 地址的映射。

  • 增强的 L7 应用程序 ID 集 - 增强了网关防火墙功能以识别一组更全面的第 7 层应用程序。

  • 入站和出站流量的 TLS 检查(🔎技术预览版;不适用于生产部署)- 在网络上加密越来越多的流量。通过使用 TLS 检查功能,您现在可以利用 NSX 网关防火墙为加密的流量执行深度数据包检查以及提供威胁检测和防御服务。

  • URL 筛选(包括 URL 分类和信誉)- 您现在可以根据新的 URL 筛选功能控制 Internet 流量。通过使用该功能,您可以根据 URL 类别以及 URL 信誉控制 Internet 访问。持续更新 URL 存储库(包括分类和信誉数据)以提供更新的保护。

  • 恶意软件分析和沙箱支持 - NSX 网关防火墙现在使用高级机器学习技术通过已知和零日恶意软件数据提供恶意软件检测,并提供了沙箱功能。将持续更新已知的恶意软件数据。(在实时生产部署中进行部署之前,请参见已知问题 2888658。)

  • 入侵检测和防御(🔎技术预览版;不适用于生产部署)- 对于 NSX 网关防火墙,入侵检测和防御功能 (IPS) 是以“技术预览版”模式引入的。您可以在非生产部署中尝试使用该功能集。

新的 NSX Application Platform

NSX Application Platform - VMware NSX Application Platform 是在 NSX-T 3.2.0 中引入的基于容器的新解决方案。它提供了一个具有高可用性和弹性并可横向扩展的架构,可通过一组核心平台服务实现多种新的 NSX 功能,例如:

NSX Intelligence

NSX Metrics

NSX Network Detection and Response

NSX 恶意软件防护

NSX Application Platform 部署过程完全是通过 NSX Manager UI 编排的,需要使用受支持的 Kubernetes 环境。有关基础架构必备条件和安装要求的更多信息,请参阅《部署和管理 VMware NSX Application Platform》指南。

网络检测和响应

  • VMware NSX Network Detection and Response 将 IDPS、恶意软件和异常事件与入侵活动相关联,从而帮助识别网络上的威胁和恶意活动。

  • 通过与威胁活动而非事件相关联,SOC 操作员可以专注于仅一小部分可处理的威胁。

  • NSX Network Detection and Response 收集来自分布式 IDPS 的 IDPS 事件、来自网关的恶意软件事件(仅限恶意文件)以及来自 NSX Intelligence 的网络异常事件。

    • NSX-T 3.2 中的 NSX Network Detection and Response 不收集网关 IDPS(技术预览版)事件。

  • NSX Network Detection and Response 功能在云中运行,在两个云区域中提供了该功能:美国和欧盟。

有关如何激活、使用、管理 NSX Network Detection and Response 功能以及如何对该功能进行故障排除的详细信息,请参阅《NSX-T Data Center 管理指南》中的 NSX Network Detection and Response 部分。

VPN

  • 增强了 VPN 服务级别警报 - IPSec 服务状态详细信息。

  • 数据包跟踪的其他日志记录详细信息 - 显示 IPSec 的 SPI 和交换信息。

客户机侦测

  • 客户机侦测增强功能 - 客户机侦测在数据平面中提供一组 API 以在客户机上下文中使用。该增强功能确保仅向具有相应授权的用户提供该访问。

  • GI 的其他操作系统支持 - 客户机侦测现在支持 CentOS 8.2、RHEL 8.2、SLES15 SP1、Ubuntu 20.04。

联合

注:

尽管 3.2.0 之前的 NSX 版本支持载入现有的本地管理器站点,但 3.2.0 并不支持此载入,将在 3.2 的后续版本中重新引入该支持。

  • 支持在本地管理器之间复制虚拟机标记 - 在灾难恢复 (DR) 期间,将在 DR 位置中重新启动复制的虚拟机。如果安全策略基于 NSX 虚拟机标记,在进行恢复时,在 DR 位置中复制的虚拟机必须在远程本地管理器上具有这些 NSX 标记。NSX 联合 3.2 现在支持在本地管理器之间复制虚拟机标记。只能通过 API 配置标记复制策略。

  • 联合通信监控 - 位置管理器页面现在提供有关全局管理器和本地管理器之间的通道延迟和使用情况的视图。这在联合的不同组件之间提供了更好的运行状况可见性。

  • 防火墙草稿 - 现在可以在全局管理器上使用安全策略草稿。这包括支持自动草稿和手动草稿。

  • 全局管理器 LDAP 支持 - 全局管理器现在支持为基于角色的访问控制 (RBAC) 配置 LDAP 源,类似于本地管理器上的支持。

容器网络连接和安全

  • Antrea 与 NSX-T 集成 - 添加了从 NSX-T 分布式防火墙 UI 中定义 Antrea 网络策略的功能。可以使用互通控制器将策略应用于运行 Antrea 1.3.1-1.2.2 的 K8s 集群。还添加了清单收集:在 NSX-T 清单中收集并标记 K8s 对象(如 Pod、命名空间和服务),以便在 DFW 策略中选择它们。现在可以从 NSX-T 流跟踪 UI 页面中控制 Antrea 流跟踪,并且可以使用 Antrea 从 K8s 集群中收集日志包。不会强制要求在 K8s Antrea 集群节点上启用 NSX-T 数据平面。

  • 分组增强功能 - 添加了对 Antrea 容器对象的支持。在分段端口标记条件上添加了对不属于运算符的支持。在涉及分段和分段端口的组成员资格条件之间添加了对运算符的支持。

负载均衡

  • 通过 NSX 安装 VMware NSX Advanced Load Balancer (Avi) - 现在可以通过 NSX-T Manager UI 安装 VMware NSX Advanced Load Balancer (Avi) Controller,该 UI 提供单个窗格以安装所有 NSX 组件。

  • 从 NSX-T Manager UI 中交叉启动 VMware NSX Advanced Load Balancer (Avi) UI - 从 NSX-T Manager 中启动 VMware NSX ALB (Avi) UI 以提供高级功能。

  • 在 NSX 中显示 Advanced Load Balancer (Avi) 用户界面 - 从 NSX Manager 中配置 VMware NSX Advanced Load Balancer (Avi)。

  • 将负载均衡从 NSX for vSphere 迁移到 VMware NSX Advanced Load Balancer (Avi) - 在将自带拓扑模型用于迁移协调器时,将负载均衡器迁移到 VMware NSX ALB (Avi)。

  • 适用于 vSphere with Kubernetes (K8s) 用例的分布式负载均衡器 (DLB)

    • 支持分布式入侵检测系统 (DIDS) 和 DLB 协同工作。

    • 支持 vMotion。

    • 其他 DLB 池成员选择算法:最少连接和源 IP 哈希。

    • 其他故障排除命令。

  • NSX-T 本机负载均衡器 - 以后,不会添加或增强负载均衡功能。NSX-T 平台增强功能不会扩展到 NSX-T 本机负载均衡器。

  • 负载均衡建议

    • 如果您在 NSX-T 中使用负载均衡,建议您迁移到 VMware NSX Advanced Load Balancer (Avi),Avi 提供了 NSX-T 负载均衡功能的超集。

    • 如果您购买了 NSX Data Center Advanced、NSX Data Center Enterprise Plus、NSX Advanced 或 NSX Enterprise,则有权使用 Basic 版本的 VMware NSX Advanced Load Balancer (Avi),其功能与 NSX-T LB 相当。

    • 建议您购买 VMware NSX Advanced Load Balancer (Avi) Enterprise 以解锁企业级负载均衡、GSLB、高级分析、容器输入、应用程序安全和 WAF。

注:

建议新的 NSX-T Data Center 部署利用具有 20.1.6 或更高版本的 VMware NSX Advanced Load Balancer (Avi),而不是使用本机 NSX-T 负载均衡器。

获取更多信息:

NSX Cloud

  • NSX Cloud 上的扩展操作系统支持 - 除了已支持的操作系统以外,NSX Cloud 现在还支持以下操作系统:

    • Ubuntu 20.04

    • RHEL 8.next

  • NSX Cloud 在 PCG 上支持高级安全(第 7 层)功能(🔎技术预览版;不适用于生产部署)- NSX Cloud 在 Azure 和 AWS 中的 PCG 上提供了一些高级安全(第 7 层)功能,使您能够利用在公有云中为您的工作负载提供的应用程序层安全功能。您可以在非生产部署中尝试使用该功能集。

  • NSX Cloud 为单用户 VDI 提供 IDFW 支持(🔎技术预览版;不适用于生产部署)- NSX Cloud 提供了身份防火墙,以便为 VDI 部署提供基于用户的安全功能。它可以将映射到连接的用户的安全配置文件与虚拟机相关联,从而简化安全管理并提高安全性。您可以在非生产部署中尝试使用该功能集。

运维和监控

  • 使用 del nsx 命令清理物理/裸机服务器上的 NSX - 延续 ESX 服务器上的 del nsx 功能支持,现在提供了 CLI 命令 del nsx 以从运行 Linux 操作系统的物理/裸机服务器中移除 NSX。如果物理/裸机服务器具有处于失效状态的 NSX VIB,并且您无法从该主机中卸载 NSX,则可以使用 CLI 命令 del nsx 执行引导式分步过程,以从该主机中移除 NSX 并将其恢复为干净状态,以便可以重新安装 NSX。

  • 通过 NSX Manager UI 进行实时流量分析 - 现在,在 NSX Manager UI 上提供了实时流量分析功能,以使您能够轻松分析数据中心之间的实时流量。该功能结合使用流跟踪和数据包捕获,以提供一种统一的诊断方法。您可以一次性执行两个操作 - 跟踪实时数据包以及在源中执行数据包捕获。实时流量分析有助于准确确定网络流量中的问题,并提供对特定流量执行分析以避免噪声的功能。

  • 选择性端口镜像 - 使用基于流量的筛选功能增强了镜像,并减少了资源要求。您现在可以专注于相关的流量以进行有效的故障排除。

  • Fabric MTU 配置检查 - 将在 NSX Manager UI 上提供按需和定期 MTU 检查以验证覆盖网络的 MTU 配置;为 MTU 不匹配引发警示。

  • 在 VLAN 支持的逻辑网络上提供流跟踪支持 - 您可以在 VLAN 支持的逻辑网络上执行流跟踪。该功能是通过 API 提供的。

  • 改进的日志记录 - 检测并禁止过于频繁发出的重复日志消息,以防止重要日志消息丢失或被掩盖,从而改进了日志记录。

  • 改进了 CLI 指南并提供额外的命令 - 引入了一组新的 CLI 命令,这些命令与 UI 结构/策略(例如分段)相对应。这样,用户就可以更轻松地使用 CLI。还引入了完全重构的 CLI 指南以简化使用。

  • 容量限制 - 对于某些容量限制,容量仪表板现在可以感知 NSX Manager 的部署大小,如果在升级到 NSX-T 3.2 后超出建议的容量,则可能会生成警报。建议需要额外容量的客户从中型 NSX Manager 升级到大型 NSX Manager,或降低利用率以仍受支持。

监控

  • 时间序列监控 - 能够使用 NSX Application Platform 收集和存储更长持续时间(长达 1 年)的衡量指标。时间序列衡量指标有助于监控关键性能指标的趋势,在分析之前和之后执行,并提供历史上下文以帮助进行故障排除。时间序列衡量指标适用于 Edge 节点、Tier-0 和 Tier-1 网关、NSX Manager、NSX Application Platform 和安全功能(包括 TLS 检查、IDPS、网关防火墙)。这些时间序列衡量指标是通过 NSX-T API 获取的,也可以在 NSX Manager UI 上获取一部分衡量指标。

  • 事件和警报

    • 证书 - 推荐更新 CA 包

    • 操作 - 集群关闭、集群不可用、至管理器节点的管理通道关闭、到管理器节点的管理通道长时间关闭

    • 联合 - GM 到 GM 延迟警告、GM 到 GM 同步警告、GM 到 GM 同步错误、GM 到 LM 延迟警告、GM 到 LM 同步警告、GM 到 LM 同步错误、正在导入配置时还原 LM、已超过队列占用阈值

    • 传输节点运行状况 - 传输节点上行链路中断

    • 分布式防火墙 - DFW 会话计数高、DFW vMotion 故障

    • Edge - Edge 节点设置和 vSphere 设置已更改、Edge 节点设置不匹配、Edge 虚拟机 vSphere 设置不匹配、Edge vSphere 位置不匹配

    • Edge 运行状况 - Edge 数据路径网卡吞吐量较高、Edge 数据路径网卡吞吐量非常高、故障域关闭

    • VPN - IPsec 服务关闭

    • NAT - 网关上的 SNAT 端口使用率高

    • 负载均衡 - 由于内存不足,未实现负载均衡配置

    • MTU 检查 - 传输区域中的 MTU 不匹配、全局路由器 MTU 太大

    • NSX Application Platform 通信 - 在消息传递溢出流量中检测到延迟、在消息传递原始流量中检测到延迟、TN 流量导出程序已断开连接

    • NSX Application Platform 运行状况 - 使用大约 55 个警报监控平台运行状况

可用性和用户界面

  • 自定义登录消息和横幅 - 您可以从 NSX Manager 中配置和自定义登录消息,并指定用户在登录之前需要接受的必填字段。

  • 搜索和筛选增强功能 - 增强了 NSX UI 中的现有搜索和筛选功能。初始屏幕显示可能的搜索短语和最近搜索的项目。提供一个单独的面板以用于“高级搜索”,以使用户能够自定义和配置“搜索”。搜索查询现在显示来自标记和警报的信息。

  • VPAT - 修复以弥合产品中的可访问性差距。

  • NSX 拓扑 - 可视化与网关关联的底层 Fabric。通过使用该功能,您可以可视化 Edge 集群和主机交换机配置,以及收集有关主机和 Edge 配置的详细信息。

  • 提高 UI 中的对象选择器的可用性 - 该功能可以选择同一类别中的多个对象。此外,您还可以选择所有对象。

  • 改进的安全概览 - 改进了安全概览页面以提供安全配置的整体视图。您可以在不同的功能中查看“威胁和响应”,以及查看系统的现有配置和容量。

  • 在 vCenter 中集成的 NSX-T UI - 现在可以使用 NSX-T 的 vCenter 插件通过 vCenter UI 安装和配置 NSX-T。仅从 vCenter 7.0U3 开始支持该功能。

  • 常见用例的 NSX-T 部署向导 - 通过 vCenter 插件安装后,NSX-T 现在可以根据常见的用例启用 NSX-T 功能,以使用户能够利用部署向导快速启用 NSX-T 功能。该版本支持两个向导,一个用于启用 NSX 的安全功能,另一个用于启用 NSX 的虚拟网络功能。

策略

  • NSX Manager 到 NSX 策略升级工具 - 能够将现有配置从 NSX Manager 升级到 NSX 策略,而不会中断数据路径或删除/重新创建现有的对象。在将 NSX Manager 对象升级到 NSX 策略后,NSX Manager 对象将通过管理器 UI/API 设置为只读,您可以随后通过 NSX 策略 UI/API 与相同的对象进行交互。

AAA 和平台安全性

  • TLS 检查的证书管理增强功能(🔎技术预览版;不适用于生产部署)- 随着 TLS 检查功能的引入,证书管理现在支持添加和修改证书包,并且能够生成与 TLS 检查功能一起使用的 CA 证书。此外,常规证书管理 UI 可以进行修改以简化证书导入/导出。

  • LDAP 集成的高可用性和扩展性增强功能 - LDAP 配置现在支持为每个域配置多个 LDAP 服务器,并支持“信任”与每个域的不同 LDAP 服务器关联的多个证书。

规模

  • 扩大了规模 - 最大部署支持的规模有所扩大。有关规模变化的详细信息,请参见 VMware 最高配置工具

许可

  • 许可证实施 - NSX-T 现在根据许可证版本限制功能访问,以确保用户符合许可证要求。新用户只能访问他们购买的版本中提供的那些功能。如果现有用户使用其许可证版本中未提供的功能,则将这些用户限制为仅查看对象,而禁止创建和编辑对象。

  • 新许可证 - 添加了对新的 VMware NSX 网关防火墙和 NSX 联合附加许可证的支持,并继续支持 2018 年 6 月推出的 NSX Data Center 许可证(Standard、Professional、Advanced、Enterprise Plus、Remote Office Branch Office)和以前的 VMware NSX for vSphere 许可证密钥。有关 NSX 许可证的更多信息,请参见 VMware 知识库文章 52462

NSX Data Center for vSphere 到 NSX-T Data Center 的迁移

  • VMware Integrated OpenStack 迁移 - 添加了在 VIO 环境中执行 NSX for vSphere 到 NSX-T 迁移的功能,而不会破坏对象的 OpenStack 表示形式。该功能要求使用的 VMware Integrated OpenStack 版本支持迁移功能。

  • 自带拓扑 - 迁移协调器扩展了其型号,以便在 NSX for vSphere 与 NSX-T 中的用户定义的拓扑之间提供迁移。这为用户提供更大的灵活性以定义其 NSX-T 拓扑,并扩展可以从 NSX for vSphere 迁移到 NSX-T 的拓扑数量。

    该功能只能用于配置迁移以启用直接迁移,或作为执行就地迁移的完整工作流的一部分。

  • 支持固定拓扑的 OSPF 迁移 - 迁移协调器支持具有 OSPF(而不是 BGP 和静态)的固定拓扑。这允许希望使用固定拓扑(而不是 BYOT)的用户这样做,即使他们已为 ESG 和架顶式交换机之间的南北向连接配置了 OSP(已支持 ESG 和 DLR 之间的 OSPF 并由 NSX-T 内部路由取代)。

  • 扩大了迁移协调器的规模 - 增加了迁移协调器规模以涵盖更大的环境,并更接近于 NSX for vSphere 的最大规模。

  • 客户机侦测迁移 - 现在,在迁移协调器中为 GI 添加了 NSX for vSphere 到 NSX-T 的迁移。只要合作伙伴供应商也支持迁移协调器,您就可以使用该功能。

  • IDFW/RDSH 迁移 - 迁移协调器现在支持基于身份的防火墙配置。

技术预览版功能

NSX-T Data Center 3.2 为您的技术预览版提供了多种功能。VMware 不支持将技术预览版功能用于生产用途。它们未经过全面测试,某些功能可能无法按预期方式工作。不过,这些预览版有助于 VMware 改进当前的 NSX-T 功能并开发将来的增强功能。

有关这些技术预览版功能的详细信息,请参见《NSX-T Data Center 3.2 管理指南》中提供的内容。以下列表中提供的链接简要说明了这些技术预览版功能。这些主题将在标题中包含“技术预览版”。

包容性术语

在 VMware 中,我们重视包容性和多样性。为了在我们的客户、合作伙伴和内部社区中推广这些原则,全公司都在努力在我们的产品中替换非包容性语言。我们正在将 NSX-T Data Center UI、文档、API、CLI 和日志中的有问题术语替换为更有包容性的替代术语。例如,已将非包容性术语“已禁用”替换为替代术语“停用”。

兼容性和系统要求

有关兼容性和系统要求信息,请参见《VMware 产品互操作性列表》《NSX-T Data Center 安装指南》

功能/API 弃用和行为变化

NSX Manager API 和 NSX Advanced UI 的弃用公告

NSX-T 可以使用两种方法配置逻辑网络和安全:管理器模式和策略模式。管理器 API 包含以 /api 开头的 URI,策略 API 包含以 /policy/api 开头的 URI。

请注意,VMware 打算在即将发布的 NSX-T 主要或次要版本中移除对 NSX-T Manager API 和 NSX Advanced UI 的支持,该版本通常在此消息发布之日(2021 年 12 月 16 日)起的一年内提供。计划移除的 NSX-T Manager API 在 NSX Data Center API 指南中标记为“已弃用”,并提供了有关替换 API 的指导。

建议新的 NSX-T 部署利用 NSX 策略 API 和 NSX 策略 UI。对于当前利用 NSX Manager API 和 NSX Advanced UI 的部署,请参阅管理器到策略对象升级页面NSX Data Center API 指南以帮助进行过渡。

N-VDS NSX-T 主机交换机弃用公告

NSX-T 3.0.0 和更高版本可以在 vSphere VDS 交换机 7.0 和更高版本上运行。这为要将 NSX-T 添加到其 vSphere 环境的客户提供了与 vSphere 的更紧密集成,并且简化了 NSX-T 的采用。

请注意,VMware 打算在即将发布的 NSX-T 版本中移除对 ESXi 主机上的 NSX-T N-VDS 虚拟交换机的支持,该版本通常在此消息发布之日(2021 年 4 月 17 日)起的一年内提供。N-VDS 仍将是 KVM、NSX-T Edge 节点、本机公有云 NSX 代理和裸机工作负载上支持的虚拟交换机。

建议 NSX-T 和 vSphere 的新部署利用这一紧密集成,并使用 VDS 交换机版本 7.0 及更高版本进行部署。此外,对于在 ESXi 主机上使用 N-VDS 的现有 NSX-T 部署,VMware 建议转为在 VDS 上使用 NSX-T。为了简化该过程,VMware 提供了基于 CLI 的交换机迁移工具(最先在 NSX-T 3.0.2 中提供)和基于 GUI 的升级准备工具(最先在 NSX-T 3.1.1 中提供);请参见 NSX 文档以了解有关这些工具的更多详细信息。

注:

在 NSX-T 3.2.0 中,N-VDS 到 VDS 迁移工具不可用。希望在该版本中将其工作负载从 N-VDS 迁移到 VDS 的客户可以手动迁移工作负载以实现该目的。

从 N-VDS 迁移到 VDS 时,建议考虑以下部署注意事项:

  • N-VDS API 和 VDS API 不同,而且 N-VDS 交换机和 VDS 交换机的虚拟机和 vmKernel 接口 API 的支持类型也有所不同。在转为在环境中使用 VDS 时,必须调用 VDS API 而不是 N-VDS API。必须在将 N-VDS 转换为 VDS 之前进行此生态系统更改。有关更多详细信息,请参见知识库文章 79872注意:N-VDS 或 VDS API 本身未作任何更改。

  • VDS 通过 vCenter 进行配置。N-VDS 独立于 vCenter。由于 VDS 对 NSX-T 的支持,并且将最终弃用 N-VDS,NSX-T 将与 vCenter 密切绑定,而且需要 vCenter 才能在 vSphere 环境中启用 NSX。

OpenStack 和 KVM

3.x 版本系列是支持 KVM 和非 VIO OpenStack 发行版的最后一个系列,包括但不限于 RedHat OpenStack Platform、Canonical/Ubuntu OpenStack、SUSE OpenStack Cloud、Mirantis OpenStack 和基于社区的 OpenStack(没有特定的供应商)。建议将非 VIO OpenStack 与 NSX 结合使用的客户考虑将 vRealize Automation 或 VMware Cloud Director 作为其部署的替代产品。

NSX-T 负载均衡 API 的弃用公告

NSX-T 负载均衡器 API 将标记为已弃用。这适用于包含开头为以下内容的 URI 的所有 API: /policy/api/v1/infra/lb-

请注意,VMware 打算在即将发布的 NSX-T 版本中移除对 NSX-T 负载均衡器的支持,该版本通常在此消息发布之日(2021 年 12 月 16 日)起的一年内提供。计划移除的 NSX-T Manager API 在 NSX Data Center API 指南中标记为“已弃用”

建议新的 NSX-T Data Center 部署利用具有 20.1.6 或更高版本的 VMware NSX Advanced Load Balancer (Avi)。

注:

API 弃用不适用于分布式负载均衡器。

警报

  • NSX Intelligence 通信警报被 NSX Application Platform 通信警报取代。

  • NSX Intelligence 运行状况警报被 NSX Application Platform 运行状况警报取代。

  • DNS - 转发器已禁用警报。

  • 基础架构服务 - Edge 服务状态关闭警报将包含为 Edge 服务状态更改警报的一部分。

  • 传输节点运行状况 - NVDS 上行链路关闭警报被传输节点上行链路关闭警报取代。

实时流量分析 API 弃用和更改

  • 实时流量分析 MP API 在 NSX-T 3.2.0 中标记为已弃用。

  • 在 NSX-T 3.2.0 中,从实时流量分析中移除了“数据包计数”选项。实时流量分析将继续支持跟踪和数据包捕获。

  • 移除了以下字段和类型:

    • 策略 API:字段 - count_config,类型 - PolicyCountObservation

    • MP API:字段 - count_configcount_results,类型 - CountActionConfigLiveTraceActionType(COUNT:不支持的操作)、CountActionArgumentCountResultCountObservationBaseCountObservation

API 弃用和行为变化

  • 移除 NSX 弃用的 API - 以下 API 已在一年多前弃用,并在 NSX-T 3.2.0 中将其移除。

    移除的 API

    替代产品

    GET api/v1/hpm/alarms

    替换为 /api/v1/alarms

    POST /fabric/nodes

    POST /api/v1/transport-nodes

    POST /fabric/nodes/<node-id>?action=restart_inventory_sync

    POST /api/v1/transport-nodes/<node-id>?action=restart_inventory_sync

    POST /api/v1/fabric/discovered-nodes/<node-ext-id>?action=hostprep

    POST /api/v1/fabric/discovered-nodes/<node-ext-id>?action=create_transport_node

    GET /fabric/nodes

    GET /api/v1/transport-nodes

    GET /fabric/nodes/<node-id>

    GET /api/v1/transport-nodes/<node-id>

    POST /fabric/nodes/<node-id>

    POST /api/v1/transport-nodes/<node-id>

    PUT /fabric/nodes/<node-id>

    PUT /api/v1/transport-nodes/<node-id>

    DELETE /fabric/nodes/<node-id>

    DELETE /api/v1/transport-nodes/<node-id>

    GET /fabric/nodes/<node-id>/status

    GET /api/v1/transport-nodes/<node-id>/status

    GET /fabric/nodes/status

    GET /api/v1/transport-nodes/<node-id>/status

    GET /fabric/nodes/<node-id>/capabilities

    GET /api/v1/transport-nodes/<node-id>/capabilities

    POST /fabric/nodes/<node-id>?action=<enter/exit>_maintenance_mode

    在 NSX-T API 中没有替代产品。

    GET /fabric/nodes/<node-id>/state

    GET /api/v1/transport-nodes/<node-id>/state

    GET /fabric/nodes/<node-id>/modules

    GET /api/v1/transport-nodes/<node-id>/modules

    POST /fabric/nodes/<node-id>?action=upgrade_infra

    在 NSX-T API 中没有替代产品。

    GET /fabric/nodes/<node-id>/network/interfaces

    GET /api/v1/transport-nodes/<node-id>/interfaces

    GET /fabric/nodes/<node-id>/network/interfaces/<interface-id>

    GET /api/v1/transport-nodes/<node-id>/interfaces/<interface-id>

    GET /fabric/compute-collection-fabric-templates

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    POST /fabric/compute-collection-fabric-templates

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    DELETE /fabric/compute-collection-fabric-templates/<fabric-template-id>

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    PUT /fabric/compute-collection-fabric-templates/<fabric-template-id>

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    GET /fabric/compute-collection-fabric-templates/<fabric-template-id>

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    GET /fabric/compute-collection-transport-node-templates

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    POST /fabric/compute-collection-transport-node-templates

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    DELETE /fabric/compute-collection-transport-node-templates/<transport-node-template-id>

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    PUT /fabric/compute-collection-transport-node-templates/<transport-node-template-id>

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    GET /fabric/compute-collection-transport-node-templates/<transport-node-template-id>

    使用传输节点配置文件 (TNP) 和传输节点集合 (TNC) API 以不同方式处理的工作流

    GET /api/v1/ipfix-obs-points/switch-global

    /api/v1/ipfix-profiles/<ipfix-profile-id> 用于交换机 IPFIX 配置文件,并将 /api/v1/ipfix-collector-profiles/<ipfix-collector-profile-id> 用于 IPFIX 收集器配置文件。

    PUT /api/v1/ipfix-obs-points/switch-global

    /api/v1/ipfix-profiles/<ipfix-profile-id> 用于交换机 IPFIX 配置文件,并将 /api/v1/ipfix-collector-profiles/<ipfix-collector-profile-id> 用于 IPFIX 收集器配置文件。

    GET /api/v1/ipfix-obs-points

    /api/v1/ipfix-profiles 用于交换机 IPFIX 配置文件,并将 /api/v1/ipfix-collector-profiles 用于 IPFIX 收集器配置文件。

    GET /infra/ipfix-collector-profiles

    GET /policy/api/v1/infra/ipfix-l2-collector-profiles

    GET /infra/ipfix-collector-profiles/<ipfix-collector-profile-id>

    GET /policy/api/v1/infra/ipfix-l2-collector-profiles/<ipfix-collector-profile-id>

    PUT /infra/ipfix-collector-profiles/<ipfix-collector-profile-id>

    PUT /policy/api/v1/infra/ipfix-l2-collector-profiles/<ipfix-collector-profile-id>

    PATCH /infra/ipfix-collector-profiles/<ipfix-collector-profile-id>

    PATCH /policy/api/v1/infra/ipfix-l2-collector-profiles/<ipfix-collector-profile-id>

    DELETE /infra/ipfix-collector-profiles/<ipfix-collector-profile-id>

    DELETE /policy/api/v1/infra/ipfix-l2-collector-profiles/<ipfix-collector-profile-id>

    GET /infra/tier-1s/<tier-1-id>/ipfix-switch-collection-instances

    GET /policy/api/v1/infra/ipfix-l2-profiles

    GET /infra/tier-1s/<tier-1-id>/ipfix-switch-collection-instances/<ipfix-switch-collection-instance-id>

    GET /policy/api/v1/infra/ipfix-l2-profiles/<ipfix-switch-collection-instance-id>

    PUT /infra/tier-1s/<tier-1-id>/ipfix-switch-collection-instances/<ipfix-switch-collection-instance-id>

    PUT /policy/api/v1/infra/ipfix-l2-profiles/<ipfix-switch-collection-instance-id>

    PATCH /infra/tier-1s/<tier-1-id>/ipfix-switch-collection-instances/<ipfix-switch-collection-instance-id>

    PATCH /policy/api/v1/infra/ipfix-l2-profiles/<ipfix-switch-collection-instance-id>

    DELETE /infra/tier-1s/<tier-1-id>/ipfix-switch-collection-instances/<ipfix-switch-collection-instance-id>

    DELETE /policy/api/v1/infra/ipfix-l2-profiles/<ipfix-switch-collection-instance-id>

    GET /api/v1/node/services/mgmt-plane-bus

    在 NSX-T 中进行内部架构更改后移除的 API

    POST /api/v1/node/services/mgmt-plane-bus?action=restart|start|stop

    在 NSX-T 中进行内部架构更改后移除的 API

    GET /api/v1/node/services/mgmt-plane-bus/status

    在 NSX-T 中进行内部架构更改后移除的 API

    DELETE /api/v1/node/rabbitmq-management-port

    在 NSX-T 中进行内部架构更改后移除的 API

    GET /api/v1/node/rabbitmq-management-port

    在 NSX-T 中进行内部架构更改后移除的 API

    POST /api/v1/node/rabbitmq-management-port

    在 NSX-T 中进行内部架构更改后移除的 API

    GET /api/v1/node/services/intelligence-upgrade-coordinator

    由于 NSX Intelligence 现在托管在 NSX Application Platform 上而从 NSX-T Manager 中移除的 API

    POST /api/v1/node/services/intelligence-upgrade-coordinator?action=start|stop|restart

    由于 NSX Intelligence 现在托管在 NSX Application Platform 上而从 NSX-T Manager 中移除的 API

    GET /api/v1/node/services/intelligence-upgrade-coordinator/status

    由于 NSX Intelligence 现在托管在 NSX Application Platform 上而从 NSX-T Manager 中移除的 API

    GET /api/v1/bridge-clusters

    这些 API 过去用于在 ESXi 上配置网桥,这是一项已弃用并移除的功能。在 Edge 集群上支持桥接,可以在分段上使用 Edge 网桥配置文件配置该功能。(请参阅 Edge 网桥文档)

    POST /api/v1/bridge-clusters

    这些 API 过去用于在 ESXi 上配置网桥,这是一项已弃用并移除的功能。在 Edge 集群上支持桥接,可以在分段上使用 Edge 网桥配置文件配置该功能。(请参阅 Edge 网桥文档)

  • 移除 NSX 弃用的 API 字段 - 以下 API 字段已在一年多前弃用,并在 NSX-T 3.2.0 中将其移除。(不会移除 API 本身,仅移除提到的字段。)

    • 移除传输区域 API 字段

      POST /api/v1/transport-zones
      {
           "display_name":"tz1",
           "host_switch_name":"test-host-switch-1", <<==== WILL BE REMOVED
           "host_switch_mode":  "STANDARD", <<==== WILL BE REMOVED
           "description":"Transport Zone 1",
           "transport_type":"OVERLAY"
      } 

    • 移除 Edge 节点虚拟机的传输节点 API 字段

      POST /api/v1/transport-nodes
      POST /api/v1/transport-node-profiles
      {
      "node_id": "92f893b0-1157-4926-9ce3-a1787100426c",
      "host_switch_spec": {
      "host_switches": [
      {
      ...
      ...
      "transport_zone_endpoints": [ <<<==== SHOULD BE USED INSTEAD
      {
      "transport_zone_id": "1b3a2f36-bfd1-443e-a0f6-4de01abc963e"
      }
      ],
      }
      ],
      "resource_type": "StandardHostSwitchSpec"
      },
      "transport_zone_endpoints": [], <<<<=== WILL BE REMOVED
      "node_deployment_info": {
      "deployment_type": "VIRTUAL_MACHINE",
      "deployment_config": {
      "vm_deployment_config": {
      "vc_id": "23eaf46e-d826-4ead-9aad-ed067574efb7",
      "compute_id": "domain-c7",
      "storage_id": "datastore-22",
      "management_network_id": "network-24",
      "hostname": "edge", <-- will be removed
      "data_network_ids": [
      "network-24"
      ],
      "search_domains": [ "vmware.com" ] <<<<=== WILL BE REMOVED (replacement in out block)
      "dns_servers": [ "10.172.40.1" ], <<<<=== WILL BE REMOVED
      "enable_ssh": true, <<<<=== WILL BE REMOVED
      "allow_ssh_root_login": true, <<<<=== WILL BE REMOVED
      "placement_type": "VsphereDeploymentConfig"
      },
      ...
      "node_settings": {
      "hostname": "edge", <<<<=== This should be used - REPLACEMENT
      "search_domains": ["eng.vmware.com" ], <<<<=== This should be used - REPLACEMENT
      "dns_servers": [ "10.195.12.31"], <<<<=== This should be used - REPLACEMENT
      "enable_ssh": true, <<<<=== This should be used - REPLACEMENT
      "allow_ssh_root_login": true <<<<=== This should be used - REPLACEMENT
      },
      "resource_type": "EdgeNode",
      "id": "90ec1776-f3e2-4bd0-ba1f-a1292cc58707",
      ...
      "display_name": "edge", <<<<=== WILL BE REMOVED (replacement in out block)
      "_create_user": "admin", <<<<=== WILL BE REMOVED
      "_create_time": 1594956232211, <<<<=== WILL BE REMOVED
      "_last_modified_user": "admin", <<<<=== WILL BE REMOVED
      "_last_modified_time": 1594956531314, <<<<=== WILL BE REMOVED
      "_system_owned": false, <<<<=== WILL BE REMOVED
      "_protection": "NOT_PROTECTED", <<<<=== WILL BE REMOVED
      "_revision": 2 <<<<=== WILL BE REMOVED
      },
      "failure_domain_id": "4fc1e3b0-1cd4-4339-86c8-f76baddbaafb",
      "resource_type": "TransportNode",
      "id": "90ec1776-f3e2-4bd0-ba1f-a1292cc58707",
      "display_name": "edge", <<<<=== This should be used - REPLACEMENT
      "_create_user": "admin", <<<<=== This should be used - REPLACEMENT
      "_create_time": 1594956232373, <<<<=== This should be used - REPLACEMENT
      "_last_modified_user": "admin", <<<<=== This should be used - REPLACEMENT
      "_last_modified_time": 1594956531551, <<<<=== This should be used - REPLACEMENT
      "_system_owned": false, <<<<=== This should be used - REPLACEMENT
      "_protection": "NOT_PROTECTED", <<<<=== This should be used - REPLACEMENT
      "_revision": 1 <<<<=== This should be used - REPLACEMENT
      }

此版本的升级说明

有关升级 NSX-T Data Center 组件的说明,请参见《NSX-T Data Center 升级指南》

强烈建议升级到 NSX-T 3.2.0.1 的客户先运行 NSX 升级评估工具,然后再启动升级过程。该工具旨在通过在升级之前检查 NSX Manager 的运行状况和就绪状态来确保升级成功。

API 和 CLI 资源

请参见 developer.vmware.com 以使用 NSX-T Data Center API 或 CLI 实现自动化。

可以从 API 参考选项卡中获取 API 文档。可以从文档选项卡中获取 CLI 文档。

本地化语言

NSX-T Data Center 已本地化为多种语言:英语、德语、法语、意大利语、日语、简体中文、韩语、繁体中文和西班牙语。由于 NSX-T Data Center 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

修订日期

版本

更改

2021 年 12 月 16 日

1

初始版本。

2022 年 1 月 3 日

2

新增功能中的联合部分添加了注释。

添加了已知问题 2882574。

2022 年 1 月 5 日

3

此版本的升级说明已知问题部分添加了已知问题。

2022 年 1 月 21 日

4

添加了关于 NSX-T Data Center 3.2.0 的重要信息部分。

此版本的升级说明部分添加了有关 NSX 升级评估工具的信息。

添加了已知问题 2890348。

2022 年 2 月 4 日

5

为 SMB 协议提供身份防火墙支持。

2022 年 2 月 15 日

6

新增功能中添加了有关容量限制的要点。

2022 年 2 月 22 日

7

添加了部署 NSX Application Platform 的要求。

2022 年 4 月 29 日

8

添加了已知问题 2885820、2871440 和 2945515。

移除了已知问题 2685550、2566121 和 2848614 的重复条目。

2022 年 5 月 5 日

9

添加了已知问题 2875563、2875667、2883505、2914934、2921704、2933905。

2022 年 5 月 16 日

10

添加了已知问题 2927442。

2022 年 6 月 6 日

11

添加了已知问题 2937810。

2022 年 8 月 2 日

12

添加了已知问题 2989696。

2022 年 8 月 24 日

13

添加了已知问题 3015843。

2022 年 9 月 1 日

14

更新了 VMware NSX Network Detection and Response 文档的位置信息。

2022 年 9 月 7 日

15

添加了已知问题 3012313。

2022 年 9 月 14 日

16

添加了已知问题 3025104。

2023 年 2 月 6 日

17

新增功能中为适用于 vSphere 的分布式负载均衡器添加了有关其他功能的要点。

2023 年 2 月 23 日

18

编辑更新。

已解决的问题

  • 已修复问题 2692344:如果您删除 Avi 实施点,它将从策略中删除所有实现的对象,这会从策略中删除默认对象的所有实现的实体。在添加新的实施点时,无法从 Avi 控制器中重新同步默认对象。

    在删除并重新创建 AVIConnectionInfo 的实施点后,您将无法使用系统默认对象。

  • 已修复问题 2858893:基于集群的部署的服务部署清理失败。

    对功能没有任何影响。如果尝试在待定 ServiceDeployment 或实例中取消注册 ServiceDefinion,则无法清理服务。必须手动/强制从数据库中进行清理。

  • 已修复问题 2557287:不会还原备份后完成的 TNP 更新。

    在还原的设备上看不到在备份后进行的任何 TNP 更新。

  • 已修复问题 2679614:在本地管理器上替换 API 证书后,全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

    在本地管理器上替换 API 证书后,全局管理器的 UI 将显示“出现常规错误”(General Error has occurred) 消息。

  • 已修复问题 2658687:在事务失败但发生故障切换时,全局管理器切换 API 报告失败。

    API 失败,但全局管理器切换完成。

  • 已修复问题 2652418:在删除大量实体时,删除速度缓慢。

    删除速度较慢。

  • 已修复问题 2649499:在依次创建各个防火墙规则时,需要很长时间才能创建这些规则。

    缓慢的 API 需要更多的时间才能创建规则。

  • 已修复问题 2649240:使用单个删除 API 删除大量实体时,删除速度很慢。

    需要大量时间才能完成删除过程。

  • 已修复问题 2606452:在尝试通过 API 载入时,载入被阻止。

    载入 API 失败,并显示“在站点中找不到默认传输区域”(Default transport zone not found at site) 错误消息。

  • 已修复问题 2587513:在网桥配置文件绑定中配置多个 VLAN 范围时,策略显示错误。

    您将看到“VLAN ID 无效”(INVALID VLAN IDs) 错误消息。

  • 已修复问题 2662225:当活动 Edge 节点在传输南北向流量期间变为非活动 Edge 节点时,将会丢失流量。

    当前南北向流在多播活动节点上运行。TOR 上到源的首选路由应仅通过多播活动 Edge 节点。启动另一个 Edge 可能会接替多播活动节点(级别较低的 Edge 成为活动多播节点)。当前的南北向流量将丢失最多 4 分钟的时间。如果停止并重新启动当前流,这不会影响新的流。

  • 已修复问题 2625009:当中间路由器或物理网卡的 MTU 低于或等于 SR 间端口的 MTU 时,SR 间 iBGP 会话将不断抖动。

    这会影响联合拓扑中的站点间连接。

  • 已修复问题 2521230:在“get bgp neighbor summary”下显示的 BFD 状态可能不会正确反映最新的 BFD 会话状态。

    BGP 和 BFD 可以单独设置其会话。作为“get bgp neighbor summary”的一部分,BGP 还会显示 BFD 状态。如果 BGP 已关闭,则不会处理任何 BFD 通知,并将继续显示上次已知状态。这可能会导致 BFD 显示失效状态。

  • 已修复问题 2550492:在升级期间,暂时显示“凭据不正确或者指定的帐户已锁定”(The credentials were incorrect or the account specified has been locked) 消息,并且系统自动进行恢复。

    在升级期间显示暂时性的错误消息。

  • 已修复问题 2682480:可能发出虚假的 NCP 运行状况警报。

    NCP 运行状况警报可能是不可靠的,即,在 NCP 系统处于正常运行状态时发出警报。

  • 已修复问题 2655539:在使用 CLI 更新主机名时,在全局管理器 UI 的“位置管理器”页面上未更新主机名。

    显示旧主机名。

  • 已修复问题 2631703:在对具有 vIDM 集成的设备进行备份/还原时,vIDM 配置将被破坏。

    通常,在升级和/或还原环境后,尝试还原已启动并运行 vIDM 集成的设备将导致该集成被破坏,您必须重新进行配置。

  • 已修复问题 2730109:当 Edge 打开电源时,虽然存在环回,但 Edge 会尝试使用其路由器链路 IP 地址作为 OSPF 路由器 ID 与对等体建立 OSPF 邻居关系。

    重新加载 Edge 后,由于配置排序,OSPF 选择下行链路 IP 地址(较高 IP 地址)作为路由器 ID,直到收到 OSPF 路由器 ID 配置。在收到包含新路由器 ID 的 OSPF 通信时,具有较旧路由器 ID 的邻居条目将最终变为失效条目,并且在对等体上的失效定时器过期后,该条目将过期。

  • 已修复问题 2610851:对于少数资源类型筛选器组合,命名空间、计算集合、L2VPN 服务网格筛选可能不返回任何数据。

    即使具有符合条件的数据,同时为几种类型应用多个筛选器也不会返回任何结果。这不是一种常见的情况,仅对于以下筛选器属性组合,这些网格的筛选器才会失败:对于命名空间网格 ==> 在集群名称和 Pod 名称筛选器上;对于网络拓扑页面 ==> 在 L2VPN 服务上应用远程 IP 筛选器;对于计算集合 ==> 在计算管理器筛选器上

  • 已修复问题 2482580:从 vCenter 中删除 IDFW/IDS 集群时,不会更新 IDFW/IDS 配置。

    从 vCenter 中删除已启用 IDFW/IDS 的集群时,不会通知 NSX 管理平面所需的更新。这会导致启用了 IDFW/IDS 的集群的计数不准确。这对功能没有任何影响。只有启用的集群的计数是错误的。

  • 已修复问题 2587257:在某些情况下,在目标收到 NSX-T Edge 发送的 PMTU 数据包时,将其忽略。

    PMTU 发现失败而导致分片和重组,并丢弃数据包。这会导致性能下降或流量中断。

  • 已修复问题 2622576:由于重复配置而导致的失败不会正确传播到用户。

    在进行载入时,您看到“载入失败”(Onboarding Failure) 消息。

  • 已修复问题 2638673:清点未发现虚拟机的 SRIOV vNIC。

    在“添加新的 SPAN 会话”对话框中未列出 SRIOV vNIC。在添加新的 SPAN 会话时,您将看不到 SRIOV vNIC。

  • 已修复问题 2643749:无法将在特定站点上创建的自定义区域中的组嵌套到属于系统创建的站点特定区域的组中。

    在选择子组以作为在系统创建的区域中的组(具有相同位置)的成员时,您将看不到在站点特定的自定义区域中创建的组。

  • 已修复问题 2805986:无法部署 NSX-T 管理的 Edge 虚拟机。

    使用 ESX UI 完成 NSX-T Edge 部署后,部署失败。

  • 已修复问题 2685550:在应用于桥接的分段时,防火墙规则实现状态始终显示为“正在进行中”。

    在将防火墙规则应用于 NS 组时,如果该 NS 组包含桥接的分段以作为其成员之一,实现状态将始终显示为“正在进行中”。您无法检查应用于桥接的分段的防火墙规则的实现状态。

已知问题

  • 问题 3025104:对 IP 不同但 FQDN 相同的主机执行还原时,主机显示“失败”状态。

    使用 IP 不同而 FQDN 相同的 MP 节点执行还原时,主机无法连接到 MP 节点。

    解决办法:刷新主机的 DNS 缓存。使用命令 /etc/init.d/nscd restart。

  • 问题 3012313:将 NSX 恶意软件防护或 NSX Network Detection and Response 从版本 3.2.0 升级到 NSX ATP 3.2.1 或 3.2.1.1 失败。

    将 NSX Application Platform 从 NSX 3.2.0 成功升级到 NSX ATP 3.2.1 或 3.2.1.1 后,升级 NSX 恶意软件防护 (MP) 或 NSX Network Detection and Response (NDR) 功能将会失败,并出现以下一个或多个症状。

    1. 升级 UI 窗口对 NSX NDR 和云连接器 Pod 显示 FAILED 状态。

    2. 对于 NSX NDR 升级,几个前缀为 nsx-ndr 的 Pod 处于 ImagePullBackOff 状态。

    3. 对于 NSX MP 升级,几个前缀为 cloud-connector 的 Pod 处于 ImagePullBackOff 状态。

    4. 单击升级后升级失败,但之前的 NSX MP 和 NSX NDR 功能仍与开始升级之前一样正常运行。但是,NSX Application Platform 可能会变得不稳定。

    解决办法:请参见 VMware 知识库文章 89418

  • 问题 2989696:执行 NSX Manager 还原操作后,计划的备份无法启动。

    计划备份不会生成备份。手动备份可继续工作。

    解决办法:请参见知识库文章 89059

  • 问题 3015843:DFW 数据包日志标识符在 NSX-T 3.2.0 中进行了更改,并且未在发行说明中提及。

    无法查看具有以前版本中使用的日志标识符的 DFW 数据包日志。

    以下 NSX-T syslog 字段已更改为符合 RFC 合规性:

    • FIREWALL_PKTLOG 已更改为 FIREWALL-PKTLOG

    • DLB_PKTLOG 已更改为 DLB-PKTLOG

    • IDPS_EVT 已更改为 IDPS-EVT

    • nsx_logger 已更改为 nsx-logger

    由于进行这些更改是为了符合 RFC 合规性,因此不存在未来 NSX 版本重新恢复到以前版本中的日志结构的可预见场景。

  • 问题 2355113:不支持在 Azure 加速网络实例上运行 RedHat 和 CentOS 的工作负载虚拟机。

    在 Azure 中,如果在基于 RedHat 或 CentOS 的操作系统上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。

    解决办法:为基于 RedHat 和 CentOS 的操作系统禁用加速网络。

  • 问题 2283559:如果 Edge 的 RIB 包含 65k 个以上路由且 FIB 包含 100k 个以上路由,则 /routing-table 和 /forwarding-table MP API 会返回错误。

    如果 Edge 的 RIB 包含 65k 多个路由且 FIB 包含 100k 多个路由,从 MP 到 Edge 的请求将耗时 10 秒以上,从而导致超时。这是只读 API,仅当需要使用 API/UI 下载 RIB 中的 65k 多个路由和 FIB 中的 100k 多个路由时才会产生影响。

    解决办法:获取 RIB/FIB 有两种方案可供选择。这些 API 支持基于网络前缀或路由类型的筛选选项。可使用这些选项下载感兴趣的路由。CLI 支持需要整个 RIB/FIB 表的情况,且无超时。

  • 问题 2693576:在将 KVM RHEL 7.9 升级到 RHEL 8.2 后,传输节点显示“NSX 安装失败”(NSX Install Failed)。

    从 RHEL 7.9 升级到 8.2 后,缺少依赖项 nsx-opsagent 和 nsx-cli,而将主机标记为安装失败。无法从 UI 中解决该故障:无法在主机上安装软件。无法解决的依赖项:[PyYAML、python-mako、python-netaddr、python3]

    解决办法:在升级主机操作系统后,手动安装 NSX RHEL 8.2 VIB,然后从 UI 中解决该故障。

  • 问题 2628503:甚至在强制删除管理器 NS 组后,仍会应用 DFW 规则。

    解决办法:不要强制删除 DFW 规则仍使用的 NS 组,而是清空 NS 组或删除 DFW 规则。

  • 问题 2684574:如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。

    如果 Edge 具有 6000 多个路由,用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误:/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv 如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。这是一个只读 API,仅在使用 API/UI 下载 6000 多个用于 OSPF 路由和数据库的路由时才会有影响。

    解决办法:使用 CLI 命令从 Edge 中检索信息。

  • 问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。

  • 问题 2636771:在使用多个标记对标记资源并且标记和范围与任何标记和范围值匹配时,搜索可能会返回资源。

    这会影响使用标记和范围条件的搜索查询。如果标记和范围与任何对匹配,筛选器可能会返回额外的数据。

    解决办法:无。

  • 问题 2668717:对于由 vRA 创建且已连接到共享 Tier-1 的分段的网络之间的东西向路由,可能会观察到间歇性流量丢失。

    如果 vRA 创建多个分段并连接到共享的 ESG,V2T 会将此类拓扑转换为连接到 NSX-T 端上所有分段的共享 Tier-1。在主机迁移时间段内,可能会观察到连接到共享 Tier-1 的分段的工作负载之间的东西向流量间歇性丢失。

    解决办法:无。

  • 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2526769:多节点集群上的还原操作失败。

    在多节点集群上启动还原时,还原会失败,您必须重新部署该设备。

    解决办法:部署新的设置(一个节点集群),然后启动还原过程。

  • 问题 2534933:无法将具有基于 LDAP 的 CDP(CRL 分发点)的证书用作 tomcat/集群证书。

    您不能将具有 LDAP CDP 的 CA 签名证书用作集群/tomcat 证书。

    解决办法:有两种选择。

    1. 使用具有基于 HTTP 的 CDP 的证书。

    2. 使用 PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig API 禁用 CRL 检查(在 PUT 负载中,确保将“crl_checking_enabled”设置为 false。)

  • 问题 2566121:在服务器过载时,显示不正确的错误消息“某些设备组件未正常运行”(Some appliance components are not functioning properly)。

    如果对 NSX 进行的 API 调用过多,UI/API 将显示错误“某些设备组件未正常运行”(Some appliance components are not functioning properly) 而不是“服务器过载”(server is overloaded)。

    解决办法:无。

  • 问题 2613113:如果正在执行载入操作,在完成本地管理器还原后,全局管理器上的状态不会从 IN_PROGRESS 发生更改。

    UI 在全局管理器中显示本地管理器载入操作处于 IN_PROGRESS 状态。无法导入还原的站点的配置。

    解决办法:重新启动全局管理器集群,且一次仅对一个节点执行此操作。

  • 问题 2690457:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器,proton 服务可能无法在加入节点上正确重新启动。

    加入管理器无法正常工作,并且 UI 不可用。

    解决办法:为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。

  • 问题 2574281:策略最多仅允许 500 个 VPN 会话。

    NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}

    解决办法:使用管理平面 API 创建其他 VPN 会话。

  • 问题 2658092:在本地管理器上配置 NSX Intelligence 时,载入失败。

    载入失败并显示主体身份错误,您无法使用主体身份用户载入系统。

    解决办法:通过 NSX Intelligence 使用的相同主体身份名称创建一个临时主体身份用户。

  • 问题 2639424:在基于主机的部署中,在修复 vLCM 集群中的主机时,修复进度在完成 95% 后失败。

    主机的修复进度将停留在 95%,并在到达 70 分钟的超时时间后失败。

    解决办法:请参见 VMware 知识库文章 81447

  • 问题 2636420:如果备份后在集群上运行“移除 NSX”,主机将在还原后变为“已跳过 NSX 安装”状态,并且集群处于“失败”状态。

    主机将显示“已跳过 NSX 安装”。

    解决办法:在还原后,您必须再次在集群上运行“移除 NSX”,以实现备份后存在的状态(“未配置”状态)。

  • 问题 2558576:全局配置文件定义的全局管理器和本地管理器版本可能有所不同,并且可能在本地管理器上具有未知行为。

    在全局管理器上创建的全局 DNS、会话或泛洪配置文件无法从 UI 应用于本地组,但可以从 API 应用。因此,API 用户可能会在本地管理器上意外创建配置文件绑定映射并修改全局实体。

    解决办法:使用 UI 配置系统。

  • 问题 2491800:不会定期检查 AR 通道 SSL 证书的有效性,这可能会导致对现有连接使用已过期/已吊销的证书。

    连接将使用已过期/已吊销的 SSL。

    解决办法:重新启动管理器节点上的 APH 以触发重新连接。

  • 问题 2561988:所有 IKE/IPSEC 会话暂时中断。

    流量中断将持续一段时间。

    解决办法:分阶段修改本地端点,而不是同时修改所有端点。

  • 问题 2584648:切换 T0/T1 网关的主节点影响北向连接。

    位置故障切换时间导致中断几秒钟,并且可能会影响位置故障切换或故障恢复测试。

    解决办法:无。

  • 问题 2636420:传输节点配置文件应用于在备份后调用了“移除 NSX”的集群。

    主机未处于已准备就绪状态,但仍在集群中应用传输节点配置文件。

    解决办法:在还原后,再次在集群上运行“移除 NSX”,以实现备份后存在的状态(“未配置”状态)。

  • 问题 2687084:在升级或重新启动后,搜索 API 可能会返回 400 错误,错误代码为 60508:“正在重新创建索引,这可能需要一些时间”(Re-creating indexes, this may take some time)。

    根据系统规模,在重新编制索引完成之前,无法使用搜索 API 和 UI。

    解决办法:无。

  • 问题 2782010:即使“allow_changing_vdr_mac_in_use”为 false,策略 API 也允许更改 vdr_mac/vdr_mac_nested。

    即使 allow_changing 设置为 false,也会在 TN 上更新 VDR MAC。不会引发错误。

    解决办法:如果您不打算更改该字段,请将 VDR MAC 改回到旧值。

  • 问题 2791490:联合:在更改备用全局管理器 (GM) 密码后,无法将对象同步到备用 GM。

    在备用 GM 的位置管理器上观察不到活动 GM,也观察不到来自活动 GM 的任何更新。

    解决办法:在备用 GM 的 UI 上请求强制同步。

  • 问题 2799371:即使 L2 VPN 和 IPSec 会话已启动,也不会清除 L2 VPN 的 IPSec 警报。

    除了看到不必要的未解决警报以外,对功能没有任何影响。

    解决办法:手动解决警报。

  • 问题 2838613:对于低于 7.0.3 的 ESX 版本,在集群上安装安全功能后,在从 6.5 升级到更高版本的 VDS 上未启用 NSX 安全功能。

    在从 6.5 升级到更高版本 (6.6+) 的 VDS 连接的虚拟机上未启用 NSX 安全功能,在该 VDS 中支持 vSphere DVPortgroup 上的 NSX 安全功能。

    解决办法:在升级 VDS 后,重新引导主机,并打开虚拟机电源以在虚拟机上启用安全功能。

  • 问题 2839782:无法从 NSX-T 2.4.1 升级到 2.5.1,因为 CRL 实体很大,并且 Corfu 在 2.4.1 中施加了大小限制,从而阻止升级期间在 Corfu 中创建 CRL 实体。

    无法升级。

    解决办法:将证书替换为由不同 CA 签名的证书。

  • 问题 2851991:如果具有 AD 组的策略组还嵌套了空源组,IDFW 将失败。

    如果具有 AD 组的策略组嵌套了空源组,IDFW 将失败。

    解决办法:移除空子组。

  • 问题 2852419:如果为静态路由配置的非链路本地 IPv4/v6 下一跃点具有多个范围值,将显示错误消息。

    将拒绝非链路本地下一跃点 IP 具有多范围值配置的静态路由 API。

    解决办法:创建多个下一跃点而不是多个范围值,并确保每个下一跃点具有不同的 IP 地址。

  • 问题 2853889:在创建 EVPN 租户配置(使用 vlan-vni 映射)时,创建了子分段,但子分段的实现状态变为失败,并在大约 5 分钟后自动恢复。

    实现 EVPN 租户配置将需要 5 分钟的时间。

    解决办法:无。等待 5 分钟。

  • 问题 2854139:对于 Edge 上的 Tier-0 SR 具有多个 BGP 邻居并且这些 BGP 邻居向 Tier-0 SR 发送 ECMP 前缀的拓扑,在 RIB 中持续添加/移除 BGP 路由。

    持续添加/删除的前缀丢弃流量。

    解决办法:添加一个入站路由映射,以筛选与静态路由下一跃点位于同一子网中的 BGP 前缀。

  • 问题 2864250:如果在创建传输节点时使用自定义 NIOC 配置文件,则会在传输节点实现中观察到失败。

    尚未准备好使用传输节点。

    解决办法:使用默认 NIOC 配置文件创建传输节点,然后应用自定义 NIOC 配置文件以更新该节点。

  • 问题 2866682:在 Microsoft Azure 中,如果在 SUSE Linux Enterprise Server (SLES) 12 SP4 工作负载虚拟机上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。

    虚拟机代理无法启动,并且虚拟机变为未管理状态。

    解决办法:禁用加速网络。

  • 问题 2867243:没有有效成员的策略组或 NS 组的有效成员资格 API 不会在 API 响应中返回“results”和“result_count”字段。

    这对功能没有任何影响。

    解决办法:无。

  • 问题 2868235:在“快速入门 - 网络和安全”对话框中,在将多个 pNIC 连接到同一 VDS 时,可视化显示重复的 VDS。

    可视化显示重复的 VDS。如果焦点位于可视化图表上,则可能很难找到或滚动到“自定义主机交换机”部分。

    解决办法:对于滚动问题,请按 Tab 键或将鼠标指针移动到可视化区域外部,然后滚动到“自定义交换机配置”部分。

  • 问题 2870085:为所有规则启用/禁用日志记录的安全策略级别日志记录不起作用。

    您无法通过更改安全策略的“logging_enabled”来更改所有规则的日志记录。

    解决办法:修改每个规则以启用/禁用日志记录。

  • 问题 2870529:如果在添加 AD 域时未使用确切大小写的 NetBIOS 名称,则身份防火墙 (IDFW) 的运行时信息不可用。

    您无法轻松获取 IDFW 当前运行时信息/状态。无法确定当前的活动登录。

    解决办法:编辑相关的域并修复 NetBIOS 名称。在应用更改后,将正确报告所有将来的 IDFW 事件。

  • 问题 2870645:在 /policy/api/v1/infra/realized-state/realized-entities API 响应中,即使“publish_status”是“SUCCESS”(意味着实现成功),“publish_status_error_details”也会显示错误详细信息。

    这对功能没有任何影响。

    解决办法:无。

  • 问题 2871585:对于低于 7.0.3 的 DVS 版本,在使用 DVS 的集群上启用 vSphere DVPortgroup 上的 NSX 安全功能后,允许从 DVS 中移除主机和删除 DVS。

    您可能需要解决传输节点或集群配置中的任何问题,这些问题是由于从 DVS 中移除主机或删除 DVS 引起的。

    解决办法:无。

  • 问题 2874236:在升级后,如果仅重新部署 HA 对中的一个公有云网关 (PCG),则会重新使用较旧的 HA AMI/VHD 内部版本。

    仅在升级后的首次 PCG 重新部署时发生这种情况。

    解决办法:在升级后,通过 API 提供正确的 AMI 或 VHD。

  • 问题 2875385:在新节点加入集群时,如果将本地用户(admin、audit、guestuser1、guestuser2)重命名为某种其他名称,这些本地用户可能无法登录。

    本地用户无法登录。

    解决办法:具有两种解决办法。

    • 解决办法 1:将用户重命名回任何名称,然后再重命名回所需的名称。

    • 解决办法 2:如果您无法重命名用户,请重新启动 NSX Manager。

  • 问题 2848614:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns,并且在外部 DNS 服务器中缺少正向或反向查找条目或加入节点缺少 dns 条目,则不会为加入节点生成正向或反向警报。

    即使在 DNS 服务器中缺少正向/反向查找条目或加入节点缺少 dns 条目,也不会为加入节点生成正向/反向警报。

    解决办法:为具有正向和反向 DNS 条目的所有管理器节点配置外部 DNS 服务器。

  • 问题 2719682:Avi 控制器中的计算字段未同步到策略上的意向,从而导致在 Avi UI 和 NSX-T UI 上显示的数据存在差异。

    Avi 控制器中的计算字段在 NSX-T UI 上显示为空白。

    解决办法:使用应用程序切换器检查 Avi UI 中的数据。

  • 问题 2747735:在还原后,由于网络兼容性问题,VIP 连接中断。

    还原备份时,客户可以在执行“将节点添加到集群”步骤之前更新 VIP。

    [如果有,请输入解决办法,否则说明“无”] 还原通常会在要求用户添加额外管理器节点的“将节点添加到集群”步骤中暂停。在该步骤中,a. 首先移除/更新 VIP,以使用“系统/设备 UI”页面中的新 IP;b. 在更正 VIP 后,将额外的节点添加到还原的单节点集群中。

  • 问题 2816781:无法为物理服务器配置基于负载均衡的绑定策略,因为它们支持单个 VTEP。

    您将无法为物理服务器配置基于负载均衡的绑定策略。

    解决办法:将绑定策略更改为基于故障切换的绑定策略或任何具有单个 VTEP 的策略。

  • 问题 2856109:如果 Avi 控制器版本为 21.1.2,在添加第 2000 个池成员时,将超过限制而出错。

    Avi 控制器 21.1.2 允许 1999 个池成员,而不是 2000 个池成员。

    解决办法:使用 Avi 控制器版本 20.1.7 或 21.1.3。

  • 问题 2862418:在配置 LTA 以跟踪确切数量的数据包时,可能会在实时流量分析 (LTA) 中缺少第一个数据包。

    您看不到第一个数据包跟踪。

    解决办法:无。

  • 问题 2864929:从 NSX for vSphere 迁移到 NSX-T Data Center 上的 Avi 负载均衡器时,池成员计数较高。

    您将看到较高的池成员计数。运行状况监控器将这些池成员标记为关闭,但不会将流量发送到无法访问的池成员。

    解决办法:无。

  • 问题 2865273:如果从 NSX for vSphere 迁移到 NSX-T Data Center 之前具有阻止端口 22、443、8443 和 123 的 DFW 规则,Advanced Load Balancer (Avi) 搜索引擎将无法连接到 Avi 控制器。

    Avi 搜索引擎无法连接到 Avi 控制器。

    解决办法:添加显式 DFW 规则以允许 SE 虚拟机使用端口 22、443、8443 和 123,或从 DFW 规则中排除 SE 虚拟机。

  • 问题 2866885:事件日志采集器 (ELS) 要求 AD 域中配置的 NetBIOS 名称与 AD 服务器中的名称匹配。

    ELS 检测不到用户登录。

    解决办法:更改 NetBIOS 名称以与 AD 服务器中的名称匹配。

  • 问题 2868944:将超过 1,000 个 DFW 规则从 NSX for vSphere 迁移到 NSX-T Data Center 时,不会显示 UI 反馈,但将区域拆分为具有 1,000 个或更少规则的区域。

    未显示 UI 反馈。

    解决办法:检查日志。

  • 问题 2878030:在更改本地管理器站点的升级协调器节点时,未显示通知。

    如果在升级 UC 后更改了协调器节点,并且您单击任何操作按钮(预检查、启动等)以继续执行 UI 工作流,则不会在升级 UI 上看到任何进度。这仅适用于使用站点切换器在全局管理器 UI 中访问本地管理器升级 UI 的情况。

    解决办法:转到该站点的本地管理器,并继续升级以查看预期的通知。

  • 问题 2878325:在管理器的“清单容量仪表板”视图中,“基于 IP 集的组”属性计数不包括包含从策略 UI 中创建的 IP 地址的组。

    在管理器的“清单容量仪表板”视图中,如果存在包含 IP 地址的策略组,则不会正确显示“基于 IP 集的组”的计数。

    解决办法:无。

  • 问题 2879133:恶意软件防护功能最多可能需要 15 分钟才能开始工作。

    在首次配置恶意软件防护功能时,最多可能需要 15 分钟的时间以初始化该功能。在该初始化期间,不会进行恶意软件分析,但没有迹象表明正在进行初始化。

    解决办法:等待 15 分钟。

  • 问题 2879734:在两个不同的 IPsec 本地端点中使用相同的自签名证书时,配置将失败。

    在解决该错误之前,不会建立失败的 IPsec 会话。

    解决办法:在每个本地端点中使用唯一的自签名证书。

  • 问题 2879979:在由于无法访问 IPsec 对等体而执行“不活动对等检测”后,IKE 服务可能不会启动基于路由的新 IPsec 会话。

    基于路由的特定 IPsec 会话可能会中断。

    解决办法:在 IPsec 会话上启用/禁用可以解决该问题。

  • 问题 2881281:同时配置多个虚拟服务器可能会失败。

    客户端到虚拟服务器的连接可能会超时。

    解决办法:运行以下 API 以重新触发逻辑路由器工作流。

    https://{ip}/api/v1/logical-routers/<id>? action=reprocess

  • 问题 2881471:在部署状态从失败切换到成功时,未更新服务部署状态。

    您可能会看到服务部署状态始终保持为关闭状态,并且还会看到引发的警报。

    解决办法:使用服务部署状态 API 检查状态。

    API:https://{{nsx-mgr-ip}}/api/v1/serviceinsertion/services/{{service-id}}/service-deployments/{{service-deployment-id}}/status

  • 问题 2882070:在管理器 API 列表中不显示全局组的 NS 组成员和条件。

    对功能没有任何影响。

    解决办法:通过本地管理器上的策略 API 查看全局组定义。

  • 问题 2882769:在升级到 NSX-T 3.2 后,未转移 NSService 和 NSServiceGroup 对象上的标记。

    对 NSX 功能没有任何影响,因为任何工作流都不会使用 NSService 和 NSServiceGroup 上的标记。如果外部脚本具有依赖于这些对象上的标记的工作流,则可能会受到影响。

    解决办法:在升级到 NSX-T 3.2 后,可以更新实体以将丢失的标记添加到 NSService 和 NSServiceGroup 中。

  • 问题 2884939:在将大量虚拟服务从 NSX for vSphere 迁移到 NSX-T ALB 时,达到了每秒 100 个请求的 NSX 速率限制,并将所有 API 阻止一段时间。

    在迁移时达到迁移配置后的一段时间内,NSX-T 策略 API 导致错误:客户端“admin”经常超过每秒 100 个请求的请求速率(错误代码:102)。

    解决办法:将客户端 API 速率限制更新为每秒 200 个请求。

  • 问题 2792485:显示 NSX Manager IP,而不是 vCenter 中安装的管理器的 FQDN。

    vCenter 中集成的 NSX-T UI 显示 NSX Manager IP,而不是安装的管理器的 FQDN。

    解决办法:无。

  • 问题 2884518:在将 NSX 设备升级到 NSX-T 3.2 后,在网络拓扑 UI 上显示的分段连接的虚拟机计数不正确。

    您将在“网络拓扑”上看到分段连接的虚拟机计数不正确。不过,在展开虚拟机的节点时,将显示与分段关联的虚拟机的实际计数。

    解决办法:

    1. 在工程模式下登录到 NSX 设备。

    2. 运行以下命令:curl -XDELETE http://localhost:9200/topology_manager

  • 问题 2874995:即使未使用,LCore 也可能保持较高的优先级,从而导致某些虚拟机无法使用它们。

    “正常延迟”虚拟机的性能下降。

    解决办法:有两种选择。

    • 重新引导系统。

    • 移除高优先级 LCore,并重新创建它们。然后,它们将默认恢复为正常优先级的 LCore。

  • 问题 2772500:在 ENS 上启用嵌套覆盖网络可能会导致 PSOD。

    可能导致 PSOD。

    解决办法:禁用 ENS。

  • 问题 2832622:IPv6 ND 配置文件在编辑或更改后未生效

    网络仍引用旧 NDRA 配置文件。

    解决办法:重新启动 ccp 以更新 IPv6 ND 配置文件。

  • 问题 2840599:MP 规范化 API 出现 INVALID_ARGUMENT 错误。

    UI 体验较差。

    解决办法:无。

  • 问题 2844756:分段删除失败并出现错误。

    您将无法删除分段。

    解决办法:强制删除连接到分段的端口。

    1. 使用以下 API 获取连接到该分段的所有逻辑端口。例如,对于 PolicySegment01。

      GET: https://<NSX MANAGER IP>/policy/api/v1/infra/segments/PolicySegment01/ports

    2. 对于上面调用中列出的每个逻辑端口,进行以下调用。

      DELETE: https://<NSX MANAGER IP>/api/v1/logical-ports/<LOGICAL PORT UUID>?detach=true

    在删除所有连接的端口后,可以删除分段。

  • 问题 2866751:合并的有效成员资格 API 没有在响应中列出影子组的静态 IP。

    对功能或数据路径没有任何影响。您不会在 GET 合并有效成员资格 API 中看到影子组的静态 IP。这仅适用于影子组(也称为参考组)。

    解决办法:在影子组的原始站点上检查影子组的合并有效成员资格。

  • 问题 2869356:在单击具有 IPSet 成员的 NS 组的“概览”选项卡时,在管理平面上显示错误。

    用户体验较差。

    解决办法:无。

  • 问题 2872658:在注册站点后,UI 显示错误“由于不支持以下功能,因此无法导入:IDS”(Unable to import due to these unsupported features: IDS)。

    这对功能没有任何影响。在 NSX-T 3.2 中不支持配置导入。

    解决办法:从本地管理器中移除 IDS 配置,然后再次尝试进行注册。

  • 问题 2877628:尝试在低于 6.6 的 ESX 主机交换机 VDS 版本上安装安全功能时,显示一条不清楚的错误消息。

    通过 UI 和 API 显示了错误消息。

    解决办法:在 ESX 上使用大于或等于 6.6 的 VDS 版本以安装 NSX 安全功能。

  • 问题 2877776:与 controller-info.xml 文件相比,“get controllers”输出可能会显示有关非主控制器的失效信息。

    该 CLI 输出令人困惑。

    解决办法:在该 TN 上重新启动 nsx-proxy。

  • 问题 2879119:在添加虚拟路由器时,相应的内核网络接口未启动。

    VRF 上的路由失败。不会为通过 VRF 连接的虚拟机建立连接。

    解决办法:重新启动数据平面服务。

  • 问题 2881168:与以前的格式“fc00::1”相比,LogicalPort GET API 输出采用扩展格式“fc00:0:0:0:0:0:0:1”。

    与 NSX-T 3.0 格式“fc00::1”相比,NSX-T 3.2 中的 LogicalPort GET API 输出采用扩展格式“fc00:0:0:0:0:0:0:1”。

    解决办法:无。

  • 问题 2882822:在 NSX for vSphere 到 NSX-T 的配置迁移期间,不会将临时 IPSet 添加到 Edge 防火墙规则/LB 池成员中使用的安全组。

    在迁移期间,在 NSX-T 上找到虚拟机/VIF 并通过静态/动态成员资格成为它们适用的 SG 的一部分之前,可能间隔一段时间。在南北向切换(南北向流量流经 NSX-T 网关)到迁移结束之间的这段时间内,这可能会导致违反 Edge 防火墙规则而丢弃或允许流量。

    解决办法:添加一个虚假的 DFW 规则,其中源/目标包含 Edge FW 中使用的所有安全组。另一种选择是,在迁移之前将 Edge 防火墙规则源和目标移动到 IPSet 中。

  • 问题 2884070:如果 NSX-T Edge 上行链路和对等路由器之间的 MTU 设置不匹配,OSPF 邻居关系将停滞在 Exstart 状态。在 NSX for vSphere 到 NSX-T 的迁移期间,不会自动迁移 MTU,因此,不匹配可能会在南北向 Edge 切换期间影响数据平面。

    OSPF 邻居关系停滞在 Exstart 状态。

    解决办法:在执行 Edge 切换之前,在 OSPF 邻居接口上手动配置匹配的 MTU。

  • 问题 2884416:无法及时刷新负载均衡器状态。

    错误的负载均衡器状态。

    解决办法:停止负载均衡器统计信息收集。

  • 问题 2885009:在升级后,全局管理器具有额外的默认切换配置文件。

    对功能没有任何影响。

    解决办法:您不应使用以前缀“nsx-default”开头的默认切换配置文件。

  • 问题 2885248:在 InterVtep 场景中,如果将 EdgeVnic 连接到 NSX 端口组(不考虑 Edge 虚拟机和 ESX 主机上的 VLAN),则 ESX 和 Edge 上工作负载虚拟机之间的南北向流量将停止工作,因为 ESX 将丢弃发送到 Edge VTEP 的数据包。

    解决办法:将分段与其接口断开连接,然后重新连接以更新 Edge TN。

  • 问题 2885330:未显示 AD 组的有效成员。

    未显示 AD 组的有效成员。对数据路径没有任何影响。

    解决办法:无。

  • 问题 2885552:如果您创建了一个使用 OpenLDAP 的 LDAP 身份源,并且定义了多个 LDAP 服务器,则仅使用第一个服务器。

    如果第一个 LDAP 服务器变得不可用,身份验证将失败,而不是尝试配置的其余 OpenLDAP 服务器。

    解决办法:如果可以在 OpenLDAP 服务器前面放置负载均衡器并为 NSX 配置负载均衡器的虚拟 IP,则可以获得高可用性。

  • 问题 2886210:在还原期间,如果 VC 关闭,则会显示“备份/还原”对话框,以告诉用户确保 VC 已启动并正在运行,但不会显示 VC 的 IP 地址。

    在还原期间,没有为 VC 连接显示 VC 的 IP 地址。

    解决办法:在继续执行下一个还原步骤之前,检查所有注册的 VC 是否正在运行。

  • 问题 2886971:在删除后,未清理在全局管理器上创建的组。只有在该组是本地管理器站点上的参考组时,才会发生这种情况。

    对功能没有任何影响;不过,您无法创建另一个与删除的组具有相同策略路径的组。

    解决办法:无。

  • 问题 2887037:在管理器到策略对象升级后,无法更新或删除 NAT 规则。

    在触发升级之前,当 PI(主体身份)用户在管理器上创建 NAT 规则时,将会发生这种情况。在管理器到策略对象升级后,无法更新或删除 PI 用户创建的 NAT 规则。

    解决办法:在管理器到策略对象升级之前,可以使用不受保护的用户(如“admin”)创建具有相同配置的 NAT 规则。

  • 问题 2888207:在启用了 vIDM 时,无法重置本地用户凭据。

    在启用了 vIDM 时,您将无法更改本地用户密码。

    解决办法:必须(暂时)禁用 vIDM 配置,在此期间重置本地凭据,然后重新启用集成。

  • 问题 2889748:如果重新部署失败,Edge 节点删除将失败。删除操作在系统中保留失效的意向并显示在 UI 上。

    虽然将删除 Edge 虚拟机,但在系统中保留失效的 Edge 意向和内部对象,并在内部重试删除操作。对功能没有任何影响,因为将删除 Edge 虚拟机并且仅意向具有失效的条目。

    解决办法:无。

  • 问题 2875962:对于 NSX-T 3.1 和 NSX-T 3.2,云原生设置的升级工作流是不同的。

    执行通常的工作流将清除所有 CSM 数据。

    解决办法:升级需要获得 VMware 帮助。请与 VMware 支持部门联系。

  • 问题 2888658:启用恶意软件检测和沙箱功能后,在 NSX-T 网关防火墙上观察到每秒连接数和吞吐量方面的性能受到巨大影响。

    任何经过恶意软件检测的流量都会发生明显的延迟,并且可能出现连接故障。在网关上启用恶意软件检测后,还会影响 L7FW 流量,从而导致延迟和连接故障。

    解决办法:通过编写仅与少量流量相匹配的 IDS 规则,限制受恶意软件检测的流量。

  • 问题 2882574:由于不完全支持“棕地配置载入”功能,因此在 NSX-T 3.2.0 版本中已阻止该 API。

    您将无法使用“棕地配置载入”功能。

    解决办法:无。

  • 问题 2890348:升级到 NSX-T 3.2 后,重命名默认 VNI 池会导致 VNI 池不一致。

    VNI 分配和相关操作可能会失败。

    解决办法:升级到 NSX-T 3.2 之前,使用 API PUT https://{{url}}/api/v1/pools/vni-pools/<vni-pool-id> 将默认 VNI 池重命名为 DefaultVniPool

  • 问题 2885820:从 0.0.0.0 开始的 IP 范围中的某些 IP 地址缺少转换。

    IP 范围从 0.0.0.0 开始的 NS 组(例如,“0.0.0.0-255.255.255.0”)存在转换问题(缺少 0.0.0.0/1 子网)。

    IP 范围为“1.0.0.0-255.255.255.0”的 NS 组不受影响。

    解决办法:要配置 IP 范围从 0.0.0.0 开始的组,请在组配置中手动添加 0.0.0.0/1。

  • 问题 2871440:对于使用 vSphere dvPortGroups 上的 NSX 安全功能保护的工作负载,在通过 vMotion 移到与已关闭 NSX Manager 连接的主机时,将丢失其安全设置。

    对于安装了 vSphere dvPortGroups 上的 NSX 安全功能的集群,如果虚拟机通过 vMotion 移到与已关闭 NSX Manager 连接的主机,其将不会实施其 DFW 和安全规则。重新建立与 NSX Manager 的连接时,将会重新实施这些安全设置。

    解决办法:在 NSX Manager 关闭时,不要通过 vMotion 移到受影响的主机。如果其他 NSX Manager 节点正常运行,请使用 vMotion 将虚拟机移动到另一个已连接到正常 NSX Manager 的主机。

  • 问题 2945515:Azure 中的 NSX Tools 升级可能会在 Redhat Linux 虚拟机上失败。

    默认情况下,NSX Tools 安装在 /opt 目录上。但是,在 NSX Tools 安装期间,可能会使用传递到安装脚本的“--chroot-path”覆盖默认路径。

    在安装 NSX Tools 的分区上,如果磁盘空间不足,可能会导致 NSX Tools 升级失败。

    解决办法:无。

  • 问题 2875563:删除 IN_PROGRESS LTA 会话可能会导致 PCAP 文件泄露。

    当 LTA 会话状态为“IN_PROGRESS”时,如果使用 PCAP 操作删除该 LTA,PCAP 文件将泄露。这可能会导致 ESXi 的 /tmp 分区变满。

    解决办法:清除 /tmp 分区可能会有所帮助。

  • 问题 2875667:当 NSX /tmp 分区已满时,下载 LTA PCAP 文件会导致错误。

    由于 /tmp 分区已满,无法下载 LTA PCAP 文件。

    解决办法:清除 /tmp 分区可能会有所帮助。

  • 问题 2883505:NSX V2T 迁移期间,ESXi 主机上出现 PSOD 问题。

    在 V2T 迁移期间,多个 ESXi 主机上出现 PSOD(紫屏死机)。这会导致数据路径故障。

    解决办法:无。

  • 问题 2914934:将 NSX-V 迁移到 NSX-T 后,dvPortGroups 上的 DFW 规则丢失。

    在将 NSX-V 迁移到 NSX-T 后,所有仍连接到 vSphere dvPortGroup 的工作负载都将不会具有 DFW 配置。

    解决办法:将 NSX-V 迁移到 NSX-T 后,VLAN 分段将配置为使用相同的 DFW 配置。因此,请使用 VLAN 分段,而不是 dvPortGroups。

    另一个解决办法是卸载 NSX-V,然后在仅安全模式下安装 NSX-T。随后,您便可以使用现有 dvPortGroups 上的工作负载。

  • 问题 2921704:将 L7 负载均衡器与 IP 哈希负载均衡算法结合使用时,Edge 服务 CPU 可能会因为 nginx 进程死锁而激增。

    这会导致无法连接负载均衡器后面的后端服务器。

    解决办法:切换到 L4 引擎可修复该问题。如果想要继续使用 L7 负载均衡器,请将负载均衡算法更改为循环算法,而不是 IP 哈希算法。

  • 问题 2933905:替换 NSX-T Manager 会导致传输节点断开与控制器的连接。

    在 Manager 集群中添加或移除节点可能会导致某些传输节点断开与控制器的连接。

    解决办法:每当在管理集群中添加或移除 Manager 时,便会在受影响的传输节点上重新启动 NSX 代理服务。这将重新填充 controller-info.xml 并重新建立控制器连接。

  • 问题 2927442:NSX-T 3.2.0.1 升级后,不同主机和集群中虚拟机上的流量有时会命中默认的拒绝 DFW 规则。

    将 NSX for vSphere 迁移到 NSX-T 3.1.3 后出现了一些 PSOD 问题。因此,建议升级到 3.2.0.1。但是,此后,主机不会始终如一地应用分布式防火墙规则。不同的主机将匹配不同的规则,这些规则会不一致并且不符合预期。

    解决办法:

    - 如果在特定控制器上出现上述异常,则可以重新引导该控制器以临时解决该问题。

    - 此外,如果该问题影响 DFW,则可以在规则列表顶部创建任意/任意允许规则,以绕过命中的不需要块规则。

  • 问题 2937810:无法启动数据路径服务,并且某些 Edge 网桥功能(例如 Edge 网桥端口)无法正常工作。

    如果在 Edge 节点上启用了 Edge 桥接,中央控制平面 (CCP) 会将 DFW 规则发送到 Edge 节点,这些规则应仅发送到主机节点。如果 DFW 规则包含 Edge 防火墙不支持的功能,Edge 节点将无法处理不受支持的 DFW 配置,从而导致数据路径无法启动。

    解决办法:移除或禁用 Edge 防火墙不支持的 DFW 规则。

check-circle-line exclamation-circle-line close-line
Scroll to top icon