VMware NSX 4.0.1.1 | 2022 年 10 月 13 日 | 内部版本 20598726

请查看发行说明以了解新增内容及更新。

新增功能

NSX 4.0.1.1 包含一系列新特性,为私有云、公有云和多云环境的虚拟化网络连接和安全提供多种新功能。主要的新增功能和增强功能涵盖以下重点领域:

  • DPU-based Acceleration for NSX:在此版本中,VMware 开始支持 DPU-based Acceleration for NSX。此功能可加快网络连接速度、提高安全性(技术预览版)、增强可见性以及节省计算资源。

除此之外,还在该产品的每个相关领域中都添加了很多其他功能。有关更多详细信息,请参见下面对已添加功能的详细描述。

L3 网络连接

  • EVPN 路由服务器模式增强功能 - 增加了对两种新的 EVPN 路由服务器模式拓扑的支持:

    • 支持 Tier-0 VRF 网关与托管 VNF 之间的静态路由。 

    • 北向 L3ECMP,用于对从 ESXi Hypervisor 传输到数据中心网关的流量进行负载均衡。

  •  BFD IPv6 - BFD 是一种故障检测协议,旨在实现快速转发路径故障检测和融合。此版本增加了对 IPv6 BGP 邻居和 IPv6 静态路由的 BFD 支持。

DPU-based Acceleration(基于 DPU 的加速)

DPU-based Acceleration for NSX:NSX 现在提供数据处理单元 (DPU) 支持,允许客户分流各种 NSX 功能,并利用更多主机 CPU 进行计算虚拟化。此外,DPU 还可加速网络性能。此特性的安全功能为技术预览版,不建议用于生产部署。

DPU-based Acceleration for NSX 支持以下 NSX 功能:

  • 网络连接:

    • 覆盖网络分段和基于 VLAN 的分段

    • 分布式 IPv4 和 IPv6 路由

    • 跨 SmartNIC/DPU 端口的网卡绑定

  • 安全(技术预览版)

    • 分布式防火墙

    • 分布式 IDS/IPS

  • 可见性和操作

    • 流跟踪

    • IPFIX

    • 数据包捕获 

    • 端口镜像

    • 统计信息

  • 支持的供应商

    • NVIDIA BlueField-2(仅限 25 Gb 网卡型号)-(UPT - 技术预览版)

    • AMD/Pensando(25 Gb 和 100 Gb 网卡型号)

  • 规模

    • 单个 VDS 使用的每个主机支持单个 DPU

  • 统一直通 (UPT V2):DPU-based Acceleration for NSX 支持绕过主机级别 ESXi Hypervisor 而直接访问 DPU,这使客户能够获得高水平的性能,同时不会损失他们从 vSphere 和 NSX 中获得的功能优势。

Edge 平台

  • 针对 Edge 虚拟机的 SmartNIC 支持:更新了 DPDK vmxnet3 驱动程序,以支持将基于 DPU 的 (SmartNIC) pNIC 用于 Edge 虚拟机规格上的数据路径接口。通过 Edge 虚拟机的流量将从此硬件加速中获益。只能在所有数据路径接口上同时启用该功能。

  •  事件和警报: 此版本引入了新的警报,以改进 Edge 节点可见性和故障排除:

    • 关于 CPU 占用率的警报

    • 关于 NSX Manager/CCP 与 NSX Edge 节点之间通信的警报

    • 关于路由表中的最大 IPv4 和 IPv6 路由数以及 BGP 对等体最大通告前缀数的警报

  • Nvidia ConnectX-6:为裸机 Edge 增加了 Nvidia ConnectX-6 支持,以便提高裸机 Edge 的吞吐量。

  • 有状态活动-活动 Edge 服务:此版本支持活动-活动 HA 模式下 Tier-0 和 Tier-1 网关上的有状态服务。支持以下有状态服务:L4/L7 网关防火墙、URL 筛选、NAT 和 TLS 检查。

  • NSX Edge 重新放置 API: 添加了相应选项,用于在启用自动分配时将备用 Tier-0 SR 正常重新放置到其他 Edge 虚拟机。 

分布式防火墙

  • L7 AppID:添加了其他的 AppID。有关现在可用的 AppID 的完整列表,请参阅相应文档。

  • FQDN 分析:当 FQDN 的解析链涉及多个 CNAME 时,可以更好地进行 IP 映射。

  • 警报:添加了其他与每秒连接数和每个 vNIC/主机的防火墙规则数相关的警报。

入侵检测和防御 (IDS/IPS)

  • 警报:添加了其他与即将达到/已超出 CPU 和网络阈值相关的警报。

  • 超额订阅配置:现在,可以在全局范围内将 IDS/IPS 引擎配置为在 CPU 超额订阅时丢弃或绕过流量。如果需要精细地控制该行为,也可以在规则级别应用此配置。

恶意软件防护

  • 在 Linux 虚拟机上支持分布式恶意软件检测和防护:

    • 现在,分布式防火墙上的恶意软件检测和防护支持在为 NSX 准备的 vSphere 主机集群上运行的 Linux 客户机端点(虚拟机)。

  • 增强了 NSX UI 上对潜在恶意软件的筛选:

    • “恶意软件防护”>“潜在的恶意软件”页面中的气泡图和表格都支持使用以下其他筛选条件:

      • 已阻止

      • 文件类型

      • 恶意软件类别

      • 恶意软件系列

  • 分布式恶意软件防护支持对所有文件类别进行本地和云文件分析:

    • 以前,在分布式防火墙上,NSX 恶意软件防护仅支持对 Windows 可移植的可执行文件 (PE) 进行本地和云文件分析。现在,在分布式防火墙上,支持对 Windows 和 Linux 客户机端点(虚拟机)的所有文件类别进行本地和云文件分析。

  • 恶意软件防护运行状况问题警报:

    • 添加了其他关于恶意软件防护运行状况问题的警报。

网关防火墙

  • 裸机 Edge 节点上支持网关恶意软件检测:可以在裸机 Edge 节点上配置恶意软件防护功能,以检测已知和未知的零日恶意软件。

  • 通过网关防火墙统计信息,可以了解每个规则的每个会话的连接数、每个主机的最大连接数以及每个规则的连接数。

服务插入

  • 添加了其他与服务部署、运行状况和活跃性相关的警报。

联合

  • 全局管理器中提供有三项与防火墙相关的功能:

    • 可从全局管理器中为每个站点启用/禁用防火墙。

    • 支持分布式防火墙中的工作负载排除列表。

    • 可从全局管理器置备基于时间的分布式防火墙规则。

NSX Application Platform 与相关服务

  • NSX 4.0.1.1 与 NSX Application Platform 4.0.1.0 版本兼容,并具备在 NAPP 上运行的相关 NSX 功能(NSX Intelligence、NSX Network Detection and Response、NSX 恶意软件防护和 NSX Metrics)。

  • 更新了 K8s 版本支持:从 1.20 更新为 1.24。

  • 增强了对容器映像的验证。

  • 可使用 OCI 兼容 Helm Chart。使用 NSX 4.0.1.1 部署 NSX Application Platform 4.0.1 时,可使用 OCI 兼容 Helm Chart。如果使用 NSX 版本 3.2.x 或 4.0.0.1 部署 NSX Application Platform 4.0.1,则必须使用与 ChartMuseum 兼容的 URL 来获取 Helm Chart 和 Docker 映像。有关详细信息,请参阅《部署和管理 VMware NSX Application Platform》文档。

安装和升级

  • vSphere with Tanzu - 在 NSX UI 中发出关于部分维护模式的通知 - 可在 NSX UI 中收到有关 vCenter 操作(如 vSphere with Tanzu 部分维护模式)的通知,以避免在主机维护期间操作失败。

  • 在 NSX 升级期间灵活地跨集群升级选定的 TN 组 - 以前,NSX 升级顺序固定为:所有 Edge 所有主机 NSX Manager。这意味着,用户必须先升级所有 Edge 节点,然后才能开始升级主机。从 NSX 4.0.1 开始,可以更加灵活地升级 Edge 和主机。现在,NSX 允许用户创建 Edge 或主机组,并能够一次性升级选定的 Edge 或主机组,而不必局限于之前的升级顺序。这有助于用户更好地根据其业务需求来升级 NSX 部署。

    但是,请记住:

    • 一个组只能仅包含 Edge 或仅包含主机,而不能同时包含这两者。

    • 虽然可以灵活地升级选定的 Edge 或主机组,但是只有在升级所有 Edge 和主机后才能升级 NSX Manager。 

  • 使用命令“del nsx”从裸机 Windows 主机中移除 NSX - 通过单个命令“del nsx”,即可从裸机 Windows 主机中清理 NSX。注意:这将从主机中彻底清除 NSX。因此,请谨慎使用此功能。

  • 在进行 NSX 备份时支持使用 SSH 密钥/证书 - 除了将用户名和密码用作备份服务器身份验证方法的可选选项之外,NSX 备份现在还支持使用 SSH 密钥。

  • 重新同步 TN - 通过 NSX UI 进行 MP 通信 - 配置更改有时可能会导致传输节点与管理平面不同步。这时,管理平面需要再次推送配置,以便重新同步这些节点。现在,可以从 NSX UI 完成此操作。注意:此操作可能会导致流量中断。因此,请谨慎使用此功能。

运维和监控

  • 警报增强功能

    • 为使警报建议操作步骤更易于执行,现已将相应知识库文章的链接包含在“建议的操作”中,该链接的文章将详细说明要执行的步骤。在此版本中,添加了证书过期警报以及相应的知识库文章。

  • 使用时间序列衡量指标监控网络

    • 新的 NSX Edge 监控衡量指标 - 引入了 16 个其他的 NSX Edge 衡量指标以简化监控和故障排除,包括流量缓存衡量指标、快速路径接口的队列占用,以及 NSX Edge 快速路径接口上输入和输出的网卡吞吐量。这些新的衡量指标可通过 NSX Application Platform - 衡量指标 API 来使用。

    • 增强了 NSX Edge 监控衡量指标的 UI - 增强了 NSX Edge 传输节点监控 UI 页面,以显示一段时间内已处理的当前数据包数、已处理的最高数据包数以及处理的数据包趋势。增强了 NSX Edge“网络接口统计信息”>“丢弃的数据包数量趋势”UI 页面,以显示每秒丢弃的接收数据包数(由于内存缓冲区分配失败或由于查找匹配失败)。

    • 增强了 NSX Tier-0 和 Tier-1 网关接口统计信息的 UI - 添加了 UI 趋势图,以显示 Tier-0 和 Tier-1 网关网络利用率趋势,以及每秒 IPv4 与 IPv6 数据包数。

  • 日志记录

    • 核心转储增强功能 - 可通过 CLI 改进核心转储的管理和可维护性。有关详细信息,请参阅 CLI 指南。

  • CLI

    • 若干基于 CLI 的增强功能(有关详细信息,请参阅 CLI 指南)-

      • 进行故障排除时,按日志期限筛选日志包

      • 获取有关传输节点的信息:NSX Manager 映射、NTP 配置和证书信息

      • 获取有关 NSX Edge 的信息,如 VRF 详细信息和数据包捕获字段

      • 检索节点信息时,获取传输节点的 IP 和主机名

VPN

  • VPN 监控 - 可查看 VPN 统计信息,如隧道状态是“已启动”还是“已关闭”:

    • 隧道状态(“已启动”或“已关闭”)

    • 每秒接收/发送的字节数

    • 每秒接收/发送的数据包数

    • 数据包丢包率

    • 丢包原因

可用性和用户界面

  • 搜索和筛选增强功能 - 增强了搜索和筛选功能。增加了按“恶意软件类别”/“恶意软件系列”/“文件类型”/“已阻止”来筛选恶意软件防护事件的功能。

NSX for vSphere 到 NSX 的迁移

  • 使用您自己的拓扑 - NSX 本机负载均衡器支持 - 在弃用用于 ALB 的 NSX 策略 API 的过程中,迁移协调器将增加对以下功能的支持:将 NSX for vSphere 负载均衡器中的配置迁移到 NSX 本机负载均衡器(仅限配置)。以前,仅支持通过就地迁移进行此操作。

  • 迁移协调器中的新直接迁移模式 - 配置和 Edge 迁移 - 此模式允许在直接迁移期间同时迁移配置和 Edge,并在 NSX-V 源环境和 NSX 目标环境之间建立性能优化的分布式网桥以保持连接。在此模式下,可以选择使用兼容的 HCX 版本来迁移工作负载。此模式仅适用于本地管理器。

多租户

  • 在 NSX 中引入了多租户功能

    • 引入项目 - 提供了除默认上下文(策略 API 中直接列在 /infra 下的对象)之外,还可以通过创建项目对给定的 NSX 实例进行细分的功能。项目是一种结构化设计,自带隔离特性(org/default/projects/<project-id>/infra 下的对象),将平台细分。此功能允许不同的用户在同一个 NSX 实例上工作,方法是仅允许他们访问自己的逻辑对象(Tier-1、分段、组、防火墙规则...)。在 NSX 4.0.1 中,这是一种仅限 API 的功能。

除非 NSX 管理员明确允许,否则用户将无法查看或编辑其项目外部的配置。

  • 提供商/租户模型 - NSX 管理员可创建和管理项目,并指定 Edge 集群、Tier-0 和用户。

    此外,NSX 管理员还可以查看所有项目对象,并通过跨项目应用安全规则来管理平台范围内的安全性(项目用户无法修改)。

  • 多租户基于角色的访问控制 - 添加了两个新角色,即“组织管理员”和“项目管理员”,以便与平台中引入的多租户功能保持一致。

NSX vSphere UI 集成

  • 通过 NSX vSphere UI 集成,支持 NSX Manager 集群化。

  • NSX 事件已集成到 vCenter 中。

  • UI 增强功能(跳过工作流、EULA、安全增强功能)。

  • 解决了在 vCenter 中将 NSX 注册为解决方案资产的问题。

  • 支持对使用 vCenter 插件部署的 NSX Manager 进行备份和还原。

功能弃用

VMware 打算弃用内置 NSX 负载均衡器。在 NSX 3.2.0 正式发布之日(即 2021 年 12 月 16 日)起的一年内,不会移除此功能。在此时间段内,使用内置 NSX 负载均衡器的现有客户可迁移到 NSX Advanced Load Balancer (Avi)。对于使用 NSX-T Data Center 3.x 的客户,对内置 NSX 负载均衡器的支持将持续到 NSX-T Data Center 3.x 版本系列的支持期限(如 VMware 产品生命周期列表中所述)结束为止。对于在 NSX 4.0.x 中使用内置 NSX 负载均衡器的客户,支持将持续到从 NSX 4.x 版本系列中移除该功能为止。

建议所有 NSX 部署利用 21.1.5 或更高版本的 NSX Advanced Load Balancer (Avi)。

更多信息:

API 弃用和行为变化

  • 为简化 API 使用,在《NSX API 指南》中添加了有关 API 弃用和移除的页面。这些页面将列出已弃用的 API 和类型,以及已移除的 API 和类型。

  • 已移除的 API:此版本中未移除任何 API。

  • 已弃用的 API:以下 API 被标记为“已弃用”。有关更多详细信息,请参阅《NSX API 指南》。

已弃用的 API

替代 API

GET /policy/api/v1/global-infra/security-global-config

无 - 此 API 已弃用。不再使用此配置的值。

GET /policy/api/v1/infra/security-global-config

无 - 此 API 已弃用。不再使用此配置的值。

PUT /policy/api/v1/global-infra/security-global-config

无 - 此 API 已弃用。不再使用此配置的值。

PUT /policy/api/v1/infra/security-global-config

无 - 此 API 已弃用。不再使用此配置的值。

POST /api/v1/trust-management/certificates?action=set_pi_certificate_for_federation

POST /api/v1/trust-management/certificates/?action=apply_certificate&service_type=GLOBAL_MANAGER

兼容性和系统要求

有关兼容性和系统要求信息,请参见《VMware 产品互操作性列表》《NSX 安装指南》

此版本的升级说明

有关升级 NSX 组件的说明,请参见《NSX 升级指南》

建议升级到此版本的客户先运行 NSX 升级评估工具,然后再启动升级过程。该工具旨在通过在升级之前检查 NSX Manager 的运行状况和就绪状态来确保升级成功。

本地化语言

NSX 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文、意大利语和西班牙语。由于 NSX 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。

文档修订历史

修订日期

版本

更改

2022 年 10 月 13 日

1

初始版本

2022 年 11 月 2 日

2

添加了一个关于已知问题 3046183 和 3047028 的条目。

2022 年 11 月 4 日

3

添加了有关 NSX Application Platform 4.0.1 可使用的 OCI 兼容 Helm Chart 的更多详细信息。

已解决的问题

  • 已修复问题 2983892:与 NSX Metrics 功能关联的 Kubernetes Pod 间歇性地发生故障而无法检测输入流量。

    当与 NSX Metrics 功能关联的 Kubernetes Pod 间歇性地发生故障而无法检测输入流量时,输入衡量指标数据将无法存储。结果,缺少的数据会影响由其他 NSX 功能(例如 NSX Intelligence、NSX Network Detection and Response 以及 NSX 恶意软件防护)执行的衡量指标数据分析。

  • 已修复问题 2882154:部分 Pod 未列在“kubectl top pods -n nsxi-platform”的输出中。

    “kubectl top pods -n nsxi-platform”的输出不会列出要调试的所有 Pod。这不会影响部署或正常操作。对于某些问题,调试可能会受到影响。这对功能没有任何影响。这只会影响调试功能。

  • 已修复问题 3012313:将 NSX 恶意软件防护或 NSX Network Detection and Response 从版本 3.2.0 升级到 NSX ATP 3.2.1 或 3.2.1.1 失败。

    将 NSX Application Platform 从 NSX 3.2.0 成功升级到 NSX ATP 3.2.1 或 3.2.1.1 后,升级 NSX 恶意软件防护或 NSX Network Detection and Response 功能失败,并出现以下一个或多个症状。

    • 升级 UI 窗口对 NSX NDR 和云连接器 Pod 显示 FAILED 状态。

    • 对于 NSX NDR 升级,几个前缀为 nsx-ndr 的 Pod 处于 ImagePullBackOff 状态。

    • 对于 NSX 恶意软件防护升级,几个前缀为 cloud-connector 的 Pod 处于 ImagePullBackOff 状态。

    • 单击升级后升级失败,但之前的 NSX 恶意软件防护和 NSX NDR 功能仍与开始升级之前一样正常运行。但是,NSX Application Platform 可能会变得不稳定。

  • 已修复问题 2936504:NSX Application Platform 监控页面显示加载旋转状态。

    在成功安装 NSX Application Platform 后查看 NSX Application Platform 页面时,最初会在页面顶部显示加载旋转状态。此加载旋转状态可能会让人以为存在连接问题,但其实并不存在任何问题。

  • 已修复问题 2884939:在将大量 VS 从 NSX for vSphere 迁移到 NSX ALB 时,达到每秒 100 个请求的 NSX 速率限制,一段时间内阻止了所有 API。

    在迁移时达到迁移配置后的一段时间内,NSX-T 策略 API 导致错误:客户端“admin”经常超过每秒 100 个请求的请求速率(错误代码:102)。

  • 已修复问题 2885330:如果策略组的身份成员具有多个 AD 用户或多个 AD 组,在多个 AD 用户登录到不同的虚拟机时,无法正确显示所有有效虚拟机和 IP。

    未显示身份组的成员。对数据路径没有任何影响。

  • 已修复问题 2958032:在“NSX 恶意软件防护”仪表板上单击以查看已检查文件的详细信息时,文件类型无法正确显示,并将截断为 12 个字符。

    您将看不到已检查文件所属的正确文件类型。

  • 已修复问题 2912599:分布式负载均衡器状态为“已降级”。

    此 LSP 上的 DLB 流量无法由 DLB 处理。

  • 已修复问题 2978995:如果有 2 个虚拟网卡连接到同一个临时 DVPG 且均已打开电源,vCenter Server 会使用相同的虚拟接口 (VIF) ID。

    其中一个端口未根据 DFW 规则按预期运行。

  • 已修复问题 2981861:如果由于虚拟机 MoRef ID 失效或 VC 通信故障,从 VC 执行关闭电源和删除操作失败,则 Edge 重新部署操作最终可能会致使两个 Edge 虚拟机同时运行,从而可能导致出现 IP 冲突和其他问题。

    此问题可能以通过多种方式出现:

    • 在执行重新部署或替换操作时,无法访问 vCenter Server 计算管理器。

    • ESXi 主机将取消注册并重新注册,这导致为虚拟机(包括 Edge 虚拟机)和主机生成新的受管对象引用 ID。清单条目仍将具有旧的 MoRef ID,并且在 Edge 重新部署/替换操作期间,使用此失效的 MoRef ID 执行的 vCenter Server 关闭电源和删除操作将失败。

  • 已修复问题 2988913:启用 SmartNIC 卸载后,轮询模式增强型数据路径最多支持 108 个 vNIC。

    启用 SmartNIC 卸载后,最多只能将 108 个 vNIC 连接到增强型数据路径交换机。

  • 已修复问题 2992062:当集群中混合存在不同的 ESX 版本时,从 vCenter 7.0.1 部署 NSX Edge 失败。

    无法部署 NSX Edge。

  • 已修复问题 2993353:逻辑 SPAN 在镜像目标上丢失一个数据包。

    并非所有数据包都位于镜像目标上。

  • 已修复问题 2996964:由于在 UplinkHostSwitchProfile 中未找到上行链路名称,主机迁移失败。

    该过程将在主机迁移时停滞。

  • 已修复问题 3006369:由于 platform-licenses configmap 中缺少许可证信息,NSX 恶意软件防护服务功能激活失败。

    由于无法激活恶意软件防护功能,您将无法使用该功能。

  • 已修复问题 3010374:在全新安装 ESXi 操作系统时,max_vfs 配置值重置为 0。

    每次全新安装操作系统时,都需要重新配置 max_vfs 参数。

  • 已修复问题 3017520:无法生成网络超额订阅 DROPPED 和 BYPASSED 警报。

    您可以在警报列表中看到已定义这两个警报,但却无法触发它们。

  • 已修复问题 3019816:从 NSX vSphere 3.2.0 升级到 NSX 端口后,逻辑端口实体的 logical_switch_id 字段为 Null,从而导致中央控制平面出现问题。

    升级后,防火墙将受到影响。

  • 已修复问题 3033225:NSX 恶意软件防护服务不会分析扩展名为 .html 和 .htm 的文件事件,并且不会生成任何日志。

    由于 .htm 或 .html 文件以“将链接另存为”形式下载,客户机操作系统上的浏览器会发送关联的 .lnk 文件以扫描恶意软件防护服务。

  • 已修复问题 3036151:升级支持 SmartNIC 的 NVIDIA® BlueField®-2 数据处理单元 (DPU) 主机后,该主机处于部分成功状态。

    主机交换机信息丢失,且数据路径中断。

  • 已修复问题 3037901:升级 NSX 后,不正确的服务 IP 实现导致从环回端口中移除某些服务 IP。

    从 LR 端口中移除了服务 IP,从而导致流量丢失。

  • 已修复问题 3005825:裸机 Edge 管理绑定辅助接口可能会在重新引导后丢失,或者可能存在命名错误的接口。

    Edge 管理连接中断。可能存在数据路径连接问题。

  • 已修复问题 3003433:在某些防火墙配置中,偶尔可能会错误地实施 DNS 数据包。

    这仅影响初始 DNS 数据包。此问题不会在每个 DNS 数据包上持续发生。FQDN 实施没有问题。

  • 已修复问题 2957504:执行备份和还原以及要求的强制完全同步后,切换到备用项的所有尝试都失败。

    在执行备份和还原以及强制完全同步后,无法立即执行切换。

  • 已修复问题 2957150:升级到 3.2.0.1 后,IPsec 隧道上发生数据包丢弃。

    升级到 3.2.0.1 后,IPsec 隧道上发生数据包丢弃。

  • 已修复问题 2884692:从已发现/已实现的绑定添加/复制到手动绑定失败,并出现错误异常。

    您无法通过策略 API 在分段端口上配置手动绑定。

  • 已修复问题 3024081:处理 IDPS 引擎超额订阅的默认行为已从 packets-dropped 更改为 packets-bypassed。

    如果对 IDPS 引擎超额订阅了数据包,则默认情况下,这些数据包将绕过该引擎,而不是丢弃这些数据包。这意味着在默认情况下,无法由 IDPS 引擎处理的数据包将传送到其目标。

    当 IDPS 引擎超额订阅达到高/非常高的级别时,以及当超额订阅导致流量绕过该引擎时,用户将看到相应警报。

已知问题

  • 问题 3046183 和 3047028:激活或停用 NSX Application Platform 上托管的一项 NSX 功能后,其他托管的 NSX 功能的部署状态将变为 In Progress。受影响的 NSX 功能包括 NSX Network Detection and Response、NSX 恶意软件防护和 NSX Intelligence。

    部署 NSX Application Platform 后,激活或停用 NSX Network Detection and Response 功能会导致 NSX 恶意软件防护功能和 NSX Intelligence 功能的部署状态变为 In Progress。同样,激活和停用 NSX 恶意软件防护功能也会导致 NSX Network Detection and Response 功能的部署状态变为 In Progress。如果在激活 NSX Intelligence 后又激活 NSX 恶意软件防护,NSX Intelligence 功能的状态将变为 DownPartially up

    解决办法:无。系统会自行恢复。

  • 问题 3038658:在 1K Hypervisor 规模设置中执行还原时,NSX 服务 (proton) 由于 OOM 问题发生崩溃

    由于 NSX 服务重新启动,还原过程可能会运行更长时间。

    解决办法:NSX 服务在还原过程中发生崩溃。还原完成后,proton 服务将稳定而不会发生崩溃。

  • 问题 3043600:从专用(非 Harbor)存储库部署 Intelligence 时,如果使用来自鲜为人知的 CA 的非默认自签名证书,则将无法从存储库中提取映像,且 NAPP 平台部署将失败

    NAPP 平台将无法成功部署,从而导致无法部署 NAPP 功能。

    解决办法:更新为使用来自受信任 CA 的证书。

  • 问题 3043151:当系统遇到需要确定 AppId 的大量流量时,防火墙流量的 L7 分类可能在短时间内不可用

    有时,在具有大量流量的主机上,可能无法命中 L7 规则。

    解决办法:如果遇到此问题,请减轻主机上的流量压力。

  • 问题 3039159:如果虚拟机具有统一直通 (UPT) 模式的接口和大量流量,则对虚拟机执行 vMotion 操作可能会导致主机发生 PSOD

    在对基于 UPT 且具有大量流量的虚拟机执行 vMotion 时,主机发生 PSOD,因此将影响流量。

    解决办法:避免对基于 UPT 的虚拟机执行 vMotion 操作。

  • 问题 3047608:在部署 CSM 设备后,登录后无法访问 CSM UI,并且 nsx-cloud-service manager 服务关闭。

    在第 0 天,登录后 CSM UI 将关闭。

    解决办法:有关详细信息,请参阅知识库文章 89762

  • 问题 3027580:如果在 vCenter Server 中删除了 DVPG,而这些 DVPG 连接到的主机属于仅为安全性准备的集群且映射到清单组中的已发现分段,则这些已发现的分段永远不会被清理。

    这对功能没有任何影响。NSX Manager UI 会显示失效对象。

    解决办法:从组中移除失效端口/DVPG 后,需要在 vCenter Server 中创建新的 DVS,并将为安全性准备的集群中的主机连接到新的模拟 DVS。此操作将触发删除失效端口的操作,但不会触发删除失效分段的操作。

  • 问题 3041672:对于仅配置和 DFW 迁移模式,在成功完成所有迁移阶段后,可调用迁移前和迁移后 API 以移动工作负载。如果在成功完成迁移阶段后更改 NSX for vSphere、vCenter Server 或 NSX 的凭据,则调用迁移前和迁移后 API 将失败。

    由于调用迁移前、迁移后和完成基础架构 API 失败,您将无法移动工作负载。

    解决办法:执行以下步骤。

    1. 重新启动迁移协调器。

    2. 在迁移 UI 上,使用与重新启动之前相同的迁移模式,提供所有身份验证详细信息。这应该会同步回迁移进度。

    3. 运行迁移前、迁移后和完成基础架构 API。

  • 问题 3043600:如果使用专用(非默认)Harbor 存储库以及来自鲜为人知的证书颁发机构 (CA) 的自签名证书,NSX Application Platform 部署将失败。

    如果尝试使用专用(非默认)Harbor 存储库以及来自鲜为人知的 CA 的自签名证书来部署 NSX Application Platform,部署将失败,因为部署作业无法获取 NSX Application Platform Helm Chart 和 Docker 映像。由于 NSX Application Platform 无法成功部署,您无法激活该平台托管的任何 NSX 功能,如 NSX Intelligence。

    解决办法:使用众所周知的受信任 CA 来签署将用于专用 Harbor 服务器的证书。

  • 问题 2491800:异步复制程序通道端口 - 未定期检查证书属性以确认证书是否过期或吊销

    这可能会导致将已过期/已吊销的证书用于现有连接。

    解决办法:由于旧证书已过期或已吊销,任何重新连接操作都会使用新证书(如果有)或抛出错误。要触发重新连接,只需在管理器节点上重新启动设备代理中心 (APH) 即可。

  • 问题 2994066:无法在 ESXi 8.0.0.0 和 NSX 4.0.1 上创建镜像 vmknic

    由于无法创建镜像 vmknic,无法启用使用镜像堆栈的 L3SPAN。

    解决办法:

    1. 从 ESXi CLI 提示符中,在 ESXi 上创建镜像堆栈。

    2. 从 vSphere Web Client 中,创建 vmknic。

    3. 运行以下命令:

    esxcli network ip netstack add -N mirror

  • 问题 3007396:如果将远程节点的 LACP 超时模式设置为“慢速”,则在通过 CLI 命令“esxcli network nic down -n vmnicX”关闭其中一个 LAG 链路后,可能会发生大约 60-90 秒的流量丢弃

    通过 CLI 命令“esxcli network nic down -n vmnicX”关闭其中一个 LAG 链路后,可能会发生大约 60-90 秒的流量丢弃。

    仅当远程节点 LACP 超时设置为“慢速”模式时,才会出现此问题。

    解决办法:将外部交换机 LACP 超时设置为“快速”。

  • 问题 3013751:Fabric 页面上不会自动显示 NSX 安装/卸载进度

    手动刷新 Fabric 页面后,才会显示进度。

    解决办法:手动刷新 Fabric 页面。

  • 问题 3018596:如果将客户机虚拟机上的虚拟机虚拟网卡 (vNIC) MTU 设置为大于物理网卡 MTU,则会释放虚拟功能 (VF)

    将 vNIC MTU 更改为大于 pNIC MTU 后,虚拟机将无法获取 VF。因此,虚拟机将不会处于 UPT 模式,而是将处于“emu vmnic”模式。

    解决办法:执行以下步骤:

    1.将 DVS 上的 MTU 大小从 1600 更改为 9100。

    2.VF 将重新分配给虚拟机 vNIC。

  • 问题 3042382:当数据包与非 SNAT 规则匹配时,应重新查找会话

    与非 SNAT 规则匹配的流量将会停滞。

    解决办法:禁用非 SNAT 规则。

  • 问题 3003762:如果未从策略中删除恶意软件防护服务规则,卸载 NSX 恶意软件防护服务将失败,并且也不会显示任何错误消息以指示由于策略中仍存在规则,卸载失败

    在这种场景下,卸载 NSX 恶意软件防护服务将失败。

    解决办法:删除规则并重试卸载。

  • 问题 3003919:如果与 CNAME 匹配的 DFW 规则和与原始域名匹配的 DFW 规则具有不同的操作,将导致规则实施不一致

    在极少数情况下,DFW 规则可能会错误地绕过或丢弃访问 CNAME 而不是原始域名的应用程序/用户。

    解决办法:执行以下步骤之一:

    • 仅为原始域名配置 DFW 规则,而不要为 CNAME 配置 DFW 规则。

    • 为使用域名和 CNAME 的规则配置相同的操作。

  • 问题 3014499:关闭处理跨站点流量的 Edge 的电源会导致一些流量中断。

    一些跨站点流量停止传输。

    解决办法:将已关闭电源的 Edge 打开电源。

  • 问题 3014978:无论选择哪种网络,将鼠标悬停在 Fabric 页面上的“网络和安全”标记上时,显示的信息都不正确

    无影响。

    解决办法:无。

  • 问题 3014979:Fabric 页面上不会自动显示 NSX 安装/卸载进度

    无影响。手动刷新页面即可查看进度。

    解决办法:手动刷新 Fabric 页面。

  • 问题 3017885:在有状态活动/活动模式下,FQDN 分析只能支持一个子集群

    如果在有状态活动/活动模式下有多个子集群,请不要启用该功能。

    解决办法:仅部署一个子集群。

  • 问题 3044704:NSX Manager 仅支持未配置 SSL-BUMP 的 HTTP 代理,即使配置页面采用 HTTPS 方案和证书也是如此

    系统 -> 常规设置 -> Internet 代理服务器中配置代理时,必须提供方案(HTTP 或 HTTPS)、主机、端口等详细信息。

    此处的方案是指要在 NSX Manager 与代理服务器之间建立的连接类型,而不是指代理类型。一般情况下,HTTPS 代理将采用 HTTPS 方案。但是,像配置了 http_port + SSL bump 的 Squid 之类的代理也会在 NSX Manger 与代理服务器之间建立 HTTPS 连接。不过,NSX Manager 中的服务始终假定代理使用 HTTP 端口公开。因此,您提供的证书永远不会在 NSX Manager 中使用。

    当您选择 HTTPS 方案并提供证书时,系统会针对配置页面中的 HTTPS 代理显示以下错误:“证书 xx 不是 xx 的有效证书 (Certificate xx is not a valid certificate for xx)”

    如果您尝试使用配置了 http_port + SSL bump 的 Squid 代理,则不会弹出任何错误,但 NSX Manager 服务将无法向外部服务器发送请求(日志中可能会显示“Unable to find certificate chain.”错误)

    解决办法:使用 HTTP 代理服务器(采用 HTTP 方案)进行配置。

    注:

    HTTP/HTTPS 方案是指在 NSX Manager 与代理之间建立的连接类型。

  • 问题 3010038:在为 Edge 统一直通 (UPT) 虚拟机提供服务的双端口 LAG 上,如果与其中一个 LAG 端口的物理连接断开,上行链路将关闭,但这些 UPT 虚拟机使用的虚拟功能 (VF) 仍将处于启动状态并正常运行,因为它们可通过另一个 LAG 接口进行连接。

    无影响。

    解决办法:无。

  • 问题 3009907:在集群上执行“移除 NSX”操作期间,如果 SmartNIC 主机处于断开连接状态,则无法从该主机中删除 NSX VIB

    对功能没有任何影响。

    解决办法:在 vCenter Server 中,转到 vLCM UI 并修复集群。

  • 问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。

    在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。

    解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。

  • 问题 2558576:全局配置文件定义的全局管理器和本地管理器版本可能有所不同,并且可能在本地管理器上具有未知行为。

    在全局管理器上创建的全局 DNS、会话或泛洪配置文件无法从 UI 应用于本地组,但可以从 API 应用。因此,API 用户可能会在本地管理器上意外创建配置文件绑定映射并修改全局实体。

    解决办法:使用 UI 配置系统。

  • 问题 2355113:不支持在 Azure 加速网络实例上运行 RedHat 和 CentOS 的工作负载虚拟机。

    在 Azure 中,如果在基于 RedHat 或 CentOS 的操作系统上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。

    解决办法:为基于 RedHat 和 CentOS 的操作系统禁用加速网络。

  • 问题 2574281:策略最多仅允许 500 个 VPN 会话。

    NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。

    在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:

    {'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}

    解决办法:使用管理平面 API 创建其他 VPN 会话。

  • 问题 2584648:切换 T0/T1 网关的主节点影响北向连接。

    位置故障切换时间导致中断几秒钟,并且可能会影响位置故障切换或故障恢复测试。

    解决办法:无。

  • 问题 2684574:如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。

    如果 Edge 具有 6000 多个路由,用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误:/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv 如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。这是一个只读 API,仅在使用 API/UI 下载 6000 多个用于 OSPF 路由和数据库的路由时才会有影响。

    解决办法:使用 CLI 命令从 Edge 中检索信息。

  • 问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。

    解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。

  • 问题 2690457:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器,proton 服务可能无法在加入节点上正确重新启动。

    加入管理器无法正常工作,并且 UI 不可用。

    解决办法:为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。

  • 问题 2719682:Avi 控制器中的计算字段未同步到策略上的意向,从而导致在 Avi UI 和 NSX-T UI 上显示的数据存在差异。

    Avi 控制器中的计算字段在 NSX-T UI 上显示为空白。

    解决办法:使用应用程序切换器检查 Avi UI 中的数据。

  • 问题 2792485:显示 NSX Manager IP,而不是 vCenter 中安装的管理器的 FQDN。

    vCenter 中集成的 NSX-T UI 显示 NSX Manager IP,而不是安装的管理器的 FQDN。

    解决办法:无。

  • 问题 3025104:使用 IP 不同但 FQDN 相同的节点执行还原时,主机进入“失败”状态。

    使用 IP 不同而 FQDN 相同的 NSX Manager 节点执行还原时,主机无法连接到 NSX Manager 节点。

    解决办法:通过执行以下命令刷新主机的 DNS 缓存。

    /etc/init.d/nscd restart
  • 问题 2799371:即使 L2 VPN 和 IPSec 会话已启动,也不会清除 L2 VPN 的 IPSec 警报。

    除了看到不必要的未解决警报以外,对功能没有任何影响。

    解决办法:手动解决警报。

  • 问题 2838613:对于低于 7.0.3 的 ESX 版本,在集群上安装安全功能后,在从 6.5 升级到更高版本的 VDS 上未启用 NSX 安全功能。

    在从 6.5 升级到更高版本 (6.6+) 的 VDS 连接的虚拟机上未启用 NSX 安全功能,在该 VDS 中支持 vSphere DVPortgroup 上的 NSX 安全功能。

    解决办法:在升级 VDS 后,重新引导主机,并打开虚拟机电源以在虚拟机上启用安全功能。

  • 问题 2848614:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns,并且在外部 DNS 服务器中缺少正向或反向查找条目或加入节点缺少 dns 条目,则不会为加入节点生成正向或反向警报。

    即使在 DNS 服务器中缺少正向/反向查找条目或加入节点缺少 dns 条目,也不会为加入节点生成正向/反向警报。

    解决办法:为具有正向和反向 DNS 条目的所有管理器节点配置外部 DNS 服务器。

  • 问题 2853889:在创建 EVPN 租户配置(使用 vlan-vni 映射)时,创建了子分段,但子分段的实现状态变为失败,并在大约 5 分钟后自动恢复。

    实现 EVPN 租户配置将需要 5 分钟的时间。

    解决办法:无。等待 5 分钟。

  • 问题 2864929:从 NSX for vSphere 迁移到 NSX-T Data Center 上的 Avi 负载均衡器时,池成员计数较高。

    您将看到较高的池成员计数。运行状况监控器将这些池成员标记为关闭,但不会将流量发送到无法访问的池成员。

    解决办法:无。

  • 问题 2865273:如果从 NSX for vSphere 迁移到 NSX-T Data Center 之前具有阻止端口 22、443、8443 和 123 的 DFW 规则,Advanced Load Balancer (Avi) 搜索引擎将无法连接到 Avi 控制器。

    Avi 搜索引擎无法连接到 Avi 控制器。

    解决办法:添加显式 DFW 规则以允许 SE 虚拟机使用端口 22、443、8443 和 123,或从 DFW 规则中排除 SE 虚拟机。

  • 问题 2866682:在 Microsoft Azure 中,如果在 SUSE Linux Enterprise Server (SLES) 12 SP4 工作负载虚拟机上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。

    虚拟机代理无法启动,并且虚拟机变为未管理状态。

    解决办法:禁用加速网络。

  • 问题 2868944:将超过 1,000 个 DFW 规则从 NSX for vSphere 迁移到 NSX-T Data Center 时,不会显示 UI 反馈,但将区域拆分为具有 1,000 个或更少规则的区域。

    未显示 UI 反馈。

    解决办法:检查日志。

  • 问题 2870085:为所有规则启用/禁用日志记录的安全策略级别日志记录不起作用。

    您无法通过更改安全策略的“logging_enabled”来更改所有规则的日志记录。

    解决办法:修改每个规则以启用/禁用日志记录。

  • 问题 2871440:对于使用 vSphere dvPortGroups 上的 NSX 安全功能保护的工作负载,在通过 vMotion 移到与已关闭 NSX Manager 连接的主机时,将丢失其安全设置。

    对于安装了 vSphere dvPortGroups 上的 NSX 安全功能的集群,如果虚拟机通过 vMotion 移到与已关闭 NSX Manager 连接的主机,其将不会实施其 DFW 和安全规则。重新建立与 NSX Manager 的连接时,将会重新实施这些安全设置。

    解决办法:在 NSX Manager 关闭时,不要通过 vMotion 移到受影响的主机。如果其他 NSX Manager 节点正常运行,请使用 vMotion 将虚拟机移动到另一个已连接到正常 NSX Manager 的主机。

  • 问题 2871585:对于低于 7.0.3 的 DVS 版本,在使用 DVS 的集群上启用 vSphere DVPortgroup 上的 NSX 安全功能后,允许从 DVS 中移除主机和删除 DVS。

    您可能需要解决传输节点或集群配置中的任何问题,这些问题是由于从 DVS 中移除主机或删除 DVS 引起的。

    解决办法:无。

  • 问题 2877776:与 controller-info.xml 文件相比,“get controllers”输出可能会显示有关非主控制器的失效信息。

    该 CLI 输出令人困惑。

    解决办法:在该 TN 上重新启动 nsx-proxy。

  • 问题 2879133:恶意软件防护功能最多可能需要 15 分钟才能开始工作。

    在首次配置恶意软件防护功能时,最多可能需要 15 分钟的时间以初始化该功能。在该初始化期间,不会进行恶意软件分析,但没有迹象表明正在进行初始化。

    解决办法:等待 15 分钟。

  • 问题 2888207:在启用了 vIDM 时,无法重置本地用户凭据。

    在启用了 vIDM 时,您无法更改本地用户密码。

    解决办法:必须(暂时)禁用 vIDM 配置,在此期间重置本地凭据,然后重新启用集成。

  • 问题 2889482:更新已发现端口的分段配置文件时,显示错误的保存确认信息。

    策略 UI 允许编辑发现的端口,但在更新分段配置文件后,不会为端口更新请求发送更新后的绑定映射。单击“保存”后,将显示一条误报消息。已发现端口的分段似乎已更新,但实际上并未更新。

    解决办法:使用 MP API 或 UI 更新已发现端口的分段配置文件。

  • 问题 2898020:传输节点的状态中显示错误“FRR 配置失败:: ROUTING_CONFIG_ERROR (-1)”(FR1R config failed::ROUTING_CONFIG_ERROR (-1))。

    Edge 节点拒绝配置了拒绝操作的路由映射序列,该操作将多个社区属性列表连接到其匹配条件。如果 Edge 节点没有管理员预期的配置,则会导致意外行为。

    解决办法:无。

  • 问题 2910529:DHCP 分配后,Edge 会丢失 IPv4 地址。

    在安装 Edge 虚拟机并从 DHCP 服务器收到 IP 后,Edge 会在短时间内丢失 IP 地址并变得无法访问。这是因为 DHCP 服务器未提供网关,因此 Edge 节点会丢失 IP。

    解决办法:确保 DHCP 服务器提供正确的网关地址。如果未提供,请执行以下步骤:

    1. 以 admin 身份登录到 Edge 虚拟机的控制台。

    2. 停止服务数据平面。

    3. 设置 interface <mgmt intf> dhcp plane mgmt。

    4. 启动服务数据平面。

  • 问题 2919218:在 MC 服务重新启动后,对主机迁移所做的选择将重置为默认值。

    重新启动 MC 服务后,之前所做的与主机迁移相关的所有选择(例如启用或禁用集群、迁移模式、集群迁移顺序等)都将重置为默认值。

    解决办法:确保在重新启动 MC 服务后再次执行与主机迁移相关的所有选择。

  • 问题 2931403:网络接口验证阻止 API 用户执行更新。

    可以为 Edge 虚拟机网络接口配置网络资源,例如,指定计算和存储资源可访问的端口组、VLAN 逻辑交换机或分段。电源中断后,Compute-Id regroup MoRef 失效,并且不再存在于 VC 中(在 VC 还原后资源池的 MoRef 会发生更改)。

    解决办法:重新部署 Edge 并指定有效的 MoRef ID。

  • 问题 2942900:Active Directory 查询超时后,身份防火墙无法正常运行,从而无法进行事件日志抓取。

    身份防火墙发出递归 Active Directory 查询以获取用户的组信息。Active Directory 查询可能会超时,并显示命名异常“LDAP 响应读取超时,已用超时: 60000 ms”(LDAP response read timed out, timeout used: 60000 ms)。因此,不会使用事件日志采集器 IP 地址填充防火墙规则。

    解决办法:要缩短递归查询时间,Active Directory 管理员可以对 AD 对象进行组织并编制索引。

  • 问题 2950206:升级 MP 之后并在 CSM 升级之前,CSM 不可访问。

    升级 MP 后,在 CSM 设备完全升级之前,无法从 UI 访问 CSM 设备。CSM 上的 NSX Services 此时已关闭。这是升级期间一种临时状态,在此状态下无法访问 CSM。影响极小。

    解决办法:这是预期的行为。您必须升级 CSM 设备才能访问 CSM UI 并确保所有服务均可正常运行。

  • 问题 2954520:在从策略创建分段并从 MP 配置网桥时,从 UI 中与桥接断开连接的选项对该分段上不可用。

    如果分段是从策略创建的并且从 MP 配置了网桥,则无法从 UI 与桥接断开连接或对其进行更新。

    如果从策略端创建分段,建议您仅从策略端配置桥接。同样,如果从 MP 端创建逻辑交换机,则应仅从 MP 端配置桥接。

    解决办法:使用 API 移除桥接。

    1.更新相关的逻辑端口并移除连接。

    PUT :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>

    将此内容添加到 PUT 负载标头字段中的标头 -> X-Allow-Overwrite : true

    2. 删除网桥端点

    DELETE :: https://<mgr-ip>/api/v1/bridge-endpoints/<bridge-endpoint-id>

    3.删除逻辑端口

    DELETE :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>
  • 问题 3030847:VRF BGP 配置中的更改不会始终生效。

    在 VRF 内的 BGP 配置中所做的更改不会始终生效。

    解决办法:可以创建一个虚拟静态路由并将其移除。这将导致配置推送以在 Edge 上实现 VRF BGP 配置。

  • 问题 3005685:将 Open ID Connect 连接配置为 NSX LM 身份验证提供程序时,客户可能会遇到错误。

    在配置 OpenID Connect 时产生错误。

    解决办法:无。

  • 问题 2949575:从集群中移除一个 Kubernetes 工作节点后,如果事先没有在其上引流 Pod,则 Pod 会永远陷入 Terminating 状态。

    NSX Application Platform 及其上的应用程序可能只有部分功能可正常运行,或者无法按预期运行。

    解决办法:使用以下信息手动删除每个显示 Terminating 状态的 Pod。

    1. 从 NSX Manager 或运行程序 IP 主机(即可从中访问 Kubernetes 集群的 Linux 跳转主机)中,运行以下命令以列出所有处于 Terminating 状态的 Pod。

      kubectl get pod -A | grep Terminating
    2. 使用以下命令删除列出的每个 Pod。

      kubectl delete pod <pod-name> -n <pod-namespace> --force --grace-period=0
  • 问题 3025104:对 IP 不同但 FQDN 相同的主机执行还原时,主机显示“失败”状态。

    使用 IP 不同而 FQDN 相同的 MP 节点执行还原时,主机无法连接到 MP 节点。

    解决办法:刷新主机的 DNS 缓存。使用命令 /etc/init.d/nscd restart。

  • 问题 3017840:更改上行链路 IP 地址后,不会发生 Edge 切换。

    错误的 HA 状态可能会导致流量黑洞。

    解决办法:切换 BFD 状态。在更改 Edge 的上行链路 IP 之前,将 Edge 置于维护模式。

check-circle-line exclamation-circle-line close-line
Scroll to top icon