| VMware NSX 4.1.0 | 2023 年 2 月 28 日 | 内部版本 21332672 请查看发行说明以了解新增内容及更新。 |
新增功能
NSX 4.1.0 提供了多种新功能,从而为私有云、公有云和多云环境提供新的虚拟化网络连接和安全功能。主要的新增功能和增强功能涵盖以下重点领域:
-
为 NSX 内部控制平面和管理平面通信提供 IPv6 支持 - 该版本支持在传输节点和 NSX Manager 之间通过 IPv6 进行控制平面和管理平面通信。在该版本中,必须仍以双栈模式(IPv4 和 IPv6)部署 NSX Manager 集群,并且该集群能够通过 IPv4 或 IPv6 与传输节点(ESXi 主机和 Edge 节点)进行通信。在传输节点配置了双栈(IPv4 和 IPv6)时,始终优先使用 IPv6 通信。
-
在 UI、API 和警报框架中提供多租户 - 在该版本中,我们引入多租户以扩展 NSX 使用模型,从而允许 NSX 中的多个用户使用自己的对象,查看自己的警报并使用流跟踪监控其虚拟机。这是通过以下方式实现的:企业管理员能够将平台划分为项目,从而为不同的用户提供不同的空间,同时保持可见性和控制。
-
改进了 Antrea 与 NSX 的集成 - 对于 NSX 4.1,您可以使用 K8s 和 NSX 对象创建防火墙规则。还可以根据 NSX 标记和 K8s 标签创建动态组。这提高了使用 NSX 管理 Antrea 集群的可用性和功能。
-
在线诊断系统提供预定义的操作手册,其中包含解决特定问题的调试步骤。可以通过 API 调用这些操作手册,这些手册使用 CLI、API 和脚本触发调试步骤。将在调试后提供建议的措施以解决该问题,并且可以下载生成的调试相关工件以进行进一步的分析。在线诊断系统有助于自动完成调试并简化故障排除。
此外,在产品的每个领域中添加了很多其他功能。有关更多详细信息,请参见下面对已添加功能的详细描述。
第 2 层网络
-
ESXi 多 TEP 高可用性 - 如果在 Hypervisor 上配置了多个 TEP,NSX 将跟踪 TEP IP 地址和 BFD 会话的状态,以将覆盖网络流量故障切换到另一个上行链路。该功能针对物理交换机问题提供高可用性,例如物理交换机端口保持启动状态,但转发无法正常工作。
第 3 层网络
-
BGP 管理距离 - 该版本支持将 BGP 管理距离更改为非默认值。管理距离是分配给每个路由协议并用于选择路由的任意值。能够处理 BGP 路由的管理距离提供了额外的路由选择控制。
-
每个 Tier-0 VRF 网关和 BGP 邻居的 BGP 自治系统 (AS) 编号 - 该版本支持为每个 Tier-0 VRF 网关以及每个 BGP 邻居配置不同的 BGP ASN(自治系统编号)。为每个 VRF 和 BGP 对等体定义单独的 ASN 是服务提供商和多租户拓扑的一项重要功能,在这些拓扑中,最终客户向网络拓扑提供自己的 BGP ASN。
-
VRF 间路由 - 该版本引入了更高级的 VRF 互连和路由泄漏模型。通过使用该功能,用户可以在 VRF 之间动态导入和导出路由,从而使用更简单的工作流和更精细的控制配置 VRF 间路由。
-
自治系统范围的唯一 BGP 标识符 - RFC6286 - 该版本支持将 BGP 路由器 ID 定义放宽到 4 个八位字节无符号非零整数,并放宽 eBGP 对等体的“唯一性”要求(这些要求是在 RFC 6286 中规定的)。
-
为 NSX 内部控制平面和管理平面通信提供 IPv6 支持 - 该版本支持在传输节点和 NSX Manager 之间通过 IPv6 进行控制平面和管理平面通信。在该版本中,必须仍以双栈模式(IPv4 和 IPv6)部署 NSX Manager 集群,并且该集群能够通过 IPv4 或 IPv6 与传输节点(ESXi 主机和 Edge 节点)进行通信。在传输节点配置了双栈(IPv4 和 IPv6)时,始终优先使用 IPv6 通信。
DPU-based Acceleration(基于 DPU 的加速)
-
UPT V2 可用于 NVIDIA Bluefield-2 生产环境。
-
安全性
-
NSX Distributed Firewall(有状态 L2 和 L3 防火墙)可用于具有 DPU 加速的生产部署。
-
NSX Distributed IDS/IPS(技术预览版)
-
Edge 节点平台
-
在传输节点 API 中提供 Edge 节点设置支持
-
通过使用 Edge 节点 API,您可以设置以下参数:重新启动优先级(Edge 节点虚拟机);coalescingScheme 和 coalescingParams。通过使用该功能,客户可以通过 NSX Manager 调整性能设置和重新启动优先级。这为通过 NSX Manager 执行的 NSX 对象设置提供一致性。
-
-
将 Edge 节点操作系统升级到 Ubuntu 20.04
-
将 Edge 节点操作系统升级到 Ubuntu 20.04,这会为裸机 Edge 提供更好的硬件支持。
-
-
Edge 平台:硬件版本升级
-
在升级到 NSX 4.1.0 期间,系统自动将 Edge 虚拟机升级到支持的最新硬件版本,从而提供最佳的性能。
-
Network Detection and Response (NDR)
-
支持来自网关防火墙的 IDPS 事件 - 从 NSX 4.1.0 开始,NDR 在关联/入侵活动中使用来自网关/Edge 防火墙的 IDPS 事件。
容器网络连接和安全
-
改进了 Antrea 与 NSX 的集成 - 对于 NSX 4.1.0,您可以使用 K8s 和 NSX 对象创建防火墙规则。还可以根据 NSX 标记和 K8s 标签创建动态组。这提高了使用 NSX 管理 Antrea 集群的可用性和功能。您现在可以创建防火墙策略,以便在一条规则中允许/阻止虚拟机和 K8s Pod 之间的流量。还引入了新的实施点以包括所有端点,并根据源和目标组成员目标确定正确的应用对象。现在可以在 NSX 策略规则集中查看在 Antrea 集群中创建的 K8s 网络策略和层。除此之外,NSX 4.1.0 还包括流跟踪和 UI 改进,以更好地对 K8s 网络策略进行故障排除和管理,从而通过 NSX 为 K8s 网络策略提供真正的集中管理。
安装和升级
-
从升级失败中快速恢复 - 在 NSX 升级期间,从失败中快速恢复的方法之一是还原到备份。但是,有时没有可行的备份可能会延迟该过程,从而需要长时间的人工干预。对于 NSX 4.1,将默认创建 NSX 自动备份并将其存储在设备本身上。这意味着,在发生失败时,VMware 支持人员可以使用该内置备份快速将 NSX 还原到工作状态。
运维和监控
-
在线诊断系统提供预定义的操作手册,其中包含解决特定问题的调试步骤。可以通过 API 调用这些操作手册,这些手册使用 CLI、API 和脚本触发调试步骤。将在调试后提供建议的措施以解决该问题,并且可以下载生成的调试相关工件以进行进一步的分析。在线诊断系统有助于自动完成调试并简化故障排除。
提供了以下预定义的操作手册以解决 ESXi 主机传输节点问题,可以使用 NSX API 调用这些操作手册。
-
用于诊断覆盖网络隧道问题、控制器连接问题、端口阻止问题和 pNIC 性能问题的操作手册。
VPN
-
为 IPsec VPN 提供 IPv6 支持 - IPv6 地址现在可用于 IPsec VPN 终止,从而在 IPv6 网络上提供安全的隧道机制。在 IPv6 VPN 上,NSX 可以传输 IPv4 和 IPv6 数据。
客户机侦测
-
支持 Windows 11 上的 GI 驱动程序 - 从 NSX 4.1.0 开始,NSX 客户机侦测支持运行 Windows 11 操作系统的虚拟机。
平台安全性
-
本地用户的生命周期管理 - 该版本允许客户在系统中添加和移除本地用户。
-
更改用于安装和升级的安全端口 - 该版本将用于安装和升级的默认 TCP 端口 8080 更改为 TCP 端口 443,以便为平台提供更好的安全性。
-
替换内部证书 - 该版本允许客户将自签名内部证书替换为 CA 签名的证书。
多租户
-
NSX UI 中的多租户 - NSX 4.1.0 允许从 UI 中为企业管理员(提供商)和项目用户(租户)启用多租户。
-
不同用户具有不同的视图 - 项目用户(租户)和企业管理员(提供商)可以登录到 NSX 并具有自己的视图。项目用户看不到其他项目或提供商配置。
-
项目切换器 - 该版本在界面顶部引入一个下拉菜单,您可以根据用户 RBAC 将上下文从一个项目切换到下一个项目。在项目外部进行的配置位于默认上下文中 - 这是在项目外部配置的角色的默认上下文。在默认上下文 (/) 中配置的用户可以查看和配置映射到其 RBAC 的所有项目,而绑定到特定项目的用户只能访问自己的项目。
-
-
“所有项目”屏幕 - 除了能够在项目之间切换以外,企业管理员还具有一个综合视图,其中显示系统上的所有配置。
-
项目生命周期管理 - 项目是可选的结构,旨在提供企业管理员可以在 NSX 实例上配置的租户。
-
CRUD 项目 - 能够从 UI 中创建这些项目,并查看所有项目及其状态/警报的综合视图。
-
用户分配 - 可以将用户和组分配给项目(例如,用户“project_admin_1”是项目 1、项目 2 和项目 4 的项目管理员)。
-
配额 - 可以将配额分配给不同的项目,以按类型限制可用的配置数量(例如,项目 1 可以创建 10 个分段)。
-
对象共享 - 企业管理员可以将默认上下文 (/infra) 中的对象共享到所有或特定项目(例如,将组“共享服务”共享到所有项目)。
-
-
多租户操作和监控
-
安全日志的多租户日志记录 - 引入项目短日志 ID,它是放在日志上以将其附加到项目的标签。在该版本中,该短日志 ID 应用于网关防火墙日志和分布式防火墙日志。
-
多租户警报 - 扩展警报框架以支持多租户。项目管理员现在可以可视化与自己的配置相关的警报。
-
项目级别的流跟踪 - 项目管理员可以使用流跟踪以测试其工作负载之间的连接。提供商从项目外部应用于其对象的配置将造成混淆。
-
-
NSX Manager 平台
-
将 NSX Manager 设备操作系统升级到 Ubuntu 20.04。
-
已将 NSX Manager 设备操作系统升级到 Ubuntu 20.04。
-
-
功能和 API 弃用、行为变化
NSX 负载均衡器的弃用公告
VMware 计划弃用内置 NSX 负载均衡器,建议客户尽快迁移到 NSX Advanced Load Balancer (Avi)。VMware NSX Advanced Load Balancer (Avi) 提供了 NSX 负载均衡功能的超集,VMware 建议您购买 VMware NSX Advanced Load Balancer (Avi) Enterprise 以解锁企业级负载均衡、GSLB、高级分析、容器输入、应用程序安全和 WAF。
我们现在提前通知,允许使用内置 NSX 负载均衡器的现有客户迁移到 NSX Advanced Load Balancer (Avi)。对于使用 NSX-T Data Center 3.x 的客户,对内置 NSX 负载均衡器的支持将持续到 NSX-T Data Center 3.x 版本系列的支持期限结束为止。对于使用 NSX 4.x 的客户,对内置 NSX 负载均衡器的支持将持续到 NSX 4.x 版本系列的支持期限结束为止。VMware 产品生命周期列表中介绍了关于这两者的详细信息。在最后一个 NSX 4.x 版本之后,我们不打算再对内置 NSX 负载均衡器提供支持。
更多信息:
NSX Manager API 和 NSX Advanced UI 的弃用公告
NSX 可以使用两种方法配置逻辑网络和安全:管理器模式和策略模式。管理器 API 包含以 /api 开头的 URI,策略 API 包含以 /policy/api 开头的 URI。
请注意,VMware 打算在即将发布的 NSX 主要或次要版本中移除对 NSX Manager API 和 NSX Advanced UI 的支持,该版本通常在 2021 年 12 月 16 日发布原始公告之日起的一年内提供。计划移除的 NSX Manager API 在 NSX Data Center API 指南中标记为“已弃用”,并提供了有关替换 API 的指导。
建议新的 NSX 部署利用 NSX 策略 API 和 NSX 策略 UI。对于当前利用 NSX Manager API 和 NSX Advanced UI 的部署,请参阅管理器到策略对象升级页面和 NSX Data Center API 指南以帮助进行过渡。
API 弃用和行为变化
-
为了简化 API 使用,在《NSX API 指南》中添加了有关 API 弃用或移除的页面。这些页面将列出已弃用的 API 和类型,以及已移除的 API 和类型。
-
已移除的 API:已移除以下 API。有关更多详细信息,请参阅《NSX API 指南》。
| 移除的 API |
替代产品 |
|---|---|
| POST /api/v1/intrusion-services/ids-events |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-events |
| POST /api/v1/intrusion-services/ids-summary |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-summary |
| POST /api/v1/intrusion-services/affected-vms |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-vms |
| POST /api/v1/intrusion-services/affected-users |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-users |
| GET /api/v1/intrusion-services/profiles/<profile-id> |
GET /policy/api/v1/infra/settings/firewall/security/intrusion-services/profiles/<profile-id>/effective-signatures |
-
已弃用的 API:以下 API 被标记为“已弃用”。有关更多详细信息,请参阅《NSX API 指南》。
| 已弃用的 API |
替代产品 |
|---|---|
| DELETE /api/v1/aaa/registration-token/<token> |
POST /api/v1/aaa/registration-token/delete |
| GET /api/v1/aaa/registration-token/<token> |
POST /api/v1/aaa/registration-token/retrieve |
| GET /api/v1/node/services/dataplane/l3vpn-pmtu |
无 |
| GET /api/v1/node/services/policy |
GET /api/v1/node/services/manager |
| GET /api/v1/node/services/policy/status |
GET /api/v1/node/services/manager/status |
| GET /api/v1/ns-groups/<ns-group-id>/effective-cloud-native-service-instance-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/cloud-native-service-instances |
| GET /api/v1/ns-groups/<ns-group-id>/effective-directory-group-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/identity-groups |
| GET /api/v1/ns-groups/<ns-group-id>/effective-ipset-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/segment-ports GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/logical-ports |
| GET /api/v1/ns-groups/<ns-group-id>/effective-physical-server-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/physical-servers |
| GET /api/v1/ns-groups/<ns-group-id>/effective-transport-node-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/transport-nodes |
| POST /api/v1/batch |
无 |
| POST /api/v1/node/services/policy?action=reset-manager-logging-levels |
POST /api/v1/node/services/manager?action=reset-manager-logging-levels |
| POST /api/v1/node/services/policy?action=restart |
POST /api/v1/node/services/manager?action=restart |
| POST /api/v1/node/services/policy?action=start |
POST /api/v1/node/services/manager?action=start |
| POST /api/v1/node/services/policy?action=stop |
POST /api/v1/node/services/manager?action=stop |
| POST /policy/api/v1/infra/realized-state/enforcement-points/<enforcement-point-name>/virtual-machines?action=update_tags |
POST /policy/api/v1/infra/realized-state/virtual-machines/{virtual-machine-id}/tags |
| PUT /api/v1/node/services/dataplane/l3vpn-pmtu |
无 |
| PUT /api/v1/node/services/policy |
PUT /api/v1/node/services/manager |
兼容性和系统要求
有关兼容性和系统要求信息,请参见《VMware 产品互操作性列表》和《NSX 安装指南》。
此版本的升级说明
有关升级 NSX 组件的说明,请参见《NSX 升级指南》。
-
NSX 4.1.0 是一个新版本,其中提供了多种新功能。需要使用这些功能的客户应进行升级以采用新功能。此时不需要使用该功能的客户应升级到最新的 NSX 3.2 可用版本(当前为 3.2.2),该版本仍是 VMware 建议的版本。
-
使用 AWS/Azure 工作负载部署的 NSX Cloud 客户不支持 NSX 4.1.0。在该场景中,请不要使用 NSX 4.1.0 升级您的环境。
建议升级到此版本的客户先运行 NSX 升级评估工具,然后再启动升级过程。该工具旨在通过在升级之前检查 NSX Manager 的运行状况和就绪状态来确保升级成功。在开始升级 NSX Manager 之前,该工具已集成到升级工作流中。
本地化语言
NSX 已本地化为多种语言:英语、德语、法语、日语、简体中文、韩语、繁体中文、意大利语和西班牙语。由于 NSX 本地化使用浏览器语言设置,因此,请确保您的设置与期望的语言相匹配。
文档修订历史
| 修订日期 |
版本 |
更改 |
|---|---|---|
| 2023 年 2 月 28 日 |
1 |
初始版本 |
| 2023 年 3 月 29 日 |
2 |
添加了以下已知问题:3094405、3106569、3113067、3113073、3113076、3113085、3113093、3113100、3118868、3121377、3152174、3152195。 |
| 2023 年 5 月 12 日 |
3 |
添加了已知问题 3210316。 |
| 2023 年 5 月 19 日 |
4 |
添加了已知问题 3116294。 |
| 2023 年 6 月 1 日 |
5 |
添加了已知问题 3186573、3155845 和 3163020。 |
| 2023 年 7 月 20 日 |
6 |
添加了已知问题 3108693。 |
| 2023 年 9 月 8 日 |
7 |
在“新增功能”中添加了 NSX Manager 升级。 |
| 2023 年 12 月 14 日 |
8 |
添加了已知问题 3296976。 |
| 2024 年 1 月 10 日 |
9 |
添加了已知问题 3222376。 |
| 2024 年 3 月 7 日 |
10 |
添加了已知问题 3308657。 |
已解决的问题
-
已修复问题 3053647:Edge 切换失败,因为在 NSX for vSphere 到 NSX-T 的迁移期间一个 NSX-v ESG 处于关闭电源状态。
在迁移期间对 ESG 执行的操作失败。
-
已修复问题 3048603:在建立新连接时,基于 UDP 的 DNS 流量将创建会话信息,从而导致在运行较长时间后耗尽内存。
数据路径内存池使用率达到 100%,从而超过阈值 (85%)。
-
已修复问题 3106018:如果 Edge 收到 IGMPv2 报告数据包,NSX 4.0.0.1 和 4.0.1.1 中的服务数据平面可能会发生崩溃。
数据路径将重新启动并导致流量中断。
-
已修复问题 3073647:在至少配置了两个上游服务器时,出现误报的 DNS“转发器上游服务器超时”警报。
误报的警报令人困惑。上游服务器全部正常工作。
-
已修复问题 3062615:删除 Edge 传输节点可能会在 Edge 内部表中遗留失效的条目。
在 NSX 升级后,NSX Manager 由于条目失效而进入挂起状态。
-
已修复问题 3059517:在 DNS 摘要属性编程中出现内存泄漏。
根据流量的多少,可能导致连续使用内核。
-
已修复问题 3055437:即使从主机交换机中移除覆盖网络传输区域,也会启用 SPF 属性。
在执行 vMotion 操作后,虚拟机可能会断开连接。
-
已修复问题 3046491:在删除验证期间未检查 IP 池和基础架构分段之间的关系,从而允许在基础架构分段正在使用/引用 IP 池时将其删除,这会导致在使用 IP 地址时重新分配 IP 地址。
在基础架构分段使用 IP 地址时,由于 IP 地址丢失而影响功能。
-
已修复问题 3044226:未更新在 DhcpRelayConfig 的 RealizationState 中实现的意向修订。
尽管 DHCP 中继正常工作,但 UI 将 DHCP 中继合并状态显示为“IN_PROGRESS”。
-
已修复问题 3056265:NSX Manager 节点部署失败,主机名与分离的 NSX Manager 节点以前使用的主机名相同。
已阻止部署 NSX Manager 节点,主机名与以前分离的主机名相同。
-
已修复问题 3024587:尽管增加了 remote-host-max-msg-len 设置,但仍会截断在外部 syslog 服务器上收到的 IDPS 日志。
IDPS 事件可能在外部 syslog 服务器上拆分为多行。
-
已修复问题 3008229:CCP TN 超时设置 CLI 没有使用小时单位的选项。
无法在 CCP TN 超时设置 CLI 中使用小时单位。
-
已修复问题 2863105:从 HCX 中删除相关的实体之前,无法从 NSX 中删除 HCX 使用的流量组。
还不清楚如何删除 HCX 流量组/关联映射。
-
已修复问题 3091229:对于具有超过两个 CNS 成员的组,cloud-native-service-instances 的 EffectiveMembership Rest API 无法正常工作。
CNS 成员的有效成员资格 Rest API 无法按预期方式工作。
-
已修复问题 3056889:分布式路由器和/或 Tier-1 服务路由器上的静态路由未传播到传输节点。
发送到这些静态路由的流量中断。在配置静态路由之前,必须先配置逻辑路由器端口。
-
已修复问题 3046448:在 MP UI 中强制删除 NG 组时,没有从 ESX 主机中删除规则。
在源或目标中使用删除的 NS 组的防火墙规则将继续分别在所有源或目标的 ESX 主机上实施安全状态。
-
已修复问题 3044281:Edge 虚拟机出现失效的硬件配置错误。在应用管理器配置更改时,这会导致验证错误。
由于出现失效的配置错误,无法通过传输节点 PUT API 或 UI 编辑 Edge 配置。
-
已修复问题 3043150:在 MP 移除传输节点后,CCP LCP 复制程序遗留过时的传输节点数据。
如果 MP 添加了新的传输节点,并且该节点重新使用具有不同 VTEP MAC 的旧 VTEP IP,这会导致 CCP 报告错误的数据,因为未清理过时的传输节点数据。
-
已修复问题 3037403:在通过 RPC GetLportRealizedState 进行查询时,CCP 将使用分段的 VLAN ID 覆盖绑定的 VLAN ID。
在用户查询地址绑定时,他们可能会发现 VLAN ID 与手动绑定中设置的 ID 不同。
-
已修复问题 3013563:在 AD 中更改组名称影响数据路径 - DFW 规则未应用于属于更改了名称的组的用户 [在完全/增量同步后]。
数据路径中断。
-
已修复问题 3008229:CCP TN 超时设置 CLI 没有使用小时单位的选项。
无法在 CCP TN 超时设置 CLI 中使用小时单位。
-
已修复问题 2982055:未在 Intelligence 上同步嵌套的组成员。
组流量拓扑 API 不显示嵌套的组成员。
-
已修复问题 2930122:将 CCP 数据从 GC/HL 迁移到更高的版本可能会遗留冲突的记录,这可能会产生虚假的警报。
您将观察到有关断开连接的传输节点的虚假警报,即使已连接这些节点也是如此。
-
已修复问题 2863105:从 HCX 中删除相关的实体之前,无法从 NSX 中删除 HCX 使用的流量组。
还不清楚如何删除 HCX 流量组/关联映射。
-
已修复问题 3062600:在删除/清空 controller-info.xml 文件时,NSX 代理不断重新启动。
NSX 代理将不断重新启动,并且持续记录相同的内容。
-
已修复问题 3063646:在 Unified Appliance 上提供 Nestdb-ops-agent 连接错误日志记录。
将更快地填充日志。
-
已修复问题 3065925:用户定义的 VRF RIB 未填充 IPv6 ECMP 路由。
缺少 IPv6 ICMP 路由的信息。
-
已修复问题 3071393:在启用/禁用网关后,在 Edge 上未实现具有 L7 访问配置文件的网关规则。
在启用/禁用网关后,在 Edge 上未实现具有 L7 访问配置文件的网关规则。
-
已修复问题 3072735:CCP 上的有效 IP 发现配置文件计算没有按预期方式采用以下优先级:LSP 配置文件 -> LS 配置文件 -> 组配置文件。
可能会在 DFW 组中找到错误的 IP。
-
已修复问题 3073055:规则意外地从 DHCP 定义中继承跨度,从而将其发送到 Edge。
在规则不应位于 UI 上时,在 Edge 上实现了这些规则。
-
已修复问题 3073457:未刷新远程隧道端点状态。
通过远程隧道端点的 BGP 会话连接完好无损,没有影响数据路径,但 UI 未显示相应的状态。
-
已修复问题 3078357:联合 LM-LM 版本兼容性应该为 +/-2,但 CCP 仅支持 +/-1。
如果一个联合站点运行 V 版本,而另一个联合站点运行 V+2 或 V-2 版本,两个站点将断开连接。
-
已修复问题 3081190:搜索服务使用 GM 上的根分区以存储数据。根分区磁盘空间已满并引发警报。
在使用 100% 根分区磁盘后,GM 无法正常工作。
-
已修复问题 3081664:DFW 规则错误地发送到 Edge 节点。如果推送到 Edge 的规则之一具有错误的参数,则可能会导致永久性数据平面崩溃。
在规则的 appliedTo 中使用逻辑交换机/LSP 时,CCP 将下行链路端口计算为 FW 规则跨度的一部分。因此,将 DFW 规则错误地发送到 Edge 节点。如果推送到 Edge 的规则之一具有错误的参数,则可能会导致永久性数据平面崩溃。
-
已修复问题 3057573:将 TN 配置文件应用于启用了 vLCM 的集群失败。
由于服务帐户密码已过期,在启用了 LCM 的集群上安装 NSX 失败。
-
已修复问题 3046985:不支持某些网关防火墙服务(MS_RPC_TCP、MS_RPC_UDP、SUN_RPC_TCP、SUN_RPC_UDP、ORACLE_TNS)。如果选择了这些服务,发布操作将出现错误并失败。
可以在 UI 中选择这些服务,但在发布时显示以下错误:“应用程序级别网关 (ALG) 类型不受支持: ORACLE_TNS”。
-
已修复问题 3040934:无法发布分布式防火墙 (DFW)/网关防火墙 (GWFW) 设置更改。在禁用了分布式防火墙 (DFW)/网关防火墙 (GWFW) 时,将禁用发布按钮。
由于禁用了分布式防火墙 (DFW)/网关防火墙 (GWFW),无法发布配置更改。
-
已修复问题 2888207:在启用了 vIDM 时,无法重置本地用户凭据。
在启用了 vIDM 时,您将无法更改本地用户密码。
-
已修复问题 3068125:在活动-备用 Edge 部署中通过 VTI 接口配置 BGP 时,BGP 应在备用 Edge 节点上处于关闭状态,但仍在备用 Edge 节点上生成活动“BGP 关闭”警报。
对功能没有任何影响。但在备用 Edge 节点上观察到虚假的“BGP 关闭”警报。
-
已修复问题 3057573:将 TN 配置文件应用于启用了 vLCM 的集群失败。
由于服务帐户密码已过期,在启用了 LCM 的集群上安装 NSX 失败。
-
已修复问题 3047608:在部署 CSM 设备后,登录后无法访问 CSM UI,并且 nsx-cloud-service manager 服务关闭。
在第 0 天,登录后 CSM UI 将关闭。
-
已修复问题 3045514:无法在 vRNI 中查看来自 NSX 支持的虚拟机的流量。
用户无法在 vRNI 中查看来自 NSX 支持的虚拟机的流量。
-
已修复问题 3042523:在进行存储 vMotion 时,vm-tools 为虚拟机的分段端口提供的 NSX 发现绑定(IP 地址)变空。
在对虚拟机执行存储 vMotion 期间,任何基于 vm-tools 作为源发现的 IP 地址的 DFW 规则不会应用于该 IP。
-
已修复问题 3038658:在 1K Hypervisor 规模设置中执行还原时,NSX 服务 (proton) 由于 OOM 问题发生崩溃。
由于 NSX 服务重新启动,还原过程可能会运行更长时间。
-
已修复问题 3027580:如果在 vCenter Server 中删除了 DVPG,而这些 DVPG 连接到的主机属于仅为安全性准备的集群且映射到清单组中的已发现分段,则这些已发现的分段永远不会被清理。
这对功能没有任何影响。NSX Manager UI 会显示失效对象。
-
已修复问题 3027473:将超过 1,000 个 DFW 规则从 NSX for vSphere 迁移到 NSX-T Data Center 时,不会显示 UI 反馈,但将区域拆分为具有 1,000 个或更少规则的区域。
未显示 UI 反馈。
-
已修复问题 3025367:如果上行链路配置文件具有四个活动上行链路,并且在 TN 配置中仅提供两个上行链路以进行 VDS 上行链路映射,将在主机端创建四个 vmk。
对功能没有任何影响。
-
已修复问题 3024658:在处理具有 SMB 流量的数据包时,NSX IDS/IPS 生成高 CPU 占用率和延迟。
在某些情况下,在处理 SMB 流量时,NSX IDS/IPS 进程会由于内存不足错误而崩溃。
-
已修复问题 3024136:VRF BGP 配置中的更改不会始终生效。
VRF 中的 BGP 配置更改并非始终生效。
-
已修复问题 3024129:频繁触发全局管理器警报。
在解决一个警报后,立即触发另一个警报。
-
已修复问题 3019893:禁用负载均衡器持久性后,NGINX 崩溃。
由于发生死锁,无法建立新连接。
-
已修复问题 2963524:系统不会根据过期超时时间清除 UDP 连接。
未显示 UI 反馈。
-
已修复问题 2947840:网络拓扑视图未在 UI 上显示所有网络组件。
您无法看到完整的网络拓扑。
-
已修复问题 2928725:对于使用特定端口的代理,IDPS 特征码下载无法正常工作。
不允许通过代理进行的特征码下载调用到达 NTICS 服务器。
-
已修复问题 3034373:从 3.2.0 之前的版本升级到 3.2.x 或 4.0.x 后,删除 DFW IPFIX 配置文件处于停滞状态。
无法删除 DFW IPFIX 配置文件。
-
已修复问题 3043151:当系统遇到需要确定 AppId 的大量流量时,防火墙流量的 L7 分类可能在短时间内不可用
在具有大量流量的主机上,可能不会命中 L7 规则。
-
已修复问题 3039159:如果虚拟机具有统一直通 (UPT) 模式的接口并具有大量流量,对虚拟机执行 vMotion 操作可能会导致主机发生 PSOD。
在对基于 UPT 且具有大量流量的虚拟机执行 vMotion 时,主机发生 PSOD,因此将影响流量。
-
已修复问题 3047608:在部署 CSM 设备后,登录后无法访问 CSM UI,并且 nsx-cloud-service manager 服务关闭。
在第 0 天,登录后 CSM UI 将关闭。
-
已修复问题 3027580:如果在 vCenter Server 中删除了 DVPG,而这些 DVPG 连接到的主机属于仅为安全性准备的集群且映射到清单组中的已发现分段,则这些已发现的分段永远不会被清理。
这对功能没有任何影响。NSX Manager UI 会显示失效对象。
-
已修复问题 3042382:在数据包与非 SNAT 规则匹配时,应重新查找会话。
与非 SNAT 规则匹配的流量将会停滞。
-
已修复问题 3044704:NSX Manager 仅支持没有 SSL-BUMP 的 HTTP 代理,即使配置页面采用 HTTPS 方案和证书也是如此。
在系统 -> 常规设置 -> Internet 代理服务器中配置代理时,必须提供方案(HTTP 或 HTTPS)、主机、端口等详细信息。
此处的方案是指要在 NSX Manager 与代理服务器之间建立的连接类型,而不是指代理类型。一般情况下,HTTPS 代理将采用 HTTPS 方案。但是,像配置了 http_port + SSL bump 的 Squid 之类的代理也会在 NSX Manger 与代理服务器之间建立 HTTPS 连接。不过,NSX Manager 中的服务始终假定代理使用 HTTP 端口公开。因此,您提供的证书永远不会在 NSX Manager 中使用。
当您选择 HTTPS 方案并提供证书时,系统会针对配置页面中的 HTTPS 代理显示以下错误:“证书 xx 不是 xx 的有效证书 (Certificate xx is not a valid certificate for xx)”。
如果您尝试使用配置了 http_port + SSL bump 的 Squid 代理,则不会弹出任何错误,但 NSX Manager 服务将无法向外部服务器发送请求(日志中可能会显示“Unable to find certificate chain.”错误)
-
已修复问题 3025104:使用 IP 不同但 FQDN 相同的节点执行还原时,主机进入“失败”状态。
使用 IP 不同而 FQDN 相同的 NSX Manager 节点执行还原时,主机无法连接到 NSX Manager 节点。
-
已修复问题 2888207:在启用了 vIDM 时,无法重置本地用户凭据。
在启用了 vIDM 时,您无法更改本地用户密码。
已知问题
-
问题 3308657:创建具有大量规则的防火墙区域时,创建/删除规则 API 响应需要 30 分钟以上时间。
这种缓慢会导致在执行 API 以启动 POD 时出现 409/500 错误或执行速度缓慢。
解决办法:减少一个区域中的规则数。
-
问题 3222376:在连接到 Windows Server 2012/Active Directory 时,LDAP 配置 UI 中的 NSX“检查状态”功能报告失败。这是因为 Windows 2012 仅支持较弱的 TLS 密码套件,但出于安全考虑,NSX 不再支持这些密码套件。
即使显示错误消息,基于 SSL 的 LDAP 身份验证也能正常工作,因为 LDAP 身份验证代码使用的密码套件集与“检查状态”链接使用的密码套件集不同。
解决办法:有关详细信息,请参见知识库文章 92869。
-
问题 3296976:网关防火墙可能允许使用不受支持的 L7 应用程序 ID 作为上下文/L7 访问配置文件的一部分。
请参阅以下文档页面,其中列出了每个 NSX 版本支持的应用程序 ID - https://docs.vmware.com/cn/NSX-Application-IDs/index.html。
解决办法:无。
-
问题 3108693:项目管理员无法从 UI 中配置 dns-forwarder 功能。
如果您以“项目管理员”身份登录,则项目范围内的 T1 不会列在 dns-forwarder 页面上的下拉菜单中。因此,项目管理员无法从 UI 中配置 dns-forwarder 功能。
解决办法:
-
项目管理员可以通过 API 执行相同的功能。
-
企业管理员可以在项目范围内创建 DNS 服务。
-
-
问题 3163020:如果 DNS 数据包中 FQDN 的文本大小写与 FQDN 规则的 L7 配置文件中配置的域名不同,则无法正确应用 DFW FQDN 规则操作。
无法正确应用 DFW FQDN 规则操作。DFW FQDN 筛选无法正常工作。
解决办法:将 L7 上下文配置文件中的 FQDN 配置为匹配 DNS 数据包中的域名。
-
问题 3155845:配置 FQDN 筛选时,执行 vMotion 期间出现 PSOD。
ESXi 主机将重新引导。
解决办法:移除 FQDN 配置。
-
问题 3210316:如果 (1) 管理器是双堆栈 IPv4/IPv6,(2) 未配置 VIP 地址,并且 (3) 在 vIDM 配置的“NSX 设备”字段中输入 IP 地址而不是 FQDN,则会清除 vIDM 配置。
重新配置 vIDM 配置之前,无法使用 vIDM 登录。
解决办法:在“NSX 设备”字段中使用 FQDN。
-
问题 3152195:无法实施所含上下文配置文件中的 FQDN 为 .*XYZ.com 类型的 DFW 规则。
在此特定场景中,DFW 规则实施无法按预期进行。
解决办法:无。
-
问题 3152174:使用 VDS 准备主机失败,并显示以下错误:主机 {UUID} 未添加到 VDS 值中 (Host {UUID} is not added to VDS value)。
在 vCenter 上,当网络嵌套在文件夹中时,如果要迁移到 NSX-T 中的 CVDS,则从 NVDS 到 CVDS 或从 NSX-V 到 NSX-T 的迁移可能会失败。
解决办法:主机的第一个网络是 vCenter MOB 页面 https://<VC-IP>/mob?moid=host-moref 的网络字段中显示的第一个网络
-
在 3.2.1 之前:上述主机的第一个网络和相关 VDS 应直接位于同一文件夹下。文件夹可以是数据中心,也可以是数据中心内的网络文件夹。
-
从 3.2.1 和 4.0.0 开始:上述主机的第一个网络应直接位于某个文件夹下,所需的 VDS 可以直接位于同一文件夹下,也可以嵌套在同一文件夹中。文件夹可以是数据中心,也可以是数据中心内的网络文件夹。
-
-
问题 3118868:如果编写覆盖网络筛选器与启用 pNIC 几乎同时进行,则在 pNIC 上编写的 vNIC 筛选器将不正确或失效。
如果编写覆盖网络筛选器与启用 pNIC 几乎同时进行,则在 pNIC 上编写的 vNIC 筛选器可能会失效、不正确或缺失,从而可能导致性能下降。
解决办法:无。
-
问题 3113100:由于 VIF 条目失效,无法为动态安全组中的某些虚拟机实现 IP 地址。
如果最初使用“快速启动”为集群设置了“网络和安全”功能,然后卸载了该功能,继而又仅出于安全目的重新安装了该功能,则 DFW 规则可能无法按预期运行。这是因为,为“网络和安全”功能生成的自动 TZ 仍然存在,需要将其移除才能使 DFW 规则正常运行。
解决办法:从“网络和安全”快速入门中删除自动生成的 TZ,它引用的 DVS 与“仅安全”使用的 DVS 相同。
-
问题 3113093:新添加的主机未配置安全功能。
安装安全功能后,在将新主机添加到集群并连接到分布式虚拟交换机时,不会在该主机上自动触发 NSX 的安装。
解决办法:对 VC 中的现有 VDS 进行任何更新(或者)在 VC 中添加新 VDS 并将集群中的所有主机添加到该 VDS。执行此操作后将自动更新 TNP,并且 TNP 将重新应用于 TNC。更新 TNC 后,添加的新主机将具有 TNP 的最新配置。
-
问题 3113085:执行 vMotion 时,DFW 规则未应用于虚拟机。
在“仅安全安装”部署中通过 vMotion 将受 DFW 保护的虚拟机从一个主机迁移到另一个主机时,可能不会在 ESX 主机上实施 DFW 规则,从而导致规则分类不正确。
解决办法:将虚拟机连接到另一个网络,然后将其重新连接到目标 DVPortgroup。
-
问题 3113076:没有为 FRR 守护进程崩溃生成核心转储。
如果 FRR 守护进程崩溃,系统不会在 /var/dump 目录中生成核心转储。这可能会导致 BGP 抖动。
解决办法:为 FRR 守护进程启用核心转储,触发崩溃,然后从 /var/dump 获取核心转储。
要启用核心转储,请在 Edge 节点上使用以下命令,并且必须在 Edge 节点上以 root 用户身份执行此命令。
prlimit --pid <pid of the FRR daemon> --core=500000000:500000000
要验证是否为 FRR 守护进程启用了核心转储,请使用以下命令,并检查核心资源的软限制和硬限制。这些限制必须为 500000000 字节或 500 MB。
prlimit --pid <pid of the FRR daemon>
-
问题 3113073:启用锁定模式后,在一段时间内不会实施 DFW 规则。
在传输节点上启用锁定模式可能会导致在实施 DFW 规则时出现延迟。这是因为在传输节点上启用锁定模式后,可能会从 NSX 清单中移除关联的虚拟机,然后重新创建该虚拟机。在此时间段内,可能不会在与该 ESXi 主机关联的虚拟机上实施 DFW 规则。
解决办法:在将 ESX 置入锁定模式之前,手动在例外列表中添加“da-user”。
-
问题 3113067:执行 vMotion 后,无法连接到 NSX-T Manager。
从低于 NSX 3.2.1 的版本升级 NSX 时,NSX Manager 虚拟机不会自动添加到防火墙排除列表中。因此,所有 DFW 规则都将应用于管理器虚拟机,这可能会导致网络连接问题。
在从 NSX 3.2.2 或更高版本执行全新部署时,不会出现此问题。但是,如果要从 NSX 3.2.1 或更低版本升级到 NSX 4.1.0 或之前的任何目标版本,则可能会遇到此问题。
解决办法:请与 VMware 支持部门联系。
-
问题 3106569:在 EVPN 路由服务器模式下,性能未达到预期级别。
如果在绑定情况下将覆盖网络筛选器写入到 pNIC,则在 pNIC 上编写的 vNIC 筛选器可能会失效、不正确或缺失,从而可能导致性能下降。
解决办法:无。
-
问题 3094405:配置覆盖网络时,写入到 pNIC 的 vNIC 筛选器不正确或失效。
vNIC 覆盖网络筛选器按特定顺序进行更新。如果快速连续进行更新,则仅保留第一个更新,后续更新会被丢弃,从而导致筛选器编写不正确,并且性能可能会下降。
解决办法:无。
-
问题 3121377:ESX 发生 PSOD。
传输节点关闭会影响流量。
解决办法:
-
修改工作负载配置,以避免将流量发送到同一分段上的对等体的第一个跃点路由器。
-
正常接受来自第一个跃点路由器的 ICMP6 重定向。
-
-
问题 3098639:由于反向代理/身份验证服务在升级期间无法进入维护模式,NSX Manager 升级失败。
nsx-manager 升级失败。
解决办法:有关详细信息,请参阅知识库文章 91120。
-
问题 3114329:裸机 NSX Edge 安装后,Intel QAT 未启动。
Intel QuickAssist 技术 (QuickAssist Technology, QAT) 是一种硬件加速器技术,旨在将计算密集型加密和压缩/解压缩算法从 CPU 卸载到专用硬件。此问题使您无法利用 Intel QAT 来提高裸机 NSX Edge VPN 服务的吞吐量性能。
解决办法:无。
-
问题 3106950:在达到 DFW 配额后,在项目范围内创建新的 VPC 失败。
您无法在已达到 DFW 配额的项目中创建 VPC。
解决办法:无。
-
问题 3094463:可以通过弃用的 MP API 创建具有 ALG 服务 FTP 的无状态防火墙规则。不支持通过策略 API 执行该操作。
如果 MP 上的防火墙规则有问题,您将无法执行 MP 到策略的迁移。
解决办法:应将有问题的防火墙规则更新为有状态规则,或者不应具有 ALG 服务 FTP 服务。
-
问题 3083358:在控制器重新引导时,控制器需要很长时间才能加入集群。
在控制器重新引导后,在 NSX Manager 上创建的新配置可能会出现实现延迟,因为控制器可能需要一些时间才能启动。
解决办法:删除多余的恶意 IP 组,然后重新引导。
-
问题 3106317:在客户机中更改 vNIC MAC 地址时,可能不会在写入到 pNIC 的筛选器中反映这些更改。
性能可能会下降。
解决办法:在客户机中禁用接口,然后重新启用。
-
问题 3047727:CCP 没有发布更新的 RouteMapMsg。
发布了不打算发布的路由。
解决办法:无。
-
问题 2792485:显示 NSX Manager IP,而不是 vCenter 中安装的管理器的 FQDN。
vCenter 中集成的 NSX-T UI 显示 NSX Manager IP,而不是安装的管理器的 FQDN。
解决办法:无。
-
问题 3092154:当前网卡不支持 IPv6 路由扩展标头。
智能网卡将丢弃任何具有路由扩展标头的 IPv6 流量。
解决办法:无。
-
问题 3079932:由于在 UPT 接口上具有大量卸载 TCP 流量,MTU 更改可能会失败。
在 UPT 接口上具有大量卸载 TCP 流量时,MTU 更改有时可能会失败。
解决办法:
-
不要在传输流量期间更改 MTU。
-
或者,禁用硬件卸载 (offload),然后执行 MTU 更改。
-
-
问题 3077422:由于在 SmartNIC 支持的虚拟机和端口上不支持 LTA,未在 LTA 中列出 SmartNIC 支持的虚拟机和端口/接口。
无法在某些虚拟机上创建 LTA。
解决办法:无。
-
问题 3076771:“get physical-ports <physical-port-name> stats verbose”显示每个队列统计信息的值为 0。
在调试中使用详细端口统计信息时,看到意外的 0 值。
解决办法:如果可用,“get physical-ports <physical-port-name> xstats”显示物理端口的每个队列统计信息。
-
问题 3069003:使用嵌套的 LDAP 组时,客户 LDAP 目录服务中执行过多的 LDAP 操作。
在使用嵌套 LDAP 组的情况下,LDAP 目录服务上的负载很高。
解决办法:对于 8.6 之前的 vROPS,请使用“admin”本地用户而不是 LDAP 用户。
-
问题 3068100:仅在对称路由的情况下支持路由泄漏。VRF 之间的不对称路由泄漏可能导致流量黑洞。
如果 VRF 路由在集群中的 Edge 节点之间是不对称的,即使启用了 SR 间路由,也不会在 Edge 集群中同步这种不对称的路由。对于从南到北的流量,这种情况可能会产生黑洞。
解决办法:确保将路由对称地传播到集群中的所有 Edge 节点。在该示例中,前缀 2.1.4.0/24 和 2.1.5.0/24 应传播到 Edge e1 和 e2。
-
问题 2855860:在 Edge 文件系统进入只读模式时,Edge 数据路径无限期地停止转发。
流量丢失。访问 Edge 虚拟机控制台可能指示文件系统已进入只读模式。
解决办法:无。
-
问题 3046183 和 3047028:激活或停用 NSX Application Platform 上托管的一项 NSX 功能后,其他托管的 NSX 功能的部署状态将变为
In Progress。受影响的 NSX 功能包括 NSX Network Detection and Response、NSX 恶意软件防护和 NSX Intelligence。部署 NSX Application Platform 后,激活或停用 NSX Network Detection and Response 功能会导致 NSX 恶意软件防护功能和 NSX Intelligence 功能的部署状态变为
In Progress。同样,激活和停用 NSX 恶意软件防护功能也会导致 NSX Network Detection and Response 功能的部署状态变为In Progress。如果在激活 NSX Intelligence 后又激活 NSX 恶意软件防护,NSX Intelligence 功能的状态将变为Down和Partially up。解决办法:无。系统会自行恢复。
-
问题 3041672:对于仅配置和 DFW 迁移模式,在成功完成所有迁移阶段后,可调用迁移前和迁移后 API 以移动工作负载。如果在成功完成迁移阶段后更改 NSX for vSphere、vCenter Server 或 NSX 的凭据,则调用迁移前和迁移后 API 将失败。
由于调用迁移前、迁移后和完成基础架构 API 失败,您将无法移动工作负载。
解决办法:执行以下步骤。
-
重新启动迁移协调器。
-
在迁移 UI 上,使用与重新启动之前相同的迁移模式,提供所有身份验证详细信息。这应该会同步回迁移进度。
-
运行迁移前、迁移后和完成基础架构 API。
-
-
问题 3043600:如果使用专用(非默认)Harbor 存储库以及来自鲜为人知的证书颁发机构 (CA) 的自签名证书,NSX Application Platform 部署将失败。
如果尝试使用专用(非默认)Harbor 存储库以及来自鲜为人知的 CA 的自签名证书来部署 NSX Application Platform,部署将失败,因为部署作业无法获取 NSX Application Platform Helm Chart 和 Docker 映像。由于 NSX Application Platform 无法成功部署,您无法激活该平台托管的任何 NSX 功能,如 NSX Intelligence。
解决办法:使用众所周知的受信任 CA 来签署将用于专用 Harbor 服务器的证书。
-
问题 2491800:未定期检查异步复制程序通道端口证书属性以确认证书是否过期或吊销。
这可能会导致将已过期/已吊销的证书用于现有连接。
解决办法:由于旧证书已过期或已吊销,任何重新连接操作都会使用新证书(如果有)或抛出错误。要触发重新连接,只需在管理器节点上重新启动设备代理中心 (APH) 即可。
-
问题 2994066:无法在 ESXi 8.0.0.0 以及 NSX 4.0.1 和更高版本上创建镜像 vmknic。
由于无法创建镜像 vmknic,无法启用使用镜像堆栈的 L3SPAN。
解决办法:
-
从 ESXi CLI 提示符中,在 ESXi 上创建镜像堆栈。
-
从 vSphere Web Client 中,创建 vmknic。
-
运行以下命令:
esxcli network ip netstack add -N mirror -
-
问题 3007396:如果将远程节点的 LACP 超时模式设置为“慢速”,则在通过 CLI 命令“esxcli network nic down -n vmnicX”关闭其中一个 LAG 链路后,可能会发生大约 60-90 秒的流量丢弃
通过 CLI 命令“esxcli network nic down -n vmnicX”关闭其中一个 LAG 链路后,可能会发生大约 60-90 秒的流量丢弃。
仅当远程节点 LACP 超时设置为“慢速”模式时,才会出现此问题。
解决办法:将外部交换机 LACP 超时设置为“快速”。
-
问题 3013751:在 Fabric 页面上未自动显示 NSX 安装/卸载进度。
手动刷新 Fabric 页面后,才会显示进度。
解决办法:手动刷新 Fabric 页面。
-
问题 3018596:如果将客户机虚拟机上的虚拟机虚拟网卡 (vNIC) MTU 设置为大于物理网卡 MTU,则会释放虚拟功能 (VF)。
将 vNIC MTU 更改为大于 pNIC MTU 后,虚拟机将无法获取 VF。因此,虚拟机将不会处于 UPT 模式,而是将处于“emu vmnic”模式。
解决办法:
1.将 DVS 上的 MTU 大小从 1600 更改为 9100。
2.VF 将重新分配给虚拟机 vNIC。
-
问题 3003762:如果未从策略中删除恶意软件防护服务规则,卸载 NSX 恶意软件防护服务将失败,并且也不会显示任何错误消息以指示由于在策略中仍存在规则而导致卸载失败。
在这种场景下,卸载 NSX 恶意软件防护服务将失败。
解决办法:删除规则并重试卸载。
-
问题 3003919:如果与 CNAME 匹配的 DFW 规则具有的操作不同于与原始域名匹配的 DFW 规则,将导致规则实施不一致。
在极少数情况下,DFW 规则可能会错误地绕过或丢弃访问 CNAME 而不是原始域名的应用程序/用户。
解决办法:请执行其中一个步骤。
-
仅为原始域名配置 DFW 规则,而不要为 CNAME 配置 DFW 规则。
-
为使用域名和 CNAME 的规则配置相同的操作。
-
-
问题 3014499:关闭处理跨站点流量的 Edge 的电源会导致一些流量中断。
一些跨站点流量停止传输。
解决办法:将已关闭电源的 Edge 打开电源。
-
问题 3014978:无论选择哪种网络,将鼠标悬停在 Fabric 页面上的“网络和安全”标记上时,显示的信息都不正确。
无影响。
解决办法:无。
-
问题 3014979:在 Fabric 页面上未自动显示 NSX 安装/卸载进度。
无影响。手动刷新页面即可查看进度。
解决办法:手动刷新 Fabric 页面。
-
问题 3017885:在有状态活动/活动模式下,FQDN 分析只能支持一个子集群。
如果在有状态活动/活动模式下有多个子集群,请不要启用该功能。
解决办法:仅部署一个子集群。
-
问题 3010038:在为 Edge 统一直通 (UPT) 虚拟机提供服务的双端口 LAG 上,如果与其中一个 LAG 端口的物理连接断开,上行链路将关闭,但这些 UPT 虚拟机使用的虚拟功能 (VF) 仍将处于启动状态并正常运行,因为它们可通过另一个 LAG 接口进行连接。
无影响。
解决办法:无。
-
问题 3009907:在集群上执行“移除 NSX”操作期间,如果 SmartNIC 主机处于断开连接状态,则不会从该主机中删除 NSX VIB。
对功能没有任何影响。
解决办法:在 vCenter Server 中,转到 vLCM UI 并修复集群。
-
问题 2490064:尝试禁用启用了“外部 LB”的 VMware Identity Manager 无效。
在具有“外部 LB”的 NSX 上启用 VMware Identity Manager 集成后,如果您尝试通过关闭“外部 LB”来禁用集成,则在大约一分钟后,初始配置将重新出现并覆盖本地更改。
解决办法:尝试禁用 vIDM 时,请勿将外部 LB 标记切换为关闭状态;仅将 vIDM 集成切换为关闭状态。这会将该配置保存到数据库并同步到其他节点。
-
问题 2558576:全局配置文件定义的全局管理器和本地管理器版本可能有所不同,并且可能在本地管理器上具有未知行为。
在全局管理器上创建的全局 DNS、会话或泛洪配置文件无法从 UI 应用于本地组,但可以从 API 应用。因此,API 用户可能会在本地管理器上意外创建配置文件绑定映射并修改全局实体。
解决办法:使用 UI 配置系统。
-
问题 2355113:不支持在 Azure 加速网络实例上运行 RedHat 和 CentOS 的工作负载虚拟机。
在 Azure 中,如果在基于 RedHat 或 CentOS 的操作系统上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。
解决办法:为基于 RedHat 和 CentOS 的操作系统禁用加速网络。
-
问题 2574281:策略最多仅允许 500 个 VPN 会话。
NSX 宣称每个大型 Edge 支持 512 个 VPN 会话,但由于策略自动检测安全策略,因此,策略最多仅允许 500 个 VPN 会话。
在 Tier-0 上配置第 501 个 VPN 会话时,将显示以下错误消息:
{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy 路径 [/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] 的每个网关路径 [/infra/tier-0s/inc_1_tier_0_1] 具有 1,000 个以上允许的规则。(GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].)'}
解决办法:使用管理平面 API 创建其他 VPN 会话。
-
问题 2684574:如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。
如果 Edge 具有 6000 多个路由,用于 OSPF 数据库和 OSPF 路由的以下策略 API 将返回错误:/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv 如果 Edge 将 6000 多个路由用于数据库和路由,策略 API 将会超时。这是一个只读 API,仅在使用 API/UI 下载 6000 多个用于 OSPF 路由和数据库的路由时才会有影响。
解决办法:使用 CLI 命令从 Edge 中检索信息。
-
问题 2663483:如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。
仅在 NSX 联合和单节点 NSX Manager 集群中出现该问题。如果您替换单节点 NSX Manager 上的 APH-AR 证书,该 NSX Manager 将与 NSX 联合环境的其余设备断开连接。
解决办法:单节点 NSX Manager 集群部署不是支持的部署选项,因此,请使用三节点 NSX Manager 集群。
-
问题 2690457:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns 并且未正确配置外部 DNS 服务器,proton 服务可能无法在加入节点上正确重新启动。
加入管理器无法正常工作,并且 UI 不可用。
解决办法:为外部 DNS 服务器配置所有管理器节点的正向和反向 DNS 条目。
-
问题 2719682:Avi 控制器中的计算字段未同步到策略上的意向,从而导致在 Avi UI 和 NSX-T UI 上显示的数据存在差异。
Avi 控制器中的计算字段在 NSX-T UI 上显示为空白。
解决办法:使用应用程序切换器检查 Avi UI 中的数据。
-
问题 2792485:显示 NSX Manager IP,而不是 vCenter 中安装的管理器的 FQDN。
vCenter 中集成的 NSX-T UI 显示 NSX Manager IP,而不是安装的管理器的 FQDN。
解决办法:无。
-
问题 2799371:即使 L2 VPN 和 IPSec 会话已启动,也不会清除 L2 VPN 的 IPSec 警报。
除了看到不必要的未解决警报以外,对功能没有任何影响。
解决办法:手动解决警报。
-
问题 2838613:对于低于 7.0.3 的 ESX 版本,在集群上安装安全功能后,在从 6.5 升级到更高版本的 VDS 上未启用 NSX 安全功能。
在从 6.5 升级到更高版本 (6.6+) 的 VDS 连接的虚拟机上未启用 NSX 安全功能,在该 VDS 中支持 vSphere DVPortgroup 上的 NSX 安全功能。
解决办法:在升级 VDS 后,重新引导主机,并打开虚拟机电源以在虚拟机上启用安全功能。
-
问题 2848614:在将 MP 加入 MP 集群时,如果在 MP 集群上设置了 publish_fqdns,并且在外部 DNS 服务器中缺少正向或反向查找条目或加入节点缺少 dns 条目,则不会为加入节点生成正向或反向警报。
即使在 DNS 服务器中缺少正向/反向查找条目或加入节点缺少 dns 条目,也不会为加入节点生成正向/反向警报。
解决办法:为具有正向和反向 DNS 条目的所有管理器节点配置外部 DNS 服务器。
-
问题 2853889:在创建 EVPN 租户配置(使用 vlan-vni 映射)时,创建了子分段,但子分段的实现状态变为失败,并在大约 5 分钟后自动恢复。
实现 EVPN 租户配置将需要 5 分钟的时间。
解决办法:无。等待 5 分钟。
-
问题 2866682:在 Microsoft Azure 中,如果在 SUSE Linux Enterprise Server (SLES) 12 SP4 工作负载虚拟机上启用了加速网络并安装了 NSX 代理,则以太网接口不会获得 IP 地址。
虚拟机代理无法启动,并且虚拟机变为未管理状态。
解决办法:禁用加速网络。
-
问题 2868944:将超过 1,000 个 DFW 规则从 NSX for vSphere 迁移到 NSX-T Data Center 时,不会显示 UI 反馈,但将区域拆分为具有 1,000 个或更少规则的区域。
未显示 UI 反馈。
解决办法:检查日志。
-
问题 2870085:为所有规则启用/禁用日志记录的安全策略级别日志记录不起作用。
您无法通过更改安全策略的“logging_enabled”来更改所有规则的日志记录。
解决办法:修改每个规则以启用/禁用日志记录。
-
问题 2871440:对于使用 vSphere dvPortGroups 上的 NSX 安全功能保护的工作负载,在通过 vMotion 移到与已关闭 NSX Manager 连接的主机时,将丢失其安全设置。
对于安装了 vSphere dvPortGroups 上的 NSX 安全功能的集群,如果虚拟机通过 vMotion 移到与已关闭 NSX Manager 连接的主机,其将不会实施其 DFW 和安全规则。重新建立与 NSX Manager 的连接时,将会重新实施这些安全设置。
解决办法:在 NSX Manager 关闭时,不要通过 vMotion 移到受影响的主机。如果其他 NSX Manager 节点正常运行,请使用 vMotion 将虚拟机移动到另一个已连接到正常 NSX Manager 的主机。
-
问题 2871585:对于低于 7.0.3 的 DVS 版本,在使用 DVS 的集群上启用 vSphere DVPortgroup 上的 NSX 安全功能后,允许从 DVS 中移除主机和删除 DVS。
您可能需要解决传输节点或集群配置中的任何问题,这些问题是由于从 DVS 中移除主机或删除 DVS 引起的。
解决办法:无。
-
问题 2877776:与 controller-info.xml 文件相比,“get controllers”输出可能会显示有关非主控制器的失效信息。
该 CLI 输出令人困惑。
解决办法:在该 TN 上重新启动 nsx-proxy。
-
问题 2879133:恶意软件防护功能最多可能需要 15 分钟才能开始工作。
在首次配置恶意软件防护功能时,最多可能需要 15 分钟的时间以初始化该功能。在该初始化期间,不会进行恶意软件分析,但没有迹象表明正在进行初始化。
解决办法:等待 15 分钟。
-
问题 2889482:更新已发现端口的分段配置文件时,显示错误的保存确认信息。
策略 UI 允许编辑发现的端口,但在更新分段配置文件后,不会为端口更新请求发送更新后的绑定映射。单击“保存”后,将显示一条误报消息。已发现端口的分段似乎已更新,但实际上并未更新。
解决办法:使用 MP API 或 UI 更新已发现端口的分段配置文件。
-
问题 2898020:传输节点的状态中显示错误“FRR 配置失败:: ROUTING_CONFIG_ERROR (-1)”(FR1R config failed::ROUTING_CONFIG_ERROR (-1))。
Edge 节点拒绝配置了拒绝操作的路由映射序列,该操作将多个社区属性列表连接到其匹配条件。如果 Edge 节点没有管理员预期的配置,则会导致意外行为。
解决办法:无。
-
问题 2910529:DHCP 分配后,Edge 会丢失 IPv4 地址。
在安装 Edge 虚拟机并从 DHCP 服务器收到 IP 后,Edge 会在短时间内丢失 IP 地址并变得无法访问。这是因为 DHCP 服务器未提供网关,因此 Edge 节点会丢失 IP。
解决办法:确保 DHCP 服务器提供正确的网关地址。如果未提供,请执行以下步骤:
-
以 admin 身份登录到 Edge 虚拟机的控制台。
-
停止服务数据平面。
-
设置 interface <mgmt intf> dhcp plane mgmt。
-
启动服务数据平面。
-
-
问题 2919218:在 MC 服务重新启动后,对主机迁移所做的选择将重置为默认值。
重新启动 MC 服务后,之前所做的与主机迁移相关的所有选择(例如启用或禁用集群、迁移模式、集群迁移顺序等)都将重置为默认值。
解决办法:确保在重新启动 MC 服务后再次执行与主机迁移相关的所有选择。
-
问题 2942900:Active Directory 查询超时后,身份防火墙无法正常运行,从而无法进行事件日志抓取。
身份防火墙发出递归 Active Directory 查询以获取用户的组信息。Active Directory 查询可能会超时,并显示命名异常“LDAP 响应读取超时,已用超时: 60000 ms”(LDAP response read timed out, timeout used: 60000 ms)。因此,不会使用事件日志采集器 IP 地址填充防火墙规则。
解决办法:要缩短递归查询时间,Active Directory 管理员可以对 AD 对象进行组织并编制索引。
-
问题 2954520:在从策略创建分段并从 MP 配置网桥时,从 UI 中与桥接断开连接的选项对该分段上不可用。
如果分段是从策略创建的并且从 MP 配置了网桥,则无法从 UI 与桥接断开连接或对其进行更新。
如果从策略端创建分段,建议您仅从策略端配置桥接。同样,如果从 MP 端创建逻辑交换机,则应仅从 MP 端配置桥接。
解决办法:使用 API 移除桥接。
1.更新相关的逻辑端口并移除连接。
PUT :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>将此内容添加到 PUT 负载标头字段中的标头 -> X-Allow-Overwrite : true
2. 删除网桥端点
DELETE :: https://<mgr-ip>/api/v1/bridge-endpoints/<bridge-endpoint-id>3.删除逻辑端口
DELETE :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id> -
问题 3030847:VRF BGP 配置中的更改不会始终生效。
在 VRF 内的 BGP 配置中所做的更改不会始终生效。
解决办法:可以创建一个虚拟静态路由并将其移除。这将导致配置推送以在 Edge 上实现 VRF BGP 配置。
-
问题 3005685:将 Open ID Connect 连接配置为 NSX LM 身份验证提供程序时,客户可能会遇到错误。
在配置 OpenID Connect 时产生错误。
解决办法:无。
-
问题 2949575:从集群中移除一个 Kubernetes 工作节点后,如果事先没有在其上引流 Pod,则 Pod 会永远陷入 Terminating 状态。
NSX Application Platform 及其上的应用程序可能只有部分功能可正常运行,或者无法按预期运行。
解决办法:使用以下信息手动删除每个显示 Terminating 状态的 Pod。
-
从 NSX Manager 或运行程序 IP 主机(即可从中访问 Kubernetes 集群的 Linux 跳转主机)中,运行以下命令以列出所有处于 Terminating 状态的 Pod。
kubectl get pod -A | grep Terminating -
使用以下命令删除列出的每个 Pod。
kubectl delete pod <pod-name> -n <pod-namespace> --force --grace-period=0
-
-
问题 3017840:更改上行链路 IP 地址后,不会发生 Edge 切换。
错误的 HA 状态可能会导致流量黑洞。
解决办法:切换 BFD 状态。在更改 Edge 的上行链路 IP 之前,将 Edge 置于维护模式。
