VMware NSX Data Center for vSphere 6.4.4 | Freigegeben am 13. Dezember 2018 | Build 11197766 Siehe den Revisionsverlauf dieses Dokuments.

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

• Neuigkeiten
• Versionen, Systemanforderungen und Installation
• Eingestellte und nicht fortgeführte Funktionalität
• Upgrade-Hinweise
• FIPS-Konformität
• Revisionsverlauf
• Behobene Probleme
• Bekannte Probleme

Neuigkeiten in NSX Data Center for vSphere 6.4.4

Wichtiger Hinweis: NSX for vSphere wird nun als NSX Data Center for vSphere bezeichnet.

In NSX Data Center for vSphere 6.4.4 wurden Verbesserungen in Bezug auf Nutzbarkeit und Betriebsfähigkeit vorgenommen, und einige von Kunden gemeldete Probleme wurden behoben. Weitere Informationen dazu finden Sie unter Behobene Probleme.

Änderungen in NSX Data Center for vSphere 6.4.4:

NSX-Benutzeroberfläche

• VMware NSX – Funktionalitätsaktualisierungen für vSphere Client (HTML): Die folgenden VMware NSX-Funktionen sind jetzt über den vSphere Client verfügbar: Logische Switches, Edge-Appliance-Verwaltung, Edge-Dienste (DHCP, NAT), Edge-Zertifikate, Edge-Gruppierungsobjekte Eine Liste der unterstützten Funktionalität finden Sie unter VMware NSX for vSphere-UI-Plug-In-Funktionalität im vSphere Client.

Netzwerk- und Edge-Dienste

• Statische Routen pro Edge-Dienst-Gateway: Erhöhung von 2048 auf 10.240 statische Routen für Quad Large- und X-Large-Edge Service Gateways

Versionen, Systemanforderungen und Installation

Hinweis:

• In der folgenden Tabelle sind empfohlene Versionen von VMware-Software aufgelistet. Diese Empfehlungen sind allgemeiner Natur. Umgebungsspezifische Empfehlungen haben demgegenüber Vorrang.

• Diese Informationen sind auf dem Stand des Veröffentlichungsdatums dieses Dokuments.

• Die unterstützten Mindestversionen von NSX und anderen VMware-Produkten entnehmen Sie der VMware-Produkt-Interoperabilitätsmatrix. Die Einstufung als unterstützte Mindestversionen durch VMware erfolgt auf der Basis interner Tests.

Produkt oder Komponente	Version
NSX Data Center for vSphere	VMware empfiehlt die neueste NSX-Version für neue Bereitstellungen. Wenn Sie für vorhandene Bereitstellungen ein Upgrade durchführen möchten, lesen Sie bitte die Versionshinweise zu NSX Data Center for vSphere oder wenden Sie sich an einen Mitarbeiter des technischen Supports von VMware für weitere Informationen zu spezifischen Problemen, bevor Sie ein Upgrade planen.
vSphere	Für vSphere 6.0: Mindestens unterstützt: 6.0 Update 2 Empfohlen: 6.0 Update 3 vSphere 6.0 Update 3 behebt das Problem der doppelten VTEPs in ESXi-Hosts nach dem Neustart von vCenter Server. Weitere Informationen dazu enthält der VMware-Knowledgebase-Artikel 2144605. Für vSphere 6.5: Mindestens unterstützt: 6.5a Empfohlen: 6.5 Update 2 vSphere 6.5 Update 1 behebt das Problem des OutOfMemory-Fehlers bei EAM. Weitere Informationen dazu enthält der VMware-Knowledgebase-Artikel 2135378. Wenn Sie Multicast-Routing mit vSphere 6.5 verwenden, wird das vSphere 6.5-Update 2 empfohlen. Bei Verwendung von NSX Guest Introspection auf vSphere 6.5 wird vSphere 6.5 P03 empfohlen. Für vSphere 6.7 Mindestens unterstützt: 6.7 Empfohlen: 6.7 Update 1 Wichtiger Hinweis:  Wenn Sie NSX Guest Introspection auf vSphere 6.7 verwenden, lesen Sie Knowledgebase-Artikel 57248, bevor Sie ein Upgrade auf NSX 6.4.4 vornehmen, und wenden Sie sich an den VMware-Kundensupport. Wenn Sie ein Upgrade für eine vorhandene vSphere-Installation auf vSphere 6.7 durchführen, dürfen Sie für vSphere Distributed Switches kein Upgrade auf 6.6 durchführen. (Weitere Informationen finden Sie unter Problem 2197754.)  Hinweis: vSphere 5.5 wird mit NSX 6.4 nicht unterstützt.
Guest Introspection für Windows	Es werden alle Versionen von VMware Tools unterstützt. Für einige Guest Introspection-basierte Funktionen sind neuere Versionen von VMware Tools erforderlich: Verwenden Sie VMware Tools 10.0.9 und 10.0.12 für die Aktivierung der optionalen, in VMware Tools enthaltenen Thin Agent-Komponente des Netzwerk-Introspektions-Treibers. Führen Sie ein Upgrade auf VMware Tools 10.0.8 und höher für die Behebung des Problems verlangsamter VMs nach dem Upgrade von VMware Tools in NSX/vCloud Networking and Security durch (siehe VMware-Knowledgebase-Artikel 2144236). Verwenden Sie VMware Tools 10.1.0 und höher zur Unterstützung von Windows 10. Verwenden Sie VMware Tools 10.1.10 und höher zur Unterstützung von Windows Server 2016.
Guest Introspection für Linux	Diese NSX-Version unterstützt die folgenden Linux-Versionen: RHEL 7 GA (64 Bit) SLES 12 GA (64 Bit) Ubuntu 14.04 LTS (64 Bit)

Systemanforderungen und Installation

Eine vollständige Liste der NSX-Installationsvoraussetzungen finden Sie im Abschnitt Systemvoraussetzungen für NSX im Installationshandbuch für NSX.

Anweisungen zur Installation erhalten Sie im Installationshandbuch für NSX oder im Installationshandbuch zu Cross-vCenter NSX.

Eingestellte und nicht fortgeführte Funktionalität

Warnungen zum Ende der Lebensdauer und des Supports

Informationen zu NSX- und anderen VMware-Produkten, für die demnächst ein Upgrade durchgeführt werden muss, finden Sie unter der VMware-Lebenszyklus-Produktmatrix.

• Für NSX for vSphere 6.1.x gilt als Ende der Verfügbarkeit (EOA, End of Availability) und des allgemeinen Supports (EOGS, End of General Support) der 15. Januar 2017. (Informationen hierzu finden Sie auch im VMware-Knowledgebase-Artikel 2144769.)

• vCNS-Edges werden nicht mehr unterstützt. Vor dem Upgrade auf NSX 6.3 oder höher müssen Sie zuerst ein Upgrade auf ein NSX Edge durchführen.

• NSX for vSphere 6.2.x erreicht das Ende des allgemeinen Supports (End of General Support, EOGS) am 20. August 2018.

• Gemäß Sicherheitsempfehlungen wird 3DES als Verschlüsselungsalgorithmus im NSX Edge-IPsec-VPN-Dienst nicht mehr unterstützt.
  Es wird empfohlen, dass Sie zu einer der sicheren im IPsec-Dienst verfügbaren Verschlüsselungen wechseln. Diese Änderung in Bezug auf den Verschlüsselungsalgorithmus gilt für IKE SA (Phase 1) als auch für die Aushandlung der IPSec SA (Phase 2) für eine IPSec-Site.
   
  Wenn der 3DES-Verschlüsselungsalgorithmus zum Zeitpunkt des Upgrades auf die Version, in der er nicht mehr unterstützt wird, vom NSX Edge-IPSec-Dienst verwendet wird, wird er durch eine andere empfohlene Verschlüsselung ersetzt. IPSec-Sites, die 3DES verwenden, werden deshalb nicht gestartet, solange die Konfiguration auf dem Remote-Peer nicht so geändert wird, dass der Verschlüsselungsalgorithmus mit dem in NSX Edge verwendeten Verschlüsselungsalgorithmus übereinstimmt.
   
  Wenn Sie 3DES-Verschlüsselung verwenden, passen Sie den Verschlüsselungsalgorithmus in der IPsec-Site-Konfiguration an, um 3DES durch eine der unterstützten AES-Varianten zu ersetzen (AES/AES256/AES-GCM). So sollte beispielsweise in jeder IPSec-Site-Konfiguration mit 3DES als Verschlüsselungsalgorithmus dieser durch AES ersetzt werden. Aktualisieren Sie entsprechend die IPSec-Konfiguration am Peer-Endpoint.

Allgemeine Änderungen des Verhaltens

Wenn Sie über mehr als einen vSphere Distributed Switch verfügen und wenn VXLAN auf einem von ihnen konfiguriert ist, müssen Sie alle Distributed Logical Router-Schnittstellen mit Portgruppen auf diesem vSphere Distributed Switch verbinden. Ab der Version NSX 6.4.1 wird diese Konfiguration in der Benutzeroberfläche und API erzwungen. In früheren Versionen wurden Sie nicht daran gehindert, eine ungültige Konfiguration zu erstellen.  Wenn Sie ein Upgrade auf NSX 6.4.1 oder höher durchführen und über falsch verbundene DLR-Schnittstellen verfügen, müssen Sie dieses Problem beheben. Nähere Informationen dazu finden Sie in den Upgrade-Hinweisen.

Entfernung von Elementen und Änderungen an der Benutzeroberfläche

In NSX 6.4.1 wurde die Service Composer-Arbeitsfläche entfernt.

Änderungen am Installationsverhalten

Ab Version 6.4.2 ist die empfangsseitige Skalierung (Receive Side Scaling, RSS) bei einer Installation von NSX Data Center for vSphere auf Hosts, die über physische Netzwerkkarten (NICs) mit ixgbe-Treibern verfügen, auf den ixgbe-Treibern nicht standardmäßig aktiviert. Sie müssen RSS manuell auf den Hosts aktivieren, bevor Sie NSX Data Center installieren. Achten Sie darauf, RSS nur auf den Hosts zu aktivieren, die Netzwerkkarten (NICs) mit ixgbe-Treibern haben. Detaillierte Anweisungen zum Aktivieren von RSS finden Sie im VMware-Knowledgebase-Artikel https://kb.vmware.com/s/article/2034676. In diesem Knowledgebase-Artikel werden die empfohlenen RSS-Einstellungen für verbesserten VXLAN-Paketdurchsatz beschrieben.

Dieses neue Verhalten tritt nur auf, wenn Sie eine Neuinstallation von Kernel-Modulen (VIB-Dateien) auf den ESXi-Hosts durchführen. Es sind keine Änderungen erforderlich, wenn Sie für von NSX verwaltete Hosts ein Upgrade auf 6.4.2 durchführen.

Entfernung von APIs und Änderungen des Verhaltens

Veraltete Elemente in NSX 6.4.2

Das folgende Element ist veraltet und wird in einer künftigen Version möglicherweise entfernt:

• GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog. Verwenden Sie stattdessen GET/PUT /api/2.0/vdn/controller/cluster/syslog.

Änderungen des Verhaltens in NSX 6.4.1

Wenn Sie einen neuen IP-Pool mit POST /api/2.0/services/ipam/pools/scope/globalroot-0 erstellen oder einen bestehenden IP-Pool mit PUT /api/2.0/services/ipam/pools/ ändern und im Pool mehrere IP-Bereiche definiert sind, erfolgt eine Validierung, um sicherzustellen, dass die Bereiche sich nicht überlappen. Diese Validierung wurde zuvor nicht durchgeführt.

Veraltete Elemente in NSX 6.4.0
Die folgenden Elemente sind veraltet und werden in einer künftigen Versionen möglicherweise entfernt.

• Der Parameter systemStatus in GET /api/4.0/edges/edgeID/status ist veraltet.
• GET /api/2.0/services/policy/serviceprovider/firewall/ ist veraltet. Verwenden Sie stattdessen GET /api/2.0/services/policy/serviceprovider/firewall/info.
• Die Einstellung tcpStrict im globalen Konfigurationsbereich von „Verteilte Firewall“ ist veraltet. Ab Version NSX 6.4.0 wird tcpStrict auf Abschnittsebene definiert. Anmerkung: Wenn Sie ein Upgrade auf NSX 6.4.0 oder höher durchführen, wird die globale Konfigurationseinstellung für tcpStrict verwendet, um tcpStrict in jedem bestehenden Abschnitt der Ebene 3 zu konfigurieren. tcpStrict wird in Abschnitten der Ebene 2 und in Umleitungsabschnitten der Ebene 3 auf „false“ gesetzt. Weitere Informationen finden Sie im API-Handbuch zu NSX im Abschnitt zum Arbeiten mit der Konfiguration der verteilten Firewall.

Änderungen des Verhaltens in NSX 6.4.0
In NSX 6.4.0 ist der Parameter <name> erforderlich, wenn Sie einen Controller mit POST /api/2.0/vdn/controller erstellen.

In NSX 6.4.0 werden folgende Änderungen in Bezug auf die Fehlerbehandlung eingeführt:

• Bisher gab POST /api/2.0/vdn/controller die Antwort 201 Created zurück, um anzugeben, dass der Auftrag zum Erstellen des Controllers durchgeführt wurde. Doch das Erstellen des Controllers konnte trotzdem fehlgeschlagen sein. Ab Version NSX 6.4.0 lautet die Antwort 202 Accepted.
• Wenn Sie bisher eine API-Anforderung gesendet haben, die im Übergangsmodus oder im eigenständigen Modus nicht zulässig ist, lautete der Antwortstatus 400 Bad Request. Ab Version 6.4.0 lautet der Antwortstatus 403 Forbidden.

Entfernungen von CLI und Änderungen des Verhaltens

Verwenden Sie keine nicht unterstützten Befehle auf NSX Controller-Knoten
Es sind nicht dokumentierte Befehle zur Konfiguration von NTP und DNS auf NSX Controller-Knoten vorhanden. Diese Befehle werden nicht unterstützt und dürfen nicht auf NSX Controller-Knoten verwendet werden. Es stehen nur diejenigen Befehle zur Verfügung, die im NSX-CLI-Handbuch dokumentiert sind.

Upgrade-Hinweise

• Allgemeine Upgrade-Hinweise
• Upgrade-Hinweise für NSX-Komponenten
• Upgrade-Hinweise für FIPS

Hinweis: Eine Liste der bekannten Probleme, die Auswirkungen auf die Installation und auf Upgrades haben, finden Sie unter Bekannte Installations- und Upgrade-Probleme.

Allgemeine Upgrade-Hinweise

• Für das Upgrade von NSX müssen Sie ein vollständiges NSX-Upgrade einschließlich eines Hostcluster-Upgrades durchführen (wobei die Host-VIBs aktualisiert werden). Anweisungen hierzu erhalten Sie im Upgrade-Handbuch für NSX im Abschnitt Aktualisieren der Hostcluster.

• Ein Upgrade von NSX-VIBs auf Host-Clustern mithilfe von VUM wird nicht unterstützt. Verwenden Sie zum Durchführen des Upgrades von NSX-VIBs auf Host-Clustern den Upgrade-Koordinator, die Hostvorbereitung oder die zugehörigen REST-APIs.

• Systemvoraussetzungen: Die Informationen zu den Systemanforderungen für die Installation und das Upgrade von NSX werden im Abschnitt Systemvoraussetzungen für NSX der NSX-Dokumentation dargestellt.

• Upgrade-Pfad für NSX: Die VMware-Produkt-Interoperabilitätsmatrix bietet Details zu den Upgrade-Pfaden von VMware NSX.

• Das Upgrade für Cross-vCenter NSX wird im Upgrade-Handbuch für NSX erläutert.

• Herabstufungen werden nicht unterstützt:

  • Führen Sie vor der Durchführung eines Upgrades immer eine Sicherung von NSX Manager durch.

  • Nach einem erfolgreichen Upgrade von NSX ist kein Downgrade von NSX möglich.

• Zur Überprüfung, ob Ihr Upgrade auf NSX 6.4.x erfolgreich durchgeführt wurde, finden Sie Erläuterungen im Knowledgebase-Artikel 2134525.

• Upgrades von vCloud Networking and Security auf NSX 6.4.x werden nicht unterstützt. Sie müssen zuerst ein Upgrade auf eine unterstützte 6.2.x-Version durchführen.

• Interoperabilität: Überprüfen Sie vor dem Upgrade die VMware-Produkt-Interoperabilitätsmatrix für alle betreffenden VMware-Produkte.
  • Upgrade auf NSX Data Center for vSphere 6.4: NSX 6.4 ist nicht mit vSphere 5.5 kompatibel.
  • Upgrade auf vSphere 6.5: Wenn Sie ein Upgrade auf vSphere 6.5a oder höhere 6.5-Versionen durchführen möchten, müssen Sie zuerst ein Upgrade auf NSX 6.3.0 oder höher vornehmen. NSX 6.2.x ist nicht mit vSphere 6.5 kompatibel. Weitere Informationen dazu finden Sie unter Upgrade von vSphere in einer NSX-Umgebung im Upgrade-Handbuch für NSX.
  • Upgrade auf vSphere 6.7: Wenn Sie ein Upgrade auf vSphere 6.7 durchführen möchten, müssen Sie zuerst ein Upgrade auf NSX 6.4.1 oder höher vornehmen. Frühere Versionen von NSX sind nicht mit vSphere 6.7 kompatibel. Weitere Informationen dazu finden Sie unter Upgrade von vSphere in einer NSX-Umgebung im Upgrade-Handbuch für NSX.
• Kompatibilität mit Partnerdiensten: Wenn Ihre Site VMware-Partnerdienste für Guest Introspection oder für die Netzwerk-Introspektion verwendet, müssen Sie mithilfe des VMware-Kompatibilitäts-Handbuchs vor dem Upgrade prüfen, ob der Dienst Ihres Anbieters mit dieser NSX-Version kompatibel ist.
• Networking & Security-Plug-In: Nach dem Upgrade von NSX Manager müssen Sie sich vom vSphere Web Client abmelden und wieder bei ihm anmelden. Wenn das NSX-Plug-In nicht ordnungsgemäß angezeigt wird, löschen Sie den Browser-Cache und den Verlauf. Wenn das Networking & Security-Plug-In nicht im vSphere Web Client angezeigt wird, setzen Sie den vSphere Web Client-Server wie im Upgrade-Handbuch für NSX beschrieben zurück.
• Zustandsfreie Umgebungen: Bei NSX-Upgrades in einer statusfreien Hostumgebung werden die neuen VIBs während des NSX-Upgrades im Vorfeld zum Host-Image-Profil hinzugefügt. Das Verfahren von NSX-Upgrades auf statusfreien Hosts muss daher in folgender Reihenfolge durchgeführt werden:

  In Versionen vor NSX 6.2.0 wurde eine einzelne URL in NSX Manager verwendet, über die VIBs für eine bestimmte Version von ESX Host ermittelt werden konnten. (Der Administrator musste also nur eine einzige URL kennen, unabhängig von der NSX-Version.) In NSX 6.2.0 und höher sind die neuen NSX-VIBs über mehrere URLs verfügbar. Führen Sie die folgenden Schritte aus, um die richtigen VIBs zu ermitteln:

  1. Suchen Sie unter https://<nsxmanager>/bin/vdn/nwfabric.properties nach der neuen VIB-URL.
  2. Rufen Sie die VIBs der erforderlichen ESX-Hostversion über die jeweilige URL ab.
  3. Fügen Sie sie zu einem Image-Profil hinzu.

Upgrade-Hinweise für NSX-Komponenten

Unterstützung für VM-Hardwareversion 11 für NSX-Komponenten

• Für neue Installationen von NSX Data Center for vSphere 6.4.2 gilt für die NSX-Komponenten (Manager, Controller, Edge, Guest Introspection) die VM-Hardwareversion 11.
• Bei Upgrades auf NSX Data Center for vSphere 6.4.2 wird für die NSX Edge- und Guest Introspection-Komponenten automatisch ein Upgrade auf VM-Hardwareversion 11 vorgenommen. Die NSX Manager- und NSX Controller-Komponenten weisen auch nach einem Upgrade die VM-Hardwareversion 8 auf. Benutzer haben die Möglichkeit, für die VM-Hardware ein Upgrade auf Version 11 vorzunehmen. Informationen zum Upgrade von VM-Hardwareversionen finden Sie in der KB (https://kb.vmware.com/s/article/1010675).
• Für neue Installationen von NSX 6.3.x, 6.4.0 und 6.4.1 gilt für die NSX-Komponenten (Manager, Controller, Edge, Guest Introspection) die VM-Hardwareversion 8.

NSX Manager-Upgrade

• Wichtiger Hinweis: Wenn Sie für NSX 6.2.0, 6.2.1 oder 6.2.2 ein Upgrade auf NSX 6.3.5 oder höher durchführen, müssen Sie vor Beginn des Upgrades eine Problemumgehung durchführen. Details finden Sie im VMware-Knowledgebase-Artikel 000051624.

• Wenn Sie ein Upgrade von NSX 6.3.3 auf NSX 6.3.4 oder höher durchführen möchten, müssen Sie zunächst die Anweisungen zur Problemumgehung im VMware-Knowledgebase-Artikel 2151719 befolgen.

• Wenn Sie SFTP für NSX-Sicherungen verwenden, ändern Sie nach dem Upgrade auf Version 6.3.0 oder höher den Sicherheitsalgorithmus auf hmac-sha2-256, da hmac-sha1 nicht unterstützt wird. Eine Liste der unterstützten Sicherheitsalgorithmen finden Sie im VMware-Knowledgebase-Artikel 2149282 .

• Beim Upgrade von NSX Manager auf NSX 6.4.1 wird automatisch eine Sicherung erstellt und als Teil des Upgrade-Vorgangs lokal gespeichert. Weitere Informationen finden Sie unter Upgrade von NSX Manager.

• Wenn Sie ein Upgrade auf NSX 6.4.0 durchführen, werden die TLS-Einstellungen beibehalten. Wenn Sie nur TLS 1.0 aktiviert haben, werden die NSX-Plug-Ins in vSphere Web Client angezeigt, NSX Manager sind aber nicht sichtbar. Dies hat keine Auswirkung auf den Datenpfad, es kann jedoch auch keine NSX Manager-Konfiguration geändert werden. Melden Sie sich bei der Web-Benutzeroberfläche für das NSX-Appliance-Management unter https://nsx-mgr-ip/ an und aktivieren Sie TLS 1.1 und TLS 1.2. Damit wird die NSX Manager-Appliance neu gestartet.

Controller-Upgrade

• Der NSX Controller-Cluster muss drei Controller-Knoten enthalten. Bei weniger als drei Controllern müssen Sie die entsprechende Anzahl an Controllern vor dem Start des Upgrades hinzufügen. Weitere Informationen finden Sie unter Bereitstellen des NSX Controller-Clusters.

• In NSX 6.3.3 hat sich das zugrunde liegende Betriebssystem des NSX Controllers geändert. Bei einem Upgrade von NSX 6.3.2 oder früher auf NSX 6.3.3 oder höher wird deshalb nicht die vorhandene Software aktualisiert. Es werden stattdessen die bestehenden Controller einzeln nacheinander gelöscht und neue Photon OS-basierte Controller bereitgestellt, die dieselben IP-Adressen verwenden.

  Wenn die Controller gelöscht werden, werden auch alle zugehörigen DRS-Anti-Affinitätsregeln gelöscht. Sie müssen neue Anti-Affinitätsregeln in vCenter erstellen, um zu verhindern, dass sich die neuen Controller-VMs auf demselben Host befinden.

  Weitere Informationen zu Controller-Upgrades finden Sie unter Upgrade von NSX Controller-Clustern.

Hostcluster-Upgrade

• Wenn Sie ein Upgrade von NSX 6.3.2 oder früher auf NSX 6.3.3 oder höher durchführen, ändern sich die NSX-VIB-Namen.
  Die esx-vxlan- und esx-vsip-VIBs werden mit esx-nsxv ersetzt, wenn Sie über NSX 6.3.3 oder höher verfügen, das auf ESXi 6.0 oder höher installiert ist.

• Upgrade ohne Neustart und Deinstallation auf den Hosts: Bei vSphere 6.0 und höher ist nach einem Upgrade von NSX 6.2.x auf NSX 6.3.x oder höher für alle nachfolgenden NSX-VIB-Änderungen kein Neustart erforderlich. Stattdessen müssen die Hosts in den Wartungsmodus wechseln, um die VIB-Änderung abzuschließen. Dies betrifft sowohl das NSX-Hostcluster-Upgrade als auch das ESXi-Upgrade. Weitere Informationen dazu finden Sie im Upgrade-Handbuch für NSX.

​Upgrade von NSX Edge

• Validierung in NSX 6.4.1 hinzugefügt, um ungültige Distributed Logical Router-Konfigurationen nicht zuzulassen: In Umgebungen, in denen VXLAN konfiguriert ist und mehr als ein vSphere Distributed Switch vorhanden ist, dürfen Distributed Logical Router-Schnittstellen nur mit dem VXLAN-konfigurierten vSphere Distributed Switch verbunden werden. Ein Upgrade von DLR auf NSX 6.4.1 oder höher schlägt in diesen Umgebungen fehl, wenn der DLR über Schnittstellen verfügt, die mit dem nicht für VXLAN konfigurierten vSphere Distributed Switch verbunden sind. Verwenden Sie die API für die Verbindung fälschlicherweise konfigurierter Schnittstellen mit Portgruppen am VXLAN-konfigurierten vSphere Distributed Switch. Sobald die Konfiguration gültig ist, wiederholen Sie das Upgrade. Sie können die Schnittstellenkonfiguration unter Verwendung von PUT /api/4.0/edges/{edgeId} oder PUT /api/4.0/edges/{edgeId}/interfaces/{index} ändern. Weitere Informationen dazu finden Sie im API-Handbuch zu NSX.

• Host-Cluster müssen vor dem Upgrade von NSX Edge-Appliances für NSX vorbereitet werden: Ab 6.3.0 wird eine Kommunikation der Managementebene zwischen NSX Manager und Edge über den VIX-Kanal ist nicht mehr unterstützt. Es wird nur der Nachrichtenbuskanal unterstützt. Wenn Sie ein Upgrade von NSX 6.2.x oder früher auf NSX 6.3.0 oder höher durchführen, müssen Sie sicherstellen, dass die Hostcluster, auf denen NSX Edge-Appliances bereitgestellt werden, für NSX vorbereitet sind und dass für die Messaging-Infrastruktur der Status GRÜN (GREEN) gilt. Wenn die Hostcluster nicht für NSX vorbereitet sind, schlägt das Upgrade der NSX Edge-Appliance fehl. Ausführliche Informationen finden Sie unter Upgrade von NSX Edge im Upgrade-Handbuch für NSX.

• Upgrade von Edge Services Gateway (ESG):
  Ab Version NSX 6.2.5 wird die Ressourcenreservierung gleichzeitig mit dem NSX Edge-Upgrade vorgenommen. Wenn vSphere HA auf einem Cluster aktiviert wird, der nicht über ausreichende Ressourcen verfügt, schlägt der Upgrade-Vorgang möglicherweise fehl, da vSphere HA-Einschränkungen verletzt werden.

  Um derartige Upgrade-Fehler zu vermeiden, führen Sie die folgenden Schritte durch, bevor Sie ein ESG-Upgrade vornehmen:

  Die folgenden Ressourcenreservierungen werden vom NSX Manager verwendet, sofern Sie nicht bei der Installation oder beim Upgrade ausdrücklich andere Werte festgelegt haben.

  NSX Edge Formfaktor	CPU-Reservierung	Arbeitsspeicherreservierung
  KOMPAKT	1000 MHz	512 MB
  GROSS	2000 MHz	1024 MB
  QUADLARGE	4000 MHz	2048 MB
  X-LARGE	6000 MHz	8192 MB

  1. Stellen Sie grundsätzlich sicher, dass Ihre Installation den Empfehlungen für vSphere HA entspricht. Erläuterungen dazu finden Sie im VMware-Knowledgebase-Artikel 1002080.

  2. Verwenden Sie die NSX-API für die Feinabstimmung der Konfiguration:
     PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
     Stellen Sie dabei sicher, dass die Werte für edgeVCpuReservationPercentage und edgeMemoryReservationPercentage in die verfügbaren Ressourcen für den Formfaktor passen (siehe Standardwerte in der Tabelle oben).

• Deaktivieren Sie die Startoption für die virtuelle Maschine von vSphere, sofern vSphere HA aktiviert ist und Edges bereitgestellt sind. Nach dem Upgrade von NSX Edges 6.2.4 oder früher auf die Version 6.2.5 oder höher müssen Sie die Startoption für die virtuelle Maschine von vSphere für jede NSX Edge-Instanz in einem Cluster deaktivieren, für den vSphere HA aktiviert ist und Edges bereitgestellt sind. Dazu müssen Sie den vSphere Web Client öffnen, den ESXi-Host ermitteln, auf dem sich die NSX Edge-VM befindet, auf „Verwalten“ > „Einstellungen“ klicken und unter „Virtuelle Maschinen“ die Option „VM starten/herunterfahren“ auswählen. Klicken Sie auf „Bearbeiten“ und stellen Sie sicher, dass sich die virtuelle Maschine im manuellen Modus befindet (d. h., sie darf nicht in der Liste „Automatisches Starten/Herunterfahren“ enthalten sein).

• Bevor Sie ein Upgrade auf NSX 6.2.5 oder höher vornehmen, stellen Sie sicher, dass alle Load-Balancer-Verschlüsselungslisten durch Doppelpunkte getrennt sind. Falls in Ihrer Verschlüsselungsliste ein anderes Trennzeichen als ein Komma verwendet wird, führen Sie einen PUT-Aufruf für https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles durch und ersetzen Sie jede <ciphers> </ciphers>-Liste in <clientssl> </clientssl> und <serverssl> </serverssl> durch eine durch Kommas getrennte Liste. Beispielsweise kann das betreffende Segment des Anforderungstextes das im Folgenden dargestellte Aussehen haben. Wiederholen Sie diesen Vorgang für alle Anwendungsprofile:

  <applicationProfile>
    <name>https-profile</name>
    <insertXForwardedFor>false</insertXForwardedFor>
    <sslPassthrough>false</sslPassthrough>
    <template>HTTPS</template>
    <serverSslEnabled>true</serverSslEnabled>
    <clientSsl>
      <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
      <clientAuth>ignore</clientAuth>
      <serviceCertificate>certificate-4</serviceCertificate>
    </clientSsl>
    <serverSsl>
      <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
      <serviceCertificate>certificate-4</serviceCertificate>
    </serverSsl>
    ...
  </applicationProfile>

• Legen Sie die richtige Verschlüsselungsversion für Clients mit Lastausgleichsdienst auf vROPs-Versionen vor 6.2.0 fest: vROPs-Poolmitglieder auf vROPs-Versionen vor 6.2.0 verwenden TLS-Version 1.0, weshalb Sie explizit einen Wert für die Überwachungserweiterung festlegen müssen, indem Sie die Einstellung "ssl-version=10" in der NSX-Load-Balancer-Konfiguration festlegen. Anweisungen dazu finden Sie unter Erstellen eines Dienstmonitors im Administratorhandbuch für NSX.

  {
      "expected" : null,
      "extension" : "ssl-version=10",
      "send" : null,
      "maxRetries" : 2,
      "name" : "sm_vrops",
      "url" : "/suite-api/api/deployment/node/status",
      "timeout" : 5,
      "type" : "https",
      "receive" : null,
      "interval" : 60,
      "method" : "GET"
  }

 

Upgrade-Hinweise für FIPS

Wenn Sie ein Upgrade von einer NSX-Version vor NSX 6.3.0 auf NSX 6.3.0 oder höher durchführen möchten, dürfen Sie den FIPS-Modus nicht vor dem Abschluss des Upgrades aktivieren. Wenn Sie den FIPS-Modus vor Abschluss des Upgrades aktivieren, wird die Kommunikation zwischen aktualisierten und nicht aktualisierten Komponenten unterbrochen. Weitere Informationen dazu finden Sie unter Grundlegendes zum FIPS-Modus und zum NSX-Upgrade im Upgrade-Handbuch für NSX.

• Auf OS X Yosemite und OS X El Capitan unterstützte Verschlüsselungen: Wenn Sie auf OS X 10.11 (EL Capitan) einen SSL-VPN-Client verwenden, können Sie mit den Verschlüsselungen AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA38, AES256-SHA und AES128-SHA eine Verbindung herstellen. Auf OS X 10.10 (Yosemite) haben Sie nur mit den Verschlüsselungen AES256-SHA und AES128-SHA die Möglichkeit, eine Verbindung herzustellen.

• Aktivieren Sie den FIPS-Modus erst, wenn das Upgrade auf NSX 6.3.x abgeschlossen ist. Weitere Informationen dazu finden Sie unter Grundlegendes zum FIPS-Modus und zum NSX-Upgrade im Upgrade-Handbuch für NSX.

• Vor der Aktivierung des FIPS-Modus müssen Sie sicherstellen, dass die Partnerlösungen für den FIPS-Modus zertifiziert sind. Informationen dazu finden Sie im VMware-Kompatibilitäts-Handbuch und in der jeweiligen Partnerdokumentation.

FIPS-Konformität

NSX 6.4 verwendet FIPS 140-2-validierte kryptografische Module für die gesamte sicherheitsbezogene Kryptografie, wenn diese korrekt konfiguriert sind.

Hinweis:

• Controller und Clustering-VPN: Der NSX Controller verwendet das IPSec-VPN zur Herstellung einer Verbindung mit Controller-Clustern. Das IPSec-VPN verwendet das VMware-Verschlüsselungsmodul für den Linux-Kernel (VMware Photon OS 1.0-Umgebung), das gerade der CMVP-Validierung unterzogen wird.
• Edge-IPSec-VPN: Das NSX Edge-IPSec-VPN verwendet das VMware-Verschlüsselungsmodul für den Linux-Kernel (VMware Photon OS 4.4-Umgebung), das gerade der CMVP-Validierung unterzogen wird.

Revisionsverlauf der Dokumente

13. Dez. 2018: Erste Auflage.

Behobene Probleme

Die behobenen Probleme werden in die im Folgenden aufgeführten Kategorien unterteilt.

• Allgemeine behobene Probleme
• Behobene Probleme bei logischen Netzwerken und NSX Edge
• Behobene Probleme beim NSX Manager

Allgemeine behobene Probleme

• Behobenes Problem 2089858: GI-SVM-Speichergrenzwerte bei hohen Netzwerkdurchsatz

  Hohe Arbeitsspeichernutzung auf GI-SVM beobachtet. Zeitweilig kann die Verbindung zu NSX Manager verloren gehen. Die auf den betroffenen Hosts ausgeführten Arbeitslasten der Kunden können beeinträchtigt werden.

• Behobenes Problem 2094345: Violetter Bildschirm auf dem Host, wenn die Flow-Erfassung in NSX aktiviert ist.

  Ausfall des Hosts mit violettem Bildschirm, der zum Verlust von Daten auf virtuellen Maschinen führt.

• Behobenes Problem 2177097: Die Verwendung des API-Aufrufs /api/2.0/vdn/config/segments zum Erstellen eines Pools mit einer Segment-ID schlägt fehl. Die Fehlermeldung „Segment-ID liegt außerhalb des Bereichs. Gültiger Bereich ist 5000 bis 16777215“ wird angezeigt

  Wenn Sie die API /api/2.0/vdn/config/segments verwenden und bei der Erstellung eines Segments mit nur einem Wert denselben Start- und Endwert angeben, schlägt dies mit einer Fehlermeldung fehl.

• Behobenes Problem 2178339: rsyslog 8.15.0-7.ph1 hat ExecReload-Zeile in systemd-Dienstdatei entfernt, sodass die Protokollrotation für /var/log/syslog und /var/log/messages nicht ordnungsgemäß ausgeführt wird

  Dies führt dazu, dass die /var/log-Partition den Festplattenspeicher zu 100 % beansprucht, sodass keine neuen Protokolle mehr erstellt werden können.

• Behobenes Problem 2188753: Synchronisierung des Bestands führt zur Ausnahme „Doppelter Schlüsselwert verletzt eindeutige Beschränkung“, wenn mehrere vNIC-Zuordnungen in der Tabelle „domain_object_relationships“ vorhanden sind

  Die Synchronisierung des Bestands schlägt fehl. Als Folge davon sind vCenter und NSX nicht mehr synchronisiert.

• Behobenes Problem 2194374: GI-USVM-SSH funktioniert nicht

  Einige ssh-Schlüssel, wie z. B. RSA, DSA, ECDSA und ED25519, werden nicht automatisch generiert.

• Behobenes Problem 2134192: Ein Fehler wird ausgelöst, wenn kein Port auf dem Switch vorhanden ist

  Wenn ein physischer Switch auf einem Hardware-Gateway keinen Port hat, löst NSX einen Fehler aus, wenn der Port vom Switch aus abgerufen werden soll. Beim Abrufen des Ports wird eine Fehlermeldung angezeigt, dass das Abrufen von Bestandsinformationen nicht möglich ist.

• Behobenes Problem 2183584: Sicherheitsgruppen, die in einer Application Rule Manager-Sitzung erstellt wurden, werden im Dropdown-Menü der Spalte „Angewendet auf“ der empfohlenen Regel nicht angezeigt.

  Sicherheitsgruppen, die in einer Application Rule Manager-Sitzung erstellt wurden, werden im Dropdown-Menü der Spalte „Angewendet auf“ der empfohlenen Regel nicht angezeigt.

   

• Behobenes Problem 2210313: Im Workflow „Synchronisierung erzwingen“ wird die Vererbung von Sicherheitsrichtlinien nicht berücksichtigt

  Wenn eine Sicherheitsrichtlinie von einer untergeordneten Richtlinie übernommen wird, werden die SGs der untergeordneten Richtlinie nach dem Erzwingen der Synchronisierung nicht als Richtliniensicherheitsgruppen für die übergeordnete Richtlinie betrachtet. Firewallregeln aus der übergeordneten Richtlinie werden nicht korrekt auf PSGs der untergeordneten Richtlinie angewendet.

• Behobenes Problem 2216582: Einige virtuelle Maschinen verlieren den AV-Schutz

  Aufgrund hoher Arbeitsspeichernutzung und geänderter VM-UUID kann die neue Konfiguration für die geänderte VM nicht angewendet werden. Einige virtuelle Maschinen verlieren den AV-Schutz.

• Behobenes Problem 2195346: Nach dem Löschen und Hinzufügen eines Controller-Clusters werden VDR-Instanzen von Hosts des sekundären Managers gelöscht.

  Verlust von Datenverkehr für etwa 40 Sekunden nach dem Löschen und Hinzufügen des Controller-Clusters

• Behobenes Problem 2213199: VM-Seite unter logischem Switch wird nicht geladen

  Die Benutzeroberfläche scheint nicht mehr zu reagieren. Alle VMs für einen logischen Switch können nicht angezeigt werden.

• Behobenes Problem 2172254: Wenn nur Bridging konfiguriert ist, wird „Aktiv/Aktiv“ gemeldet, während eine aktive Appliance erneut bereitgestellt wird.

  Dieselbe IP-Adresse wird möglicherweise von zwei Appliances (Aktiv/Aktiv-Szenario) gemeldet. Wenn jedoch ein einziger Uplink oder Routing auf dem DLR konfiguriert ist, tritt dieses Problem nicht auf. Wenn keine Uplinks konfiguriert sind, kein dynamisches Routing auf dem DLR aktiviert ist und nur eine L2-Bridge konfiguriert ist, kommt es zum Verlust von Datenverkehr und zu einem Aktiv/Aktiv-Szenario.

• Behobenes Problem 2018917: Hohe Anzahl von NSX-Sicherungsdateien führt zu einem unvorhersehbaren Verhalten

  Eine hohe Anzahl von NSX-Sicherungsdateien führt zu einem unvorhersehbaren Verhalten, einschließlich Fehlern bei der NSX-Bereitstellung und einer nicht mehr reagierenden Benutzeroberfläche.

Behobene Probleme bei logischen Netzwerken und NSX Edge

• Behobenes Problem 2158380: DNS-Suffix-Änderungen für SSL VPN werden nach der Abmeldung nicht zurückgesetzt.

  DNS-Suffix-Änderungen für Adapter werden nach der Abmeldung des sslvpn-Clients nicht zurückgesetzt. DNS-Auflösung funktioniert möglicherweise nicht wie erwartet.

• Behobenes Problem 2177891: Nach Behebung eines Edge-Fehlers wird möglicherweise ein unerwarteter Nexthop über Edge-BGP abgerufen

  Nach Behebung eines Edge-Fehlers wird möglicherweise ein unerwarteter Nexthop über Edge-BGP abgerufen. Abhängig von der Kundentopologie kann es zu Paketverlust kommen.

• Behobenes Problem 2178771: SSLVPN-Schnittstelle „na0“ verliert Gateway-IP-Adresse

  Die SSLVPN-Schnittstelle „na0“, die als Gateway für verbundene Clients fungiert, verliert ihre IP-Adresse, sodass der Clientdatenverkehr unterbrochen wird. Der Clientdatenverkehr wird nicht wie erwartet übertragen.

• Behobenes Problem 2192834: Bei dem Versuch, eine Appliance-Konfiguration zu löschen, ohne das deployAppliance-Flag zu verwenden, wird keine Lösung bereitgestellt

  Die Fehlermeldung ist unklar und bietet keine Lösung.

• Behobenes Problem 2126743: IP-Adresse von virtuellen Maschinen wird nicht in addrset veröffentlicht, wenn VMs zu einer Sicherheitsgruppe hinzugefügt werden

  Wenn eine virtuelle Maschine zu einer Sicherheitsgruppe hinzugefügt wird, wird die IP-Adresse der virtuellen Maschine nicht in addrset angezeigt. Der Datenverkehr schlägt fehl, da auf die VM keine ordnungsgemäße Richtlinie angewendet wird, auch wenn sie Teil einer ordnungsgemäß konfigurierten Sicherheitsgruppe ist.

• Behobenes Problem 2197442: Kennwort des BGP-Nachbarn für UDLR wird nicht auf sekundärem NSX Manager repliziert

  Routen werden nicht vom konfigurierten Nachbarn abgerufen.

• Behobenes Problem 2209469: Erstellungs-/Aktualisierungsvorgang auf Abschnittsebene wird nicht auf Edge veröffentlicht

  Die Abschnittsaktualisierung für das Edge verläuft erfolgreich, die Regeln werden jedoch auf Datenebene nicht aktualisiert.

• Behobenes Problem 2207483: Hohe Latenz sowohl für gerouteten O-W- als auch für gerouteten N-S-Datenverkehr

  Die Generierung von geroutetem Datenverkehr mit TxWorld von VM erfordert 100 % CPU, was zu hoher Latenz führt.

• Behobenes Problem 2192486: Multicast-Süd-Nord-Datenverkehrsweiterleitung wird nach dem Upgrade von NSX 6.4.2 auf 6.4.3 eingestellt, wenn das zugrunde liegende Unicast-Routing über statische Routen erfolgt und der HA-Modus deaktiviert ist.

  Wenn Sie Multicast-Streams zwischen einer Quelle innerhalb von NSX und Empfängern außerhalb von NSX ausführen, das zugrunde liegende Unicast-Routing über statische Routen erfolgt und Sie ein Upgrade von NSX 6.4.2 auf 6.4.3 vornehmen, wird die Datenverkehrsweiterleitung für die vorhandenen Multicast-Streams beendet. Multicast-Streams, die nach dem Upgrade erstellt wurden, sind nicht betroffen und werden weitergeleitet.

• Behobenes Problem 2185738: Schnittstelle kann nicht verwendet werden, wenn sie über eine IPv6-Adresse verfügt

  Interne Schnittstellen, die über eine IPv4-Adresse verfügen, werden aufgelistet, wenn sie jedoch außerdem eine IPv6-Adresse besitzen, wird ein Fehler generiert. Die DNS-Weiterleitungskonfiguration kann nicht auf eine Schnittstelle mit einer IPv6-Adresse angewendet werden.

• Behobenes Problem 2215061: NSX Edge verliert HA-Zustand nach DCN-Veröffentlichung, da die gleiche ApplianceConfig an beide VMs gesendet wird, wenn der Lastausgleich mit Gruppierungsobjekten konfiguriert und HA aktiviert ist

  HA ist nicht verbunden, was zu einem Split-Brain-Szenario führt.

• Behobenes Problem 2220327: Vom System verwaltete Ressourcenreservierung kann für Edge nicht festgelegt werden

  Bei Auswahl einer benutzerdefinierten Ressourcenreservierung für eine Edge-Instanz wird die vom System verwaltete Ressourcenreservierung im Menü der Benutzeroberfläche nicht angezeigt.

• Behobenes Problem 2220549: Validierung einer Firewallregel, die Gruppierungsobjekte nutzt, dauert zu lange und führt zu einer Zeitüberschreitung auf der Benutzeroberfläche

  Die Änderung einer Edge-Firewall-Konfiguration, für die Firewallregeln konfiguriert wurden, die Gruppierungsobjekte nutzen, dauert länger als zwei Minuten, was zu einer Zeitüberschreitung auf der Benutzeroberfläche führt.

Behobene Probleme beim NSX Manager

• Behobenes Problem 2220325: Tech-Support-Paket enthält Dateien mit Kennwörtern in Klartext

  Die Kennwörter für Postgres und RabbitMQ sind im Tech-Support-Paket in Klartext-Konfigurationsdateien verfügbar und können ohne Weiteres abgerufen werden.

• Behobenes Problem 2208178: Nach dem Neustart von NSX Manager wird auf der Registerkarte „Hostvorbereitung“ der Benutzeroberfläche angezeigt, dass die Aufgabe zur Installation von NSX-VIBs weiterhin ausgeführt wird

  Die Installation von NSX-VIBs wird vom EAM nicht gestartet.

Bekannte Probleme

Die bekannten Probleme gliedern sich in folgende Gruppen.

• Allgemeine bekannte Probleme
• Bekannte Installations- und Upgrade-Probleme
• Bekannte Probleme bei NSX Manager
• Probleme bei logischen Netzwerken und NSX Edge
• Bekannte Probleme bei Sicherheitsdiensten

Allgemeine bekannte Probleme

• Problem 2197754: Hosts zeigen violetten Diagnosebildschirm, wenn vSphere Distributed Switch auf 6.6 aktualisiert wird

  Wenn Sie NSX 6.4 installiert haben und ein Upgrade für vSphere Distributed Switches auf Version 6.6 durchführen, zeigt ESXi einen violetten Diagnosebildschirm an. Neue Installationen von vSphere 6.7 mit vSphere Distributed Switch 6.6 sind davon nicht betroffen.

  Problemumgehung: Verwenden Sie vSphere Distributed Switch Version 6.5 oder früher beim Upgrade auf vSphere 6.7.

• Wenn Sie in vSphere Web Client eine Flex-Komponente öffnen, die eine HTML-Ansicht überlagert, ist die Ansicht nicht sichtbar

  Wenn Sie eine Flex-Komponente, z. B. ein Menü oder ein Dialogfeld, öffnen, die eine HTML-Ansicht überlagert, wird die Ansicht vorübergehend ausgeblendet.
  (Referenz: http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)

  Problemumgehung: Keine. 

• Problem 2118255: DLR-Kontroll-VM nimmt nicht an Multicast-Routing teil

  DLR-Kontroll-VM nimmt nicht an Multicast-Routing teil. Für die gesamte mit Multicast in Verbindung stehende CLI wird in der Kontroll-VM eine leere CLI-Anzeige aufgeführt.

• Problem 2145540: Für die ESX-Version 6.7 kann die Gesamtanzahl an Underlay-Multicast-Gruppen, die durch einen Host verbunden sind, 128 nicht übersteigen.

  Es wird empfohlen, dass Sie einen Multicast-Bereich für die Replizierung von 64 oder weniger verwenden (CIDR /26 oder höher), wenn Sie Multicast-Routing für einen DLR konfigurieren.

• Problem 2189417: Anzahl der Ereignisprotokolle überschreitet den unterstützten Grenzwert

  Bei umfangreichen Ereignissen gehen einige verloren, was zu einem Verlust von IDFW-Funktionalität führt (nur bei physischen Arbeitslasten).

  Problemumgehung: Verringern Sie den Umfang der physischen Arbeitslast.

• Problem 2236618: Reaktionszeit von etwa 2 Minuten bei Konfigurationsvorgang für vNICs/Appliances auf ESG mit 10.000 statischen Routen

  Je mehr statische Routen vorhanden sind, desto länger dauert der Konfigurationsvorgang für vNICs/Appliances. Möglicherweise kommt es auf der Benutzeroberfläche bei der Konfiguration von vNICs/Teilschnittstellen/Appliances nach dem Erreichen des Grenzwerts von 2 Minuten zu einer Zeitüberschreitung, die Konfiguration wird jedoch erfolgreich durchgeführt.

  Problemumgehung: Aktualisieren Sie die Benutzeroberfläche, um den Status der Konfigurationsänderung anzuzeigen.

Bekannte Installations- und Upgrade-Probleme

Bevor Sie das Upgrade durchführen, lesen Sie den Abschnitt Upgrade-Hinweise weiter oben in diesem Dokument.

• Problem 2001988: Während eines NSX-Hostcluster-Upgrades wechselt der Installationsstatus für den gesamten Cluster auf der Registerkarte „Hostvorbereitung“ zwischen „Nicht bereit“ und „Wird installiert“, wenn jeder Host im Cluster aktualisiert wird

  Während eines NSX-Upgrades wird durch Klicken auf „Upgrade verfügbar“ ein Host-Upgrade für NSX-vorbereitete Cluster ausgelöst. Bei als „DRS FULL AUTOMATIC“ konfigurierten Clustern wechselt der Installationsstatus zwischen „Wird installiert“ und „Nicht bereit“, obwohl die Hosts im Hintergrund problemlos aktualisiert werden.

  Problemumgehung: Dieses Problem betrifft die Benutzeroberfläche und kann ignoriert werden. Warten Sie den Fortschritt des Hostcluster-Upgrades ab.

• Problem 1859572: Bei der Deinstallation von NSX-VIBs der Version 6.3.x auf ESXi-Hosts, die von vCenter Version 6.0.0 verwaltet werden, verbleibt der Host im Wartungsmodus
  Wenn Sie die NSX-VIBs der Version 6.3.x auf einem Cluster deinstallieren, gehört zum Workflow das Versetzen der Hosts in den Wartungsmodus, das Deinstallieren der VIBs und das anschließende Beenden des Wartungsmodus für die Hosts durch den EAM-Dienst. Wenn jedoch solche Hosts von vCenter Server Version 6.0.0 verwaltet werden, führt dies dazu, dass die Hosts nach der Deinstallation der VIBs im Wartungsmodus verbleiben. Der für die Deinstallation der VIBs vorgesehene EAM-Dienst versetzt die Hosts in den Wartungsmodus, ist aber nicht in der Lage, den Wartungsmodus für die Hosts wieder zu deaktivieren.

   

  Problemumgehung: Beenden Sie den Wartungsmodus für die Hosts manuell. Dieses Problem tritt nicht auf, wenn Hosts mit vCenter Server Version 6.5a und höher verwaltet werden.

• Problem 1263858: SSL VPN sendet keine Upgrade-Benachrichtigung an den Remote-Client

  SSL VPN-Gateway sendet keine Upgrade-Benachrichtigung an Benutzer. Der Administrator muss Remotebenutzern manuell mitteilen, dass das SSL VPN-Gateway (Server) aktualisiert wurde, und sie bitten, ihre Clients zu aktualisieren.

  Problemumgehung: Benutzer müssen die ältere Version des Client deinstallieren und die neuste Version manuell installieren.

• Problem 2106417: GI-SVM weist nach dem NSX Manager-Upgrade von 6.3.0 auf 6.4.1 den Status „Fehlgeschlagen“ auf

  Wenn Sie vCenter Server 6.5 u1 verwenden und für NSX Manager ein Upgrade von 6.3.0 auf 6.4.1 durchführen, schlägt das Upgrade für GI-SVM möglicherweise fehl.

  Problemumgehung: Wenn dieses Problem auftritt, löschen Sie die GI-SVMs und stellen Sie sie erneut bereit.

• Problem 2006028: Host-Upgrade schlägt möglicherweise fehl, wenn das vCenter Server-System während des Upgrades neu gestartet wird

  Wenn das zugeordnete vCenter Server-System im Verlauf eines Host-Upgrades neu gestartet wird, schlägt das Host-Upgrade möglicherweise fehl und der Host verbleibt im Wartungsmodus. Auch das Klicken auf „Auflösen“ beendet nicht den Wartungsmodus für den Host. Der Clusterstatus lautet „Nicht bereit“.

  Problemumgehung: Beenden Sie den Wartungsmodus für den Host manuell. Klicken Sie auf „Nicht bereit“ und dann auf dem Cluster auf „Alle auflösen“.

Bekannte Probleme bei NSX Manager

• Problem 2171182: Erstellen oder Verwalten mehrerer Replizierungscluster über die Registerkarte „Hardwaregeräte“ in der NSX-Benutzeroberfläche nicht möglich

  Über die NSX-Benutzeroberfläche können Sie einen einzigen standardmäßigen Replizierungscluster, doch nicht mehrere Replizierungscluster anzeigen und verwalten.

  Problemumgehung: Unterstützung für mehrere Replizierungscluster ist aktuell nur über die API verfügbar. Verwenden Sie die NSX API, um mehrere Replizierungscluster zu verwalten.

Probleme bei logischen Netzwerken und NSX Edge

• Problem 1747978: OSPF-Nachbarschaften werden mit der MD5-Authentifizierung nach einem NSX Edge-HA-Failover gelöscht
  Wenn in einer NSX for vSphere 6.2.4-Umgebung NSX Edge für eine Hochverfügbarkeit mit OSPF ein ordnungsgemäßer Neustart konfiguriert ist und MD5 für die Authentifizierung verwendet wird, kann OSPF nicht ordnungsgemäß neu starten. Es werden nur dann Nachbarschaften gebildet, wenn der Lebensdauer-Timer auf den OSPF-Nachbarschaftsknoten abgelaufen ist.

   

  Problemumgehung: Keine

• Problem 2005973: Routing-Daemon MSR verliert die gesamte Routing-Konfiguration, nachdem einige GRE-Tunnel gelöscht wurden und anschließend eine Synchronisierung des Edge-Knotens über die Managementebene erzwungen wurde

  Dieses Problem kann auf einem Edge mit BGP-Sitzungen über GRE-Tunnel auftreten. Wenn einige GRE-Tunnel gelöscht werden und dann eine erzwungene Synchronisierung des Edge über die Managementebene durchgeführt wird, verliert das Edge die gesamte Routing-Konfiguration.

  Problemumgehung: Starten Sie den Edge-Knoten neu.

• Problem 2005900: Routing-Daemon MSR auf Edge bleibt bei 100 % CPU-Auslastung stehen, wenn alle GRE-Tunnel in einer Skalierungstopologie mit 8-Wege-iBGP/Multihop-BGP-ECMP fluktuieren.

  Dieses Problem kann in einer Skalierungstopologie auftreten, für die iBGP oder Multihop-BGP auf ESG mit mehreren Nachbarn über viele GRE-Tunnel konfiguriert ist. Wenn mehrere GRE-Tunnel fluktuieren, bleibt MSR möglicherweise für unbestimmte Zeit bei 100 % der CPU-Auslastung hängen.

  Problemumgehung: Starten Sie den Edge-Knoten neu.

• Problem 2239686: Konfiguration von Multicast auf ESG (XLARGE oder QUADLARGE) mit 10.000 statischen Routen dauert etwa 2 Minuten

  Je mehr statische Routen konfiguriert werden, desto länger dauert die Konfiguration von BGP, OSPF bzw. die globale Routing-Konfiguration. Nachdem Multicast konfiguriert wurde, verläuft die anschließende Konfiguration von BGP, OSPF bzw. die globale Routing-Konfiguration erfolgreich, nimmt jedoch mehr Zeit in Anspruch. Möglicherweise kommt es bei der Konfiguration von BGP, OSPF bzw. der globalen Routing-Konfiguration nach Erreichen des Grenzwerts von 2 Minuten auf der Benutzeroberfläche zu einer Zeitüberschreitung, die Konfiguration wird jedoch erfolgreich durchgeführt. In solchen Fällen sollte die Benutzeroberfläche aktualisiert werden, um den Status der Konfigurationsänderung anzuzeigen.

  Problemumgehung:

  • Wenn Multicast NICHT konfiguriert ist, dann sind die Konfiguration von BGP, OSPF, statischen Routen und die globale Konfiguration innerhalb von 10 bis 20 Sekunden abgeschlossen.
  • Wenn Multicast nicht erforderlich ist, dann sollten Sie Multicast auch nicht konfigurieren.
  • Wenn Multicast konfiguriert ist, jedoch nicht benötigt wird, löschen Sie die Multicast-Konfiguration, um die Reaktionszeit zu verbessern.

Bekannte Probleme bei Sicherheitsdiensten

• Problem 1648578: NSX erzwingt das Hinzufügen von Cluster/Netzwerk/Speicher, wenn eine neue Host-basierte NetX-Dienstinstanz erstellt wird
  Wenn Sie über den vSphere Web Client eine neue Dienstinstanz für Host-basierte NetX-Dienste, beispielsweise eine Firewall, IDS und IPS, erstellen, werden Sie gezwungen, Cluster/Netzwerk/Speicher hinzuzufügen, auch wenn diese nicht erforderlich sind.

   

  Problemumgehung: Beim Erstellen einer neuen Dienstinstanz können Sie beliebige Informationen für Cluster/Netzwerk/Speicher angeben, um die Felder auszufüllen. Auf diese Weise ist es Ihnen möglich, die Dienstinstanz zu erstellen und wunschgemäß fortfahren.

• Problem 2018077: Firewallveröffentlichung schlägt fehl, wenn für die Regel ein benutzerdefinierter L7-ALG-Dienst ohne Zielport und Protokoll verwendet wird

  Wenn Sie einen L7-Dienst durch Auswählen einer der folgenden L7-ALG-APPs (APP_FTP, APP_TFTP, APP_DCERPC, APP_ORACLE) erstellen, ohne einen Zielport und ein Protokoll anzugeben, und diese dann in Firewallregeln verwenden, schlägt die Veröffentlichung der Firewallregeln fehl.

  Problemumgehung: Geben Sie die entsprechenden Werte für Zielport und Protokoll (TCP/UDP) beim Erstellen eines benutzerdefinierten L7-Dienstes für die folgenden ALG-Dienste an:

  • APP_FTP: Port 21-Protokoll: TCP
  • APP_TFTP: Port 69-Protokoll: UDP
  • APP_DCERPC: Port 135-Protokoll: TCP
  • APP_ORACLE: Port 1521-Protokoll: TCP