|
VMware NSX Container Plugin 3.0.1 | 30 de abril de 2020 | Compilación 16118386 Compruebe regularmente las adiciones y actualizaciones a este documento. |
Contenido de las notas de la versión
Las notas de la versión contienen los siguientes temas:
Novedades
- Compatibilidad con la conectividad de capa 3 e IPAM, la dirección IP del clúster de servicios y el equilibrio de carga en clústeres de Kubernetes IPv6.
- Compatibilidad con varias interfaces por PoD (funcionalidad similar a Multus)
- Compatibilidad con OpenShift Container Platform (OCP) 4
- Exponer las opciones de registro de reglas de DFW en ConfigMap de NCP
- Exponer la configuración del enrutador de nivel 1 en ConfigMap de NCP
- Exponer la configuración del perfil HTTP del equilibrador de carga para el dimensionamiento de encabezado y los tiempos de espera en ConfigMap de NCP
- Agregar compatibilidad con objetos CRD del equilibrador de carga en la API de Directiva
- Compatibilidad con X-Forwarded-Port
- Acceso directo a SSL (conmutación de host basado en SNI) y recifrado
- Mejoras al informar errores para el controlador de directivas de red
- Compatibilidad con la importación de objetos de Manager a Directiva
- Compatibilidad con multidifusión de capa 3 para cargas de trabajo de contenedor (solo topología de nivel 0 compartida de un solo nivel)
- Archivo YAML dedicado para implementaciones de NCP en modo Directiva
Requisitos de compatibilidad
| Producto | Versión |
|---|---|
| Mosaico de NCP/NSX-T para Tanzu Application Service (PCF) | 3.0.1 |
| NSX-T | 2.5.0, 2.5.1, 2.5.2, 2.5.2.2, 2.5.3, 3.0.0, 3.0.1 |
| vSphere | 6.7, 7.0 |
| Kubernetes | 1.17, 1.18 |
| OpenShift 3 | 3.11 |
| OpenShift 4 | RHCOS 4.3 |
| Sistema operativo de máquina virtual de host de Kubernetes | Ubuntu 16.04, Ubuntu 18.04, CentOS 7.7, RHEL 7.7, RHEL 7.8 Nota: Para RHEL 7.8, no se admite NSX-OVS. Solo es compatible con OVS ascendente. |
| Sistema operativo de máquina virtual de host de OpenShift | RHEL 7.6, RHEL 7.7 |
| OpenShift BMC (Quedará obsoleto en próximas versiones) |
RHEL 7.6, RHEL 7.7 |
| Tanzu Application Service (Pivotal Cloud Foundry) | Ops Manager 2.6 + PAS 2.6 Ops Manager 2.8 + PAS 2.8 Ops Manager 2.9 + PAS 2.9 |
Aviso de obsolescencia: VMware dejará ofrecer soporte para OpenShift nativo en próximas versiones.
Versiones desde las que se puede actualizar a esta versión:
- NCP 3.0 y todas las versiones NCP 2.5.x
Problemas resueltos
- Problema 2330811: Al crear servicios de Kubernetes de tipo equilibrador de carga mientras NCP está inactivo, es posible que no se creen los servicios cuando se reinicie NCP
Cuando se agotan los recursos de NSX-T para los servicios de Kubernetes de tipo equilibrador de carga, puede crear nuevos servicios después de eliminar algunos de los servicios existentes. Sin embargo, si elimina y crea los servicios mientras NCP está inactivo, NCP no podrá crear los nuevos servicios.
Solución alternativa: Cuando se agoten los recursos de NSX-T para los servicios de Kubernetes de tipo equilibrador de carga, no realice las operaciones de eliminación y creación mientras NCP está inactivo.
- Problema 2408100: En un clúster de Kubernetes de gran tamaño con varias instancias de NCP en el modo activo-en espera o con el sondeo de ejecución habilitado, el NCP se reinicia con frecuencia
En un clúster de Kubernetes de gran tamaño (alrededor de 25 000 pods, 2500 espacios de nombres y 2500 directivas de red), si varias instancias de NCP se ejecutan en modo activo-en espera o si el sondeo de ejecución está habilitado, es posible que los procesos de NCP se eliminen y se reinicien con frecuencia debido a un conflicto en la adquisición de bloqueo o a un error del sondeo de ejecución.
Solución alternativa: Realice los pasos siguientes:
- Establezca el valor 1 en
replicasde la implementación de NCP o aumente la opción de configuraciónha.master_timeouten ncp.ini de 18, el valor predeterminado, a 30. - Aumente los argumentos del sondeo de ejecución de la siguiente forma:
containers: - name: nsx-ncp livenessProbe: exec: command: - /bin/sh - -c - timeout 20 check_pod_liveness nsx-ncp initialDelaySeconds: 20 timeoutSeconds: 20 periodSeconds: 20 failureThreshold: 5
- Establezca el valor 1 en
- Problema 2517201: No se puede crear un pod en un host ESXi
Después de eliminar un host ESXi de un clúster de vSphere y volver a agregarlo al clúster, se produce un error al crear un pod en el host.
Solución alternativa: Reinicie NCP.
Problemas conocidos
- Problema 2131494: La entrada de Kubernetes de NGINX sigue funcionando después de cambiar la clase de entrada de NGINX a NSX
Cuando se crea una entrada de Kubernetes de NGINX, NGINX crea reglas de reenvío de tráfico. Si cambia la clase de entrada a cualquier otro valor, NGINX no elimina las reglas y las sigue aplicando, incluso si elimina la entrada de Kubernetes después de cambiar la clase. Esta es una limitación de NGINX.
Solución alternativa: Para eliminar las reglas creadas por NGINX, elimine la entrada de Kubernetes cuando el valor de clase sea NGINX. A continuación, vuelva a crear la entrada de Kubernetes.
- Para un servicio de Kubernetes de tipo ClusterIP, no se admite la afinidad de sesión basada en IP de cliente
NCP no es compatible con la afinidad de sesión basada en IP de cliente para un servicio de Kubernetes de tipo ClusterIP.
Solución alternativa: Ninguno
- Para un servicio de Kubernetes de tipo ClusterIP, no se admite la marca de modo horquilla
NCP no es compatible con la marca de modo horquilla para un servicio de Kubernetes de tipo ClusterIP.
Solución alternativa: Ninguno
- Problema 2192489: Después de deshabilitar 'BOSH DNS server’ en la configuración de director de PAS, el servidor DNS de Bosh (169.254.0.2) sigue apareciendo en el archivo resolve.conf del contenedor
En un entorno de PAS que ejecute PAS 2.2, después de deshabilitar 'BOSH DNS server’ en la configuración de director de PAS, el servidor DNS de Bosh (169.254.0.2) sigue apareciendo en el archivo resolve.conf del contenedor. Esto provoca que un comando de ping con un nombre de dominio completo tome mucho tiempo. Este problema no existe con PAS 2.1.
Solución alternativa: Ninguna. Este es un problema de PAS.
- Problema 2224218: Después de eliminar un servicio o una aplicación, son necesarios dos minutos para volver a liberar la IP de SNAT al grupo de direcciones IP
Si elimina un servicio o una aplicación, y vuelve a crearlos en menos de dos minutos, obtendrán una nueva IP de SNAT del grupo de direcciones IP.
Solución alternativa: Tras eliminar un servicio o una aplicación, espere dos minutos antes de volver a crearlos si desea volver a utilizar la misma dirección IP.
- Problema 2404302: Si hay varios perfiles de aplicaciones del equilibrador de carga para el mismo tipo de recurso (por ejemplo, HTTP) en NSX-T, NCP elegirá cualquiera de ellos para conectarse a los servidores virtuales.
Si hay varios perfiles de aplicaciones del equilibrador de carga de HTTP en NSX-T, NCP elegirá uno de ellos con la configuración de x_forwarded_for adecuada para asociarlo al servidor virtual HTTP y HTTPS. Si hay varios perfiles de aplicaciones de FastTCP y UDP en NSX-T, NCP elegirá cualquiera de ellos para conectarse a los servidores virtuales TCP y UDP, respectivamente. Es posible que los perfiles de aplicaciones del equilibrador de carga hayan sido creados por diferentes aplicaciones con diferentes configuraciones. Si NCP elige asociar uno de estos perfiles de aplicaciones del equilibrador de carga a los servidores virtuales creados por NCP, podría romper el flujo de trabajo de otras aplicaciones.
Solución alternativa: Ninguno
- Problema 2397621: Error de instalación de OpenShift 3
La instalación de OpenShift 3 espera que el estado de un nodo esté listo y esto es posible después de la instalación del complemento CNI. En esta versión, no hay ningún archivo del complemento CNI independiente, lo que provoca un error en la instalación de OpenShift.
Solución alternativa: Cree el directorio /etc/cni/net.d en cada nodo antes de iniciar la instalación.
- Problema 2413383: Se produce un error al actualizar OpenShift 3 porque no todos los nodos están listos
De forma predeterminada, el pod de arranque de NCP no está programado en el nodo principal. Como resultado, el estado del nodo principal siempre está en estado No listo.
Solución alternativa: Asigne el nodo principal con la función "compute" para permitir que los DaemonSets nsx-ncp-bootstrap y nsx-node-agent creen pods. El estado del nodo cambiará a "Listo" una vez que nsx-ncp-bootstrap instale NSX-CNI.
- Problema 2460219: el redireccionamiento de HTTP no funciona si no hay un grupo de servidores predeterminado.
Si el servidor virtual HTTP no se enlaza con un grupo de servidores, se producen errores en el redireccionamiento de HTTP. Este problema ya existe en NSX-T 2.5.0 y versiones anteriores.
Solución alternativa: cree un grupo de servidores predeterminado o actualice a NSX-T 2.5.1.
- Problema 2518111: NCP no pueden eliminar recursos de NSX-T que se actualizaron desde NSX-T
NCP crea recursos de NSX-T en función de las configuraciones que especifique. Si realiza actualizaciones a esos recursos de NSX-T a través de NSX Manager o de la API de NSX-T, es posible que NCP no pueda eliminar esos recursos y volver a crearlos cuando sea necesario.
Solución alternativa: No actualice los recursos de NSX-T creados por NCP a través de NSX Manager o de la API de NSX-T.
- Problema 2518312: El contenedor de arranque de NCP no puede instalar el módulo de kernel nsx-ovs en Ubuntu 18.04.4, kernel 4.15.0-88
El contenedor de arranque de NCP (nsx-ncp-bootstrap) no puede instalar el módulo de kernel nsx-ovs en Ubuntu 18.04.4, kernel 4.15.0-88.
No instale NSX-OVS en este kernel estableciendo use_nsx_ovs_kernel_module = False en nsx-node-agent-config. En su lugar, utilice el módulo kernel de OVS ascendente (Ubuntu incluye de forma predeterminada un módulo kernel de OVS) en el host. Si no hay ningún módulo kernel de OVS en el host, instale manualmente el módulo kernel de OVS y establezca use_nsx_ovs_kernel_module = False en nsx-node-agent-config, o cambie la versión del kernel a 4.15.0-76 para poder instalar NSX-OVS.
- Problema 2524778: NSX Manager muestra NCP como inactivo o en mal estado después de que se elimine el nodo principal de NCP
Después de eliminar un nodo principal de NCP (por ejemplo, después de que se realice correctamente el cambio a un nodo de copia de seguridad, el estado de NCP sigue apareciendo como inactivo cuando debería aparecer como activo).
Solución alternativa: Utilice la API de Manager DELETE /api/v1/systemhealth/container-cluster/<id-clúster>/ncp/status para borrar el estado obsoleto de forma manual.
- Problema 2548815: En un clúster de NCP importado de Manager a Directiva, NCP no puede eliminar un enrutador de nivel 1 escalado automáticamente
NCP no puede eliminar un enrutador de nivel 1 escalado automáticamente si se está ejecutando en el modo Directiva después de la importación de Manager a Directiva porque su localeservice sigue haciendo referencia a él.
Solución alternativa: Elimine manualmente el enrutador de nivel 1 mediante la interfaz de usuario de NSX Manager.
- Problema 2549433: El nodo de OpenShift que utiliza una sola interfaz configurada como ovs_uplink_port pierde la información del servidor de nombres cuando caduca la concesión de DHCP
Un nodo de OpenShift con una sola interfaz, que está configurado como ovs_uplink_port en la configuración nsx-node-agent, pierde la información del servidor de nombres cuando caduca la concesión de DHCP de ovs_uplink_port.
Solución alternativa: Use una dirección IP estática.
- Problema 2416376: NCP no puede procesar un ASG (grupo de seguridad de aplicaciones) de PAS vinculado a más de 128 espacios
Debido a un límite en el firewall distribuido de NSX-T, NCP no puede procesar un ASG de PAS vinculado a más de 128 espacios.
Solución alternativa: Cree varios ASG y vincule cada uno de ellos a un máximo de 128 espacios.
- Problema 2534726: Si se produce un error al actualizar a NCP 3.0.1 a través del mosaico NSX-T, el uso de la línea de comandos BOSH para rehacer la actualización provocará problemas de rendimiento
Cuando se actualiza a NCP 3.0.1 a través del mosaico NSX-T en OpsMgr, el proceso de actualización marcará los perfiles de conmutación de HA en NSX Manager utilizados por NCP como inactivos. Los perfiles de conmutación se eliminarán cuando se reinicie NCP. Si se produce un error en la actualización y se utiliza un comando de BOSH, como “bosh deploy -d <id-implementación> -n <implementación>.yml” para rehacer la actualización, no se eliminarán los perfiles de conmutación de HA. NCP seguirá ejecutándose, pero el rendimiento se degradará.
Solución alternativa: Actualice siempre NCP a través de OpsMgr y no de la línea de comandos de BOSH.
- Problema 2550625: Después de migrar un clúster de Manager a Directiva, no se liberan las direcciones IP de un grupo compartido de direcciones IP
Después de migrar un clúster de Manager a Directiva, la eliminación de un espacio de nombres no libera las direcciones IP asignadas a ese espacio de nombres.
Solución alternativa: Ninguna.
- Problema 2537221: Después de actualizar NSX-T a la versión 3.0, el estado de redes de los objetos relacionados con contenedores en la interfaz de usuario de NSX Manager se muestra como Desconocido
En la interfaz de usuario de NSX Manager, la pestaña Inventario > Contenedores muestra los objetos relacionados con el contenedor y su estado. En un entorno de PKS, después de actualizar NSX-T a la versión 3.0, el estado de redes de los objetos relacionados con el contenedor se muestra como Desconocido. El problema se debe a que PKS no detecta el cambio de versión de NSX-T. Este problema no se produce si NCP se está ejecutando como pod y el sondeo de ejecución está activo.
Solución alternativa: Después de la actualización de NSX-T, reinicie las instancias de NCP gradualmente (no más de 10 al mismo tiempo) para no sobrecargar NSX Manager.
- Problema 2549765: Se produce un error al importar objetos de Manager a Directiva si hay una regla NAT con varios puertos de destino
Se producirá un error en el proceso de importación de Manager a Directiva si hay una regla NAT con varios puertos de destino en el enrutador de nivel superior. Un ejemplo de este escenario es cuando el parámetro de Kubernetes ingress_mode es 'nat' en la configuración de NCP y existe un pod con la anotación 'ncp/ingress-controller' en Kubernetes.
Solución alternativa: Mientras que NCP no se está ejecutando y antes de iniciar la importación, edite la regla NAT y quite los puertos de destino '80' y '443'.
- Problema 2552918: No se pudo realizar la reversión para el firewall distribuido, por lo que se produce un error en la reversión del clúster
En raras ocasiones, el proceso de importación de Manager a Directiva debe realizar una reversión, que no se realiza correctamente para las reglas y las secciones de firewall distribuido. Esto hace que se produzca un error en la reversión del clúster, lo que deja recursos obsoletos en NSX Manager.
Solución alternativa: Utilice la función de copia de seguridad y restauración para restaurar NSX Manager a un estado correcto.
- Problema 2550474: En un entorno de OpenShift, el cambio de una ruta HTTPS a HTTP puede hacer que la ruta HTTP no funcione según lo esperado
Si se edita una ruta HTTPS y se eliminan los datos relacionados con TLS para convertirla en una ruta HTTP, es posible que la ruta HTTP no funcione según lo esperado.
Solución alternativa: Elimine la ruta HTTPS y cree una nueva ruta HTTP.
- Problema 2552573: En un entorno de OpenShift 4.3, se puede producir un error en la instalación del clúster si DHCP está configurado con la interfaz de usuario de Directiva
En un entorno de OpenShift 4.3, la instalación del clúster requiere que haya un servidor DHCP disponible para proporcionar información de DNS y direcciones IP. Si utiliza el servidor DHCP configurado en NSX-T mediante la interfaz de usuario de Directiva, es posible que se produzca un error en la instalación del clúster.
Solución alternativa: Configure un servidor DHCP mediante la interfaz de usuario de Manager, elimine el clúster que no pudo instalar y vuelva a crear el clúster.
- Problema 2552564: En un entorno de OpenShift 4.3, el reenviador de DNS podría dejar de funcionar si se encuentra una dirección superpuesta
En un entorno de OpenShift 4.3, la instalación del clúster requiere que se configure un servidor DNS. Si utiliza NSX-T para configurar un reenviador de DNS y existe una superposición de direcciones IP con el servicio DNS, el reenviador de DNS dejará de funcionar y se producirá un error al instalar el clúster.
Solución alternativa: Configure un servicio DNS externo, elimine el clúster que no pudo instalar y vuelva a crear el clúster.
- Problema 2483242: El tráfico IPv6 de los contenedores está bloqueado por NSX-T SpoofGuard
La dirección local de vínculo IPv6 no se encuentra en la lista blanca automática con SpoofGuard habilitado.
Solución alternativa: Deshabilite SpoofGuard estableciendo nsx_v3.enable_spoofguard = False en la configuración de NCP.
- Problema 2552609: datos de X-Forwarded-For (XFF) y X-Forwarded-Port incorrectos
Si configura XFF con INSERT o REPLACE para las reglas de entrada de HTTPS (Kubernetes) o las rutas HTTPS (OpenShift), es posible que aparezcan valores de X-Forwarded-For y X-Forwarded-Port incorrectos en encabezados XFF.
Solución alternativa: Ninguna.
- Problema 2555336: El tráfico del pod no funciona porque hay puertos lógicos duplicados creados en modo Manager
Es más probable que este problema se produzca cuando hay muchos pods en varios clústeres. Cuando se crea un Pod, no funciona el tráfico al pod. NSX-T muestra varios puertos lógicos creados para el mismo contenedor. En el registro de NCP, solo se puede encontrar el identificador de uno de los puertos lógicos.
Solución alternativa: Elimine el pod y vuelva a crearlo. Los puertos obsoletos de NSX-T se eliminarán cuando se reinicie NCP.
- Problema 2554357: El ajuste de escala automático del equilibrador de carga no funciona para IPv6
En un entorno IPv6, un servicio de Kubernetes de tipo equilibrador de carga no estará activo cuando se alcance la escala del equilibrador de carga existente.
Solución alternativa: Establezca nsx_v3.lb_segment_subnet = FE80::/10 en /var/vcap/jobs/ncp/config/ncp.ini para implementaciones de PKS y en nsx-ncp-configmap para otros. A continuación, reinicie NCP.
- Problema 2593017: No se eliminaron puertos de enrutador lógico obsoletos en NSX-T
En una topología de dos niveles con la API de administrador, a veces no se eliminan los puertos de enrutador lógico obsoletos. Cuando hay un gran número de puertos de enrutador obsoletos, el comportamiento del enrutador puede verse afectado.
Solución alternativa: En NSX Manager, elimine manualmente los puertos de enrutador obsoleto.
- Problema 3033821: Después de la migración de Manager a Directiva, las reglas de firewall distribuido no se aplican correctamente
Después de una migración de Manager a Directiva, las reglas de firewall distribuido (DFW) relacionadas con directivas de red recién creadas tendrán mayor prioridad que las reglas de DFW migradas.
Solución alternativa: Utilice la API de Directiva para cambiar la secuencia de reglas de DFW según sea necesario.
