VMware NSX Data Center for vSphere 6.4.4 | Publicado el 13 de diciembre de 2018 | Compilación 11197766 Consulte el Historial de revisión de este documento.

Contenido de las notas de la versión

Las notas de la versión contienen los siguientes temas:

• Novedades
• Instalación, versiones y requisitos del sistema
• Funciones obsoletas y suspendidas
• Notas sobre la actualización
• Cumplimiento de FIPS
• Historial de revisión
• Problemas resueltos
• Problemas conocidos

Novedades en NSX Data Center for vSphere 6.4.4

Importante: NSX for vSphere ahora se denomina NSX Data Center for vSphere.

NSX Data Center for vSphere 6.4.4 agrega mejoras de mantenimiento y de uso, y soluciona una serie de problemas de errores específicos de los clientes. Consulte la sección Problemas resueltos para obtener más información.

Cambios introducidos con NSX Data Center for vSphere 6.4.4:

Interfaz de usuario de NSX

• VMware NSX: actualizaciones de funciones para vSphere Client (HTML): Las siguientes funciones de VMware NSX ya están disponibles a través de vSphere Client: Conmutadores lógicos, administración del dispositivo de Edge, servicios de Edge (DHCP, NAT), certificados de Edge, objetos de agrupación de Edge. Para ver la lista de funciones compatibles, consulte Funciones del complemento de IU VMware NSX for vSphere en vSphere Client.

Servicios Edge y de redes

• Rutas estáticas para la puerta de enlace del servicio Edge: aumenta de 2.048 a 10.240 rutas estáticas para puertas de enlace del servicio Edge extra grande y cuádruple.

Instalación, versiones y requisitos del sistema

Nota:

• En la siguiente tabla, se muestran las versiones recomendadas del software de VMware. Estas recomendaciones son generales y no deben sustituir ni anular las recomendaciones específicas del entorno.

• Esta información está actualizada según la fecha de publicación de este documento.

• Consulte la matriz de interoperabilidad de productos VMware para conocer las versiones mínimas admitidas de NSX y de otros productos de VMware. VMware determina las versiones mínimas admitidas basándose en pruebas internas.

Producto o componente	Versión
NSX Data Center for vSphere	VMware recomienda la versión más reciente de NSX para nuevas implementaciones. Al actualizar las implementaciones existentes, revise las notas de la versión de NSX Data Center for vSphere o póngase en contacto con su representante del soporte técnico de VMware para obtener más información sobre problemas específicos antes de planificar una actualización.
vSphere	Para vSphere 6.0: Mínima admitida: 6.0 Update 2 Versión recomendada: 6.0 Update 3 vSphere 6.0 Update 3 resuelve el problema de VTEP duplicados en los hosts ESXi después de reiniciar vCenter Server. Consulte el artículo 2144605 de la base de conocimientos de VMware para obtener más información. Para vSphere 6.5: Mínima admitida: 6.5a Versión recomendada: 6.5 Update 2 vSphere 6.5 Update 1 soluciona el problema de EAM con tipo OutOfMemory. Consulte el artículo 2135378 de la base de conocimientos de VMware para obtener más información. Si utiliza el enrutamiento multidifusión en vSphere 6.5, se recomienda usar vSphere 6.5 Update 2. Si utiliza NSX Guest Introspection en vSphere 6.5, se recomienda vSphere 6.5 P03. Para vSphere 6.7 Mínima admitida: 6.7 Versión recomendada: 6.7 Update 1 Importante:  Si utiliza NSX Guest Introspection en vSphere 6.7, consulte el artículo 57248 de la base de conocimientos antes de actualizar a NSX 6.4.4 y el soporte técnico de VMware para obtener más información. Si va a actualizar una instalación de vSphere a vSphere 6.7, no actualice conmutadores distribuidos de vSphere a la versión 6.6. (Consulte el problema conocido 2197754 para obtener más información).  Nota: vSphere 5.5 no se admite en NSX 6.4.
Guest Introspection para Windows	Se admiten todas las versiones de VMware Tools. Algunas funciones basadas en Guest Introspection requieren versiones de VMware Tools más recientes: Use VMware Tools 10.0.9 y 10.0.12 para habilitar el componente de controlador de introspección de red opcional de Thin Agent que se incluye con VMware Tools. Actualice a VMware Tools 10.0.8 y a versiones posteriores para resolver el problema relacionado con el bajo rendimiento de las máquinas virtuales tras actualizar VMware Tools en NSX/vCloud Networking and Security (consulte el artículo 2144236 de la base de conocimientos de VMware). Use VMware Tools 10.1.0 y versiones posteriores para garantizar su compatibilidad con Windows 10. Utilice VMware Tools 10.1.10 y versiones posteriores para garantizar su compatibilidad con Windows Server 2016.
Guest Introspection para Linux	Esta versión de NSX admite las siguientes versiones de Linux: RHEL 7 GA (64 bits) SLES 12 GA (64 bits) Ubuntu 14.04 LTS (64 bits)

Requisitos del sistema e instalación

Para ver la lista completa de requisitos previos para la instalación de NSX, consulte la sección sobre requisitos del sistema para NSX en la Guía de instalación de NSX.

Para obtener instrucciones de instalación, acceda a la Guía de instalación de NSX o la Guía de instalación de Cross-vCenter NSX.

Funciones obsoletas y suspendidas

Advertencias sobre la finalización del ciclo de vida y del soporte técnico

Consulte la matriz del ciclo de vida de productos de VMware para obtener información sobre NSX y otros productos de VMware que deben actualizarse próximamente.

• NSX for vSphere 6.1.x llegó a las etapas de fin de disponibilidad (End of Availability, EOA) y de fin de soporte técnico general (End of General Support, EOGS) el 15 de enero de 2017. (Consulte también el artículo 2144769 de la base de conocimientos de VMware).

• vCNS Edge ya no es compatible. Debe actualizar a una instancia de NSX Edge antes de actualizar a NSX 6.3 o versiones posteriores.

• NSX for vSphere 6.2.x llegó al fin de soporte técnico general (End of General Support, EOGS) el 20 de agosto de 2018.

• De acuerdo a las recomendaciones de seguridad, ya no se admite 3DES como algoritmo de cifrado en el servicio VPN IPsec de NSX Edge.
  Se recomienda que cambie a uno de los cifrados seguros disponibles en el servicio IPsec. Este cambio en el algoritmo de cifrado es aplicable a la asociación de seguridad de IKE (fase 1), así como a la negociación de la asociación de seguridad de IKE (fase 2) para un sitio de IPsec.
   
  Si el servicio IPsec de NSX Edge utiliza el algoritmo de cifrado 3DES en el momento de la actualización a una versión que no admita este tipo de cifrado, se reemplazará por otro recomendado; por lo tanto, los sitios de IPsec que utilizaban 3DES no aparecerán, a menos que la configuración en el par remoto se modifique para que coincida con el algoritmo de cifrado utilizado en NSX Edge.
   
  Si utiliza un cifrado 3DES, modifique el algoritmo de cifrado en la configuración del sitio de IPsec para reemplazar 3DES por una de las variantes AES admitidas (AES, AES256 y AES-GCM). Por ejemplo, para cada configuración de sitios de IPsec con el algoritmo de cifrado 3DES, reemplácelo por AES. Actualice también la configuración de IPsec en el endpoint par.

Cambios en el comportamiento general

Si cuenta con más de un vSphere Distributed Switch y si VXLAN está configurado en uno de ellos, debe conectar las interfaces del enrutador lógico distribuido a los grupos de puerto de ese vSphere Distributed Switch. A partir de NSX 6.4.1, esta configuración se aplica en la interfaz de usuario y la API. En versiones anteriores, no se evitaba la creación de una configuración no válida.  Si actualiza a NSX 6.4.1 o una versión posterior y tiene interfaces DLR conectadas de forma incorrecta, tendrá que solucionar esta situación. Consulte las Notas sobre la actualización para obtener más información.

Cambios y eliminaciones en la interfaz de usuario

En NSX 6.4.1, se elimina Service Composer Canvas.

Cambios en el comportamiento de la instalación

A partir de la versión 6.4.2, cuando instala NSX Data Center for vSphere en hosts que cuentan con NIC físicas con controladores ixgbe, el Ajuste de escala en lado de recepción (RSS) está deshabilitado en los controladores ixgbe de forma predeterminada. Debe habilitar RSS de forma manual en los hosts antes de instalar NSX Data Center. Asegúrese de habilitar RSS solo en los hosts que tengan NIC con controladores ixgbe. Para obtener instrucciones detalladas sobre cómo habilitar RSS, consulte el artículo de la base de conocimientos de VMware https://kb.vmware.com/s/article/2034676. Este artículo de la base de conocimientos describe la configuración recomendada de RSS para mejorar el rendimiento del paquete de VXLAN.

Este nuevo comportamiento solo se aplica cuando realiza una instalación nueva de los módulos kernel (archivos VIB) en los hosts ESXi. No se requiere ningún cambio cuando actualiza a 6.4.2 los hosts administrados por NSX.

Eliminaciones de la API y cambios del comportamiento

Desusos en NSX 6.4.2

Ya no se utiliza el siguiente elemento y es posible que se elimine en una versión futura:

• GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog. En su lugar, utilice GET/PUT /api/2.0/vdn/controller/cluster/syslog.

Cambios de comportamiento de NSX 6.4.1

Cuando crea un nuevo grupo de IP con POST /api/2.0/services/ipam/pools/scope/globalroot-0 o modifica un grupo existente de IP con PUT /api/2.0/services/ipam/pools/ , y el grupo tiene varios rangos de IP definidos, se realiza la validación para garantizar que los rangos no se superponen. Esta validación no se realizaba previamente.

Desusos en NSX 6.4.0
Ya no se utilizan los siguientes elementos y es posible que se eliminen en una versión futura.

• El parámetro systemStatus de GET /api/4.0/edges/edgeID/status está obsoleto.
• GET /api/2.0/services/policy/serviceprovider/firewall/ está obsoleta. En su lugar, utilice GET /api/2.0/services/policy/serviceprovider/firewall/info.
• La opción tcpStrict de la sección de configuración global del firewall distribuido está obsoleta. A partir de NSX 6.4.0, tcpStrict se define en el nivel de la sección. Nota: Si actualiza a NSX 6.4.0 o una versión posterior, la opción de la configuración global para tcpStrict se usa para configurar tcpStrict en cada sección de Capa 3. tcpStrict se establece como falso (false) en las secciones de la Capa 2 y las secciones redireccionadas de la Capa 3. Consulte cómo trabajar con la configuración del firewall distribuido en la Guía de NSX API Guide para obtener más información.

Cambios de comportamiento de NSX 6.4.0
En NSX 6.4.0, el parámetro <name> es necesario cuando crea un controlador con POST /api/2.0/vdn/controller.

NSX 6.4.0 introduce estos cambios en el control de errores:

• Antes, POST /api/2.0/vdn/controller respondía con 201 creado (201 Created) para indicar que se creó el trabajo de creación del controlador. Sin embargo, la creación del controlador puede fallar. A partir de NSX 6.4.0, la respuesta es 202 aceptado (202 Accepted).
• Antes, si enviaba una solicitud de API que no se permitía en modo de tránsito o independiente, el estado de la respuesta era 400 solicitud incorrecta (400 Bad Request). A partir de NSX 6.4.0 la respuesta es 403 prohibido (403 Forbidden).

Cambios de comportamiento y eliminaciones de la CLI

No utilice comandos no admitidos en nodos de NSX Controller
Existen comandos sin documentar para configurar NTP y DNS en los nodos de NSX Controller. Estos comandos no son compatibles y no deben utilizarse en nodos de NSX Controller. Debe utilizar solo los comandos que aparecen documentados en la guía de la CLI de NSX.

Notas sobre la actualización

• Notas generales sobre la actualización
• Notas sobre la actualización de los componentes de NSX
• Notas sobre la actualización de FIPS

Nota: Para obtener una lista de problemas conocidos que afectan a la instalación y las actualizaciones, consulte Problemas conocidos de instalación y actualización.

Notas generales sobre la actualización

• Para actualizar NSX, debe realizar una actualización completa de NSX, incluido el clúster del host (que actualiza los VIB del host). Para obtener instrucciones, acceda a la Guía de actualización de NSX, donde se encuentra la sección sobre cómo actualizar los clústeres del host.

• No se admite actualizar los VIB de NSX en los clústeres de hosts con VUM. Puede usar el coordinador de la actualización, la preparación del host o las REST API asociadas para actualizar los VIB de NSX en los clústeres de hosts.

• Requisitos del sistema: Si desea obtener información sobre los requisitos del sistema para la instalación y actualización de NSX, consulte la sección Requisitos del sistema para NSX de la documentación de NSX.

• Ruta de actualización de NSX: La matriz de interoperabilidad de productos VMware proporciona los detalles sobre las rutas de acceso de actualización desde VMware NSX.

• Encontrará información sobre la actualización de Cross-vCenter NSX en la Guía de actualización de NSX.

• Las versiones anteriores no son compatibles:

  • Realice siempre una copia de seguridad de NSX Manager antes de realizar una actualización.

  • Una vez que NSX se actualice correctamente, no podrá volver a utilizar una versión anterior.

• Para validar que su actualización a NSX 6.4.x se realizó correctamente, consulte el artículo de la base de conocimientos 2134525.

• No existe compatibilidad para las actualizaciones de vCloud Networking and Security con NSX 6.4.x. En primer lugar, debe actualizar a una versión compatible con la versión 6.2.x.

• Interoperabilidad: Consulte la sección Matriz de interoperabilidad de productos de VMware para obtener información sobre todos los productos de VMware relevantes antes de actualizar.
  • Actualizar a NSX Data Center for vSphere 6.4: NSX 6.4 no es compatible con vSphere 5.5.
  • Actualizar a vSphere 6.5: Al actualizar a vSphere 6.5a o a una versión posterior, debe actualizar primero a NSX 6.3.0 o una versión posterior. NSX 6.2.x no es compatible con vSphere 6.5. Consulte cómo actualizar vSphere en un entorno de NSX en la Guía de actualización de NSX.
  • Actualizar a vSphere 6.7: Al actualizar a vSphere 6.7, debe actualizar primero a NSX 6.4.1 o una versión posterior. Las versiones anteriores de NSX no son compatibles con vSphere 6.7. Consulte cómo actualizar vSphere en un entorno de NSX en la Guía de actualización de NSX.
• Compatibilidad con servicios de partner: Si su sitio web utiliza servicios de partners de VMware para Guest Introspection o para Network Introspection, consulte la Guía de compatibilidad de VMware antes de realizar la actualización para comprobar que el servicio del proveedor sea compatible con esta versión de NSX.
• Complemento de Redes y seguridad: Después de actualizar NSX Manager, debe cerrar sesión y volver a iniciarla en vSphere Web Client. Si el complemento de NSX no se muestra correctamente, borre el historial y la memoria caché del explorador. Si el complemento de Redes y seguridad no aparece en vSphere Web Client, restablezca el servidor de vSphere Web Client como se explica en la Guía de actualización de NSX.
• Entornos sin estado: En las actualizaciones de NSX en un entorno de host sin estado, los VIB nuevos se agregan previamente al perfil de imagen del host durante el proceso de actualización de NSX. Como resultado, el proceso de actualización de NSX en hosts sin estado sigue esta secuencia:

  Antes de NSX 6.2.0, había una sola URL en NSX Manager a partir de la cual podían encontrarse los VIB para una versión determinada del host ESX. Esto significa que el administrador solo necesitaba conocer una sola URL, independientemente de la versión de NSX. En NSX 6.2.0 y posteriores, los VIB de NSX nuevos están disponibles en distintas URL. Para encontrar los VIB correctos, debe realizar los pasos siguientes:

  1. Busque la URL nueva de VIB en https://<nsxmanager>/bin/vdn/nwfabric.properties.
  2. Obtenga los VIB de la versión de host ESX requerida desde la URL correspondiente.
  3. Agréguelos al perfil de imagen del host.

Notas sobre la actualización de los componentes de NSX

Soporte para la versión 11 del hardware de máquina virtual para los componentes de NSX

• En las nuevas instalaciones de NSX Data Center for vSphere 6.4.2, los componentes de NSX (Manager, Controller, Edge y Guest Introspection) tienen la versión 11 del hardware de máquina virtual.
• En las actualizaciones a NSX Data Center for vSphere 6.4.2, los componentes NSX Edge y Guest Introspection se actualizan automáticamente a la versión 11 del hardware de máquina virtual. Los componentes NSX Manager y NSX Controller siguen con la versión 8 del hardware de la máquina virtual tras actualizar. Los usuarios tienen la opción de actualizar el hardware de máquina virtual a la versión 11. Consulte la base de conocimientos (https://kb.vmware.com/s/article/1010675) para obtener instrucciones sobre cómo actualizar las versiones del hardware de máquina virtual.
• En las nuevas instalaciones de NSX 6.3.x, 6.4.0, 6.4.1, los componentes de NSX (Manager, Controller, Edge y Guest Introspection) tienen la versión 8 del hardware de máquina virtual.

Actualización de NSX Manager

• Importante: Si actualiza NSX 6.2.0, 6.2.1 o 6.2.2 a NSX 6.3.5 o una versión posterior, deberá completar una solución alternativa antes de iniciar la actualización. Consulte el artículo 000051624 de la base de conocimientos de VMware para obtener más detalles.

• Si actualiza de NSX 6.3.3 a NSX 6.3.4 o a una versión posterior, primero debe seguir las instrucciones de solución alternativa del artículo 2151719 de la base de conocimientos de VMware.

• Si utiliza SFTP para realizar copias de seguridad de NSX, cambie a hmac-sha2-256 después de actualizar a 6.3.0 o una versión posterior, porque no se admite hmac-sha1. Consulte el artículo 2149282 de la base de conocimientos de VMware para obtener una lista de los algoritmos de seguridad compatibles.

• cuando actualiza NSX Manager a NSX 6.4.1, se realiza una copia de seguridad automáticamente y se guarda de forma local como parte del proceso de actualización. Para obtener más información, consulte Actualizar NSX Manager.

• Al actualizar a NSX 6.4.0, se mantiene la configuración de TLS. Si solo está habilitado TLS 1.0, podrá ver el complemento de NSX en vSphere Web Client, pero no se verán las instancias de NSX Manager. La ruta de datos no se ve afectada, pero no puede cambiar ninguna configuración de NSX Manager. Inicie sesión en la IU de la web de administración del dispositivo de NSX en https://nsx-mgr-ip/ y habilite TLS 1.1 y TLS 1.2. De esta forma se reinicia el dispositivo de NSX Manager.

Actualización de Controller

• El clúster de NSX Controller debe contener tres nodos de controlador. Si tiene menos de tres controladores, debe agregarlos antes de iniciar la actualización. Para obtener instrucciones, consulte la sección Implementar clúster de NSX Controller.

• En la versión 6.3.3 de NSX, el sistema operativo subyacente de NSX Controller cambia. Esto significa que, cuando se actualiza de NSX 6.3.2 o de una versión anterior a NSX 6.3.3 o una versión posterior, en vez de una actualización local de software, los controladores existentes se eliminan uno a uno y se implementan nuevos controladores basados en Photon OS mediante las mismas direcciones IP.

  Cuando se eliminan los controladores, también se eliminan las reglas de antiafinidad de DRS asociadas. Debe crear nuevas reglas antiafinidad en vCenter para evitar que las nuevas máquinas virtuales de controlador residan en el mismo host.

  Para obtener más información sobre actualizaciones de los controladores, consulte Actualizar el clúster de NSX Controller.

Actualización del clúster del host

• Si actualiza de NSX 6.3.2 o una versión anterior a NSX 6.3.3 o versiones posteriores, los nombres de los VIB de NSX cambian.
  Los VIB esx-vsip y esx-vxlan se sustituyen por esx-nsxv si tiene instalado NSX 6.3.3 o una versión posterior en ESXi 6.0 o una versión posterior.

• Desinstalación y actualización sin reinicio en los hosts: A partir de vSphere 6.0 y versiones posteriores, una vez que actualizó de NSX 6.2.x a NSX 6.3.x o versiones posteriores, no será necesario reiniciar después de realizar cambios en el VIB de NSX. En su lugar, los hosts deben entrar en modo de mantenimiento para completar el cambio de VIB. Esto afecta tanto a la actualización del clúster del host de NSX como a la actualización de ESXi. Consulte la Guía de actualización de NSX para obtener más información.

Actualización de NSX Edge

• Se agregó la validación a NSX 6.4.1 para no permitir configuraciones no válidas del enrutador lógico distribuido: En entornos en los que VXLAN esté configurado y aparezcan más de un vSphere Distributed Switch, las interfaces de los enrutadores lógicos distribuidos deben estar conectadas únicamente al vSphere Distributed Switch configurado para VXLAN. Se producirá un error al actualizar el DLR a NSX 6.4.1 o una versión posterior en entornos donde el DLR tenga interfaces conectadas al vSphere Distributed Switch que no esté configurado para VXLAN. Use la API para conectarse a las interfaces configuradas de forma incorrecta en el vSphere Distributed Switch configurado para VXLAN. Una vez que la configuración sea válida, vuelva a intentar actualizar. Puede cambiar la configuración de la interfaz con PUT /api/4.0/edges/{edgeId} o PUT /api/4.0/edges/{edgeId}/interfaces/{index}. Consulte la Guía de NSX API para obtener más información.

• Los clústeres del host deben estar preparados para NSX antes de actualizar los dispositivos de NSX Edge: A partir de la versión 6.3.0, no se admite la comunicación en el plano de administración entre NSX Manager y Edge a través del canal VIX. Solo se admite el canal del bus de mensajería. Cuando actualiza de NSX 6.2.x o una versión anterior a NSX 6.3.0 o una versión posterior, debe verificar que los clústeres del host donde se implementan los dispositivos NSX Edge estén preparados para NSX y que el estado de la infraestructura de mensajería sea de color VERDE. Si los clústeres del host no están preparados para NSX, se producirá un error en la actualización del dispositivo de NSX Edge. Consulte Actualizar NSX Edge en la Guía de actualización de NSX para obtener más información.

• Actualizar la puerta de enlace de servicios Edge (ESG):
  A partir de la versión 6.2.5 de NSX, la reserva de los recursos se realiza al mismo tiempo que la actualización de NSX Edge. Cuando vSphere HA está habilitado en un clúster con recursos insuficientes, se puede producir un error en la operación de actualización, ya que se infringe la restricción de vSphere HA.

  Para evitar estos errores de actualización, realice los siguientes pasos antes de actualizar una ESG:

  NSX Manager usará las siguientes reservas de recursos si no configuró explícitamente los valores en el momento de instalación o actualización.

  NSX Edge Factor de forma	Reserva de CPU	Reserva de memoria
  COMPACTA (COMPACT)	1000 MHz	512 MB
  GRANDE (LARGE)	2000 MHz	1024 MB
  CUÁDRUPLE (QUADLARGE)	4000 MHz	2048 MB
  EXTRA GRANDE (X-LARGE)	6000 MHz	8192 MB

  1. Asegúrese siempre de que su instalación sigue las prácticas recomendadas para vSphere HA. Consulte el artículo 1002080 de la base de conocimientos.

  2. Use la API de configuración de ajuste de NSX:
     PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
     para asegurarse de que los valores de edgeVCpuReservationPercentage y edgeMemoryReservationPercentage se encuentran dentro de los recursos disponibles para el factor de forma (consulte la tabla anterior para ver los valores predeterminados).

• Deshabilite la opción Iniciar máquina virtual (Virtual Machine Startup) de vSphere cuando vSphere HA está habilitado y los Edges están implementados. Tras actualizar NSX Edge 6.2.4 a la versión 6.2.5 u otras posteriores, debe desactivar la opción para iniciar la máquina virtual de vSphere en cada NSX Edge que se encuentre en un clúster en el que esté habilitado vSphere HA y en el que se hayan implementado Edges. Para ello, abra vSphere Web Client, busque el host ESXi donde se encuentra la máquina virtual de NSX Edge, haga clic en Administrar (Manage) > Configuración (Settings) y, en Máquinas virtuales (Virtual Machines), seleccione Inicio y apagado automático de la máquina virtual (VM Startup/Shutdown), haga clic en Editar (Edit) y asegúrese de que las máquinas virtuales estén en modo Manual (es decir, asegúrese de que no se añadiera a la lista de inicio/apagado automático).

• Antes de actualizar a NSX 6.2.5 o una versión posterior, asegúrese de que todas las listas de cifrados del equilibrador de carga estén separadas por dos puntos. Si su lista de cifrados utiliza otro separador, como, por ejemplo, comas, realice una llamada PUT a https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles y sustituya cada lista <ciphers> </ciphers> de <clientssl> </clientssl> y <serverssl> </serverssl> por una lista separada por dos puntos. Por ejemplo, el segmento relevante del cuerpo de la solicitud puede tener la siguiente apariencia. Repita este procedimiento para todos los perfiles de la aplicación:

  <applicationProfile>
    <name>https-profile</name>
    <insertXForwardedFor>false</insertXForwardedFor>
    <sslPassthrough>false</sslPassthrough>
    <template>HTTPS</template>
    <serverSslEnabled>true</serverSslEnabled>
    <clientSsl>
      <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
      <clientAuth>ignore</clientAuth>
      <serviceCertificate>certificate-4</serviceCertificate>
    </clientSsl>
    <serverSsl>
      <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
      <serviceCertificate>certificate-4</serviceCertificate>
    </serverSsl>
    ...
  </applicationProfile>

• Establezca la versión correcta del cifrado para los clientes del equilibrador de carga en versiones de vROPs anteriores a 6.2.0: los miembros del grupo vROPs de versiones anteriores a la 6.2.0 usan la versión 1.0 de TLS y, por lo tanto, debe establecer un valor de extensión de supervisión configurando explícitamente "ssl-version=10" en la configuración del equilibrador de carga de NSX. Consulte Crear un monitor de servicio en la Guía de administración de NSX para obtener instrucciones.

  {
      "expected" : null,
      "extension" : "ssl-version=10",
                  "send" : null,
                  "maxRetries" : 2,
                "name" : "sm_vrops",
                "url" : "/suite-api/api/deployment/node/status",
      "timeout" : 5,
                "type" : "https",
                "receive" : null,
                "interval" : 60,
      "method" : "GET"
  }

 

Notas sobre la actualización de FIPS

Cuando actualice de una versión de NSX anterior a NSX 6.3.0 a esta versión o una versión posterior, no debe habilitar el modo FIPS antes de que se complete la actualización. Si habilita el modo FIPS antes de que se haya completado la actualización, la comunicación entre los componentes actualizados y no actualizados se interrumpirá. Consulte la descripción del modo FIPS y la actualización de NSX en la Guía de actualización de NSX para obtener más información.

• Cifrados admitidos en OS X Yosemite y OS X El Capitan: Si usa el cliente de VPN de SSL en OS X 10.11 (El Capitan), podrá conectarse usando los cifrados AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA38, AES256-SHA y AES128-SHA. Por su parte, aquellos que usen OS X 10.10 (Yosemite) podrán conectarse usando únicamente los cifrados AES256-SHA y AES128-SHA.

• No habilite FIPS antes de que se complete la actualización a NSX 6.3.x. Consulte la descripción del modo FIPS y la actualización de NSX en la Guía de actualización de NSX para obtener más información.

• Antes de habilitar FIPS, compruebe que todas las soluciones para partners tengan el certificado del modo FIPS. Consulte la Guía de compatibilidad de VMware y la documentación relevante del partner.

Cumplimiento de FIPS

Si se ha configurado correctamente, NSX 6.4 utilizará módulos criptográficos validados mediante FIPS 140-2 para toda la criptografía relacionada con la seguridad.

Nota:

• Controller y VPN de agrupación en clústeres: NSX Controller utiliza IPsec VPN para conectarse a los clústeres de Controller. La VPN IPsec utiliza el módulo criptográfico del kernel de Linux para VMware (entorno VMware Photon OS 1.0), que está en proceso de validación mediante CMVP.
• VPN IPsec de Edge: La VPN IPsec de NSX Edge utiliza el módulo criptográfico del kernel de Linux para VMware (entorno VMware NSX OS 4.4), que está en proceso de validación mediante CMVP.

Historial de revisión del documento

13 de diciembre de 2018: Primera edición.

Problemas resueltos

Los problemas resueltos se agrupan del siguiente modo:

• Problemas conocidos resueltos
• Problemas resueltos de NSX Edge y redes lógicas
• Problemas de NSX Manager resueltos

Problemas conocidos resueltos

• Problema solucionado 2089858: Límites de la memoria de las SVM de GI con un elevado rendimiento de red

  Se observa un elevado uso de la memoria en las SVM de GI. También se puede producir una pérdida de conectividad a NSX Manager. Las cargas de trabajo del cliente que se ejecuten en los hosts afectados también se pueden ver afectadas.

• Problema solucionado 2094345: Aparece una pantalla de color púrpura en el host si la recopilación del flujo está activada en NSX.

  El host se bloqueó y apareció una pantalla de color púrpura, lo que provoca que se pierdan datos de las máquinas virtuales.

• Problema solucionado 2177097: Al usar la llamada de API /api/2.0/vdn/config/segments para crear un grupo con un ID de segmento, aparece el siguiente error "El id del segmento no se encuentra en el rango, el rango válido es 5000-16777215" ("Segment id is out of range, valid range is 5000-16777215").

  Cuando se utiliza la llamada de API /api/2.0/vdn/config/segments, si proporciona el mismo valor de inicio y de fin al crear un segmento de valor único, se produce un error.

• Problema solucionado 2178339: rsyslog 8.15.0-7.ph1 eliminó la línea ExecReload en el archivo de servicio systemd, lo que provoca que /var/log/syslog y /var/log/messages no utilicen la propiedad logrotate correctamente

  Esto provoca que la partición /var/log ocupe el 100 % del espacio de disco, por lo que no se pueden escribir registros nuevos.

• Problema solucionado 2188753: La sincronización del inventario provoca que el valor duplicado de la clave infrinja la excepción de restricción única cuando existen varias asignaciones para la vNIC en la tabla domain_object_relationships

  La sincronización del inventario sigue fallando, lo que provoca que vCenter y NSX no estén sincronizados.

• Problema solucionado 2194374: SSH para USVM de GI no funciona

  Algunas claves SSH, como RSA, DSA, ECDSA y ED25519 no se generan automáticamente.

• Problema solucionado 2134192: Se produce un error cuando no aparece ningún puerto en el conmutador

  Si un conmutador físico de una puerta de enlace de hardware no tiene ningún puerto, NSX devuelve un error al intentar obtener el puerto del conmutador. Verá el error "No se puede recuperar la información del inventario" ("Unable to fetch inventory information") al intentar obtener el puerto.

• Problema solucionado 2183584: Los grupos de seguridad creados en una sesión del Administrador de reglas de aplicaciones (Application Rule Manager) no aparecen en el menú desplegable de la columna Se aplica a (Applied-to) de la regla recomendada

  Los grupos de seguridad creados en una sesión del Administrador de reglas de aplicaciones (Application Rule Manager) no aparecen en el menú desplegable de la columna Se aplica a (Applied-to) de la regla recomendada.

   

• Problema solucionado 2210313: En el flujo de trabajo "Forzar sincronización" ("Force sync"), no se considera la herencia de la directiva de seguridad

  Si otra directiva secundaria hereda una directiva de seguridad, después de forzar la sincronización, la SG aplicada de la directiva secundaria no se considera como grupo de seguridad de directiva para la directiva principal. Las reglas de firewall no se aplican correctamente a las PSG de la directiva secundaria.

• Problema solucionado 2216582: Algunas máquinas virtuales pierden protección antivirus

  Debido a un elevado uso de la memoria y a un UUID de máquina virtual variable, no se puede aplicar la nueva configuración a la máquina virtual modificada. Algunas máquinas virtuales pierden protección antivirus.

• Problema solucionado 2195346: Las instancias de VDR se eliminan de los hosts del NSX Manager secundario después de eliminar y agregar un clúster de controlador

  Se pierde el tráfico durante 40 segundos aproximadamente después de eliminar y agregar un clúster de controlador.

• Problema solucionado 2213199: La página de la máquina virtual en el conmutador lógico no se carga

  Parece que la interfaz de usuario está bloqueada. No se pueden visualizar todas las máquinas virtuales de un conmutador lógico.

• Problema solucionado 2172254: Cuando solo está configurado un puente, aparece un escenario activo-activo durante la reimplementación de un dispositivo activo

  Dos dispositivos pueden notificar la misma dirección IP (escenario activo-activo). Sin embargo, si se configura un único vínculo superior o el enrutamiento está configurado en DRL, este problema no aparecerá. Pueden aparecer tráfico descartado y un escenario activo-activo si ningún vínculo superior está configurado, el enrutamiento dinámico no está habilitado en DLR y solo está configurado el puente de la capa 2.

• Problema solucionado 2018917: Un elevado recuento de archivos de copia de seguridad de NSX causa un comportamiento impredecible

  Un elevado recuento de archivos de copia de seguridad de NSX causa un comportamiento impredecible, lo que incluye errores de implementación de NSX y que la interfaz de usuario no responda.

Problemas resueltos de NSX Edge y redes lógicas

• Problema solucionado 2158380: Los cambios del sufijo DNS de SSL VPN no se revierten después de cerrar sesión

  Los cambios en el sufijo DNS del adaptador no se revierten después de que el cliente sslvpn cierre sesión. Es posible que la resolución de DNS no funcione según lo esperado.

• Problema solucionado 2177891: Es posible que el salto siguiente adquirido de BGP de Edge no funcione según lo esperado después de solucionar el error de Edge

  Es posible que el salto siguiente adquirido de BGP de Edge no funcione según lo esperado después de que el error de Edge se recupere. Además, es posible que se produzcan pérdidas de paquetes dependiendo de la topología del cliente.

• Problema solucionado 2178771: La interfaz na0 de SSLVPN pierde la dirección IP de puerta de enlace

  La interfaz na0 de SSLVPN, que actúa como puerta de enlace para los clientes conectados, pierde su dirección IP, lo que provoca que se interrumpa el tráfico desde el cliente. El tráfico cliente no fluye según lo esperado.

• Problema solucionado 2192834: No se ofrece ninguna solución cuando se intenta eliminar una configuración de dispositivo sin usar la marca deployAppliance

  El mensaje de error no está claro y no ofrece ninguna solución.

• Problema solucionado 2126743: La dirección IP de las máquinas virtuales no se publica en addrset cuando se agregan las máquinas virtuales al grupo de seguridad

  Cuando se agrega una máquina virtual a securitygroup, la IP de la máquina virtual no aparece en addrset. Se produce un error en el tráfico, ya que no se aplica la directiva adecuada a la máquina virtual, aunque sea parte de un grupo de seguridad configurado correctamente.

• Problema solucionado 2197442: La contraseña del vecino BGP del UDLR no se replica en el NSX Manager secundario

  Las rutas no se adquieren del vecino configurado.

• Problema solucionado 2209469: La operación de actualización o creación del nivel de sección no se publica en Edge

  La sección se actualiza correctamente en Edge, pero las reglas no se actualizan en Plano de datos (Dataplane).

• Problema solucionado 2207483: Latencia alta para el tráfico enrutado de norte a sur y de este a oeste

  El TxWorld de la máquina virtual que genera el tráfico enrutado utiliza el 100 % de la CPU, lo que resulta en una latencia alta.

• Problema solucionado 2192486: El reenvío de tráfico de multidifusión de sur a norte se detendrá después de actualizar de NSX 6.4.2 a NSX 6.4.3 si el enrutamiento de unidifusión subyacente se realiza a través de rutas estáticas y el modo de alta disponibilidad está deshabilitado.

  Si está ejecutando flujos de multidifusión entre una fuente interna de NSX y receptores externos, y el enrutamiento de unidifusión subyacente se realiza a través de rutas estáticas, al actualizar de NSX 6.4.2 a NSX 6.4.3 se detendrá el reenvío de tráfico para los flujos de multidifusión existentes. Los flujos de multidifusión creados después de la actualización no se verán afectados y se reenviarán.

• Problema solucionado 2185738: No se puede utilizar una interfaz si tiene una dirección IPv6

  Aparecen las interfaces internas que tengan una dirección IPv4, pero se genera un error si también tienen una dirección IPv6. No se puede aplicar la configuración del reenviador de DNS a una interfaz con una dirección IPv6.

• Problema solucionado 2215061: NSX Edge pierde el estado HA después de publicar DCN como el mismo ApplianceConfig que se envió a ambas máquinas virtuales cuando el equilibrador de carga está configurado con objetos de agrupación y HA está habilitado

  HA está desconectado, lo que provoca una situación de cerebro dividido.

• Problema solucionado 2220327: No se puede establecer la reserva de recursos administrados del sistema

  Al elegir la reserva de recursos personalizada para Edge, la opción Reserva de recursos administrados del sistema (System Managed Resource Reservation) no aparece en el menú de la interfaz de usuario.

• Problema solucionado 2220549: La validación de reglas de firewall que consume objetos de agrupación tarda y provoca que se agote el tiempo de espera de la interfaz de usuario

  En la configuración del firewall de Edge, al cambiar el lugar de configuración de los objetos de agrupación que consumen reglas del firewall, esto tarda 2 minutos, lo que provoca que se agote el tiempo de espera de la interfaz de usuario.

Problemas de NSX Manager resueltos

• Problema solucionado 2220325: El paquete de soporte técnico contiene archivos con contraseñas de texto sin formato

  La contraseña de postgres y de rabbitmq están disponibles en archivos de configuración de texto sin formato de paquete de soporte técnico y se pueden recuperar.

• Problema solucionado 2208178: Tras el reinicio de NSX Manager, la tarea de instalación de los VIB de NSX se muestra en ejecución continua en la interfaz de usuario de la pestaña Preparación del host (Host Preparation)

  EAM no inicia la instalación de los VIB de NSX.

Problemas conocidos

Los problemas conocidos se dividen del siguiente modo.

• Problemas conocidos generales
• Problemas conocidos de instalación y actualización
• Problemas conocidos de NSX Manager
• Problemas conocidos de NSX Edge y redes lógicas
• Problemas conocidos de los servicios de seguridad

Problemas conocidos generales

• Problema 2197754: Los hosts muestran la pantalla de diagnóstico de color morado cuando vSphere Distributed Switch se actualiza a la versión 6.6

  Si tiene instalado NSX 6.4 y actualiza vSphere Distributed Switch a la versión 6.6, ESXi muestra una pantalla de diagnóstico de color púrpura. Las nuevas instalaciones de vSphere 6.7 con vSphere Distributed Switch 6.6 no se ven afectadas.

  Solución alternativa: Use vSphere Distributed Switch 6.5 o una versión anterior al actualizar a vSphere 6.7.

• En vSphere Web Client, al abrir un componente de Flex que se superpone a la vista HTML, dicha vista se hace invisible.

  Al abrir un componente de Flex (un menú o un cuadro de diálogo) que se superpone a una vista HTML, dicha vista se oculta temporalmente.
  (Referencia: http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)

  Solución alternativa: Ninguna. 

• Problema 2118255: La máquina virtual de control DLR no participa en el enrutamiento multidifusión

  La máquina virtual de control DLR no participa en el enrutamiento multidifusión, toda la multidifusión relacionada con la CLI mostrará una pantalla vacía en la máquina virtual de control.

• Problema 2145540: Para ESX versión 6.7, el número total de grupos de multidifusión subyacentes que une un host no puede superar los 128

  Se recomienda que use un rango de multidifusión de replicación de 64 o menor (CIDR /26 o superior) mientras configura un enrutamiento de multidifusión inferior a DLR.

• Problema 2189417: El número de registros de eventos supera el límite admitido

  Si los eventos están a escala, se pierden algunos registros, lo que provoca la pérdida de la funcionalidad de IDFW (solo para cargas de trabajo físicas).

  Solución alternativa: Reduzca la escala de carga de trabajo física.

• Problema 2236618: La operación de configuración del dispositivo o vNIC en ESG con 10.000 rutas estáticas tarda aproximadamente 2 minutos en responder

  Debido al aumento del número de rutas estáticas, la operación de configuración del dispositivo o de vNIC tarda más en completarse. Las operaciones de la interfaz de usuario para configurar vNIC, subinterfaces o dispositivos pueden agotar el tiempo de espera cuando superan el límite de 2 minutos. Sin embargo, la configuración se realiza correctamente.

  Solución alternativa: Actualice la interfaz de usuario para que aparezca el estado del cambio de configuración.

Problemas conocidos de instalación y actualización

Antes de la actualización, lea la sección Notas sobre la actualización, más arriba en este documento.

• Problema 2001988: Durante la actualización del clúster de hosts de NSX, el estado de Instalación (Installation) en la pestaña Preparación del host (Host Preparation) alterna entre "no está listo" ("not ready") e "instalando" ("installing") para todo el clúster cuando se está actualizando cada uno de los hosts del clúster

  Durante la actualización de NSX, al hacer clic en "actualización disponible" ("upgrade available") para el clúster preparado de NSX, se activa la actualización del host. Para los clústeres configurados con la opción DRS AUTOMÁTICO COMPLETO (DRS FULL AUTOMATIC), el estado de instalación alterna entre "instalando" ("instaling") y "no está listo" ("not ready"), aunque los hosts se actualicen en segundo plano sin problemas.

  Solución alternativa: Se trata de un problema de la interfaz de usuario y se puede ignorar. Espere a que se actualice el clúster de hosts para continuar.

• Problema 1859572: Durante la desinstalación de la versión 6.3.x de VIB de NSX en hosts ESXi administrados por la versión 6.0.0 de vCenter, el host continúa en modo de mantenimiento
  Si va a desinstalar la versión 6.3.x de VIB de NSX en un clúster, el flujo de trabajo implica colocar los hosts en modo de mantenimiento, desinstalar los VIB y, a continuación, quitar los hosts del modo de mantenimiento por el servicio EAM. Sin embargo, si dichos hosts están administrados por la versión 6.0.0 de vCenter Server, esto dará lugar a que el host se bloquee en el modo de mantenimiento después de desinstalar los VIB. El servicio EAM responsable de desinstalar los VIB pone al host en modo de mantenimiento, pero se produce un error al sacar los hosts de dicho modo.

   

  Solución alternativa: Sacar manualmente el host del modo de mantenimiento. Este problema no se producirá si el host está administrado por la versión 6.5a y posteriores de vCenter Server.

• Problema 1263858: La VPN SSL no envía una notificación de actualización al cliente remoto

  La puerta de enlace de la VPN SSL no envía una notificación de actualización a los usuarios. El administrador debe comunicar manualmente a los usuarios remotos que la puerta de enlace de la VPN SSL (servidor) está actualizada y que deben actualizar los clientes.

  Solución alternativa: Los usuarios deben desinstalar la versión anterior del cliente e instalar la última versión manualmente.

• Problema 2106417: SVM de GI tiene un estado Error (Failed) después de que NSX Manager se actualice de 6.3.0 a 6.4.1

  Si utiliza vCenter Server 6.5 u1 y actualiza NSX Manager de 6.3.0 a 6.4.1, la actualización de SVM de GI puede fallar.

  Solución alternativa: Después de que aparezca el problema, elimine y vuelva a implementar las SVM de GI.

• Problema 2006028: Es posible que se produzca un problema en la actualización del host si el sistema vCenter Server se reinicia durante la actualización

  Si el sistema vCenter Server asociado se reinicia durante una actualización del host, es posible que se produzca un error en dicha actualización y deje al host en modo de mantenimiento. Aunque haga clic en Resolver (Resolve), el host no saldrá del modo de mantenimiento. El estado del clúster es "No está listo" ("Not Ready").

  Solución alternativa: Sacar manualmente al host del modo de mantenimiento. Haga clic en "No está listo" ("Not Ready") y "Resolver todo" ("Resolve All") en el clúster.

Problemas conocidos de NSX Manager

• Problema 2171182: No se puede crear ni administrar varios clústeres de replicación desde la pestaña Dispositivos de hardware (Hardware Devices) en la interfaz de usuario de NSX

  Mediante la interfaz de usuario de NSX, puede consultar y administrar un único clúster de replicación de forma predeterminada, pero no varios clústeres de replicación.

  Solución alternativa: En estos momentos solo se admiten varios clústeres de replicación mediante la API. Utilice NSX API para administrar varios clústeres de replicación.

Problemas conocidos de NSX Edge y redes lógicas

• Problema 1747978: Las adyacencias OSPF se eliminan con la autenticación MD5 después de la conmutación por error de NSX Edge HA
  En un entorno NSX for vSphere 6.2.4 donde NSX Edge está configurado para HA con el reinicio OSPF configurado y se usa MD5 para la autenticación, se produce un error al iniciar OSPF. Las adyacencias se forman solo después de que caduque el temporizador de inactividad en los nodos de los vecinos OSPF.

   

  Solución alternativa: Ninguna

• Problema 2005973: El MSR de daemon de enrutamiento pierde la configuración de enrutamiento completa tras eliminar algunos túneles gre y posteriormente mediante una sincronización forzada del nodo de Edge desde el plano de administración

  Este problema puede producirse en una instancia de Edge con sesiones BGP mediante túneles GRE. Cuando se eliminan algunos de los túneles GRE y, a continuación, se realiza una sincronización forzada de la instancia de Edge desde el plano de administración, Edge pierde la configuración de enrutamiento completa.

  Solución alternativa: Reiniciar el nodo de Edge.

• Problema 2005900: El MSR de daemon de enrutamiento en Edge se bloquea al 100 % de CPU cuando todos los túneles GRE oscilan en una topología de escala ECMP de BGP con iBGP/multisalto de ocho vías

  Este problema puede suceder en una topología de escala en la que iBGP o BGP con multisalto se configura en ESG con varios vecinos que se ejecutan en varios túneles GRE. Cuando varios túneles GRE oscilan, MSR puede bloquearse de forma indefinida al 100 % de CPU.

  Solución alternativa: Reiniciar el nodo de Edge.

• Problema 2239686: La configuración de la multidifusión en ESG (EXTRAGRANDE [XLARGE] o CUÁDRUPLE [QUADLARGE]) con 10.000 rutas estáticas tarda 2 minutos aproximadamente

  Debido al aumento del número de rutas estáticas, la configuración global, de OSPF o de BGP en la operación Configuración del enrutamiento (Routing Configuration) empezará a tardar más en completarse. Una vez que la multidifusión está configurada, las siguientes configuraciones global, de OSPF o de BGP en Configuración del enrutamiento (Routing Configuration) se realizan correctamente, pero tardan más tiempo. Se puede agotar el tiempo de espera de las operaciones de la interfaz de usuario para realizar la configuración global, de OSPF o de BGP al superar el límite de 2 minutos. Sin embargo, la configuración se realizará correctamente. En estos casos, la interfaz de usuario se debe actualizar para que aparezca el estado del cambio de configuración.

  Solución alternativa:

  • Si la multidifusión NO está configurada, la configuración global, de OSPF o de BGP se completará entre 10 y 20 segundos.
  • Si la multidifusión no es necesaria, no la configure.
  • Si la multidifusión está configurada y no es necesaria, elimine la configuración de multidifusión para mejorar el tiempo de respuesta.

Problemas conocidos de los servicios de seguridad

• Problema 1648578: NSX obliga agregar un clúster, una red o un almacenamiento cuando se crea una nueva instancia del servicio basada en un host NetX
  Cuando cree una nueva instancia del servicio desde vSphere Web Client para los servicios basados en el host NetX como el firewall, IDS e IPS, se le obliga a agregar un clúster, una red o un almacenamiento aunque no sean necesarios.

   

  Solución alternativa: Al crear una nueva instancia del servicio, puede agregar cualquier información del clúster, de la red o del almacenamiento para rellenar los campos. Esto le permitirá crear la instancia del servicio y podrá continuar con el procedimiento.

• Problema 2018077: Se produce un error en la publicación del firewall cuando la regla tiene el servicio L7 ALG personalizado sin protocolo ni puerto de destino

  Cuando se crea el servicio de Capa 7 mediante la selección de cualquiera las siguientes aplicaciones ALG de Capa 7 (APP_FTP, APP_TFTP, APP_DCERPC o APP_ORACLE) sin proporcionar protocolo ni puerto de destino y, a continuación, dichas aplicaciones se utilizan en las reglas de firewall, se produce un error en la publicación de la regla de firewall.

  Solución alternativa: Proporcionar los valores correspondientes del protocolo y el puerto de destino (TCP/UDP) al crear el servicio de Capa 7 personalizado para los siguientes servicios ALG:

  • APP_FTP: protocolo de puerto 21: TCP
  • APP_TFTP: protocolo de puerto 69: UDP
  • APP_DCERPC: protocolo de puerto 135: TCP
  • APP_ORACLE: protocolo de puerto 1521: TCP