This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

VMware NSX Data Center for vSphere 6.4.9 | Publié le 15 décembre 2020 | Build 17267008

Consultez l'Historique de révision de ce document.

Contenu des notes de mise à jour

Les notes de mise à jour couvrent les sujets suivants :

Nouveautés de NSX Data Center for vSphere 6.4.9

Informations importantes concernant NSX for vSphere 6.4.9

Notez que l'équipe VMware NSX a identifié un problème avec le mode haute disponibilité sur le dispositif Edge dans NSX Data Center for vSphere 6.4.9 et a décidé de retirer la version des pages de téléchargement. Une version de remplacement sera bientôt disponible. 

Les clients qui ont téléchargé NSX Data Center for vSphere 6.4.9 et prévoient d'utiliser NSX-V Edge en mode haute disponibilité sont invités à ne pas installer ou mettre à niveau NSX for vSphere 6.4.9.

Reportez-vous à l'article 82460 de la base de connaissances VMware pour obtenir plus de détails. 

NSX Data Center for vSphere 6.4.9 ajoute des améliorations de facilité d'utilisation et corrige un certain nombre de bogues spécifiques des clients. Pour plus d'informations, consultez Problèmes résolus.

  • Prise en charge de vSphere 7.0 Update 1
  • VMware NSX : mises à jour des fonctionnalités de vSphere Client (HTML) : Les fonctionnalités suivantes de VMware NSX sont désormais disponibles via vSphere Client : Définitions de service pour Guest Introspection et Introspection réseau. Pour voir la liste des fonctionnalités prises en charge, consultez Fonctionnalités du plug-in VMware NSX for vSphere dans vSphere Client.
  • Guest Introspection : ajoute la possibilité de modifier le niveau de journalisation sans nécessiter le redémarrage du service de partenaires de Guest Introspection tiers.

Versions, configuration système et installation

Remarque :

  • Le tableau ci-dessous répertorie les versions recommandées du logiciel VMware. Ces recommandations sont générales et ne doivent pas remplacer des recommandations spécifiques de l'environnement. Ces informations sont à jour à la date de publication de ce document.

  • Pour voir les versions minimales prises en charge de NSX et d'autres produits VMware, consultez la matrice d'interopérabilité des produits VMware. VMware déclare des versions minimales prises en charge en fonction de tests internes.

Produit ou composant Version
NSX Data Center for vSphere

VMware recommande la dernière version de NSX pour les nouveaux déploiements.

Lors de la mise à niveau de déploiements existants, consultez les notes de mise à jour de NSX Data Center for vSphere ou contactez votre représentant du support technique VMware pour plus d’informations sur les problèmes spécifiques avant de planifier une mise à niveau.

vSphere

Pour vSphere 6.5 :
Recommandé : 6.5 Update 3
Remarque : vSphere 6.5 Update 1 résout le problème d'EAM qui échoue avec l'erreur OutOfMemory. Consultez l'article 2135378 de la base de connaissances de VMware pour plus d'informations.
Important :

  • Si vous utilisez le routage de multidiffusion sur vSphere 6.5, il est recommandé d'utiliser vSphere 6.5 Update 2 ou une version ultérieure.
  • Si vous utilisez NSX Guest Introspection sur vSphere 6.5, il est recommandé d'utiliser vSphere 6.5 P03 ou une version ultérieure.

Pour vSphere 6.7 :
Recommandé : 6.7 Update 2
Important : 

  • Si vous utilisez NSX Guest Introspection sur vSphere 6.7, reportez-vous à l'article 57248 de la base de connaissances avant l'installation de NSX 6.4.6 et, pour plus d'informations, consultez le support client VMware.

Remarque : vSphere 5.5 n'est pas pris en charge avec NSX 6.4.

Remarque : vSphere 6.0 a atteint la fin du support général et n'est pas pris en charge à partir de NSX 6.4.7.

Guest Introspection pour Windows

Il est recommandé de mettre à niveau VMware Tools vers la version 10.3.10 avant de procéder à la mise à niveau de NSX for vSphere.

Guest Introspection pour Linux

Assurez-vous qu'une version de Linux prise en charge est installée sur la machine virtuelle invitée. Reportez-vous à Guide d'administration de VMware NSX pour obtenir la liste des versions Linux prises en charge.

Configuration système et installation

Pour obtenir la liste complète des prérequis à l'installation de NSX, consultez la section Configuration système pour NSX dans le Guide d'installation de NSX.

Pour obtenir des instructions d'installation, consultez le Guide d'installation de NSX ou le Guide d'installation de Cross-vCenter NSX.

Fonctionnalités obsolètes et retirées

Avertissements sur la fin de vie et la fin du support

Pour plus d'informations sur NSX et d'autres produits VMware devant être mis à niveau rapidement, consultez la Matrice du cycle de vie des produits VMware.

  • NSX for vSphere 6.1.x est arrivé en fin de disponibilité et a atteint sa date de fin de support général le 15 janvier 2017. (Consultez également l'article 2144769 de la base de connaissances de VMware.)

  • Arrêt de la prise en charge des dispositifs vCNS Edge. Vous devez effectuer une mise à niveau vers un dispositif NSX Edge avant de procéder à la mise à niveau vers NSX 6.3 ou version ultérieure.

  • NSX for vSphere 6.2.x a atteint sa date de fin de support général le 20 août 2018.

  • Conformément aux recommandations de sécurité, l'algorithme de chiffrement 3DES dans le service VPN IPsec de NSX Edge n'est plus pris en charge.
    Il vous est recommandé de passer à l'un des chiffrements sécurisés disponibles dans le service IPsec. Cette modification concernant l'algorithme de chiffrement est applicable à IKE SA (phase1), ainsi qu'à la négociation IPsec SA (phase2) pour un site IPsec.
     
    Si l'algorithme de chiffrement 3DES est utilisé par le service IPsec NSX Edge lors de la mise à niveau vers la version dans laquelle sa prise en charge est supprimée, il sera remplacé par un autre chiffrement recommandé et, par conséquent, les sites IPsec qui utilisaient 3DES ne démarrent pas, sauf si la configuration sur l'homologue distant est modifiée pour correspondre à l'algorithme de chiffrement utilisé dans NSX Edge.
     
    Si vous utilisez le chiffrement 3DES, modifiez l'algorithme de chiffrement dans la configuration de site IPsec pour remplacer 3DES par l'une des variantes AES prises en charge (AES/AES256/AES-GCM). Par exemple, pour chaque configuration de site IPsec dont l'algorithme de chiffrement est 3DES, remplacez-le par AES. Mettez à jour en conséquence la configuration IPsec sur le point de terminaison homologue.

Changements généraux du comportement

Si vous disposez de plusieurs commutateurs vSphere Distributed Switch et que VXLAN est configuré sur l'un d'entre eux, vous devez connecter n'importe laquelle des interfaces de routeur logique distribué à des groupes de ports sur ce commutateur vSphere Distributed Switch. À partir de NSX 6.4.1, cette configuration s'applique dans l'interface utilisateur et l'API. Dans les versions antérieures, rien ne vous empêchait de créer une configuration non valide.  Si vous procédez à la mise à niveau vers NSX 6.4.1 ou version ultérieure et que vous avez connecté les interfaces DLR de manière incorrecte, vous devez résoudre ce problème. Pour plus de détails, consultez les Notes relatives aux mises à niveau.

Modifications et suppressions dans l'interface utilisateur

  • Dans NSX 6.4.1, Canevas Service Composer est supprimé.
  • Dans NSX 6.4.7, la fonctionnalité suivante est déconseillée dans vSphere Client 7.0 :
    • NSX Edge : SSL VPN-Plus (reportez-vous à l'article 79929 de la base de connaissances pour plus d'informations)
    • Outils : Surveillance du point de terminaison (toutes les fonctionnalités)
    • Outils : Surveillance de flux (tableau de bord de surveillance de flux, détails par service et configuration)
    • Événements système : Enregistreur automatique de ticket NSX

Modifications du comportement de l'installation

À partir de la version 6.4.2, lorsque vous installez NSX Data Center for vSphere sur des hôtes disposant de cartes réseau physiques avec des pilotes ixgbe, la mise à l'échelle côté réception (RSS, Receive Side Scaling) n'est pas activée par défaut sur les pilotes ixgbe. Vous devez activer manuellement RSS sur les hôtes avant d'installer NSX Data Center. Veillez à activer RSS uniquement sur les hôtes disposant de cartes réseau avec des pilotes ixgbe. Pour accéder aux étapes détaillées sur l'activation de RSS, consultez l'article https://kb.vmware.com/s/article/2034676 de la base de connaissance de VMware. Cet article de la base de connaissances décrit les paramètres recommandés de RSS pour améliorer le débit des paquets VXLAN.

Ce nouveau comportement s'applique uniquement lorsque vous effectuez une nouvelle installation des modules de noyau (fichiers VIB) sur les hôtes ESXi. Aucune modification n'est requise lorsque vous mettez à niveau des hôtes gérés par NSX vers 6.4.2.

Suppressions d'API et modifications de comportement

Abandons dans NSX 6.4.2

L'élément suivant est obsolète et pourra être supprimé dans une version ultérieure :

  • GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog. Utilisez GET/PUT /api/2.0/vdn/controller/cluster/syslog à la place.

Modifications de comportement dans NSX 6.4.1

Lorsque vous créez un pool d'adresses IP avec POST /api/2.0/services/ipam/pools/scope/globalroot-0 ou lorsque vous modifiez un pool d'adresses IP existant avec PUT /api/2.0/services/ipam/pools/ et que plusieurs plages d'adresses IP sont définies sur le pool, une validation est effectuée pour vérifier que les plages ne se chevauchent pas. Cette validation n'était pas réalisée auparavant.

Abandons dans NSX 6.4.0
Les éléments suivants sont obsolètes et pourront être supprimés dans une version ultérieure.

  • Le paramètre systemStatus dans GET /api/4.0/edges/edgeID/status est obsolète.
  • GET /api/2.0/services/policy/serviceprovider/firewall/ est obsolète. Utilisez GET /api/2.0/services/policy/serviceprovider/firewall/info à la place.
  • Le paramètre tcpStrict dans la section de configuration globale du pare-feu distribué est obsolète. À partir de NSX 6.4.0, tcpStrict est défini au niveau de la section. Remarque : si vous effectuez une mise à niveau vers NSX 6.4.0 ou une version ultérieure, le paramètre de configuration globale pour tcpStrict est utilisé pour configurer tcpStrict dans chaque section de couche 3 existante. tcpStrict est défini sur false dans les sections de couche 2 et les sections de redirection de couche 3. Reportez-vous à la section « Utilisation de la configuration du pare-feu distribué » dans le Guide de NSX API pour plus d'informations.

Changements de comportement dans NSX 6.4.0
Dans NSX 6.4.0, le paramètre <name> est requis lorsque vous créez un contrôleur avec POST /api/2.0/vdn/controller.

NSX 6.4.0 présente les modifications suivantes liées à la gestion des erreurs :

  • Auparavant, POST /api/2.0/vdn/controller répondait avec 201 Créé pour indiquer que le travail de création du contrôleur est créé. Toutefois, la création du contrôleur peut toujours échouer. À partir de NSX 6.4.0, la réponse est 202 Accepté.
  • Auparavant, si vous envoyiez une demande d'API qui n'était pas autorisée en mode autonome ou de transit, l'état de réponse était 400 Demande incorrecte. À partir de la version 6.4.0, l'état de réponse est 403 Interdit.

Suppressions de CLI et modifications de comportement

N’utilisez pas les commandes non prises en charge sur les nœuds NSX Controller
Il existe des commandes non documentées pour configurer DNS et NTP sur les nœuds NSX Controller. Ces commandes ne sont pas prises en charge et ne doivent pas être utilisées sur les nœuds NSX Controller. Vous ne devez utiliser que les commandes qui sont documentées dans ce Guide de la CLI de NSX.

Notes relatives aux mises à niveau

Remarque : Pour obtenir une liste des problèmes connus affectant l’installation et les mises à niveau, consultez la section Problèmes connus d'installation et de mise à niveau.

Remarques générales sur la mise à niveau

  • Pour mettre NSX à niveau, vous devez réaliser une mise à niveau complète de NSX, y compris la mise à niveau du cluster d'hôte (les VIB de l'hôte sont alors mis à niveau). Pour obtenir des instructions, consultez le Guide de mise à niveau de NSX, y compris la section Mettre à niveau des clusters d'hôte.

  • La mise à niveau des VIB NSX sur des clusters d'hôtes à l'aide de VUM n'est pas prise en charge. Utilisez le Coordinateur de mise à niveau, Préparation de l'hôte ou les REST API associés pour mettre à niveau des VIB NSX sur des clusters d'hôtes.

  • Configuration système requise : pour plus d'informations sur la configuration système requise lors de l'installation et de la mise à niveau de NSX, consultez la section Configuration système requise pour NSX dans la documentation de NSX.

  • Chemin de mise à niveau de NSX : La matrice d'interopérabilité des produits VMware fournit des détails sur les chemins de mise à niveau à partir de VMware NSX.
  • La mise à niveau de cross-vCenter NSX est abordée dans le Guide de mise à niveau de NSX.

  • Les rétrogradations ne sont pas prises en charge :
    • Capturez toujours une sauvegarde de NSX Manager avant de procéder à une mise à niveau.

    • Lorsque NSX a été mis à niveau correctement, NSX ne peut pas être rétrogradé.

  • Pour vérifier que la mise à niveau vers NSX 6.4.x est réussie, consultez l'article 2134525 de la base de connaissances.
  • Il n'existe pas de support pour les mises à niveau depuis vCloud Networking and Security vers NSX 6.4.x. Vous devez d'abord effectuer une mise à niveau vers une version 6.2.x prise en charge.

  • Interopérabilité : consultez la Matrice d’interopérabilité des produits VMware pour tous les produits VMware pertinents avant d’effectuer la mise à niveau.
    • Mise à niveau vers NSX Data Center for vSphere 6.4.7 : VIO n'est pas compatible avec NSX 6.4.7 en raison de plusieurs problèmes de dimensionnement.
    • Mise à niveau vers NSX Data Center for vSphere 6.4 : NSX 6.4 n'est pas compatible avec vSphere 5.5.
    • Mise à niveau vers NSX Data Center for vSphere 6.4.5 : Si NSX est déployé avec VMware Integrated OpenStack (VIO), mettez à niveau VIO vers la version 4.1.2.2 ou 5.1.0.1, car la version 6.4.5 est incompatible avec les versions précédentes en raison de la mise à jour du module de printemps vers la version 5.0.
    • Mise à niveau vers vSphere 6.5 : lors de la mise à niveau vers vSphere 6.5a ou version ultérieure à la version 6.5, vous devez d'abord effectuer la mise à niveau vers NSX 6.3.0 ou version ultérieure. NSX 6.2.x n'est pas compatible avec vSphere 6.5. Consultez Mise à niveau de vSphere dans un environnement NSX dans le Guide de mise à niveau de NSX.
    • Mise à niveau vers vSphere 6.7 : lors de la mise à niveau vers vSphere 6.7, vous devez d'abord effectuer la mise à niveau vers NSX 6.4.1 ou version ultérieure. Les versions antérieures de NSX ne sont pas compatibles avec vSphere 6.7. Consultez Mise à niveau de vSphere dans un environnement NSX dans le Guide de mise à niveau de NSX
  • Compatibilité des services de partenaires : si votre site utilise des services de partenaires VMware pour Guest Introspection ou Network Introspection, vous devez examiner le Guide de compatibilité VMware avant la mise à niveau, afin de vérifier que le service de votre fournisseur est compatible avec cette version de NSX.
  • Plug-in Networking and Security : Après la mise à niveau de NSX Manager, vous devez vous déconnecter et vous reconnecter à vSphere Web Client. Si le plug-in NSX ne s'affiche pas correctement, videz le cache du navigateur et effacez l'historique. Si le plug-in Networking and Security ne figure pas dans vSphere Web Client, réinitialisez le serveur vSphere Web Client, comme expliqué dans le Guide de mise à niveau de NSX.
  • Environnements sans état : pour les mises à niveau de NSX dans un environnement d'hôtes sans état, les nouveaux VIB sont pré-ajoutés au profil d'image d'hôte lors du processus de mise à niveau de NSX. Par conséquent, le processus de mise à niveau de NSX sur des hôtes sans état s'effectue selon les étapes suivantes :

    Dans les versions antérieures à NSX 6.2.0, une seule URL de NSX Manager permettait de trouver les VIB pour une version spécifique de l’hôte ESX. (L'administrateur n'avait alors qu'à connaître une seule URL, quelle que soit la version de NSX.) Dans NSX 6.2.0 et versions ultérieures, les nouveaux VIB NSX sont disponibles sur plusieurs URL. Pour trouver les VIB adéquats, vous devez procéder comme suit :

    1. Recherchez la nouvelle URL du VIB sur https://<nsxmanager>/bin/vdn/nwfabric.properties.
    2. Récupérez les VIB pour la version de l'hôte ESX requise à partir de l'URL correspondante.
    3. Ajoutez-les au profil d'image d'hôte.
  • La fonctionnalité Définitions de services n'est pas prise en charge dans l'interface utilisateur de NSX 6.4.7 avec vSphere Client 7.0 :
    Par exemple, si vous disposez d'une ancienne définition de service Trend Micro enregistrée avec vSphere 6.5 ou 6.7, suivez l'une des deux options suivantes :
    • Option 1 : avant de procéder à la mise à niveau vers vSphere 7.0, accédez à l'onglet Définition de service de vSphere Web Client, modifiez la définition de service sur 7.0, puis effectuez la mise à niveau vers vSphere 7.0.
    • Option 2 : après la mise à niveau vers vSphere 7.0, exécutez la NSX API suivante pour ajouter ou modifier la définition de service sur 7.0.

                      POST  https://<nsmanager>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec

Notes de mise à niveau pour les composants NSX

Prise en charge de la version 11 matérielle de la machine virtuelle pour les composants NSX

  • Pour les nouvelles installations de NSX Data Center for vSphere 6.4.2, les composants de NSX (Manager, Controller, Edge, Guest Introspection) utilisent la version 11 matérielle de la machine virtuelle.
  • Pour les mises à niveau vers NSX Data Center for vSphere 6.4.2, les composants NSX Edge et Guest Introspection sont automatiquement mis à niveau vers la version 11 matérielle de la machine virtuelle. Les composants NSX Manager et NSX Controller utilisent la version 8 du matériel de la machine virtuelle après une mise à niveau. Les utilisateurs ont la possibilité de mettre à niveau le matériel de la machine virtuelle vers la version 11. Pour plus d'instructions sur la mise à niveau des versions matérielles de la machine virtuelle, consultez l'article (https://kb.vmware.com/s/article/1010675) de la base de connaissances.
  • Pour les nouvelles installations de NSX 6.3.x, 6.4.0, 6.4.1, les composants de NSX (Manager, Controller, Edge, Guest Introspection) utilisent la version 8 matérielle de la machine virtuelle.

Mise à niveau de NSX Manager

  • Important : Si vous mettez à niveau NSX 6.2.0, 6.2.1 ou 6.2.2 vers NSX 6.3.5 ou version ultérieure, vous devez appliquer une solution avant de démarrer la mise à niveau. Consultez l'article 000051624 de la base de connaissances de VMware pour obtenir plus de détails.

  • Si vous mettez NSX 6.3.3 à niveau vers NSX 6.3.4 ou version ultérieure, vous devez d'abord suivre les instructions de solution de l'article 2151719 de la base de connaissances de VMware.

  • Si vous utilisez SFTP lors des sauvegardes NSX, choisissez sha2-hmac-256 après la mise à niveau vers la version 6.3.0 ou version ultérieure, car il n'y a aucune prise en charge pour hmac-sha1. Consultez l’article 2149282 de la base de connaissances de VMware pour obtenir la liste des algorithmes de sécurité pris en charge.

  • Lorsque vous mettez NSX Manager à niveau vers NSX 6.4.1, une sauvegarde est automatiquement effectuée et enregistrée localement dans le cadre du processus de mise à niveau. Pour plus d'informations, consultez Mettre à niveau NSX Manager.

  • Lorsque vous effectuez la mise à niveau vers NSX 6.4.0, les paramètres TLS sont conservés. Si seul TLS 1.0 est activé, vous pourrez afficher le plug-in dans vSphere Web Client NSX, mais les instances de NSX Manager ne sont pas visibles. Cela n'a aucune incidence sur le chemin de données, mais vous ne pouvez modifier la configuration d'aucune instance de NSX Manager. Connectez-vous à l'interface utilisateur Web de gestion du dispositif NSX à l'adresse https://nsx-mgr-ip/ et activez TLS 1.1 et TLS 1.2. Cela redémarre le dispositif NSX Manager.

Mise à niveau du contrôleur

  • Le cluster NSX Controller doit contenir trois nœuds de contrôleur. S’il dispose de moins de trois contrôleurs, vous devez ajouter des contrôleurs avant de commencer la mise à niveau. Pour obtenir des instructions, reportez-vous à Déployer le cluster NSX Controller.
  • Dans NSX 6.3.3, le système d’exploitation sous-jacent de NSX Controller change. Cela signifie que lorsque vous effectuez une mise à niveau de NSX 6.3.2 ou version antérieure vers NSX 6.3.3 ou version ultérieure, au lieu d'une mise à niveau logicielle sur place, les contrôleurs existants sont supprimés un à un et les nouveaux contrôleurs basés sur Photon OS sont déployés en utilisant les mêmes adresses IP.

    Lorsque les contrôleurs sont supprimés, cela supprime également les règles d'anti-affinité de DRS associées. Vous devez créer des règles d'anti-affinité dans vCenter pour empêcher les nouvelles VM de contrôleur de résider sur le même hôte.

    Pour plus d'informations sur les mises à niveau du contrôleur, consultez Mettre à niveau le cluster NSX Controller.

Mise à niveau du cluster d’hôte

  • Si vous mettez à niveau NSX 6.3.2 ou version antérieure vers NSX 6.3.3 ou version ultérieure, les noms des VIB NSX changent.
    Les VIB esx-vxlan et esx-vsip sont remplacés par esx-nsxv si vous avez installé NSX 6.3.3 ou version ultérieure sur ESXi 6.0 ou version ultérieure.

  • Mise à niveau et désinstallation sans redémarrage sur les hôtes : dans vSphere 6.0 et versions ultérieures, une fois que vous avez mis à niveau NSX 6.2.x vers NSX 6.3.x ou version ultérieure, toutes les modifications suivantes apportées à des VIB NSX ne requièrent pas de redémarrage. Au lieu de cela, les hôtes doivent entrer en mode de maintenance pour terminer la modification de VIB. Cela affecte la mise à niveau du cluster d'hôtes NSX et la mise à niveau d'ESXi. Consultez le Guide de mise à niveau de NSX pour plus d'informations.

Mise à niveau de NSX Edge

  • Ajout d'une validation dans NSX 6.4.1 permettant d'interdire les configurations de routeur logique distribué non valides : dans les environnements où VXLAN est configuré et qui comportent plusieurs commutateurs vSphere Distributed Switch, les interfaces de routeur logique distribué doivent être connectées au commutateur vSphere Distributed Switch configuré pour VXLAN uniquement. La mise à niveau d'un DLR vers NSX 6.4.1 ou version ultérieure échoue dans les environnements où le DLR possède des interfaces connectées au commutateur vSphere Distributed Switch qui n'est pas configuré pour VXLAN. Utilisez l'API pour connecter les interfaces incorrectement configurées aux groupes de ports sur le commutateur vSphere Distributed Switch configuré pour VXLAN. Une fois la configuration valide, réessayez la mise à niveau. Vous pouvez modifier la configuration de l'interface à l'aide de PUT /api/4.0/edges/{edgeId} ou PUT /api/4.0/edges/{edgeId}/interfaces/{index}. Pour plus d'informations, consultez le Guide de NSX API.
  • Supprimez la VM de contrôle UDLR de vCenter Server associée à une instance secondaire de NSX Manager avant de mettre à niveau UDLR de la version 6.2.7 vers la version 6.4.5 :
    Dans un environnement multivCenter, lorsque vous mettez à niveau des UDLR NSX de la version 6.2.7 vers la version 6.4.5, la mise à niveau du dispositif virtuel UDLR (VM de contrôle UDLR) échoue sur l'instance secondaire de NSX Manager, si HA est activé sur la VM de contrôle UDLR. Pendant la mise à niveau, la VM avec l'index ha n° 0 dans la paire HA est supprimée de la base de données NSX. Toutefois, cette VM continue d'exister sur le serveur vCenter Server. Par conséquent, lorsque la VM de contrôle UDLR est mise à niveau sur l'instance secondaire de NSX Manager, la mise à niveau échoue, car le nom de la VM est en conflit avec une VM existante sur le serveur vCenter Server. Pour résoudre ce problème, supprimez la VM de contrôle du serveur vCenter Server associé à l'UDLR sur l'instance secondaire de NSX Manager, puis mettez à niveau l'UDLR de la version 6.2.7 vers la version 6.4.5.

  • Les clusters d'hôtes doivent être préparés pour NSX avant la mise à niveau des dispositifs NSX Edge : La communication au niveau du plan de gestion entre les dispositifs NSX Manager et Edge via le canal VIX n'est plus prise en charge à partir de la version 6.3.0. Seul le canal de bus de messages est pris en charge. Lorsque vous effectuez une mise à niveau à partir de NSX 6.2.x ou version antérieure vers NSX 6.3.0 ou version ultérieure, vous devez vérifier que les clusters d'hôtes où sont déployés les dispositifs NSX Edge sont préparés pour NSX, et que l'état de l'infrastructure de messagerie s'affiche en VERT. Si les clusters d'hôtes ne sont pas préparés pour NSX, la mise à niveau du dispositif NSX Edge échouera. Reportez-vous à Mise à niveau de NSX Edge dans le Guide de mise à niveau de NSX pour plus de détails.

  • Mise à niveau d'Edge Services Gateway (ESG) :
    À partir de NSX 6.2.5, la réservation de ressources est réalisée au moment de la mise à niveau de NSX Edge. Lorsque vSphere HA est activé sur un cluster disposant de ressources insuffisantes, l'opération de mise à niveau peut échouer en raison de contraintes vSphere HA non respectées.

    Pour éviter de tels échecs de mise à niveau, procédez comme suit avant de mettre une passerelle ESG à niveau :

    Les réservations de ressources suivantes sont utilisées par NSX Manager si vous n’avez pas explicitement défini des valeurs lors de l’installation ou de la mise à niveau.

    NSX Edge
    Facteur de forme
    Réservation de CPU Réservation de mémoire
    COMPACTE 1 000 MHz 512 Mo
    GRANDE 2 000 MHz 1 024 Mo
    SUPER GRANDE 4 000 MHz 2 048 Mo
    EXTRA GRANDE 6 000 MHz 8 192 Mo
    1. Veillez toujours à ce que votre installation suive les meilleures pratiques établies pour vSphere HA. Consultez l'article 1002080 de la base de connaissances.

    2. Utilisez l'API de configuration de réglage NSX :
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      en veillant à ce que les valeurs de edgeVCpuReservationPercentage et edgeMemoryReservationPercentage respectent les ressources disponibles pour le facteur de forme (voir les valeurs par défaut dans le tableau ci-dessus).

  • Désactiver l'option de démarrage de machine virtuelle de vSphere lorsque vSphere HA est activé et que des dispositifs Edge sont déployés. Après avoir mis à niveau vos dispositifs NSX Edge de la version 6.2.4 ou antérieure vers la version 6.2.5 ou ultérieure, vous devez désactiver l'option de démarrage de machine virtuelle de vSphere pour chaque dispositif NSX Edge dans un cluster dans lequel vSphere HA est activé et des dispositifs Edge sont déployés. Pour cela, ouvrez vSphere Web Client, recherchez l'hôte ESXi sur lequel réside la machine virtuelle NSX Edge, cliquez sur Gérer > Paramètres et, sous Machines virtuelles, sélectionnez Démarrage/Arrêt de la VM, cliquez sur Modifier et vérifiez que la machine virtuelle est en mode Manuel (c'est-à-dire qu'elle n'est pas ajoutée à la liste Démarrage/Arrêt automatique).

  • Avant de procéder à la mise à niveau vers NSX 6.2.5 ou version ultérieure, vérifiez que toutes les listes de chiffrement d'équilibrage de charge sont séparées par un signe deux-points. Si votre liste de chiffrement utilise un autre séparateur (par exemple, des virgules), effectuez un appel PUT à https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles et remplacez chaque liste <ciphers> </ciphers> dans <clientssl> </clientssl> et <serverssl> </serverssl> par une liste séparée par des deux-points. Par exemple, le segment pertinent du corps de demande peut ressembler à ce qui suit. Répétez cette procédure pour tous les profils d'application :

    <applicationProfile>
      <name>https-profile</name>
      <insertXForwardedFor>false</insertXForwardedFor>
      <sslPassthrough>false</sslPassthrough>
      <template>HTTPS</template>
      <serverSslEnabled>true</serverSslEnabled>
      <clientSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <clientAuth>ignore</clientAuth>
        <serviceCertificate>certificate-4</serviceCertificate>
      </clientSsl>
      <serverSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <serviceCertificate>certificate-4</serviceCertificate>
      </serverSsl>
      ...
    </applicationProfile>
  • Définir la version de chiffrement correcte pour les clients d'équilibrage de charge sur des versions de vROPs antérieures à la version 6.2.0 : les membres de pool vROPs sur des versions de vROPs antérieures à la version 6.2.0 utilisent TLS version 1.0 et, par conséquent, vous devez définir explicitement une valeur d'extension de moniteur en définissant "ssl-version=10" dans la configuration de l'équilibrage de charge NSX. Consultez Créer un contrôle de service dans le Guide d'administration de NSX pour plus d'informations.
    {
                    "expected" : null,
                    "extension" : "ssl-version=10",
                    "send" : null,
                    "maxRetries" : 2,
                  "name" : "sm_vrops",
                  "url" : "/suite-api/api/deployment/node/status",
                  "timeout" : 5,
                  "type" : "https",
                  "receive" : null,
                  "interval" : 60,
                  "method" : "GET"
               }
  • Après la mise à niveau vers NSX 6.4.6, les ponts et interfaces L2 sur un DLR ne peuvent pas se connecter à des commutateurs logiques appartenant à différentes zones de transport :  Dans NSX 6.4.5 ou version antérieure, les instances et les interfaces de pont L2 sur un routeur logique distribué (DLR) utilisaient la prise en charge de commutateurs logiques qui appartenaient à des zones de transport différentes. À partir de NSX 6.4.6, cette configuration n'est pas prise en charge. Les instances et les interfaces de pont L2 sur un DLR doivent se connecter à des commutateurs logiques qui se trouvent dans une zone de transport unique. Si des commutateurs logiques de plusieurs zones de transport sont utilisés, la mise à niveau du dispositif Edge est bloquée lors des vérifications de validation préalables à la mise à niveau lorsque vous mettez à niveau NSX vers 6.4.6. Pour résoudre ce problème de mise à niveau Edge, assurez-vous que les instances et les interfaces de pont sur un DLR sont connectées à des commutateurs logiques dans une zone de transport unique.

  • Après la mise à niveau vers NSX 6.4.7, les ponts et interfaces sur un DLR ne peuvent pas se connecter à des dvPortGroups appartenant à différents VDS : si une telle configuration est présente, la mise à niveau de NSX Manager vers 6.4.7 est bloquée lors des vérifications de validation préalables à la mise à niveau. Pour résoudre ce problème, assurez-vous que les interfaces et les ponts L2 d'un DLR sont connectés à un seul VDS.

  • Après la mise à niveau vers NSX 6.4.7, le DLR ne peut pas être connecté à des groupes de ports reposant sur un VLAN si la zone de transport du commutateur logique auquel il est connecté s'étend sur plusieurs VDS : cela permet d'assurer un alignement correct des instances de DLR avec des dvPortgroups de commutateur logique entre les hôtes. Si une telle configuration est présente, la mise à niveau de NSX Manager vers 6.4.7 est bloquée lors des vérifications de validation préalables à la mise à niveau. Pour résoudre ce problème, assurez-vous qu'aucune interface logique n'est connectée à des groupes de ports reposant sur VLAN, si une interface logique existe avec un commutateur logique appartenant à une zone de transport couvrant plusieurs VDS. 

  • Après la mise à niveau vers NSX 6.4.7, différents DLR ne peuvent pas disposer de leurs interfaces et ponts L2 sur un même réseau : si une telle configuration est présente, la mise à niveau de NSX Manager vers 6.4.7 est bloquée lors des vérifications de validation préalables à la mise à niveau. Pour résoudre ce problème, assurez-vous qu'un réseau est utilisé dans un seul DLR.

Notes de mise à niveau pour FIPS

Lorsque vous effectuez la mise à niveau depuis une version de NSX antérieure à NSX 6.3.0 vers NSX 6.3.0 ou version ultérieure, vous ne devez pas activer le mode FIPS avant la fin de la mise à niveau. L'activation du mode FIPS avant la fin de la mise à niveau interrompra la communication entre les composants mis à niveau et les composants non mis à niveau. Consultez Comprendre le mode FIPS et la mise à niveau de NSX dans le Guide de mise à niveau de NSX pour plus d'informations.

  • Chiffrements pris en charge sous OS X Yosemite et OS X El Capitan : Si vous utilisez le client VPN SSL sous OS X 10.11 (El Capitan), vous pourrez vous connecter à l'aide des chiffrements AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA38, AES256-SHA et AES128-SHA et, si vous utilisez OS X 10.10 (Yosemite), vous pourrez vous connecter à l'aide des chiffrements AES256-SHA et AES128-SHA uniquement.

  • N'activez pas FIPS avant la fin de la mise à niveau vers NSX 6.3.x. Consultez Comprendre le mode FIPS et la mise à niveau de NSX dans le Guide de mise à niveau de NSX pour plus d'informations.

  • Avant d'activer FIPS, vérifiez que les solutions de partenaire sont certifiées pour le mode FIPS. Consultez le Guide de compatibilité VMware et la documentation de partenaire correspondante.

Conformité FIPS

NSX 6.4 utilise des modules de chiffrement validés pour FIPS 140-2 pour la cryptographie liée à la sécurité lorsqu'ils sont correctement configurés.

Remarque :

  • Contrôleur et VPN de mise en cluster : NSX Controller utilise le VPN IPsec pour connecter des clusters de contrôleur. Le VPN IPsec utilise le module de chiffrement du noyau VMware Linux (environnement VMware Photon OS 1.0), qui est en cours de validation CMVP.
  • VPN IPsec Edge : Le VPN IPsec NSX Edge utilise le module de chiffrement du noyau VMware Linux (environnement VMware NSX OS 4.4), qui est en cours de validation CMVP.

Historique de révision du document

15 décembre 2020 : Première édition.
1er février 2021 : Deuxième édition. Ajout du problème connu 2708349.
17 février 2021. Ajout du problème résolu 2547022.

Problèmes résolus

  • Problème résolu 2594802 : dans Service Composer, les utilisateurs ne peuvent pas déplacer une stratégie de sécurité au-delà du 200e emplacement à l'aide de la boîte de dialogue Gérer la priorité.

    Ce problème est observé dans NSX 6.4.3 et versions ultérieures, et il se produit uniquement lorsqu'il existe plus de 200 stratégies de sécurité. La boîte de dialogue Gérer la priorité affiche uniquement les 200 premières stratégies. Par conséquent, les utilisateurs ne peuvent pas déplacer une stratégie de sécurité au-delà de la position 200.

  • Problème résolu 2547022 : lorsqu'un nouvel utilisateur Active Directory est ajouté dans le groupe Active Directory enfant, l'utilisateur n'est pas inclus dans le groupe de sécurité basé sur le groupe Active Directory parent.

    Le groupe de sécurité basé sur l'Active Directory parent ne contient pas l'utilisateur.

  • Problème résolu 2631548 : le processus netcpa sur l'hôte ESXi ne peut pas se connecter à CCP sur le port 1234 après le redémarrage de l'hôte ESXi préparé avec des VIB NSX 6.4.8.

    La connexion netcpa de l'hôte ESXi vers le cluster de NSX Controller peut rester dans l'état SYN_SENT après le redémarrage de l'hôte ESX en raison d'une condition de concurrence dans la séquence d'initialisation du processus netcpad et du processus hostd, avec l'initialisation du processus netcpad antérieure à hostd.

  • Problème résolu 2633165 : les appels REST API pour créer/modifier/supprimer des sous-interfaces échouent.

    Les opérations de sous-interface Créer/Modifier/Supprimer à l'aide de REST API /api/4.0/edges/{edge-Id}/vnics/{vNic_Index}/subinterfaces/ échouent. L'échec se produit uniquement pour REST API avec l'URI 

    /api/4.0/edges/{edge-Id}/vnics/{vNic_Index}/subinterfaces/ et /api/4.0/edges/{edge-Id}/vnics/{vNic_Index}/subinterfaces/{subInterface-index}.

    Les clients qui utilisent des scripts d'automatisation pour créer/modifier/supprimer des sous-interfaces à l'aide de REST API /api/4.0/edges/{edge-Id}/vnics/{vNic_Index}/subinterfaces/ seront confrontés à une erreur lors de l'opération de sous-interface.

  • Problème résolu 2552057 : le processus Java vnet-controller consomme plus de 2 Go de RAM.

    Le processus Java vnet-controller consomme plus de 2 Go de RAM et la machine virtuelle du contrôleur affiche une utilisation de mémoire de 90 % ou plus pendant une période prolongée. Vous pouvez voir des avertissements de mémoire basse sur la machine virtuelle du contrôleur. Dans de rares cas, une machine virtuelle de contrôleur peut devenir non fonctionnelle jusqu'au redémarrage.

  • Problèmes résolus 2578275, 2631243 : CPU élevé sur NSX Manager tous les 2-3 jours.

    NSX Manager redémarre et ne répond pas.

  • Problème résolu 2586098 : edge.properties ne fait pas partie du processus de sauvegarde/restauration.

    Le fichier de propriétés (notamment edge.properties) ne fait pas partie du processus de sauvegarde/restauration de NSX-v Manager.

  • Problème résolu 2593453 : le brouillon de pare-feu met beaucoup de temps à se terminer, ce qui provoque l'échec de l'interface utilisateur.

    L'interface utilisateur expire en attendant que l'API d'exportation de brouillon soit renvoyée avec le message « Aucun dispositif NSX Manager disponible. Vérifiez que l'utilisateur actuel a un rôle attribué sur NSX. »
    Vous ne pouvez pas exporter des brouillons de pare-feu une fois que la configuration du pare-feu s'agrandit.

  • Problème résolu 2596329 : échec de la synchronisation AD.

    L'entrée avec l'ID principal NULL est insérée dans le tableau ai_group. L'entrée de groupe valide ne peut pas être insérée dans le tableau ai_group en raison d'une entrée de groupe pré-existante avec un ID principal NULL. La synchronisation AD échouera.

  • Problème résolu 2598378 : la liste Edge échoue pour NPE, avec une suppression de dispositif Edge simultanée.

    Le dispositif Edge a été supprimé tandis que la liste des appels Edge est en cours. La liste des dispositifs Edge échoue (voir les appels REST API).

  • Problème résolu 2600326 : la perte de paquets pendant les négociations de réauthentification IPsec bloque la connexion IPsec entre les contrôleurs NSX pendant 165 secondes.

    Le chemin de données peut être affecté, de nouveaux flux de contrôleur (partitionnement, découpages).

  • Problème résolu 2603933 : la valeur RPF pour vNIC est différente de la valeur affichée sur le dispositif Edge pour la version de dispositif 6.4.5 et versions supérieures.

    Lors de l'ajout de l'interface Edge, la valeur par défaut « Filtre de chemin inverse » est définie sur « Activer Libre ».  Auparavant, « Activer l'option stricte » était défini.

  • Problème résolu 2605386 : les VM invitées se bloquent juste après le redémarrage lorsque le pilote VMware de point de terminaison vspepflt est installé dans son environnement NSX. 

    Le BSOD de la VM invitée se produit juste après le chargement du pilote lorsqu'il se connecte à la solution AV.

  • Problème résolu 2596850 : NSX Edge exécute OpenSSH 7.5p1, qui contient des vulnérabilités.

    Vulnérabilité potentielle dans OpenSSH 7.5p1.

  • Problème résolu 2603765 : journal d'avertissement excessif du processus vsfwd.

    Un nombre excessif de journaux entraînait trop de données pour le collecteur de journalisation externe et affectait la fonction normale de surveillance des journaux.

  • Problème résolu 2606987 : l'opération de sauvegarde ou de mise à niveau de NSX Manager échoue.

    L'opération de sauvegarde de NSX Manager échoue, ce qui affecte également la mise à niveau.

  • Problème résolu 2521658 : plusieurs mises à jour de DCN entraînent une diffusion VSE provoquant un pic de CPU sur les dispositifs Manager et Edge.

    Lorsque des objets de regroupement sont configurés et consommés dans DFW et Edge (FW + LB, etc.), tout déploiement/redéploiement de la machine virtuelle peut entraîner le marquage des objets de regroupement comme incorrects dans la base de données, et la réévaluation du cache de traduction conformément aux critères dynamiques des objets de regroupement. Il peut s'agir d'une mise à jour directe/indirecte vers l'objet de regroupement (conteneur) spécifique. Pour tous les conteneurs dépendants ou imbriqués, la traduction est déclenchée, ce qui entraîne des mises à jour de DCN et enfin plusieurs diffusions VSE sur la période de déploiement et de configuration de la machine virtuelle.

    Dans un environnement de dimensionnement ou une configuration où les objets de regroupement sont fortement consommés, cette évolution peut entraîner des pics de CPU sur les dispositifs NSX Manager et Edge.
    Ce pic de CPU peut avoir une incidence sur le chemin de données sur les dispositifs Edge.

  • Problème résolu 2598510 : une panne de réseau a causé des problèmes de plan de données.

    Problèmes de connectivité de machine virtuelle et panne de réseau.

  • Problème résolu 2635137 : le filtrage du commutateur logique sur la base du nom affiche une erreur sur l'interface utilisateur lors de la configuration de la sous-interface.

    Lors de la configuration de la sous-interface, le filtre du commutateur logique sur la base du nom affiche une erreur sur l'interface utilisateur. Un certain nombre de LS n'ont pas de nom (nom null), ce qui entraîne un NPE.

  • Problème résolu 2627860 : les portlets « balise de sécurité » et « appartenance au groupe de sécurité » ne chargent pas les données dans vCenter version 7.0 sur la page Résumé des VM.

    Les portlets « balise de sécurité » et « appartenance au groupe de sécurité » ne chargent pas les données dans vCenter version 7.0 sur la page Résumé des VM

  • Problème résolu 2603336 : l'API IPSet ne renvoie pas des IPSets vides : /api/2.0/services/ipset/<scope>

    L'API IPSet ne renvoie pas des IPSets vides : /api/2.0/services/ipset/<scope>. Tout script utilisant cette API et dépendant d'ipsets vides échouera.

  • Problème résolu 2603333 : NSX connecte toujours tous les vNIC d'une machine virtuelle donnée dans l'API POST suivante, /api/2.0/vdn/virtualwires/vm/vnic

     Tous les vNIC de la machine virtuelle donnée passent à l'état « connecté ». Il n'est peut-être pas souhaitable que tous les vNIC soient connectés.

  • Problème résolu 2595427 : commutateur logique non répertorié sur l'interface utilisateur, car la réponse de l'API n'est pas reçue avec le délai d'expiration défini.

    Les détails du commutateur logique ne seront pas disponibles.

  • Problème résolu 2499365 : la règle provoque une latence dans le chemin de données.

    Lorsque vous utilisez « services » largement dans les règles DFW, chaque service est traduit en une seule règle dans le noyau VSIP et provoque un « débordement » de règles. Un trop grand nombre de règles dans le noyau peut entraîner une augmentation de la latence du trafic lors des mises à jour des règles.

Problèmes connus

Les problèmes connus sont classés comme suit.

Problèmes connus de mise à niveau et d'installation

Avant d'effectuer la mise à niveau, lisez la section antérieure Notes relatives aux mises à niveau.

  • Problème 1263858 : le VPN SSL n'envoie aucune notification de mise à niveau au client distant.

    La passerelle VPN SSL n'envoie pas de notification de mise à niveau aux utilisateurs. L'administrateur doit informer manuellement les utilisateurs distants que la passerelle VPN SSL (serveur) est mise à jour et qu'ils doivent mettre à jour leurs clients.

    Solution : les utilisateurs doivent désinstaller l'ancienne version du client et installer la dernière version manuellement.

  • Problème 2429861 : la latence end2end ne s'affichera pas sur l'interface utilisateur vRNI après la mise à niveau vers NSX-v 6.4.6.

    La latence end2end est interrompue avec vRNI Interop pour vRNI 4.2 et vRNI 5.0.

    Solution : mettez à niveau vRNI vers 5.0.0-P2.

  • Problème 2417029 : chemin d'accès incorrect pour les objets de domaine dans la base de données de NSX Manager.
    • La mise à niveau ou le redéploiement de NSX Edge échoue avec le message d'erreur suivant :
          Cluster/ResourcePool resgroup-XXX doit être préparé pour que l'infrastructure réseau puisse mettre à niveau edge edge-XX.
    • La liste déroulante des dossiers n'affiche pas tous les dossiers de machine virtuelle dans la boîte de dialogue Ajouter un contrôleur.
    • Un ou plusieurs clusters peuvent entraîner un état Non prêt.

    Solution : contactez le Support VMware pour résoudre ce problème.

  • Problème 2238989 : après la mise à niveau de vSphere Distributed Switch sur l'hôte ESXi, la fonctionnalité RSS du logiciel du VDS ne prend pas effet.

    Dans les hôtes disposant d'une mise à l'échelle côté réception de logiciel (SoftRSS) activée, la propriété VDS com.vmware.net.vdr.softrss ne peut pas être restaurée après la mise à niveau de VDS. Cela entraîne la désactivation de SoftRSS. Le fichier /var/run/log/vmkernel.log affiche les erreurs liées à la configuration de la propriété softrss.

    Solution :

    avant de procéder à la mise à niveau de VDS, supprimez la propriété SoftRSS et reconfigurez-la après la mise à niveau de VDS.

  • Problème 2107188 : lorsque le nom d'un commutateur VDS contient des caractères non-ASCII, la mise à niveau des VIB de NSX échoue sur les hôtes ESXi.

    Le fichier /var/run/log/esxupdate.log affiche l'état de la mise à niveau.

    Solution :

    modifiez le nom du VDS pour utiliser des caractères ASCII et effectuez une nouvelle mise à niveau.

  • Problème 2590902 : après la mise à niveau vers NSX 6.4.7, lorsqu'une adresse IPv6 statique est attribuée à des machines virtuelles de charge de travail sur un réseau IPv6, elles ne parviennent pas à effectuer un test Ping de l'interface de passerelle IPv6 du dispositif Edge.

    Ce problème se produit après la mise à niveau des vSphere Distributed Switches de la version 6.x vers la version 7.0.

    Solution 1 :

    Sélectionnez le VDS où tous les hôtes sont connectés, accédez au paramètre Modifier et, sous Option de multidiffusion, basculez vers De base.

    Solution 2 :

    Ajoutez les règles suivantes sur le pare-feu Edge :

    • Règle d'autorisation de test Ping.
    • Règle d'autorisation MLD (Multidiffusion Listener Discovery) : il s'agit d'icmp6 types 130 (v1) et 143 (v2).
Problèmes connus généraux
  • Problème 2708349 : l'opération de redéploiement ou la mise à niveau vers le dispositif Edge de NSX for vSphere 6.4.9 configuré pour la haute disponibilité (HA) peut avoir un impact sur le chemin d'accès aux données.

    Lors de la mise à niveau de NSX for vSphere 6.4.9 HA, si edge-0 est le nœud Edge actif dans la topologie, cela peut avoir un impact sur les données passant par le dispositif Edge. Lors du redéploiement ou de la modification de la taille du dispositif Edge NSX for vSphere 6.4.9 HA, si edge-0 est le nœud Edge actif dans la topologie, cela peut avoir un impact sur le flux de données via le dispositif Edge.

    Le chemin de données sur le dispositif Edge, sous le redéploiement ou la mise à niveau est impacté.

    Solution : consultez l'article 82460 de la base de connaissances de VMware pour obtenir plus de détails.

  • Dans vSphere Web Client, lorsque vous ouvrez un composant Flex qui chevauche une vue HTML, la vue devient invisible.

    Lorsque vous ouvrez un composant Flex, par exemple un menu ou une boîte de dialogue, qui chevauche une vue HTML, la vue est temporairement masquée.
    (Référence : http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)

    Solution : aucune. 

  • Problème 2543977 : le collecteur IPFIX de pare-feu distribué ne parvient pas à afficher les flux des ports UDP 137 ou 138.

    Lorsqu'IPFIX est activé sur le DFW, les flux NetBIOS avec les ports 137 ou 138 ne sont pas envoyés par l'hôte.

    Solution :

    Utilisez vSphere Client ou NSX REST API pour supprimer les ports exclus 137 ou 138 des exclusions de flux.

  • Problème 2302171, 2590010 : lorsqu'IPFIX est activé sur un vSphere Distributed Switch avec un taux d'échantillonnage de 100 %, le débit chute.

    La dégradation des performances du chemin de données survient et le débit sur ce dernier se réduit à la moitié de la limite de bande passante du canal réseau.

    Solution : définissez le taux d'échantillonnage sur une valeur inférieure à 10 %.

  • Problème 2574333 : la configuration de vNIC Edge prend plus de deux minutes lorsque NAT est configurée avec 8 000 règles.

    vSphere Client indique que NSX Manager n'est pas disponible. L'interface utilisateur expire au bout de deux minutes. La configuration de vNIC se termine correctement au bout de 2-3 minutes.

    Solution : Aucune

  • Problème 2443830 : une dégradation des performances des chemins de données se produit sur le réseau VXLAN lors de l'utilisation du pilote de carte réseau ixgben.

    Le débit sur le réseau VXLAN est réduit.

    Solution :

    • exécutez la commande suivante sur l'hôte ESXi :
          esxcli system module parameters set -p "RSS=1,1" -m ixgben
    • Redémarrez l'hôte. 
  • Problème 2598824 : vMotion de NSX-v Manager affiche un message d'avertissement.

    Le message suivant s'affiche sur vMotion de NSX-v Manager : « La carte Ethernet virtuelle 'adaptateur réseau 1' n'est pas prise en charge. Il ne s'agit pas d'une limite globale de l'hôte mais du système d'exploitation invité configuré de la machine virtuelle sur l'hôte sélectionné. »

    Solution : ignorez le message d'avertissement pour terminer correctement vMotion.

  • Problème 2112662 : l'interface utilisateur graphique du bundle de support ne répertorie pas les hôtes si VXLAN n'est pas configuré.

    Impossible de télécharger le bundle de support technique de l'hôte ESX si VXLAN n'est pas activé.

    Solution : activez VXLAN sur le cluster pour voir les hôtes ESX.

  • Problème 2682907 : quelques instances du DLR sont manquantes dans les hôtes.

    Sur certains hôtes, toutes les instances du DLR configurées ne sont pas observées. Cela entraîne une interruption du trafic routé du DLR.

    Solution : problème de routage de la synchronisation forcée sur les hôtes affectés individuellement.

Problèmes connus liés à la mise en réseau logique et à NSX Edge
  • Problème 1993241 : la redondance du tunnel IPsec utilisant le routage statique n'est pas prise en charge

    Le trafic IPsec échouera si le tunnel principal tombe en panne. Une interruption du trafic s'ensuivra. Ce problème est connu depuis NSX 6.4.2.

    Solution : désactivez et activez le service.

  • Problème 2430805, 2576416 : Les instances du DLR sont envoyées à tous les hôtes NSX préparés qui sont connectés à VDS.

    Les problèmes impliquant une instance de VLAN désignée sont affichés. Le trafic VLAN est perturbé lorsque l'instance de VLAN désignée se trouve sur un hôte non valide.

    Solution :

    • Configurez VXLAN sur les hôtes NSX préparés avec le même VDS.
    • Redémarrez l'hôte afin qu'il obtienne la nouvelle configuration.  
  • Problème 2576294 : lorsque les interfaces logiques d'un DLR sont connectées à plusieurs VDS, elles sont attachées à un VDS incorrect sur l'hôte lorsque celui-ci fait partie de deux VDS VXLAN.

    Si le DLR est synchronisé ou redéployé dans un état mal configuré, toutes les interfaces logiques du DLR sont attachées au VDS incorrect. En outre, les interfaces logiques de tous les nouveaux DLR sont attachées à un VDS incorrect sur l'hôte. Le trafic du chemin de données est perturbé.

    Solution :

    • supprimez le deuxième VDS qui n'est pas utilisé pour la préparation VXLAN du cluster.
    • Selon l'état actuel de la configuration de l'hôte, redéployez/forcez la synchronisation ou synchronisez le service de route pour corriger la configuration sur l'hôte. 
  • Problème 2582197 : lorsqu'une interface NSX Edge est configurée avec le masque de sous-réseau /32, la route connectée n'est pas visible dans la table de routage ou de transfert.

    Le trafic vers cette interface peut toujours fonctionner, mais une route statique serait nécessaire pour atteindre des homologues. Les utilisateurs ne peuvent pas utiliser les interfaces avec le masque de sous-réseau /32. Il n'y a aucun problème si un autre masque de sous-réseau est utilisé.

    Solution : utilisez n'importe quel autre masque de sous-réseau, à l'exception du masque de sous-réseau /32.

  • Problème 2395158 : la section de pare-feu est grisée lorsque le rôle d'administrateur d'entreprise est attribué à un groupe Active Directory.

    Le rôle d'administrateur d'entreprise est attribué à un groupe Active Directory en accédant à Utilisateurs et domaines > Utilisateurs > Utilisateur d'identité > Spécifier un groupe vCenter. Lorsque des utilisateurs appartenant à un groupe Active Directory se connectent et verrouillent une section de pare-feu, la section verrouillée est grisée pour ces utilisateurs une fois que la page est actualisée.

    Solution :

    au lieu d'attribuer le rôle d'administrateur d'entreprise au groupe Active Directory, attribuez ce rôle directement aux utilisateurs en accédant à Utilisateurs et domaines > Utilisateurs > Utilisateur d'identité > Spécifier un utilisateur vCenter.

  • Problème 2444677 : une erreur de panique du noyau se produit sur le dispositif NSX Edge lorsque des fichiers volumineux sont transférés via un VPN L2 sur des tunnels VPN IPSec.

    Cette erreur se produit lorsque le MTU est défini sur 1 500 octets.

    Solution :

    définissez le MTU sur 1 600 octets.

  • Problème 2574260 : la mise à jour d'une configuration de commutateur logique existante pour activer l'utilisation de VLAN invités (balisage d'invité virtuel ou balisage VLAN 802.1q) ne produit pas le résultat attendu.

    Le ports VDS associé au commutateur logique n'est pas mis à jour en conséquence.

    Solution : Aucune

  • Problème 2562965 : lorsqu'une configuration de règle DFW est enregistrée, le bouton Enregistrer tourne pendant quelques minutes puis l'interface utilisateur génère une erreur.

    Le message d'erreur suivant s'affiche dans vSphere Client :

    Aucune instance de NSX Manager disponible. Vérifiez que l'utilisateur actuel a un rôle attribué sur NSX Manager.

    Ce problème se produit uniquement lors de l'enregistrement de la configuration de la règle DFW. Il n'y a aucun impact sur la publication de la règle DFW.

    Solution : Aucune

  • Problème 2595144 : dans NSX 6.4.6, l'utilisation de la mémoire de super grands dispositifs Edge dépasse 90 % lorsque le nombre d'interfaces actives est supérieur ou égal à 6.

    Ce problème se produit dans NSX 6.4.6 et versions ultérieures en raison de la modification apportée à la taille du tampon d'anneau RX (4096) pour les super grands dispositifs Edge.

    • NSX Edge signale une utilisation élevée de la mémoire lorsque le nombre d'interfaces est supérieur ou égal à 6.
    • Sur la machine virtuelle NSX Edge, la sortie de la commande top -H affiche une utilisation normale de l'espace utilisateur.
    • La sortie de la commande slabtop -o affiche un nombre d'objets supérieur à 100 000 pour skbuff_head_cache

    Solution : contactez le Support VMware pour résoudre ce problème.

  • Problème 2661353 : si les keepalives sont activés pour le tunnel GRE, il se bloque, ce qui le rend instable.

    Il peut y avoir une interruption du trafic en cas de blocage du tunnel GRE. Cela se produit uniquement lorsque les keepalives GRE sont activés.

    Solution : désactivez les keepalives GRE sur la passerelle ESG.

Problèmes d'interopérabilité
  • Problème 2586381 : VMware Integrated Openstack (VIO) n'est pas compatible avec NSX 6.4.7 en raison de plusieurs problèmes de dimensionnement.

    NSX 6.4.7 ne prend pas en charge l'interopérabilité avec VIO.

    Solution : Aucune

check-circle-line exclamation-circle-line close-line
Scroll to top icon