Contenu des notes de mise à jour

Informations importantes sur NSX-T Data Center 3.2.0.

Nouveautés

• Mise en réseau de couche 2
• Mise en réseau de couche 3
• Multidiffusion
• Plate-forme Edge
• Pare-feu distribué
• Système de détection/prévention distribué des intrusions (D-IDPS)
• Pare-feu de passerelle
• Nouveau NSX Application Platform
• Détection et réponse du réseau
• VPN
• Guest Introspection
• Fédération
• Mise en réseau et sécurité de conteneur
• Équilibrage de charge
• NSX Cloud
• Opérations et surveillance
• Surveillance
• Convivialité et interface utilisateur
• Stratégie
• AAA et sécurité de la plateforme
• Échelle
• Attribution de licences
• Migration de NSX Data Center for vSphere vers NSX-T Data Center

Fonctionnalités de Tech Preview

Terminologie inclusive

Compatibilité et configuration système requise

Obsolescences de fonctionnalité/API et changements de comportement

• Avis d'obsolescence pour les API NSX Manager et les interfaces utilisateur avancées NSX
• Avis d'obsolescence du commutateur d'hôte N-VDS NSX-T
• OpenStack et KVM
• Avis d'obsolescence pour les API d'équilibrage de charge NSX-T
• Alarmes
• Désapprobation et modifications de l'API d'analyse du trafic en direct
• Obsolescences de l'API et changements de comportement

Notes de mise à niveau de cette version

Ressources relatives aux interfaces de ligne de commande et aux API

Langues disponibles

Historique de révision du document

Problèmes résolus

• Problème résolu 2692344 : si vous supprimez le point d'application Avi, il supprime tous les objets réalisés de la stratégie, ce qui supprime toutes les entités réalisées de l'objet par défaut de la stratégie. L'ajout d'un nouveau point d'application ne parvient pas à resynchroniser l'objet par défaut à partir du contrôleur Avi.

  Vous ne pourrez pas utiliser les objets par défaut du système après la suppression et la recréation du point d'application d'AVIConnectionInfo.

• Problème résolu 2858893 : le nettoyage du déploiement de service échoue pour le déploiement basé sur un cluster.

  Aucune répercussion fonctionnelle. Échec du nettoyage du service si vous tentez d'annuler l'enregistrement de ServiceDefinion avec ServiceDeployment ou des instances non résolus. Vous devez effectuer un nettoyage manuel/forcé à partir de la base de données.

• Problème résolu 2557287 : les mises à jour de TNP effectuées après la sauvegarde ne sont pas restaurées.

  vous ne verrez aucune mise à jour de TNP effectuée après la sauvegarde sur un dispositif restauré.

• Problème résolu 2679614 : lorsque le certificat API est remplacé sur le gestionnaire local, l'interface utilisateur du gestionnaire global affiche le message « Une erreur générale s'est produite. »

  Lorsque le certificat API est remplacé sur le gestionnaire local, l'interface utilisateur du gestionnaire global affiche le message « Une erreur générale s'est produite. »

• Problème résolu 2658687 : l'API de basculement du gestionnaire global signale un échec lorsque la transaction échoue, mais le basculement se produit.

  L'API échoue, mais le basculement du gestionnaire global est effectué.

• Problème résolu 2652418 : suppression lente lorsqu'un grand nombre d'entités sont supprimées.

  La suppression sera plus lente.

• Problème résolu 2649499 : la création de règles de pare-feu prend beaucoup de temps lorsque des règles individuelles sont créées l'une après l'autre.

  API lente ; la création de règles prend plus de temps.

• Problème résolu 2649240 : la suppression est lente lorsqu'un grand nombre d'entités sont supprimées à l'aide d'API de suppression individuelles.

  Il faut beaucoup de temps pour terminer le processus de suppression.

• Problème résolu 2606452 : l'intégration est bloquée lors d'une tentative d'intégration via l'API.

  l'intégration de l'API échoue avec le message d'erreur « La zone de transport par défaut est introuvable sur le site ».

• Problème résolu 2587513 : la stratégie affiche une erreur lorsque plusieurs plages VLAN sont configurées dans la liaison de profil de pont.

  Un message d'erreur « ID VLAN NON VALIDES » s'affiche.

• Problème résolu 2662225 : lorsque le nœud Edge actif devient un nœud Edge non actif pendant le flux de trafic S-N, une perte de trafic se produit.

  Le flux S->N actuel est en cours d'exécution sur le nœud actif de multidiffusion. La route préférée sur les TOR à la source doit se faire via le nœud Edge actif de multidiffusion uniquement. La mise en place d'un autre dispositif Edge peut se faire sur le nœud actif de multidiffusion (le nœud Edge de rang inférieur est un nœud de multidiffusion actif). Le trafic S->N actuel subit une perte de quatre minutes maximum. Cela n'aura pas d'incidence sur le nouveau flux ou si le flux actuel est arrêté et redémarré.

• Problème résolu 2625009 : Les sessions iBGP inter-SR présentent un bagottement continu, lorsque les routeurs intermédiaires ou les cartes réseau physiques ont une valeur MTU inférieure ou égale à celle du port inter-SR.

  Cela peut avoir un impact sur la connectivité inter-site dans les topologies de fédération.

• Problème résolu 2521230 : l'état de BFD affiché sous « get bgp neighbor summary » peut ne pas refléter correctement l'état de la dernière session BFD.

  BGP et BFD peuvent configurer leurs sessions indépendamment. Dans le cadre de « get bgp neighbor summary », BGP affiche également l'état de BFD. Si BGP est inactif, il ne traitera aucune notification de BFD et continuera à afficher le dernier état connu. Cela peut entraîner l'affichage d'un état périmé de BFD.

• Problème résolu 2550492 : pendant une mise à niveau, le message « Les informations d'identification étaient incorrectes ou le compte spécifié a été verrouillé » s'affiche temporairement et le système récupère automatiquement.

  Message d'erreur transitoire lors de la mise à niveau.

• Problème résolu 2682480 : fausse alarme possible pour l'état de santé de NCP.

  L'alarme d'état de santé de NCP peut ne pas être fiable dans le sens où elle est déclenchée lorsque le système NCP est sain.

• Problème résolu 2655539 : les noms d'hôtes ne sont pas mis à jour sur la page Gestionnaire d'emplacements de l'interface utilisateur du gestionnaire global lors de la mise à jour des noms d'hôte à l'aide de l'interface de ligne.

  L'ancien nom d'hôte s'affiche.

• Problème résolu 2631703 : lorsque vous effectuez une sauvegarde/restauration d'un dispositif avec l'intégration vIDM, la configuration de vIDM est interrompue.

  En général, lorsqu'un environnement a été mis à niveau et/ou restauré, toute tentative de restauration d'un dispositif sur lequel l'intégration de vIDM est en cours d'exécution entraîne une interruption de l'intégration et vous devrez reconfigurer.

• Problème résolu 2730109 : lorsque le dispositif Edge est mis sous tension, il tente d'établir un voisinage OSPF avec l'homologue à l'aide de son adresse IP de liaison de routeur en tant que RouterID OSPF, même si une boucle est présente.

  Après le rechargement du dispositif Edge, OSPF sélectionne l'adresse IP de liaison descendante (adresse IP la plus élevée) comme ID de routeur jusqu'à ce qu'il reçoive la configuration de l'ID de routeur OSPF en raison de l'ordre de séquencement de la configuration. L'entrée du voisin avec l'ancien ID de routeur finit par devenir obsolète lors de la réception de la salutation OSPF avec le nouvel ID de routeur et expire après l'expiration du temporisateur inactif sur l'homologue.

• Problème résolu 2610851 : les espaces de noms, la collection de calcul, le filtrage de la grille des services L2VPN peuvent ne renvoyer aucune donnée pour quelques combinaisons de filtres de types de ressources.

  L'application de plusieurs filtres pour quelques types en même temps n'a renvoyé aucun résultat, même si les données sont disponibles avec des critères de correspondance. Il ne s'agit pas d'un scénario courant et le filtre n'échouera que pour les combinaisons suivantes d'attributs de filtre : Pour la grille Espaces de noms ==> Sur le filtre Nom du cluster et Nom d'espaces pour la page Topologie réseau ==> Sur le service L2VPN appliquant un filtre IP distant Pour la collecte de calcul ==> Sur le filtre ComputeManager

• Problème résolu 2482580 : la configuration IDFW/IDS n'est pas mise à jour lorsqu'un cluster IDFW/IDS est supprimé de vCenter.

  Lorsqu'un cluster sur lequel IDFW/IDS est activé est supprimé de vCenter, le plan de gestion NSX n'est pas informé des mises à jour nécessaires. Cela entraîne un nombre exact de clusters IDFW/IDS activés. Ce problème n'a aucune répercussion fonctionnelle. Seul le nombre de clusters activés est incorrect.

• Problème résolu 2587257 : dans certains cas, le paquet PMTU envoyé par le dispositif NSX-T est ignoré lors de la réception à la destination.

  la détection PMTU échoue, ce qui entraîne la fragmentation et le réassemblage, puis l'abandon de paquets. Cela entraîne une perte de performances ou une interruption du trafic.

• Problème résolu 2622576 : les pannes dues à la duplication de la configuration ne sont pas propagées correctement à l'utilisateur.

  Lorsque l'intégration est en cours, le message « Échec de l'intégration » s'affiche.

• Problème résolu 2638673 : les vNIC SRIOV pour les machines virtuelles ne sont pas détectées par l'inventaire.

  Les vNIC SRIOV ne sont pas répertoriées dans la boîte de dialogue Ajouter une nouvelle session SPAN. Les vNIC SRIOV ne seront pas visibles lors de l'ajout d'une nouvelle session SPAN.

• Problème résolu 2643749 : impossible d'imbriquer le groupe à partir de la région personnalisée créée sur un site spécifique dans un groupe appartenant à la région spécifique au site créé par le système.

  Le groupe créé dans la région personnalisée spécifique au site ne sera pas visible lors de la sélection du groupe enfant en tant que membre du groupe dans la région créée par le système avec le même emplacement.

• Problème résolu 2805986 : impossible de déployer la machine virtuelle Edge gérée par NSX-T.

  Le déploiement du dispositif Edge NSX-T échoue lorsqu'il est effectué à l'aide de l'interface utilisateur d'ESX.

• Problème résolu 2685550 : l'état de réalisation de la règle de pare-feu est toujours affiché comme « En cours d'exécution » lorsqu'il est appliqué aux segments de pont.

  Lors de l'application de règles de pare-feu à un NSGroup qui contient des segments de pont en tant que membres, l'état de réalisation s'affiche toujours comme étant en cours d'exécution. Vous ne pourrez pas vérifier l'état de réalisation des règles de pare-feu appliquées aux segments de pont.

Problèmes connus

• Problème 3025104 : hôte indiquant l'état « En échec » lors d'une restauration effectuée sur une adresse IP différente et le même nom de domaine complet.

  Lorsque la restauration est effectuée à l'aide d'une adresse IP différente des nœuds MP en utilisant le même nom de domaine complet, les hôtes ne peuvent pas se connecter aux nœuds MP.

  Solution : Actualisez le cache DNS de l'hôte. Utilisez la commande /etc/init.d/nscd restart.

• Problème 3012313 : La mise à niveau de la protection contre les programmes malveillants NSX ou de NSX Network Detection and Response de la version 3.2.0 vers NSX ATP 3.2.1 ou 3.2.1.1 échoue.

  Après la mise à niveau de NSX Application Platform de NSX 3.2.0 vers NSX ATP 3.2.1 ou 3.2.1.1, la mise à niveau de la fonctionnalité de protection contre les programmes malveillants NSX (MP) ou NSX Network Detection and Response (NDR) échoue avec un ou plusieurs des symptômes suivants.

  1. La fenêtre Interface utilisateur de ka mise à niveau affiche un état FAILED pour NSX NDR et les espaces cloud-connector.

  2. Pour une mise à niveau de NSX NDR, quelques espaces avec le préfixe de nsx-ndr sont à l'état ImagePullBackOff.

  3. Pour une mise à niveau de NSX MP, quelques espaces avec le préfixe de cloud-connector sont à l'état ImagePullBackOff.

  4. La mise à niveau échoue lorsque vous cliquez sur METTRE À NIVEAU, mais les fonctionnalités précédentes NSX MP et NSX NDR fonctionnent toujours de la même manière qu'avant le démarrage de la mise à niveau. Toutefois, NSX Application Platform risque de devenir instable.

  Solution : reportez-vous à l'article 89418 de la base de connaissances VMware.

• Problème 2989696 : Les sauvegardes planifiées ne parviennent pas à démarrer après l'opération de restauration de NSX Manager.

  La sauvegarde planifiée ne génère pas de sauvegardes. Les sauvegardes manuelles continuent de fonctionner.

  Solution : reportez-vous à l'article 89059 de la base de connaissances.

• Problème 3015843 : l'identifiant du journal de paquets DFW a été modifié dans NSX-T 3.2.0 et n'a pas été mentionné dans les notes de mise à jour.

  Impossible d'afficher les journaux de paquets DFW portant l'identifiant de journal utilisé dans les versions antérieures.

  Les champs Syslog NSX-T suivants ont été modifiés pour s'aligner sur la conformité RFC :

  • FIREWALL_PKTLOG modifié en FIREWALL-PKTLOG

  • DLB_PKTLOG modifié en DLB-PKTLOG

  • IDPS_EVT modifié en IDPS-EVT

  • nsx_logger modifié en nsx-logger

  Étant donné que ces modifications ont été apportées pour s'aligner sur la conformité RFC, il n'existe aucun scénario hypothétique de futures versions NSX qui reviennent à la structure des journaux à partir de versions antérieures.

• Problème 2355113 : les machines virtuelles de charge de travail exécutant RedHat et CentOS sur des instances de mise en réseau accélérée Azure ne sont pas prises en charge.

  dans Azure, lorsque l'accélération de mise en réseau est activée sur un système d'exploitation RedHat ou CentOS et si NSX Agent est installé, l'interface Ethernet n'obtient pas d'adresse IP.

  Solution : désactivez la mise en réseau accélérée pour les systèmes d'exploitation basés sur RedHat et CentOS.

• Problème 2283559 : les API MP /routing-table et /forwarding-table renvoient une erreur si le dispositif Edge comporte plus de 65 000 routes pour RIB et plus de 100 000 pour FIB.

  Si le dispositif Edge comporte plus de 65 000 routes pour RIB et plus de 100 000 pour FIB, la demande de l'interface multiprotocole au dispositif Edge prend plus de 10 secondes et expire. Il s'agit d'une API en lecture seule qui a un impact uniquement s'il est nécessaire de télécharger les 65 000 routes minimum pour RIB et les 100 000 routes minimum pour FIB à l'aide de l'API/interface utilisateur.

  Solution : il existe deux options pour extraire les tables RIB/FIB. Ces API prennent en charge les options de filtrage basées sur les préfixes de réseau ou le type de route. Utilisez ces options pour télécharger les routes qui vous intéressent. Prise en charge d'une interface de ligne de commande au cas où l'intégralité des tables RIB/FIB soit nécessaire et en l'absence de délai d'expiration.

• Problème 2693576 : le nœud de transport affiche « Échec de l'installation de NSX » après la mise à niveau de KVM RHEL 7.9 vers RHEL 8.2.

  après la mise à niveau de RHEL 7.9 vers la version 8.2, les dépendances nsx-opsagent et nsx-cli sont manquantes, l'hôte est marqué comme ayant échoué à l'installation. La résolution de l'échec à partir de l'interface utilisateur ne fonctionne pas : échec de l'installation du logiciel sur l'hôte. Dépendances non résolues : [PyYAML, python-mako, python-netaddr, python3]

  Solution : installez manuellement les vibs NSX RHEL 8.2 après la mise à niveau du système d'exploitation hôte puis résolvez-le à partir de l'interface utilisateur.

• Problème 2628503 : la règle DFW reste appliquée même après la suppression forcée du NSGroup du gestionnaire.

  Solution : ne forcez pas la suppression d'un NSGroup qui est toujours utilisé par une règle DFW. À la place, videz le NSGroup ou supprimez la règle DFW.

• Problème 2684574 : si le dispositif Edge comporte plus de 6 000 routes pour la base de données et les routes, l'API de stratégie expire.

  ces API de stratégie pour la base de données OSPF et les routes OSPF renvoient une erreur si le dispositif Edge comporte plus de 6 000 routes : /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv si le dispositif Edge comporte plus de 6 000 routes pour la base de données et les routes, l'API de stratégie expire. Il s'agit d'une API en lecture seule qui a un impact uniquement si l'API/l'interface utilisateur est utilisée pour télécharger plus de 6 000 routes pour les routes et la base de données OSPF.

  Solution : utilisez les commandes de la CLI pour récupérer les informations du dispositif Edge.

• Problème 2663483 : l'instance de NSX Manager à nœud unique se déconnecte du reste de l'environnement de NSX fédération si vous remplacez le certificat APH-AR sur cette instance de NSX Manager.

  ce problème se produit uniquement avec NSX Fédération et avec le cluster NSX Manager à nœud unique. l'instance de NSX Manager à nœud unique se déconnecte du reste de l'environnement de NSX fédération si vous remplacez le certificat APH-AR sur cette instance de NSX Manager.

  Solution : le déploiement d'un cluster NSX Manager à nœud unique n'est pas une option de déploiement prise en charge. Vous devez donc disposer d'un cluster NSX Manager à trois nœuds.

• Problème 2636771 : la recherche peut renvoyer une ressource lorsqu'une ressource est balisée avec plusieurs paires de balises et que la balise et l'étendue correspondent à toute valeur de balise et de portée.

  Cela affecte la requête de recherche avec une condition sur la balise et l'étendue. Le filtre peut renvoyer des données supplémentaires si la balise et l'étendue correspondent à une paire.

  Solution : aucune.

• Problème 2668717 : une perte intermittente du trafic peut être observée pour le routage E-O entre les réseaux créés par vRA connectés à des segments partageant le niveau 1.

  Dans les cas où vRA crée plusieurs segments et se connecte à une passerelle ESG partagée, V2T convertit une telle topologie en un niveau 1 partagé connecté à tous les segments du côté NSX-T. Pendant la fenêtre de migration de l'hôte, une perte intermittente du trafic peut être observée pour le trafic E-O entre les charges de travail connectées aux segments partageant le niveau 1.

  Solution : aucune.

• Problème 2490064 : la tentative de désactivation de VMware Identity Manager avec l'option « Équilibreur de charge externe » activée ne fonctionne pas.

  Après l'activation de l'intégration de VMware Identity Manager sur NSX avec « Équilibreur de charge externe », si vous tentez de désactiver l'intégration en désactivant « Équilibreur de charge externe », la configuration initiale réapparaît et remplace les modifications locales après environ une minute.

  Solution : lorsque vous tentez de désactiver vIDM, ne désactivez pas l'indicateur Équilibreur de charge externe. Désactivez uniquement Intégration de vIDM. Cela entraîne l'enregistrement de la configuration dans la base de données et sa synchronisation avec les autres nœuds.

• Problème 2526769 : la restauration échoue sur un cluster à nœuds multiples.

  Lors du démarrage d'une restauration sur un cluster à nœuds multiples, la restauration échoue et vous devez redéployer le dispositif.

  Solution : déployez une nouvelle configuration (cluster à un nœud) et démarrez la restauration.

• Problème 2534933 : les certificats disposant de CDP (CRL Distribution Point) basés sur LDAP ne s'appliquent pas en tant que certificats tomcat/cluster.

  Vous ne pouvez pas utiliser des certificats signés par une autorité de certification qui ont des CDP LDAP en tant que certificat cluster/tomcat.

  Solution : Il existe deux options.

  1. Utiliser un certificat avec CDP basé sur HTTP.

  2. Désactivez la vérification de la CRL à l'aide de l'API PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig (dans la charge utile pour PUT, assurez-vous que « crl_checking_enabled » est false.)

• Problème 2566121 : le message d'erreur incorrect « Certains composants du dispositif ne fonctionnent pas correctement » s'affiche lorsque le serveur est surchargé.

  lorsqu'il y a trop d'appels d'API effectués vers NSX, l'interface utilisateur/API affiche l'erreur « Certains composants du dispositif ne fonctionnent pas correctement » au lieu de « Le serveur est surchargé ».

  Solution : aucune.

• Problème 2613113 : si l'intégration est en cours et que la restauration du gestionnaire local est terminée, l'état du gestionnaire global reste sur IN_PROGRESS.

  L'interface utilisateur affiche IN_PROGRESS dans le gestionnaire global pour l'intégration du gestionnaire local. La configuration du site restauré ne peut pas être importée.

  Solution : redémarrez le cluster de gestionnaire global, un nœud à la fois.

• Problème 2690457 : lors de la jonction d'un plan de gestion à un cluster MP dans lequel publish_fqdns est défini sur le cluster MP et où le serveur DNS externe n'est pas configuré correctement, le service de protons peut ne pas redémarrer correctement sur le nœud de jonction.

  Le gestionnaire de jonction ne fonctionnera pas et l'interface utilisateur ne sera pas disponible.

  Solution : configurez le serveur DNS externe avec des entrées DNS directes et inversées pour tous les nœuds de gestionnaire.

• Problème 2574281 : la stratégie n'autorise qu'un maximum de 500 sessions VPN.

  NSX réclame la prise en charge de 512 sessions VPN par dispositif Edge dans le facteur de forme élevé. Cependant, en raison de la stratégie de l'analyse automatique des stratégies de sécurité, la stratégie n'autorise qu'un maximum de 500 sessions VPN. Lors de la configuration de la 501e session VPN sur Niveau0, le message d'erreur suivant s'affiche : {'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}

  Solution : utilisez les API du plan de gestion pour créer des sessions VPN supplémentaires.

• Problème 2658092 : l'intégration échoue lorsque NSX Intelligence est configuré sur le gestionnaire local.

  L'intégration échoue avec une erreur d'identité de principal et vous ne pouvez pas intégrer un système avec l'utilisateur d'identité de principal.

  Solution : créez un utilisateur d'identité de principal temporaire avec le même nom d'identité de principal que celui utilisé par NSX Intelligence.

• Problème 2639424 : la correction d'un hôte dans un cluster vLCM avec un déploiement basé sur l'hôte échouera une fois 95 % de la correction effectués.

  La progression de la correction d'un hôte sera bloquée à 95 %, puis échouera après la fin du délai d'expiration de 70 minutes.

  Solution : reportez-vous à l'article 81447 de la base de connaissances VMware.

• Problème 2636420 : l'hôte passera à l'état « Installation de NSX ignorée » et le cluster dans l'état « Échec » après la restauration si « Supprimer NSX » s'exécute sur le cluster après la sauvegarde.

  « Installation de NSX ignorée » s'affiche pour l'hôte.

  Solution : après la restauration, vous devez exécuter de nouveau « Supprimer NSX » sur le cluster pour atteindre l'état qui était présent après la sauvegarde (état non configuré).

• Problème 2558576 : les versions de gestionnaire global et de gestionnaire local d'une définition de profil global peuvent différer et avoir un comportement inconnu sur le gestionnaire local.

  Les profils DNS globaux, de session ou de propagation créés sur un gestionnaire global ne peuvent pas être appliqués à un groupe local à partir de l'interface utilisateur, mais peuvent être appliqués à partir de l'API. Par conséquent, un utilisateur d'API peut accidentellement créer des cartes de liaison de profil et modifier l'entité globale sur le gestionnaire local.

  Solution : utilisez l'interface utilisateur pour configurer le système.

• Problème 2491800 : la validité des certificats SSL de canal AR n'est pas vérifiée périodiquement. Ceci peut entraîner l'utilisation d'un certificat expiré/révoqué pour une connexion existante.

  La connexion utiliserait un SSL expiré/révoqué.

  Solution : redémarrez l'APH sur le nœud de gestionnaire pour déclencher une reconnexion.

• Problème 2561988 : toutes les sessions IKE/IPSEC sont temporairement interrompues.

  L'interruption du trafic durera un certain temps.

  Solution : modifiez les points de terminaison locaux par phases plutôt que tous en même temps.

• Problème 2584648 : le basculement principal pour la passerelle T0/T1 affecte la connectivité ascendante.

  la durée de basculement de l'emplacement entraîne une interruption de quelques secondes et peut affecter le basculement d'emplacement ou le test de retour arrière.

  Solution : aucune.

• Problème 2636420 : le profil de nœud de transport est appliqué à un cluster sur lequel « Supprimer NSX » est appelé après la sauvegarde.

  les hôtes ne sont pas à l'état préparé, mais le profil de nœud de transport est toujours appliqué au cluster.

  Solution : après une restauration, vous devez exécuter de nouveau « Supprimer NSX » sur le cluster pour atteindre l'état qui était présent après la sauvegarde (état non configuré).

• Problème 2687084 : après la mise à niveau ou le redémarrage, l'API de recherche peut renvoyer l'erreur 400 avec le code d'erreur 60508 « La recréation des index peut prendre un certain temps ».

  en fonction de l'échelle du système, l'API de recherche et l'interface utilisateur sont inutilisables jusqu'à la fin de la réindexation.

  Solution : aucune.

• Problème 2782010 : l'API de stratégie permet de modifier vdr_mac/vdr_mac_nested même lorsque « allow_changing_vdr_mac_in_use » est false

  l'adresse MAC VDR sera mise à jour sur TN même si allow_changing est défini sur false. L'erreur n'est pas signalée.

  Solution : remplacez l'adresse MAC VDR par l'ancienne valeur si vous n'aviez pas prévu que le champ change.

• Problème 2791490 : Fédération : impossible de synchroniser les objets avec le gestionnaire global (GM) en veille après la modification du mot de passe de GM en veille.

  impossible d'observer le GM actif sur le gestionnaire d'emplacements du GM en veille, aucune mise à jour du GM actif.

  Solution : demandez une synchronisation forcée sur l'interface utilisateur du GM en veille.

• Problème 2799371 : les alarmes IPSec pour VPN L2 ne sont pas effacées même si les sessions VPN L2 et IPSec sont actives.

  aucune répercussion fonctionnelle, sauf que des alarmes ouvertes inutiles sont visibles.

  Solution : résoudre les alarmes manuellement.

• Problème 2838613 : pour la version d'ESX antérieure à la version 7.0.3, la fonctionnalité de sécurité NSX n'est pas activée sur VDS mis à niveau de la version 6.5 vers une version supérieure après l'installation de la sécurité sur le cluster.

  les fonctionnalités de sécurité de NSX ne sont pas activées sur les machines virtuelles connectées à VDS mises à niveau de la version 6.5 vers une version ultérieure (6.6 et versions ultérieures) sur lesquelles la fonctionnalité de sécurité NSX sur vSphere DVPortgroups est prise en charge.

  Solution : une fois VDS mis à niveau, redémarrez l'hôte et mettez sous tension les machines virtuelles pour activer la sécurité sur les machines virtuelles.

• problème 2839782 : impossible de mettre à niveau NSX-T 2.4.1 vers la version 2.5.1, car l'entité CRL est volumineuse et Corfu impose une limite de taille dans 2.4.1, empêchant ainsi l'entité de CRL d'être créée dans Corfu pendant la mise à niveau.

  impossible d'effectuer la mise à niveau.

  Solution : remplacez le certificat par un certificat signé par une autorité de certification différente.

• Problème 2851991 : IDFW échoue si le groupe de stratégies avec le groupe AD comporte également un groupe source vide imbriqué.

  IDFW échoue si le groupe de stratégies avec le groupe AD a un groupe source vide imbriqué.

  Solution : supprimez le groupe enfant vide.

• Problème 2852419 : message d'erreur affiché lorsque la route statique est configurée avec un tronçon suivant IPv4/v6 non local de liaison ayant plusieurs valeurs d'étendue.

  l'API de route statique avec une adresse IP de tronçon suivant non locale de liaison ayant plusieurs configurations de valeurs d'étendue sera rejetée.

  Solution : créez plusieurs tronçons suivants au lieu de plusieurs valeurs d'étendue et assurez-vous que chaque tronçon suivant a une adresse IP différente.

• Problème 2853889 : lors de la création de la configuration de locataire EVPN (avec le mappage vlan-vni), des segments enfants sont créés, mais l'état de réalisation du segment enfant passe à l'état d'échec pendant environ 5 minutes et récupère automatiquement.

  la réalisation de la configuration du locataire EVPN prendra 5 minutes.

  Solution : aucune. Patientez 5 minutes.

• Problème 2854139 : ajout/suppression continus des routes BGP dans RIB pour une topologie dans laquelle le SR de niveau 0 sur le dispositif Edge comporte plusieurs voisins BGP et ces voisins BGP envoient des préfixes ECMP au SR de niveau 0.

  abandon de trafic pour les préfixes qui sont continuellement ajoutés/supprimés.

  Solution : ajoutez une carte de route entrante qui filtre le préfixe BGP qui se trouve dans le même sous-réseau que la route statique nexthop.

• Problème 2864250 : un échec se produit lors de la réalisation du nœud de transport si le profil NIOC personnalisé est utilisé lors de la création d'un nœud de transport.

  le nœud de transport n'est pas prêt à être utilisé.

  Solution : créez le nœud de transport avec le profil NIOC par défaut, puis mettez-le à jour en appliquant le profil NIOC personnalisé.

• Problème 2866682 : dans Microsoft Azure, lorsque la mise en réseau accélérée est activée sur des machines virtuelles de charge de travail SUSE Linux Enterprise Server (SLES) 12 SP4 et si NSX Agent est installé, l'interface Ethernet n'obtient pas d'adresse IP.

  l'agent de machine virtuelle ne démarre pas et la machine virtuelle devient non gérée.

  Solution : désactivez la mise en réseau accélérée.

• Problème 2867243 : les API d'appartenance effective d'un groupe de stratégies ou d'un NSGroup sans membres effectifs ne renvoient pas les champs « résultats » et « result_count » dans la réponse de l'API.

  Ce problème n'a aucune répercussion fonctionnelle.

  Solution : aucune.

• Problème 2868235 : dans la boîte de dialogue Démarrage rapide - Mise en réseau et sécurité, la visualisation affiche un VDS en double lorsque plusieurs PNIC sont attachées au même VDS.

  la visualisation affiche un VDS en double. Il peut être difficile de trouver ou de faire défiler jusqu'à la section Personnaliser le commutateur d'hôte si l'accent est mis sur le graphique de visualisation.

  Solution : pour le problème de défilement, appuyez sur la touche Tabulation ou déplacez le pointeur de la souris en dehors de la zone de visualisation et faites défiler jusqu'à la section Personnaliser la configuration du commutateur.

• Problème 2870085 : la journalisation au niveau de la stratégie de sécurité pour activer/désactiver la journalisation pour toutes les règles ne fonctionne pas.

  vous ne pourrez pas modifier la journalisation de toutes les règles en modifiant « logging_enabled » de la stratégie de sécurité.

  Solution : modifiez chaque règle pour activer/désactiver la journalisation.

• Problème 2870529 : les informations d'exécution pour l'identification du pare-feu (IDFW) ne sont pas disponibles si la casse exacte du nom NetBIOS n'est pas utilisée lors de l'ajout d'un domaine AD.

  vous ne pouvez pas obtenir facilement et rapidement les informations/l'état d'exécution actuels d'IDFW. Les connexions actives actuelles ne peuvent pas être déterminées.

  Solution : modifiez le domaine en question et corrigez le nom netbios. Une fois les modifications appliquées, tous les événements IDFW futurs seront signalés correctement.

• Problème 2870645 : en réponse à l'API /policy/api/v1/infra/realized-state/realized-entities, « publish_status_error_details » affiche les détails de l'erreur même si « publish_status » est « SUCCESS », ce qui signifie que la réalisation a réussi.

  Ce problème n'a aucune répercussion fonctionnelle.

  Solution : aucune.

• Problème 2871585 : la suppression de l'hôte de DVS et de DVS est autorisée pour les versions de DVS antérieures à la version 7.0.3 après que la fonctionnalité Sécurité de NSX sur vSphere DVPortgroups est activée sur les clusters à l'aide du DVS.

  vous devrez peut-être résoudre les problèmes de configuration de nœud de transport ou de cluster qui proviennent d'un hôte supprimé de DVS ou de la suppression de DVS.

  Solution : aucune.

• Problème 2874236 : après la mise à niveau, si vous redéployez une seule passerelle de cloud public (PCG) dans une paire HA, l'ancien build HA AMI/VHD est réutilisé.

  cela se produit uniquement après la mise à niveau lors du premier redéploiement des PCG.

  Solution : fournissez l'AMI ou le VHD approprié après la mise à niveau via l'API.

• Problème 2875385 : lorsqu'un nouveau nœud rejoint le cluster, si les utilisateurs locaux (admin, audit, guestuser1, guestuser2) ont été renommés sous un autre nom, il se peut que ces utilisateurs locaux ne puissent pas se connecter.

  l'utilisateur local ne peut pas se connecter.

  Solution : il existe deux solutions.

  • Solution 1 : Renommez l'utilisateur puis revenez au nom souhaité.

  • Solution 2 : si vous ne parvenez pas à renommer les utilisateurs, redémarrez NSX Manager.

• Problème 2848614 : lors de la jonction d'un plan de gestion à un cluster MP où publish_fqdns est défini sur le cluster MP et où l'entrée de recherche directe ou inversée manquante dans le serveur DNS externe ou l'entrée DNS manquante pour joindre le nœud, les alarmes directes ou inverses ne sont pas générées pour le nœud de jonction.

  les alarmes directes/inversées ne sont pas générées pour le nœud de jonction, même si l'entrée de recherche directe/inverse est manquante dans le serveur DNS ou si l'entrée DNS est manquante pour le nœud de jonction.

  Solution : configurez le serveur DNS externe pour tous les nœuds de gestionnaire avec des entrées DNS directes et inverses.

• Problème 2719682 : les champs calculés du contrôleur Avi ne sont pas synchronisés avec l'intention sur la stratégie, ce qui entraîne des différences dans les données affichées sur l'interface utilisateur d'Avi et de NSX-T.

  les champs calculés du contrôleur Avi sont affichés comme vides dans l'interface utilisateur de NSX-T.

  Solution : sélecteur d'applications à utiliser pour vérifier les données à partir de l'interface utilisateur d'Avi.

• Problème 2747735 : après la restauration, la connectivité VIP est interrompue en raison de problèmes de compatibilité réseau.

  Lors de la restauration de la sauvegarde, les clients peuvent mettre à jour l'adresse IP virtuelle avant l'étape « AddNodeToCluster ».

  [Entrez la solution, le cas échéant, sinon indiquez « Aucune »] La restauration s'interrompt généralement à l'étape « AddNodeToCluster » où l'utilisateur est invité à ajouter des nœuds de gestionnaire supplémentaires. À cette étape, a. Supprimez/mettez d'abord à jour l'adresse IP virtuelle pour utiliser une nouvelle adresse IP de la page « Interface utilisateur des systèmes/dispositifs ». Et b. Ajoutez des nœuds supplémentaires à un cluster à 1 nœud restauré une fois que l'adresse IP virtuelle est corrigée.

• Problème 2816781 : les serveurs physiques ne peuvent pas être configurés avec une stratégie d'association basée sur l'équilibrage de charge, car ils prennent en charge un seul VTEP.

  vous ne pourrez pas configurer des serveurs physiques avec une stratégie d'association basée sur l'équilibrage de charge.

  Solution : remplacez la stratégie d'association par une stratégie d'association basée sur le basculement ou par une stratégie ayant un seul VTEP.

• Problème 2856109 : l'ajout du 2 000e membre du pool entraîne une erreur de limite si la version du contrôleur Avi est 21.1.2.

  le contrôleur Avi 21.1.2 autorise 1 999 membres du pool au lieu de 2 000.

  Solution : utilisez la version du contrôleur Avi 20.1.7 ou 21.1.3.

• Problème 2862418 : le premier paquet peut être perdu dans l'analyse du trafic en direct (LTA) lors de la configuration de LTA pour suivre le nombre exact de paquets.

  vous ne pouvez pas voir le premier suivi de paquet.

  Solution : aucune.

• Problème 2864929 : le nombre de membres du pool est plus élevé lors de la migration de NSX for vSphere vers Avi Load Balancer sur NSX-T Data Center.

  vous verrez un nombre de membres du pool plus élevé. Le moniteur de santé marquera ces membres du pool comme étant inactifs, mais le trafic ne sera pas envoyé aux membres du pool inaccessibles.

  Solution : aucune.

• Problème 2865273 : le moteur de recherche Advanced Load Balancer (Avi) ne se connecte pas au contrôleur Avi s'il existe une règle DFW pour bloquer les ports 22, 443, 8443 et 123 avant la migration de NSX for vSphere vers NSX-T Data Center.

  le moteur de recherche Avi ne parvient pas à se connecter au contrôleur Avi.

  Solution : ajoutez des règles DFW explicites pour autoriser les ports 22, 443, 8443 et 123 pour les machines virtuelles SE ou exclure les machines virtuelles SE des règles DFW.

• Problème 2866885 : l'analyseur de journaux d'événements (ELS) requiert que le nom NetBIOS configuré dans le domaine AD corresponde à celui du serveur AD.

  la connexion de l'utilisateur ne sera pas détectée par ELS.

  Solution : modifiez le nom NetBIOS pour qu'il corresponde à celui du serveur AD.

• Problème 2868944 : les commentaires de l'interface utilisateur ne s'affichent pas lors de la migration de plus de 1 000 règles DFW de NSX for vSphere vers NSX-T Data Center, mais les sections sont divisées en sections de 1 000 règles ou moins.

  les commentaires sur l'interface utilisateur ne s'affichent pas.

  Solution : vérifiez les journaux.

• Problème 2878030 : la mise à niveau du nœud d'orchestrateur pour la modification du site du gestionnaire local n'affiche pas de notification.

  si le nœud d'orchestrateur est modifié après la mise à niveau de l'UC et que vous continuez avec le workflow de l'interface utilisateur en cliquant sur un bouton d'action (prévérification, démarrage, etc.), vous ne verrez aucune progression sur l'interface utilisateur de mise à niveau. Cela s'applique uniquement si l'interface utilisateur de mise à niveau du gestionnaire local est accessible dans l'interface utilisateur du gestionnaire global à l'aide du sélecteur de site.

  Solution : accédez au gestionnaire local de ce site et poursuivez la mise à niveau pour voir la notification attendue.

• Problème 2878325 : dans la vue Inventaire du tableau de bord de capacité pour Manager, le nombre d'attributs « Groupes basés sur des ensembles d'adresses IP » n'inclut pas les groupes contenant des adresses IP créées à partir de l'interface utilisateur de stratégie.

  dans la vue Inventaire du tableau de bord de capacité pour Manager, le nombre de « Groupes basés sur des ensembles d'adresses IP » n'est pas correctement représenté si des groupes de stratégies contiennent des adresses IP.

  Solution : aucune.

• Problème 2879133 : la fonctionnalité de protection contre les programmes malveillants peut prendre jusqu'à 15 minutes pour commencer à fonctionner.

  lorsque la fonctionnalité de protection contre les programmes malveillants est configurée pour la première fois, son initialisation peut prendre jusqu'à 15 minutes. Pendant cette initialisation, aucune analyse de logiciels malveillants n'est effectuée, mais il n'existe aucune indication que l'initialisation se produit.

  Solution : patientez 15 minutes.

• Problème 2879734 : la configuration échoue lorsque le même certificat auto-signé est utilisé dans deux points de terminaison locaux IPsec différents.

  la session IPsec ayant échoué ne sera pas établie tant que l'erreur n'aura pas été résolue.

  Solution : utilisez un certificat auto-signé unique pour chaque point de terminaison local.

• Problème 2879979 : le service IKE peut ne pas initier une nouvelle session basée sur la route IPsec après une « Dead Peer Detection » en raison de l'inaccessibilité de l'homologue IPsec.

  il peut y avoir une panne pour une session basée sur une route IPsec spécifique.

  Solution : activer/désactiver sur la session IPsec peut résoudre le problème.

• Problème 2881281 : la configuration simultanée de plusieurs serveurs virtuels peut échouer pour certains.

  les connexions client aux serveurs virtuels peuvent expirer.

  Solution : exécutez l'API suivante pour redéclencher le workflow de routeur logique.

  https://{ip}/api/v1/logical-routers/<id>? action=retraitement

• Problème 2881471 : l'état du déploiement des services n'est pas mis à jour lorsque l'état du déploiement passe d'échec à réussite.

  vous pouvez voir que l'état du déploiement des services reste dans l'état Inactif indéfiniment avec l'alarme qui a été déclenchée.

  Solution : utilisez l'API d'état du déploiement des services pour vérifier l'état.

  API : https://{{nsx-mgr-ip}}/api/v1/serviceinsertion/services/{{service-id}}/service-deployments/{{service-deployment-id}}/status

• Problème 2882070 : les membres et les critères NSGroup ne s'affichent pas pour les groupes globaux dans la liste d'API Manager.

  Aucune répercussion fonctionnelle.

  Solution : affichez les définitions de groupe global via l'API de stratégie sur le gestionnaire local.

• Problème 2882769 : les balises sur les objets NSService et NSServiceGroup ne sont pas reportées après la mise à niveau vers NSX-T 3.2.

  il n'y a aucun impact fonctionnel sur NSX, car les balises sur NSService et NSServiceGroup ne sont consommées par aucun workflow. Il peut y avoir un impact sur les scripts externes dont les workflows reposent sur des balises sur ces objets.

  Solution : après la mise à niveau vers NSX-T 3.2, les balises manquantes peuvent être ajoutées à NSService et NSServiceGroup en mettant à jour les entités.

• Problème 2884939 : la limite de débit de 100 demandes par seconde de NSX est atteinte lors de la migration d'un grand nombre de services virtuels de NSX for vSphere vers NSX-T ALB et toutes les API sont bloquées pendant un certain temps.

  l'API de stratégie NSX-T génère une erreur : Le client « admin » a dépassé le taux de demandes de 100 par seconde (code d'erreur : 102) pendant un certain temps après la migration, la configuration est atteinte lors de la migration.

  Solution : mettez à jour la limite de débit de l'API du client à 200 demandes par seconde.

• Problème 2792485 : l'adresse IP de NSX Manager s'affiche à la place du nom de domaine complet pour le gestionnaire installé dans vCenter.

  l'interface utilisateur de NSX-T intégrée dans vCenter affiche l'adresse IP de NSX Manager au lieu du nom de domaine complet pour le gestionnaire installé.

  Solution : aucune.

• Problème 2884518 : nombre incorrect de machines virtuelles connectées au segment sur l'interface utilisateur de topologie réseau après la mise à niveau d'un dispositif NSX vers NSX-T 3.2.

  vous verrez un nombre incorrect de machines virtuelles connectées au segment sur la topologie réseau. Toutefois, le nombre réel de machines virtuelles associées au segment s'affiche lorsque vous développez le nœud de la machine virtuelle.

  Solution :

  1. connectez-vous au dispositif NSX en mode ingénierie.

  2. Exécutez la commande suivante : curl -XDELETE http://localhost:9200/topology_manager

• Problème 2874995 : la priorité des fichiers LCore peut rester élevée même lorsqu'elle n'est pas utilisée, ce qui les rend inutilisables pour certaines machines virtuelles.

  dégradation des performances des machines virtuelles à « Latence normale ».

  Solution : Il existe deux options.

  • Redémarrez le système.

  • Supprimez les fichiers LCore haute priorité, puis recréez-les. Ils reviendront ensuite par défaut aux LCore de priorité normale.

• Problème 2772500 : l'activation de la superposition imbriquée sur ENS peut entraîner un PSOD.

  peut entraîner un PSOD.

  Solution : désactivez ENS.

• Problème 2832622 : le profil IPv6 ND ne prend pas effet après avoir été modifié ou changé.

  le réseau fera toujours référence à l'ancien profil NDRA.

  Solution : redémarrez ccp pour mettre à jour le profil IPv6 ND.

• Problème 2840599 : l'API de normalisation MP génère une erreur INVALID_ARGUMENT.

  expérience d'interface utilisateur médiocre.

  Solution : aucune.

• Problème 2844756 : la suppression du segment échoue avec une erreur.

  vous ne pourrez pas supprimer le segment.

  Solution : forcez la suppression des ports attachés au segment.

  1. Extrayez tous les ports logiques connectés à ce segment à l'aide de l'API suivante. Par exemple, pour PolicySegment01.

     GET : https://<NSX MANAGER IP>/policy/api/v1/infra/segments/PolicySegment01/ports

  2. Pour chaque port logique répertorié dans l'appel ci-dessus, effectuez l'appel suivant.

     DELETE : https://<NSX MANAGER IP>/api/v1/logical-ports/<LOGICAL PORT UUID>?detach=true

  Une fois tous les ports attachés supprimés, le segment peut être supprimé.

• Problème 2866751 : l'API d'appartenance effective consolidée ne répertorie pas les adresses IP statiques dans la réponse d'un groupe fantôme.

  aucun impact fonctionnel ou de chemin de données. Vous ne verrez pas les adresses IP statiques dans l'API d'appartenance effective consolidée GET pour un groupe fantôme. Cela s'applique uniquement à un groupe fantôme (également appelé groupes de référence).

  Solution : vérifiez l'appartenance effective consolidée d'un groupe fantôme sur son site d'origine.

• Problème 2869356 : une erreur s'affiche sur le plan de gestion lorsque vous cliquez sur l'onglet « Présentation » d'un NSGroup avec des membres IPSet.

  mauvaise expérience utilisateur.

  Solution : aucune.

• Problème 2872658 : après l'enregistrement du site, l'interface utilisateur affiche une erreur « Impossible d'importer en raison de ces fonctionnalités non prises en charge : IDS ».

  Ce problème n'a aucune répercussion fonctionnelle. l'importation de la configuration n'est pas prise en charge dans NSX-T 3.2.

  Solution : supprimez la configuration IDS du gestionnaire local et réessayez l'enregistrement.

• Problème 2877628 : lorsque vous tentez d'installer la fonctionnalité de sécurité sur un VDS de commutateur d'hôte ESX d'une version antérieure à la version 6.6, un message d'erreur confus s'affiche.

  le message d'erreur s'affiche via l'interface utilisateur et l'API.

  Solution : utilisez une version de VDS supérieure ou égale à 6.6 sur ESX pour installer NSX Security.

• Problème 2877776 : la sortie « get controllers » peut afficher des informations périmées sur les contrôleurs qui ne sont pas les contrôleurs maîtres par rapport au fichier controller-info.xml.

  cette sortie de la CLI est source de confusion.

  Solution : redémarrez nsx-proxy sur ce TN.

• Problème 2879119 : lorsqu'un routeur virtuel est ajouté, l'interface réseau du noyau correspondant ne s'affiche pas.

  le routage sur le VRF échoue. Aucune connectivité n'est établie pour les machines virtuelles connectées via le vrf.

  Solution : redémarrez le service de plan de données.

• Problème 2881168 : la sortie de l'API LogicalPort GET est au format étendu « fc00:0:0:0:0:0:0:1 » par rapport au format précédent « fc00::1 ».

  la sortie de l'API LogicalPort GET dans NSX-T 3.2 est au format étendu « fc00:0:0:0:0:0:0:1 » par rapport au format NSX-T 3.0 « fc00::1 ».

  Solution : aucune.

• Problème 2882822 : les IPSets temporaires ne sont pas ajoutés aux SecurityGroups utilisés dans les règles de pare-feu EDGE/les membres du pool d'équilibrage de charge lors de la configuration de la migration de NSX for vSphere vers NSX-T.

  pendant la migration, il peut y avoir un écart jusqu'à ce que les machines virtuelles/VIF soient découvertes sur NSX-T et qu'elles fassent partie des groupes de sécurité auxquels elles s'appliquent via des appartenances statiques/dynamiques. Cela peut entraîner l'abandon ou l'autorisation du trafic, contrairement aux règles de pare-feu Edge, pendant la période entre le basculement nord/sud (trafic N/S passant par la passerelle NSX-T) jusqu'à la fin de la migration.

  Solution : ajoutez une fausse règle DFW dans laquelle la source/destination contient tous les groupes de sécurité consommés dans le pare-feu Edge. Une autre option consiste à déplacer la source et la destination des règles de pare-feu Edge vers des IPSet avant la migration.

• Problème 2884070 : en cas d'incompatibilité du paramètre MTU entre la liaison montante NSX-T Edge et le routeur d'appairage, le voisinage OSPF est bloqué dans l'état Exstart. Lors de la migration de NSX for vSphere vers NSX-T, le MTU n'est pas automatiquement migré de sorte qu'une incompatibilité peut avoir un impact sur le plan de données lors du basculement nord/sud Edge.

  la contiguïté OSPF est bloquée dans l'état Exstart.

  Solution : configurez manuellement la MTU correspondante sur les interfaces de voisin OSPF avant d'effectuer le basculement Edge.

• Problème 2884416 : l'état de l'équilibreur de charge ne peut pas être actualisé en temps opportun.

  état de l'équilibreur de charge incorrect.

  Solution : arrêtez la collecte des statistiques de l'équilibreur de charge.

• Problème 2885009 : le gestionnaire global dispose de profils de commutation par défaut supplémentaires après la mise à niveau.

  Aucune répercussion fonctionnelle.

  Solution : vous n'êtes pas censé utiliser les profils de commutation par défaut commençant par le préfixe « nsx-default ».

• Problème 2885248 : pour le scénario InterVtep, si des VNIC Edge sont connectées à des groupes de ports NSX (quel que soit le VLAN sur la machine virtuelle Edge et l'hôte ESX), le trafic nord-sud entre les machines virtuelles de charge de travail sur les dispositifs ESX et Edge cesse de fonctionner, car ESX abandonne les paquets destinés au VTEP Edge.

  Solution : mettez à jour EdgeTN en déconnectant les segments de ses interfaces et en les reconnectant.

• Problème 2885330 : membre effectif non affiché pour le groupe AD.

  les membres effectifs du groupe AD ne s'affichent pas. Aucune répercussion sur le chemin d'accès des données.

  Solution : aucune.

• Problème 2885552 : si vous avez créé une source d'identité LDAP qui utilise OpenLDAP et que plusieurs serveurs LDAP sont définis, seul le premier serveur est utilisé.

  si le premier serveur LDAP devient indisponible, l'authentification échoue au lieu d'essayer le reste du ou des serveurs OpenLDAP configurés.

  Solution : s'il est possible de placer un équilibreur de charge devant les serveurs OpenLDAP et de configurer NSX avec l'adresse IP virtuelle de l'équilibreur de charge, vous pouvez disposer d'une haute disponibilité.

• Problème 2886210 : pendant la restauration, si le VC est en panne, une boîte de dialogue Sauvegarde/Restauration s'affiche et indique à l'utilisateur de s'assurer que VC est actif et en cours d'exécution, mais l'adresse IP du VC n'est pas affichée.

  l'adresse IP du VC n'est pas affichée lors de la restauration de la connectivité VC.

  Solution : vérifiez que tous les VC enregistrés sont en cours d'exécution avant de passer à l'étape de restauration suivante.

• Problème 2886971 : les groupes créés sur le gestionnaire global ne sont pas nettoyés après la suppression. Cela se produit uniquement si ce groupe est un groupe de référence sur un site de gestionnaire local.

  aucun impact fonctionnel ; cependant, vous ne pouvez pas créer un autre groupe avec le même chemin d'accès de stratégie que le groupe supprimé.

  Solution : aucune.

• Problème 2887037 : après la promotion de l'objet Gestionnaire vers Stratégie, les règles NAT ne peuvent pas être mises à jour ou supprimées.

  cela se produit lorsque des règles NAT sont créées par un utilisateur PI (identité de principal) sur Manager avant le déclenchement de la promotion. Les règles NAT créées par l'utilisateur PI ne peuvent pas être mises à jour ou supprimées après la promotion de l'objet Gestionnaire vers Stratégie.

  Solution : des règles NAT avec la même configuration peuvent être créées avec un utilisateur non protégé tel que « admin » avant la promotion de l'objet Gestionnaire vers Stratégie.

• Problème 2888207 : impossible de réinitialiser les informations d'identification de l'utilisateur local lorsque vIDM est activé.

  vous ne pourrez pas modifier les mots de passe des utilisateurs locaux lorsque vIDM est activé.

  Solution : la configuration de vIDM doit être (temporairement) désactivée, les informations d'identification locales sont réinitialisées pendant ce temps, puis l'intégration doit être réactivée.

• Problème 2889748 : échec de la suppression du nœud Edge si le redéploiement a échoué. La suppression laisse une intention périmée dans le système qui s'affiche dans l'interface utilisateur.

  bien que la VM Edge soit supprimée, l'intention Edge périmée et les objets internes seront conservés dans le système, puis l'opération de suppression sera réessayée en interne. Aucune incidence sur la fonctionnalité, car les machines virtuelles Edge sont supprimées et seule l'intention comporte des entrées périmées.

  Solution : aucune.

• Problème 2875962 : le workflow de mise à niveau pour les configurations cloud natives est différent de NSX-T 3.1 à NSX-T 3.2.

  suivre le workflow habituel effacera toutes les données CSM.

  Solution : la mise à niveau nécessite l'assistance de VMware. Contactez le support VMware.

• Problème 2888658 : impact significatif sur les performances en termes de connexions par seconde et de débit observé sur le pare-feu de passerelle NSX-T lorsque la fonctionnalité de détection et de sandboxing des programmes malveillants est activée.

  tout trafic soumis à la détection de programmes malveillants rencontre des latences importantes et peut-être des échecs de connexion. Lorsque la détection des programmes malveillants est activée sur la passerelle, elle affecte également le trafic L7FW, ce qui entraîne des latences et des échecs de connexion.

  Solution : limitez la quantité de trafic soumise à la détection de programmes malveillants en écrivant des règles IDS qui correspondent uniquement à une petite sous-section du trafic.

• Problème 2882574 : API « Intégration de la configuration existante » bloquées dans NSX-T version 3.2.0, car la fonctionnalité n'est pas entièrement prise en charge.

  vous ne pourrez pas utiliser la fonctionnalité « Intégration de la configuration existante ».

  Solution : aucune.

• Problème 2890348 : le changement de nom du pool VNI par défaut entraîne un pool VNI incohérent lors de la mise à niveau vers NSX-T 3.2.

  L'allocation de VNI et les opérations associées peuvent échouer.

  Solution : pour la mise à niveau vers NSX-T 3.2, renommez le pool VNI par défaut en DefaultVniPool à l'aide de l'API PUT https://{{url}}/api/v1/pools/vni-pools/<vni-pool-id>.

• Problème 2885820 : traductions manquantes pour certaines adresses IP pour la plage d'adresses IP commençant par 0.0.0.0.

  Un NSGroup dont la plage d'adresses IP commence par 0.0.0.0 (par exemple, « 0.0.0.0-255.255.255.0 ») présente des problèmes de traduction (sous-réseau 0.0.0.0/1 manquant).

  Le NSGroup avec la plage d'adresses IP « 1.0.0.0-255.255.255.0 » n'est pas affecté.

  Solution : pour configurer des groupes avec une plage d'adresses IP commençant par 0.0.0.0, ajoutez manuellement 0.0.0.0/1 dans la configuration du groupe.

• Problème 2871440 : les charges de travail sécurisées avec NSX Security sur vSphere dvPortGroups perdent leurs paramètres de sécurité lorsqu'elles sont déplacées via vMotion vers un hôte connecté à une instance de NSX Manager inactive.

  Les clusters installés avec la fonctionnalité NSX Security sur vSphere dvPortGroups, les machines virtuelles qui sont déplacées via vMotion vers des hôtes connectés à une instance de NSX Manager inactive ne disposent pas de DFW et de règles de sécurité appliqués. Ces paramètres de sécurité sont appliqués à nouveau lorsque la connectivité à NSX Manager est rétablie.

  Solution : évitez tout déplacement par vMotion vers les hôtes affectés lorsque NSX Manager est inactif. Si d'autres nœuds NSX Manager fonctionnent, effectuez un déplacement par vMotion de la machine virtuelle vers un autre hôte connecté à une instance de NSX Manager saine.

• Problème 2945515 : la mise à niveau de NSX Tools dans Azure peut échouer sur les machines virtuelles Redhat Linux.

  Par défaut, NSX Tools est installé sur le /répertoire opt. Cependant, lors de l'installation de NSX Tools, le chemin d'accès par défaut peut être remplacé par l'option « --chroot-path » transmise au script d'installation.

  Un espace disque insuffisant sur la partition où NSX Tools est installé peut entraîner l'échec de la mise à niveau de NSX Tools.

  Solution : aucune.

• Problème 2875563 : la suppression de la session LTA IN_PROGRESS peut entraîner une fuite de fichiers PCAP.

  Le fichier PCAP fuite si une LTA est supprimée avec une action PCAP lorsque l'état de la session LTA est « IN_PROGRESS ». Cela peut entraîner la saturation de la partition /tmp d'ESXi.

  Solution : effacer la partition /tmp peut aider.

• Problème 2875667 : le téléchargement du fichier LTA PCAP génère une erreur lorsque la partition NSX /tmp est saturée.

  Le fichier LTA PCAP ne peut pas être téléchargé, car la partition /tmp est saturée.

  Solution : effacer la partition /tmp peut aider.

• Problème 2883505 : PSOD sur les hôtes ESXi pendant la migration NSX V2T.

  PSOD (Purple Screen of Death) sur plusieurs hôtes ESXi lors de la migration V2T. Cela entraîne une indisponibilité du chemin de données.

  Solution : aucune.

• Problème 2914934 : les règles DFW sur les dvPortGroups sont perdues après la migration de NSX-V vers NSX-T.

  Après une migration NSX-V vers NSX-T, les charges de travail qui sont toujours connectées à vSphere dvPortGroup ne disposeront pas de la configuration DFW.

  Solution : après une migration NSX-V vers NSX-T, les segments VLAN sont configurés avec une configuration DFW identique. Utilisez les segments VLAN au lieu des dvPortGroups.

  Une autre solution consiste à désinstaller NSX-V, puis à installer NSX-T en mode de sécurité uniquement. Vous pouvez ensuite utiliser des charges de travail sur des dvPortGroups existants.

• Problème 2921704 : le CPU du service Edge peut atteindre un pic en raison d'un blocage du processus nginx lors de l'utilisation de l'équilibreur de charge L7 avec l'algorithme d'équilibrage de charge ip-hash.

  Il n'est pas possible de se connecter aux serveurs principaux derrière l'équilibreur de charge.

  Solution : basculez vers le moteur L4 pour corriger le problème. Si vous souhaitez continuer à utiliser l'équilibreur de charge L7, remplacez l'algorithme d'équilibrage de charge par round-robin au lieu d'ip-hash.

• Problème 2933905 : le remplacement d'une instance de NSX-T Manager entraîne la perte de connexion des nœuds de transport au contrôleur.

  L'ajout ou la suppression d'un nœud dans le cluster de gestionnaire peut entraîner la perte de connectivité du contrôleur par certains nœuds de transport.

  Solution : redémarrez le service de proxy NSX sur les nœuds de transport affectés chaque fois qu'un gestionnaire est ajouté ou supprimé du cluster de gestion. Cela permettra de renseigner à nouveau controller-info.xml et d'autoriser la connexion au contrôleur.

• Problème 2927442 : le trafic atteint parfois la règle de refus DFW par défaut sur les machines virtuelles sur différents hôtes et clusters depuis la mise à niveau de NSX-T 3.2.0.1.

  Certains problèmes de PSOD se sont produits après la migration de NSX for vSphere vers NSX-T 3.1.3. Par conséquent, il a été recommandé de mettre à niveau vers la version 3.2.0.1. Cependant, depuis lors, les hôtes n'appliquent pas les règles de pare-feu distribué de manière cohérente. Différents hôtes correspondent à différentes règles qui sont incohérentes et non attendues.

  Solution :

  - Si l'exception ci-dessus s'observe sur un contrôleur spécifique, il peut être redémarré pour résoudre temporairement le problème.

  - En outre, si le problème a une incidence sur DFW, des règles d'autorisation any/any peuvent être créées en haut de la liste des règles pour contourner les règles de blocage indésirables qui sont affectées.

• Problème 2937810 : Le service de chemin de données ne parvient pas à démarrer et certaines fonctions de pont Edge (par exemple, port de pont Edge) ne fonctionnent pas.

  Si le pontage Edge est activé sur les nœuds Edge, le plan de contrôle central (CCP, Central Control Plane) envoie les règles DFW aux nœuds Edge, qui ne doivent être envoyées qu'aux nœuds hôtes. Si les règles DFW contiennent une fonction qui n'est pas prise en charge par le pare-feu Edge, les nœuds Edge ne peuvent pas gérer la configuration DFW non prise en charge, ce qui entraîne l'échec du démarrage du chemin de données.

  Solution : Supprimez ou désactivez les règles DFW qui ne sont pas prises en charge par le pare-feu Edge.