VMware NSX Intelligence 1.0.0   |  2019 年 9 月 19 日  

請定期查看這些版本說明的增補和更新。

版本說明的內容

此版本說明涵蓋下列主題:

簡介

VMware NSX® Intelligence™ 是隨 VMware NSX-T Data Center 2.5 版導入的新 NSX 分析元件。NSX Intelligence 透過 NSX Manager 中的單一管理窗格提供使用者介面,並提供下列功能:

  • 針對您環境中的工作負載提供幾近即時的流量資訊。
  • NSX Intelligence 會與即時或歷史流量、使用者組態和工作負載詳細目錄產生關聯。
  • 能夠檢視流量、使用者組態和工作負載詳細目錄的過去相關資訊。
  • 藉由建議防火牆規則、群組和服務,自動進行微分割規劃。

相容性和系統需求

如需相容性和系統需求資訊,請參閱安裝和升級 VMware NSX Intelligence 文件。

API 和 CLI 資源

如需適用於 NSX Intelligence REST API 和 CLI 資源的資訊,請在 code.vmware.com 中參閱 NSX-T Data Center REST APINSX-T Data Center CLI

可用的語言

NSX-T Data Center 已當地語系化為多種語言:英文、德文、法文、日文、簡體中文、韓文、繁體中文和西班牙文。由於 NSX-T Data Center 當地語系化採用瀏覽器語言設定,請確定您的設定符合所需的語言。

文件修訂歷程記錄

2020 年 4 月 7 日。已使用包含在 VMware NSX-T Data Center 2.5.0 版本說明中的已知問題資訊,建立此獨立的 NSX Intelligence 1.0.0 版本說明。 

已知問題

  • 問題 2410806 - 發佈產生的建議失敗,並出現提及總數限制為 500 個的例外狀況。

    如果建議群組中的成員總數 (IP 位址或虛擬機器) 超過 500 個,則將產生的建議發佈至原則組態中的作業將會失敗,並顯示例外狀況訊息如「IPAdressExpression、MACAddressExpression、PathExpression 中的路徑以及 ExternalIDExpression 中的外部識別碼總計不可超過 500 個」。

    因應措施:如果有超過 500 個用戶端連線至應用程式虛擬機器或負載平衡器,您可以建立規則以微分割對應用程式負載平衡器的存取,然後選取應用程式虛擬機器以啟動建議探索。或者,您可以將 500 個以上的成員群組細分為多個較小的群組。

  • 問題 2362865 - 依規則名稱的篩選無法供預設規則使用。

    此問題出現在計劃和疑難排解 > 探索和採取動作頁面中,且僅會影響由連線策略建立的規則。此問題是由於沒有根據指定的連線策略設定預設原則所導致。管理平面上可能已建立預設規則,但若沒有對應的預設原則,使用者將無法根據該預設規則進行篩選。(流量視覺化的篩選器會使用規則名稱依叫用該規則的流量進行篩選。)

    因應措施:請勿套用規則名稱篩選器。改為檢查未受保護的旗標。此組態將包含叫用預設規則,以及任何已指定「任何」來源和「任何」目的地規則的流量。

  • 問題 2368926 - 如果使用者在建議工作正在進行中將應用裝置重新開機,該工作將會失敗。

    如果使用者在建議工作正在進行中將 NSX Intelligence 應用裝置重新開機,該工作將會進入失敗狀態。使用者可以為一組內容虛擬機器啟動建議工作。重新開機會刪除內容,且工作會因此失敗。

    因應措施:在重新開機後,對同一組虛擬機器重新執行建議工作。

  • 問題 2385599 - 在 NSX-T Intelligence 建議中不支援靜態 IP 的群組。

    在 NSX-T 詳細目錄中無法辨識的虛擬機器和工作負載 (如果它們有內部網路 IP 位址),仍可被建議作為靜態 IP 的群組,包括含有這些群組的建議定義規則。但是,NSX Intelligence 不支援此類群組,因此視覺化會將傳送至這類群組的流量顯示為「未知」,而非建議的群組。

    因應措施:無。但建議功能仍可正常運作。這只是顯示問題。

  • 問題 2374231 - 針對 SCTP、GRE 和 ESP 通訊協定流量,服務會顯示為「未知」,而連接埠會顯示為 0。

    NSX Intelligence 不支援 GRE、ESP 和 SCTP 通訊協定流量的來源或目的地連接埠剖析。針對 TCP 和 UDP 流量,NSX Intelligence 會提供完整標頭剖析,以及流量的相關統計資料。針對其他支援的通訊協定 (例如 GRE、ESP 和 SCTP),NSX Intelligence 只能提供 IP 資訊,而不提供通訊協定特定的來源或目的地連接埠。這些通訊協定的來源或目的地連接埠將會是零。

    因應措施:無。

  • 問題 2374229 - NSX Intelligence 應用裝置的磁碟空間不足。

    NSX Intelligence 應用裝置的預設資料保留期間為 30 天。如果流量資料量超過 30 天內的預期數量,則應用裝置可能會提前用盡磁碟空間,且會變得部分或完全無法運作。

    因應措施:監控 NSX Intelligence 應用裝置的磁碟使用量可以預防或緩解此問題。如果使用中的磁碟使用量比率偏高,表示空間可能會用盡,您可以將資料保留期間修改為較少的天數。

    1. 透過 SSH 連入 NSX Intelligence 應用裝置,並存取 /opt/vmware/pace/druid-config/druid_data_retention.properties 檔案。
    2. 找出 correlated_flow 設定,並將其變更為低於 30 天的值。例如:correlated_flow=P14D
    3. 儲存檔案,並執行下列命令以套用變更:
      /opt/vmware/pace/druid-config/druid-config-data-retention.sh
      附註:最多可能需要兩小時才能實際刪除資料。
  • 問題 2389691 - 發佈建議工作失敗,並顯示錯誤「要求裝載大小超過允許的限制,每個要求最多允許 2,000 個物件」。

    如果您嘗試發佈包含超過 2,000 個物件的單一建議工作,該工作將會失敗,並顯示錯誤「要求裝載大小超過允許的限制,每個要求最多允許 2,000 個物件」。

    因應措施:將建議工作中的物件數目減少至 2,000 個以下,然後重新嘗試發佈。

  • 問題 2376389 - 在中等規模設定的「過去 24 小時」視圖中,虛擬機器錯誤地標記為已刪除。

    當傳輸節點從計算管理程式中斷連線或移除後,NSX Intelligence 會將先前的虛擬機器顯示為已刪除,並將其取代為新的虛擬機器。此問題導因於 NSX Intelligence 會追蹤 NSX 資料庫中的詳細目錄更新,而此行為會反映詳細目錄如何處理從計算管理程式執行的傳輸節點連線中斷。這並不會影響 NSX Intelligence 中的即時虛擬機器總計數,只不過您可能會在 NSX Intelligence 中看到重複的虛擬機器。

    因應措施:您不需要執行任何動作。重複的虛擬機器最終將會根據選取的時間間隔從介面中移除。

  • 問題 2393240 - 觀察到從虛擬機器到 IP 位址的額外流量。

    客戶發現有從虛擬機器到 IP-xxxx 的額外流量。之所以有此問題,是因為 NSX Policy Manager 中的組態資料 (群組、虛擬機器和服務) 在流量建立後才到達 NSX Intelligence 應用裝置。因此,(較舊的) 流量無法與該組態相關聯,因為從流量的觀點來看它並不存在。由於該流量無法正常關聯,因此在流量查閱期間,它會對其虛擬機器預設為 IP-xxxx。組態進行同步後,就會顯示實際的虛擬機器流量。

    因應措施:修改時間範圍以排除您想要查看的流量。

  • 問題 2370660 - 對於特定虛擬機器,NSX Intelligence 會顯示不一致的資料。

    這可能是因為這些虛擬機器在資料中心有相同的 IP 位址所致。NSX-T 2.5 中的 NSX Intelligence 不支援此功能。

    因應措施:無。避免將相同的 IP 位址指派給資料中心中的兩部虛擬機器。

  • 問題 2372657 -「虛擬機器-群組」關係和「群組-群組」流量關聯性暫時無法正確顯示。

    如果在資料中心有進行中的流量時部署了 NSX Intelligence 應用裝置,則「虛擬機器-群組」關係和「群組-群組」的流量關聯性會暫時無法正確顯示。具體來說,在這暫時性的期間內,下列元素可能會錯誤地顯示:

    • 虛擬機器錯誤地屬於未分類的群組。
    • 虛擬機器錯誤地屬於未知群組。
    • 兩個群組之間關聯的流量可能會錯誤地顯示。

    當 NSX Intelligence 應用裝置的部署時間超過使用者選取的視覺化期間後,這些錯誤就會自行修正。

    因應措施:無。如果使用者脫離部署 NSX Intelligence 應用裝置的視覺化期間,就不會出現此問題。

  • 問題 2366630 - 在部署 NSX intelligence 應用裝置期間,刪除傳輸節點作業可能會失敗。

    如果在部署 NSX intelligence 應用裝置期間刪除傳輸節點,刪除作業可能會失敗,因為 NSX-INTELLIGENCE-GROUP NSGroup 正在參照該傳輸節點。若要刪除傳輸節點,必須在部署 NSX Intelligence 應用裝置時使用強制刪除選項。

    因應措施:使用強制選項將傳輸節點刪除。

  • 問題 2357296 - 在特定規模和壓力條件下,某些 ESX 主機可能不會向 NSX Intelligence 報告流量。

    NSX Intelligence 介面可能不會顯示來自特定主機上特定虛擬機器的流量,而無法為這些虛擬機器提供防火牆規則建議。因此,可能會危及某些主機上的防火牆安全性。若使用低於 6.7U2 和 6.5U3 的 vSphere 版本進行部署,就可能發生此問題。此問題已辨識為核心 ESX Hypervisor 虛擬機器篩選器的建立和刪除順序不正確。

    因應措施:將主機升級至 vSphere 6.7U2 及更高版本,或 vSphere 6.5U3 及更高版本。

  • 問題 2393142 - 使用 vIDM 認證登入 NSX Manager 時,可能會傳回「403 未經授權的使用者」錯誤。

    這只會影響在 NSX Manager 上以 vIDM 使用者身分 (而非本機使用者) 登入的使用者。與 NSX Intelligence 應用裝置互動時,在 NSX-T 2.5 中不支援 vIDM 登入和整合。

    因應措施:藉由在 NSX Manager IP/FQDN 附加字串「login.jsp?local=true」,以本機使用者身分登入。

  • 問題 2369802 - NSX Intelligence 應用裝置備份會排除事件資料存放區備份。

    NSX 2.5 不支援此功能。

    因應措施:無。

  • 問題 2346545 - NSX Intelligence 應用裝置:憑證取代會影響新的流量資訊報告。

    如果使用者將 NSX Intelligence 應用裝置的主體身分識別憑證取代為自我簽署憑證,則新流量的處理會受到影響,且應用裝置將不會顯示該時間點後的更新資訊。

    因應措施:無。

  • 問題 2407198 - 虛擬機器在 NSX intelligence 安全性狀態中錯誤地顯示於未分類的虛擬機器群組中。

    當 ESXi 主機從 vCenter 中斷連線時,即便屬於其他群組,這些主機中的虛擬機器仍可能會顯示在「未分類的虛擬機器」群組中。當 ESXi 主機與 vCenter 重新連線時,虛擬機器將會顯示在其正確的群組中。

    因應措施:將主機重新連線至 vCenter。

  • 問題 2410224 - 完成 NSX Intelligence 應用裝置登錄後,若重新整理視圖,則可能會傳回「403 禁止」錯誤。

    完成 NSX Intelligence 應用裝置登錄後,如果您按一下重新整理並檢視,系統可能會傳回「403 禁止」錯誤。這是由於 NSX Intelligence 應用裝置存取介面需要一定時間所導致的暫時性狀況。

    因應措施:如果出現此錯誤,請稍待片刻再重試。

  • 問題 2410096 - NSX Intelligence 應用裝置重新開機後,在重新開機前的最後 10 分鐘內收集到的流量可能不會顯示。

    這是索引問題造成的狀況。

    因應措施:無。

  • 問題 2436302 - 取代 NSX-T 整合應用裝置叢集憑證後,無法透過 API 或 Manager 介面來存取 NSX Intelligence。

    在 NSX-T Manager 介面中,移至計劃和疑難排解索引標籤,然後按一下探索和採取動作建議。介面將不會載入,且最終會傳回如下的錯誤:無法載入要求的應用程式。如果問題仍存在,請重試或連絡支援部門。

    因應措施:如需詳細資料和因應措施,請參閱知識庫文章 76223

check-circle-line exclamation-circle-line close-line
Scroll to top icon