VMware NSX Intelligence 1.2.0   |  2020 年 10 月 30 日 |  組建編號 17065669

請定期查看這些版本說明的增補和更新。

VMware NSX® Intelligence™ 是一種分散式分析平台,可利用 NSX 獨有的細微工作負載和網路環境,提供聚合式安全性原則管理、分析以及資料中心可見度合規性。NSX Intelligence 透過 NSX Manager 中的單一管理窗格提供使用者介面,並提供下列功能:

  • 針對您環境中的計算工作負載提供即時的流量可見度。
  • 即時或歷史網路流量、使用者定義的防火牆組態和計算工作負載清單的關聯性。
  • 能夠檢視網路流量、使用者定義的防火牆組態和計算工作負載詳細目錄的過去相關資訊。
  • 藉由建議防火牆規則、群組和服務,自動進行微分割規劃。

版本說明的內容

此版本說明涵蓋下列主題:

此版本的新增功能

NSX Intelligence 1.2.0 導入了下列新功能和增強功能,以進行即時網路流量視覺化和防火牆規則規劃。

NSX Intelligence 視覺化

  • 計算工作負載類型的可見度現已包含實體伺服器。
  • 新增了對 IP 位址群組的視覺化支援。
  • 現已提供對端點內容 (程序)、使用者內容 (使用者登入),以及網路內容 (第 4 層和第 7 層 AppID) 的內容關聯性和視覺化支援。
  • 流量可見度已增強。
  • NSX Intelligence 使用者介面中的進階篩選現已包含 L7 流量、群組等選項。

NSX Intelligence 建議

  • 現在,安全性建議支援與現有防火牆規則和群組的關聯性。
  • 安全性建議現在也包含針對實體伺服器提供防火牆規則和群組建議的支援。
  • 提供容許模式支援。
  • 導入了連線策略 (允許/拒絕清單)。
  • 現已允許重複使用現有的群組和物件。
  • 有建議輸出驗證可供使用。
  • 新增了以應用程式識別碼為基礎的第 7 層內容設定檔建議。

NSX Intelligence 平台

  • 現已支援 NSX Intelligence 應用裝置大小調整。
  • 導入了憑證管理增強功能,包括對新憑證類型的支援。
  • 現已提供高磁碟使用量和高儲存區延遲的警示。
  • 現已提供 NSX Intelligence 服務的健全狀況狀態。
  • 有 NSX Intelligence 授權使用率報告可供使用。

網路流量分析 (技術預覽)

下列威脅偵測 (如 MITRE Enterprise Attack Framework 中所示) 在 NSX Intelligence 1.2 版中僅以技術預覽的形式提供。 
附註不支援將網路流量分析功能用於生產用途。如果您已啟用此技術預覽功能,在生產模式中使用 NSX Intelligence 之前,請確保已停用此功能。

  • 持續性 - 流量捨棄
  • 認證存取 - LLMNR/NBT-NS 破壞和轉送 (MITRE 識別碼:T1171)
  • 探索 - 網路服務掃描 (MITRE 識別碼:T1046)
  • 橫向移動 - 遠端服務 (MITRE 識別碼:T1021)
  • 橫向移動 - 遠端桌面通訊協定 (MITRE 識別碼:T1076)
  • 命令和控制 - 不常用的連接埠 (MITRE 識別碼:T1509)

系統需求

相容性注意事項

  • 如需 NSX Intelligence 和 NSX-T Data Center 互通性資訊,請參閱 VMware 產品互通性對照表
  • NSX Intelligence 不支援 Kubernetes 網繭、命名空間或叢集視覺化。 
  • NSX Intelligence 不支援 NSX 聯盟部署。對於使用 NSX 聯盟的部署,如果在特定網站上使用本機管理程式來部署 NSX Intelligence 執行個體,您將看到來自全域管理程式的群組和流量。  但是,此視覺化將不會反映來自其他站台的特定資訊。NSX Intelligence 建議也無法跨各站台運作,因為 NSX Intelligence 不會與 NSX-T Data Center 的全域管理程式整合。
  • 使用 NSX-T Data Center 2.5.x 安裝 NSX Intelligence 1.2.0 應用裝置時,您必須使用針對 NSX Intelligence 1.0.x 版 (已隨附於 NSX-T Data Center 2.5.x) 提供的指示。請參閱下載並解壓縮 NSX Intelligence 安裝程式服務包安裝 NSX Intelligence 應用裝置。您可以使用相同的命令,將您從 VMware 產品下載入口網站中下載的 NSX Intelligence 1.2.0 安裝程式 OVA 檔案解壓縮。

API 和 CLI 資源

如需適用於 NSX Intelligence REST API 和 CLI 資源的資訊,請在 code.vmware.com 中參閱 NSX-T Data Center REST APINSX-T Data Center CLI

可用的語言

NSX Intelligence 已當地語系化為多個語言:英文、德文、法文、日文、簡體中文、韓文、繁體中文和西班牙文。由於 NSX Intelligence 當地語系化採用瀏覽器語言設定,請確定您的設定符合所需的語言。

文件修訂歷程記錄

2020 年 10 月 30 日。第一版。
2020 年 12 月 18 日。新增已知問題 2685222 和 2682610。
2021 年 1 月 7 日。新增已知問題 2673869。
2021 年 1 月 21 日。新增已知問題 2694784 的參考。
2021 年 2 月 17 日。已更正 NSX-T Data Center 3.1 REST API 和 CLI 資源的 URL。

已解決的問題

  • 已修正的問題 2541816 - 某些持續性負載的情況可能會導致建議處於長時間「等待」狀態,或是虛擬機器/群組視圖無法正常運作。

    如果 NSX Intelligence 應用裝置上有持續性高負載,您可能會看到 1 個或多個建議處於長時間的「等待」狀態,或是虛擬機器/群組視圖無法如預期正常運作。

  • 問題 2543655 - 在 NSX Intelligence 中的傳輸節點與 Kafka 代理之間,可能會發生 SSL 信號交換失敗。

    如果傳輸節點中遺失流量和內容資訊,則 NSX Manager 使用者介面上顯示的 NSX Intelligence 視覺化中可能會出現不正確的資訊。在 /var/log/kafka/server.log 檔案中,您可能會看到 SSL 信號交換失敗錯誤訊息的連續記錄。

  • 已修正問題 2396630、2533563 和 2548387 - 在部署 NSX intelligence 應用裝置期間,刪除傳輸節點作業可能會失敗。

    如果在部署 NSX intelligence 應用裝置期間刪除傳輸節點,刪除作業可能會失敗,因為 NSX-INTELLIGENCE-GROUP NSGroup 正在參照該傳輸節點。若要刪除傳輸節點,必須在部署 NSX Intelligence 應用裝置時使用強制刪除選項。

已知問題

  • 問題 2368926 - 如果使用者在建議工作正在進行中將應用裝置重新開機,該工作將會失敗。

    如果您在建議工作正在進行中將 NSX Intelligence 應用裝置重新開機,該工作將會進入失敗狀態。您可以為一組內容虛擬機器啟動建議工作。重新開機會刪除內容,且工作會因此失敗。

    因應措施:在重新開機後,對同一組虛擬機器重新執行建議工作。

  • 已修正的問題 2369802 - NSX Intelligence 應用裝置備份會排除事件/流量資料存放區備份。

    NSX Intelligence 1.0.x、1.1.x 和 1.2.x 版中不支援此功能。

    因應措施:無。

  • 問題 2389691 - 發佈建議工作失敗,並顯示錯誤「要求裝載大小超過允許的限制,每個要求最多允許 2,000 個物件」。

    如果您嘗試發佈包含超過 2,000 個物件的單一建議工作,該工作將會失敗,並顯示錯誤「要求裝載大小超過允許的限制,每個要求最多允許 2,000 個物件」。

    因應措施:將建議工作中的物件數目減少至 2,000 個以下,然後重新嘗試發佈。

  • 問題 2370660 - 對於特定虛擬機器,NSX Intelligence 會顯示不一致的資料。

    這可能是因為這些虛擬機器在資料中心有相同的 IP 位址所致。NSX Intelligence 目前不支援此情況。

    因應措施:無。避免將相同的 IP 位址指派給資料中心中的兩部虛擬機器。

  • 問題 2410224 - 完成 NSX Intelligence 應用裝置登錄後,若重新整理視圖,則可能會傳回「403 禁止」錯誤。

    完成 NSX Intelligence 應用裝置登錄後,如果您按一下重新整理並檢視,系統可能會傳回「403 禁止」錯誤。這是由於 NSX Intelligence 應用裝置存取介面需要一定時間所導致的暫時性狀況。

    因應措施:如果出現此錯誤,請稍待片刻再重試。

  • 問題 2374229 - NSX Intelligence 應用裝置的磁碟空間不足。

    NSX Intelligence 應用裝置的預設資料保留期間為 30 天。如果流量資料量超過 30 天內的預期數量,則應用裝置可能會提前用盡磁碟空間,且會變得部分或完全無法運作。 

    因應措施:如需詳細資料和因應措施,請參閱 VMware 知識庫文章 76523

  • 問題 2385599 - 在 NSX-T Intelligence 建議中不支援靜態 IP 的群組。

    在 NSX-T 詳細目錄中無法辨識的虛擬機器和工作負載 (如果它們有內部網路 IP 位址),仍可被建議分析作為靜態 IP 的群組,包括含有這些群組的建議定義規則。但是,NSX Intelligence 不支援此類群組,因此視覺化會將傳送至這類群組的流量顯示為「未知」,而非建議的群組。但建議功能仍可正常運作。這只是顯示問題。

    因應措施:無。

  • 問題 2366599 - 未對使用 IPv6 位址的虛擬機器強制執行規則。

    如果虛擬機器使用 IPv6 位址,但尚未透過 IP 探索設定檔為該 VIF 啟用 IPv6 窺探,則不會經由資料路徑在該虛擬機器的規則中填入 IPv6 位址。因此,該規則一律不會強制執行。

    因應措施:每次使用 IPv6 位址時,皆應確認 IPv6 探索設定檔已在 VIF 或邏輯交換器上啟用。

  • 問題 2374231 - 使用 nmap 工具進行連接埠掃描時,會產生服務為「未知」且連接埠為 0 的流量。

    NSX Intelligence 不支援 GRE、ESP 和 SCTP 通訊協定流量的來源或目的地連接埠剖析。針對 TCP 和 UDP 流量,NSX Intelligence 會提供完整標頭剖析,以及流量的相關統計資料。針對其他支援的通訊協定 (例如 GRE、ESP 和 SCTP),NSX Intelligence 只能提供 IP 資訊,而不提供通訊協定特定的來源或目的地連接埠。這些通訊協定的來源或目的地連接埠將會是零。 

    因應措施:無。 

  • 問題 2410096 - NSX Intelligence 應用裝置重新開機後,在重新開機前的最後 10 分鐘內收集到的流量可能不會顯示。

    這是由索引問題所致,如果索引子無法保存資料,資料就會遺失。將 NSX Intelligence 應用裝置重新開機,可能會導致在過去 10 分鐘內收集的資料遺失。

    因應措施:無。

  • 問題 2531845 - 升級 NSX Intelligence 應用裝置之後,群組視覺化立即會不正確。

    將 NSX Intelligence 從 1.0.x 版升級至 1.2.0 版或從 1.1.x 版升級至 1.2.0 版後,[群組] 視圖會顯示包含大型和不正確虛擬機器成員數目的未分類群組。

    因應措施:在將 NSX Intelligence 從 1.0.x 版升級到 1.1 版之後,請等待至少 1 小時,然後再使用 NSX Intelligence 功能。 

  • 問題 2539217 - 不屬於任何 LDAP 群組的 LDAP 使用者無法存取 NSX Intelligence UI

    不屬於任何 LDAP 群組的 LDAP 使用者無法存取 NSX Intelligence 使用者介面,即使這些使用者在 NSX-T Data Center 中已指派角色也是如此。

    因應措施:使用者可以將角色指派給 LDAP 群組,或將角色指派給只屬於 LDAP 群組的使用者。

  • 問題 2529161 - 使用相同的 SFTP 資料夾來備份 NSX-T 叢集、NSX Intelligence 節點和全域管理程式叢集會造成混合備份清單。

    如果在 NSX-T 叢集、NSX Intelligence 節點和全域管理程式叢集之間共用 SFTP 資料夾,則使用這些叢集產生的所有混合備份清單都會在 NSX Intelligence 備份使用者介面中列出。應僅列出 NSX Intelligence 所產生的備份。

    因應措施:備份每個 NSX-T 叢集、NSX Intelligence 應用裝置或全域管理程式叢集時,請使用唯一的 SFTP 資料夾。

  • 問題 2536593 - 針對憑證到期警示事件所提供的 NSX Intelligence 建議動作資訊不精確。

    如果發生憑證到期的警示事件,則使用建議動作中提供的資訊並不會解決 NSX Intelligence 應用裝置上的警示。

    因應措施:無。

  • 問題 2628443:新的組態變更 (例如原則群組、虛擬機器和流量) 將不會反映在 NSX Intelligence 使用者介面上。

    使用 NSX Manager 應用裝置的虛擬 IP 執行下列 CLI 命令時,對原則群組、虛擬機器和流量所做的新組態變更,將不會反映在 NSX Intelligence 使用者介面中。
    set intelligence manager-node cert-id cert-b64-encoded-pem

    因應措施:如果您在 set intelligence manager-node CLI 命令中使用 NSX Manager 應用裝置的虛擬 IP,請使用下列步驟來更正此情況。

    1. 使用管理員使用者帳戶 ssh admin@intelligence-ip 連線至 NSX Intelligence 應用裝置,然後執行下列命令:
      update intelligence manager node host-ip-addr <nsx-mgr-ip-addr-arg> cert-thumbprint <nsx-mgr-thumbprint-arg>
    2. 在與管理員相同的 SSH 工作階段中,執行下列命令:
      set intelligence manager-node <nsx-mgr-ip-address> cert-id <uuid> cert-b64-encoded-pem <pem>
    3. 使用 root 使用者帳戶 ssh root@intelligence-ip 連線至 NSX Intelligence 應用裝置,然後執行下列命令:
      /opt/vmware/pace/server/pace-server-post-cert-node-register.sh
  • 問題 2599301:在 NSX Intelligence 使用者介面上的 [過去 1 小時] 視圖中看不到某些作用中工作階段,且「建議」模組不會針對建議原則挑選這些工作階段。

    計算主機上有作用中流量正在執行,但這些流量未顯示在 NSX Intelligence 使用者介面上的 [過去 1 小時] 視圖中。啟動相關計算主機的建議分析時,並不會產生這些流量的任何建議,即使這些流量未分段亦然。

    因應措施:將 NSX Intelligence 應用裝置和所有將資料匯出至 NSX Intelligence 的計算主機之間的時間戳記同步。

  • 問題 2629403:新的原則組態變更 (例如群組和 DFW) 將不會在 NSX Intelligence UI 上正確反映。

    從 NSX Intelligence 1.0.x 升級至 NSX Intelligence 1.2 後,如果 NSX Intelligence 節點和 localhost 訂閱者憑證已變更,則從 NSX Manager 到 NSX Intelligence 應用裝置的組態同步可能會無法運作。

    因應措施:如需詳細資料和因應措施,請參閱 VMware 知識庫文章 81318

  • 問題 2621892:對於在 Windows 中使用 OVS 的實體伺服器,不會報告 IPv6 流量。

    在 NSX-T Data Center 上啟用可設定狀態的防火牆服務時,在 Windows 中使用 Open vSwitch (OVS) 的實體伺服器無法向 NSX-T Data Center 報告 IPv6 流量。因此,這些 IPv6 流量不會反映在 NSX Intelligence 使用者介面中。

    因應措施:無。

  • 問題 2631724:部分 NSX Intelligence 部署可能會被指派較少的 CPU,即使在安裝期間選取了大型機器尺寸亦然。

    在使用舊版 NSX Intelligence 進行安裝時,即使在安裝期間選取了大型機器尺寸 (LFF) 應用裝置大小,仍會因為在設定期間指定了較少的主機可用 CPU 數目,而指派小型機器尺寸 (SFF) 大小。此 SFF 指派會導致效能大幅下降。在 NSX Intelligence 1.2.0 中,如果沒有足夠的 CPU 可容納要求的 LFF 應用裝置大小要求,就會在部署程序期間偵測到此問題,且使用者介面會顯示登錄失敗錯誤。在 NSX Intelligence 應用裝置的 /var/log/node-manager/node-manager-service.INFO.log 檔案中,會記錄下列例外狀況:

    例外狀況:CPU 資源不足,無法支援要求的機器尺寸

    因應措施:在 NSX Intelligence 應用裝置上部署大型機器尺寸時,請使用安裝精靈中的 [資源集區] 選項,而非 [主機] 選項。

  • 問題 2609372 - NSX Intelligence 無法為 NSX Manager 應用裝置偵測無效的 IP 位址。

    如果您已將 NSX Manager 憑證資訊新增至 NSX Intelligence,但為 NSX Manager 提供了不正確的 IP 位址,則 /var/log/pace-server.log 檔案會包含錯誤訊息,指出嘗試連線至 NSX Manager 應用裝置的作業已逾時。

    因應措施:如需詳細資料和因應措施,請參閱 VMware 知識庫文章 80158

  • 問題 2662537 - 在高負載下,NSX Intelligence 應用裝置可能會達到已降級狀態。

    安裝 NSX Intelligence 小型機器尺寸應用裝置,並在長時間運作後,您可能會發現應用裝置不時處於已降級狀態。尤其是,當流量記錄數目偏高,且網路流量分析 (技術預覽) 功能啟用時,就可能會發生此情況。

    因應措施:停用「網路流量分析」(技術預覽) 功能,或將 NSX Intelligence 應用裝置的大小調整為大型機器尺寸。請參閱《使用和管理 VMware NSX Intelligence》文件中的調整 NSX Intelligence 應用裝置大小主題。

  • 問題 2649781 - 在 NSX Intelligence 應用裝置重新開機一段時間後,「spark」服務仍會處於已降級狀態。

    在資源有限的 NSX Intelligence 設定中,即使在超過 30 分鐘後,spark 服務仍可能會處於狀況不良的狀態。新的流量不會顯示在視覺化畫布中,因為 spark 服務處於已降級狀態。

    因應措施:

    1. 管理員使用者身分登入 NSX Intelligence CLI。
    2. 使用下列命令確認 spark 服務的狀態:
      get services
    3. 如果 spark 服務處於停止已降級狀態,請使用下列命令重新啟動 spark 服務。
      restart service spark
  • 問題 2658502 - 如果 NSX Manager 叢集憑證或 NSX Intelligence 應用裝置憑證包含歸位字元 (作為新行的一部分),NSX Intelligence 將會發生錯誤。
    • 如果 NSX Manager 憑證包含歸位字元,則 NSX Intelligence 應用裝置的部署可能會失敗,或 NSX Intelligence 應用裝置在部署後可能會停滯在已降級狀態。
    • 如果在部署 NSX Intelligence 應用裝置後,具有歸位字元的 NSX Manager 憑證或 NSX Intelligence 憑證有所更新,當多個管理程式服務同時重新啟動時,部分服務可能無法初始化。

    因應措施:使用下列其中一項資訊來解決此問題。

    • 使用不含歸位字元的憑證。
    • 檢查管理程式服務是否處於關閉或已降級狀態,並使用下列資訊重新啟動。
      1. 導覽至系統 > 應用裝置
      2. 找出受影響的 NSX 應用裝置,然後按一下檢視詳細資料
      3. 在 [運作狀態] 區段中找出管理程式,並確認其處於關閉狀態。
      4. 如果已關閉,請以管理員使用者身分登入個別的 NSX Manager 應用裝置 CLI,然後使用下列命令重新啟動管理程式服務。
        restart service manager
  • 問題 2665452 和 2694784 - 在使用 Guest Introspection 時,NSX Intelligence 視覺化在 UI 中的載入速度緩慢,或者建議工作會在高負載下失敗。

    指定大於 1 小時的時間範圍時,計劃和疑難排解 > 探索和採取動作使用者介面中的 [群組] 視圖在視覺化畫布中的載入速度會非常緩慢或者建議工作會失敗。此外,/var/log/druid/sv/overlord-service.log 檔案會顯示內容表格的 Druid 壓縮工作失敗。之所以發生此問題,是因為 Druid 區段未正確進行壓縮或彙總而導致增長速度比預期更快。

    因應措施:如需詳細資料和因應措施,請參閱 VMware 知識庫文章 81370

  • 問題 2685222:嘗試存取 [計劃和疑難排解] > [建議] 頁面之後,使用不受支援的非英文地區設定的網頁瀏覽器會當機。

    如果您的網頁瀏覽器設定為使用不受支援的非英文地區設定,例如 nl-NL,而您嘗試存取計劃和疑難排解 > 建議頁面,則網頁瀏覽器會當機。隨即顯示類似下列內容的錯誤訊息。

    InvalidPipeArgument:地區設定「nl-NL」遺失管道「t」的地區設定資料

    因應措施:將網頁瀏覽器的地區設定變更為英文或目前支援的任何地區設定。支援的地區設定為德文 (de-DE)、英文 (en-US)、西班牙文 (es-ES)、法文 (fr-FR)、日文 (ja-JP)、韓文 (ko-KR)、簡體中文 (zh-CN) 和繁體中文 (zh-TW)。例如,若要瞭解如何變更 Chrome 網頁瀏覽器所使用地區設定的相關資訊,請移至下列 URL。 

    https://support.google.com/chrome/answer/173424?co=GENIE.Platform%3DDesktop&hl=en
  • 問題 2682610 - 從 NSX-T Data Center 2.5.x 或 3.0.x 升級至 NSX-T Data Center 3.1.x 之後,內容服務不會在 NSX Intelligence 應用裝置上啟動。 

    從 NSX-T Center 2.5.x 或 3.0.x 升級至 NSX-T Data Center 3.1.x 之後,不會產生內容資料。內容功能可供使用,但在 NSX Intelligence 應用裝置升級程序之後不會啟用,因為內容功能已繫結至 NSX-T Data Center 版本,在此案例中必須是 3.1.x。

    因應措施:如需詳細資料和因應措施資訊,請參閱 VMware 知識庫文章 81201。 

  • 問題 2673869:NSX Intelligence 的處理管線可能會變慢,導致視覺化畫布上不會顯示 1 小時期間的流量資訊。

    在 NSX Intelligence 視覺化畫布,選取 1 小時期間時不會顯示流量資訊,即使已從主機報告網路流量也是如此。當您使用下列命令來檢查 Kafka 取用者延遲時,延遲數很大並且會隨著時間不斷增加。

    # /opt/kafka_2.12-2.6.0/bin/kafka-consumer-groups.sh --bootstrap-server 127.0.0.1:9092 --command-config /opt/kafka_2.12-2.6.0/config/kafka_adminclient.props --group raw_flow_group --describe

    因應措施:如需詳細資料和因應措施,請參閱 VMware 知識庫文章 81979

check-circle-line exclamation-circle-line close-line
Scroll to top icon