| VMware NSX 4.1.0 | 2023 年 2 月 28 日 | 組建編號 21332672 查看這些版本說明的新增項目和更新。 |
新增功能
NSX 4.1.0 提供多種新功能,可為私有雲、公有雲和多雲端的虛擬化網路與安全性提供新功能。重點包括下列焦點領域的新功能和增強功能:
-
IPv6 支援 NSX 內部控制和管理平面通訊 - 此版本引入了對傳輸節點與 NSX Manager 之間透過 IPv6 的控制平面和管理平面通訊的支援。在此版本中,NSX Manager 叢集仍必須在雙重堆疊模式 (IPv4 和 IPv6) 中部署,並且能透過 IPv4 或 IPv6 與傳輸節點 (ESXi 主機和 Edge 節點) 進行通訊。傳輸節點設定為使用雙重堆疊 (IPv4 和 IPv6) 時,將一律優先進行 IPv6 通訊。
-
在 UI、API 和警示架構中提供多租戶 - 在此版本中,我們將引入多租戶來延伸 NSX 的耗用量模型,從而允許 NSX 中的多個使用者使用自己的物件、查看自己的警示,並透過 Traceflow 監控其虛擬機器。這是由於企業管理員有能力將平台分割為專案而實現的,為不同的使用者提供不同的空間,同時保持可見度和控制。
-
Antrea 與 NSX 的整合改進 - 透過 NSX 4.1,您可以使用 K8s 和 NSX 物件建立防火牆規則。也可以根據 NSX 標籤和 K8s 標籤建立動態群組。這可改善使用 NSX 管理 Antrea 叢集的可用性和功能。
-
線上診斷系統提供預先定義的 Runbook,其中包含疑難排解特定問題的偵錯步驟。API 可以叫用這些 Runbook,並使用 CLI、API 和指令碼觸發偵錯步驟。偵錯後會提供建議的動作以修正問題,並可下載與偵錯相關的構件供進一步分析。線上診斷系統有助於自動偵錯並簡化疑難排解。
除此之外,產品的各領域中還新增了其他許多功能。新增功能詳細說明中提供的其他詳細資料如下。
第 2 層網路
-
ESXi MultiTEP 高可用性 - 在 Hypervisor 上設定多個 TEP 時,NSX 會追蹤 TEP IP 位址和 BFD 工作階段的狀態,以將覆疊流量容錯移轉至另一個上行。此功能可針對實體交換器問題提供高可用性,例如在實體交換器連接埠持續運作,而轉送卻無法正常運作的情況。
第 3 層網路
-
BGP 管理距離 - 此版本引入了變更 BGP 管理距離預設值的支援。管理距離是指派給每個路由通訊協定並用於路由選取的任意值。可操縱 BGP 路由的管理距離的能力提供了額外的路由選取控制。
-
每個第 0 層 VRF 閘道和 BGP 芳鄰的 BGP 自發系統 (AS) 數目 - 此版本引入了對每個第 0 層 VRF 閘道和每個 BGP 芳鄰設定不同 BGP ASN (自發系統編號) 的支援。為每個 VRF 和 BGP 對等定義個別的 ASN 是服務提供者和多承租人拓撲的重要功能,在這種拓撲中,最終客戶會將自己的 BGP ASN 帶到網路拓撲中。
-
VRF 間路由 - 此版本引入了更進階的 VRF 互連和路由洩漏模型。透過這項功能,使用者可以透過動態匯入和匯出 VRF 之間的路由,使用更簡單的工作流程和精細的控制來設定 VRF 間路由。
-
全自發系統的唯一 BGP 識別碼 - RFC6286 - 此版本引入了將 BGP 路由器識別碼的定義放寬為 4 個八位元、未簽署、非零整數的支援,並根據 RFC 6286,放寬了 eBGP 對等的「唯一性」需求。
-
IPv6 支援 NSX 內部控制和管理平面通訊 - 此版本引入了對傳輸節點與 NSX Manager 之間透過 IPv6 的控制平面和管理平面通訊的支援。在此版本中,NSX Manager 叢集仍必須在雙重堆疊模式 (IPv4 和 IPv6) 中部署,並且能透過 IPv4 或 IPv6 與傳輸節點 (ESXi 主機和 Edge 節點) 進行通訊。傳輸節點設定為使用雙重堆疊 (IPv4 和 IPv6) 時,將一律優先進行 IPv6 通訊。
DPU-based Acceleration (DPU 型加速)
-
對 NVIDIA Bluefield-2 而言,UPT V2 已達到生產環境就緒狀態。
-
安全性
-
NSX 分散式防火牆 (可設定狀態的 L2 和 L3 防火牆) 可用於具有 DPU 加速的生產部署。
-
NSX Distributed IDS/IPS (技術預覽)
-
Edge 節點平台
-
傳輸節點 API 中的 Edge 節點設定支援
-
Edge 節點 API 可讓您設定下列參數:重新啟動優先順序 (Edge 節點虛擬機器);coalescingScheme 和 coalescingParams。透過此功能,客戶可以透過 NSX Manager 調整效能設定和重新啟動優先順序。這將為透過 NSX Manager 執行的 NSX 物件設定提供一致性。
-
-
將 Edge 節點作業系統升級至 Ubuntu 20.04
-
Edge 節點作業系統已升級至 Ubuntu 20.04,這可為裸機 Edge 提供更好的硬體支援。
-
-
Edge 平台:硬體版本升級
-
升級至 NSX 4.1.0 期間,系統會自動將 Edge 虛擬機器升級至可提供最佳效能的最新支援硬體版本。
-
網路偵測與回應 (NDR)
-
支援來自閘道防火牆的 IDPS 事件 - 從 NSX 4.1.0 開始,NDR 會在關聯性/入侵活動中,使用來自閘道/Edge 防火牆的 IDPS 事件。
容器網路與安全性
-
Antrea 與 NSX 的整合改進 - 透過 NSX 4.1.0,您可以使用 K8s 和 NSX 物件建立防火牆規則。也可以根據 NSX 標籤和 K8s 標籤建立動態群組。這可改善使用 NSX 管理 Antrea 叢集的可用性和功能。您現在可以在單一規則中建立防火牆原則,以允許/封鎖虛擬機器與 K8s 網繭之間的流量。此外,也引入新的強制執行點以包含所有端點,並根據來源和目的地群組成員目標判斷正確的 apply-to。現在可以在 NSX 原則規則集中檢視在 Antrea 叢集中建立的 K8s 網路原則和階層。此外,NSX 4.1.0 也包括 Traceflow 和 UI 改進,可提升 K8s 網路原則的疑難排解和管理效果,從而透過 NSX 真正實現對 K8s 網路原則的集中管理。
安裝和升級
-
從升級失敗快速復原 - 從 NSX 升級失敗快速復原的方法之一是還原至備份。但有時會因無法取得可用的備份而延遲此程序,從而需要耗時的手動介入。透過 NSX 4.1,系統會隱含地建立 NSX 的自動備份,並將其儲存在應用裝置本身。這表示在發生失敗時,VMware 支援可使用此內建備份,將 NSX 快速還原至工作狀態。
作業和監控
-
線上診斷系統提供預先定義的 Runbook,其中包含疑難排解特定問題的偵錯步驟。API 可以叫用這些 Runbook,並使用 CLI、API 和指令碼觸發偵錯步驟。偵錯後會提供建議的動作以修正問題,並可下載與偵錯相關的構件供進一步分析。線上診斷系統有助於自動偵錯並簡化疑難排解。
以下是可用於疑難排解 ESXi 主機傳輸節點問題的預先定義 Runbook,您可使用 NSX API 叫用這些 Runbook。
-
用於診斷覆疊通道問題、控制器連線問題、連接埠封鎖問題和 pNIC 效能問題的 Runbook。
VPN
-
IPv6 對 IPSec VPN 的支援 - IPv6 位址現在可用於 IPSec VPN 終止,因此可透過 IPv6 網路提供安全的通道機制。NSX 可以透過 IPv6 VPN 傳輸 IPv4 和 IPv6 資料。
Guest Introspection
-
支援 Windows 11 上的 GI 驅動程式 - 從 NSX 4.1.0 開始,NSX Guest Introspection 將支援執行 Windows 11 作業系統的虛擬機器。
平台安全性
-
本機使用者的生命週期管理 - 此版本允許客戶在系統中新增和移除本機使用者。
-
適用於安裝和升級的安全連接埠變更 - 此版本將安裝和升級時使用的預設 TCP 連接埠 8080,變更為 TCP 連接埠 443,為平台提供更好的安全性。
-
內部憑證取代 - 此版本允許客戶將自我簽署的內部憑證取代為 CA 簽署的憑證。
多租戶
-
NSX UI 中的多租戶 - NSX 4.1.0 從 UI 為企業管理員 (提供者) 和專案使用者 (承租人) 啟用多租戶耗用量。
-
不同使用者有不同的視圖 - 專案使用者 (承租人) 和企業管理員 (提供者) 都能登入 NSX 並擁有自己的視圖。專案使用者看不到其他專案或提供者組態。
-
專案切換器 - 此版本在介面頂端引入了下拉式功能表,可讓您根據使用者 RBAC 將內容從一個專案切換至下一個專案。在專案外部完成的組態位於預設內容中 - 這是在專案外部設定的角色的預設值。在 [預設值 (/)] 下設定的使用者可以檢視和設定與其 RBAC 對應的所有專案,而繫結至特定專案的使用者只能存取自己的專案。
-
-
所有專案畫面 - 除了能夠在專案之間切換之外,企業管理員還有可檢視系統上所有組態的整併視圖。
-
專案生命週期管理 - 專案是選擇性建構,旨在提供企業管理員可在 NSX 執行個體上設定的租用。
-
CRUD 專案 - 能夠從 UI 建立這些專案,並查看所有專案及其狀態/警示的整併視圖。
-
使用者配置 - 可將使用者和群組配置給專案 (例如,使用者「project_admin_1」是專案 1、專案 2 和專案 4 的專案管理員)。
-
配額 - 可為不同的專案配置配額,依類型限制可用的組態數目 (例如,專案 1 可以建立 10 個區段)。
-
物件共用 - 企業管理員可將物件從預設內容 (/infra) 共用至所有專案或特定專案 (例如,群組「共用服務」會與所有專案共用)。
-
-
用於作業和監控的多租戶
-
安全記錄的多承租人記錄 - 引入專案簡短記錄識別碼,這是貼在記錄上以將其附加到專案的標籤。在此版本中,此簡短記錄識別碼將套用至閘道防火牆記錄和分散式防火牆記錄。
-
多承租人警示 - 警示架構的延伸,以支援多租戶。專案管理員現在可以視覺化與其組態相關的警示。
-
專案層級的 Traceflow - 專案管理員可以使用 Traceflow 來測試工作負載之間的連線情形。提供者從專案外部套用至其物件的組態會經過模糊處理。
-
-
NSX Manager 平台
-
將 NSX Manager 應用裝置作業系統升級至 Ubuntu 20.04。
-
已將 NSX Manager 應用裝置作業系統升級至 Ubuntu 20.04。
-
-
功能和 API 棄用項目、行為變更
NSX 負載平衡器的棄用公告
VMware 打算棄用內建的 NSX 負載平衡器,並建議客戶盡快移轉至 NSX Advanced Load Balancer (Avi)。VMware NSX Advanced Load Balancer (Avi) 提供 NSX 負載平衡功能的超集,VMware 建議您購買 VMware NSX Advanced Load Balancer (Avi) Enterprise 以解除鎖定企業級負載平衡、GSLB、進階分析、容器入口、應用程式安全性和 WAF。
我們現在提前發出通知,讓使用內建 NSX 負載平衡器的現有客戶有時間移轉至 NSX Advanced Load Balancer (Avi)。對於使用 NSX-T Data Center 3.x 的客戶,內建 NSX 負載平衡器的支援將在 NSX-T Data Center 3.x 版本系列的持續時間內保留。對於使用 NSX 4.x 的客戶,內建 NSX 負載平衡器的支援將在 NSX 4.x 版本系列的持續時間內保留。VMware 產品生命週期對照表提供了這兩者的詳細資料。我們不打算為最新的 NSX 4.x 版本之後的內建 NSX 負載平衡器提供支援。
更多資訊:
NSX Manager API 和 NSX Advanced UI 的棄用公告
NSX 有兩種方法可設定邏輯網路與安全性:管理程式模式和原則模式。管理程式 API 包含以 /api 開頭的 URI,而原則 API 包含以 /policy/api 開頭的 URI。
請注意,VMware 將在即將推出的 NSX 主要和次要版本中移除 NSX Manager API 和 NSX Advanced UI 的支援,該版本最快會在原始公告發佈日期 (2021 年 12 月 16 日) 的一年後正式提供。《NSX Data Center API 指南》會將預計要移除的 NSX Manager API 標示為「已棄用」,並附上替代 API 的相關指引。
建議在 NSX 的新部署中使用 NSX 原則 API 和 NSX 原則 UI。對於目前利用 NSX Manager API 和 NSX Advanced UI 的部署,請參閱管理程式至原則物件升階頁面和 NSX Data Center API 指南中有關於 NSX Manager 的資訊,以利進行轉換。
API 棄用項目和行為變更
-
《NSX API 指南》中新增了有關 API 移除棄用項目的新頁面,以簡化 API 耗用。這些頁面會列出已棄用的 API 和類型,以及已移除的 API 和類型。
-
已移除的 API:已移除下列 API。如需其他詳細資料,請參閱《NSX API 指南》。
| 已移除的 API |
替換項目 |
|---|---|
| POST /api/v1/intrusion-services/ids-events |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-events |
| POST /api/v1/intrusion-services/ids-summary |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-summary |
| POST /api/v1/intrusion-services/affected-vms |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-vms |
| POST /api/v1/intrusion-services/affected-users |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-users |
| GET /api/v1/intrusion-services/profiles/<profile-id> |
GET /policy/api/v1/infra/settings/firewall/security/intrusion-services/profiles/<profile-id>/effective-signatures |
-
已棄用的 API:下列 API 會標記為已棄用。如需其他詳細資料,請參閱《NSX API 指南》。
| 已棄用的 API |
替換項目 |
|---|---|
| DELETE /api/v1/aaa/registration-token/<token> |
POST /api/v1/aaa/registration-token/delete |
| GET /api/v1/aaa/registration-token/<token> |
POST /api/v1/aaa/registration-token/retrieve |
| GET /api/v1/node/services/dataplane/l3vpn-pmtu |
無 |
| GET /api/v1/node/services/policy |
GET /api/v1/node/services/manager |
| GET /api/v1/node/services/policy/status |
GET /api/v1/node/services/manager/status |
| GET /api/v1/ns-groups/<ns-group-id>/effective-cloud-native-service-instance-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/cloud-native-service-instances |
| GET /api/v1/ns-groups/<ns-group-id>/effective-directory-group-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/identity-groups |
| GET /api/v1/ns-groups/<ns-group-id>/effective-ipset-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/segment-ports GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/logical-ports |
| GET /api/v1/ns-groups/<ns-group-id>/effective-physical-server-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/physical-servers |
| GET /api/v1/ns-groups/<ns-group-id>/effective-transport-node-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/transport-nodes |
| POST /api/v1/batch |
無 |
| POST /api/v1/node/services/policy?action=reset-manager-logging-levels |
POST /api/v1/node/services/manager?action=reset-manager-logging-levels |
| POST /api/v1/node/services/policy?action=restart |
POST /api/v1/node/services/manager?action=restart |
| POST /api/v1/node/services/policy?action=start |
POST /api/v1/node/services/manager?action=start |
| POST /api/v1/node/services/policy?action=stop |
POST /api/v1/node/services/manager?action=stop |
| POST /policy/api/v1/infra/realized-state/enforcement-points/<enforcement-point-name>/virtual-machines?action=update_tags |
POST /policy/api/v1/infra/realized-state/virtual-machines/{virtual-machine-id}/tags |
| PUT /api/v1/node/services/dataplane/l3vpn-pmtu |
無 |
| PUT /api/v1/node/services/policy |
PUT /api/v1/node/services/manager |
相容性和系統需求
如需相容性和系統需求資訊,請參閱 VMware 產品互通性對照表和《NSX 安裝指南》。
此版本的升級說明
如需升級 NSX 元件的相關指示,請參閱《NSX 升級指南》。
-
NSX 4.1.0 是提供各種新功能的新版本。需要這些功能的客戶應升級以採用新功能。目前不需要此功能的客戶應升級至 NSX 3.2 的最新可用版本 (目前為 3.2.2),此版本仍是 VMware 的建議版本。
-
NSX 4.1.0 不支援使用 AWS/Azure 工作負載進行 NSX Cloud 部署的客戶。在此案例中,請勿使用 NSX 4.1.0 為您的環境進行升級。
建議升級至此版本的客戶在啟動升級程序之前,先執行 NSX 升級評估工具。此工具旨在透過在升級前檢查 NSX Manager 的健全狀況和整備狀態來確保成功。在您開始升級 NSX Manager 之前,此工具已整合到升級工作流程中。
可用的語言
NSX 已當地語系化為多種語言:英文、德文、法文、日文、簡體中文、韓文、繁體中文、義大利文和西班牙文。由於 NSX 當地語系化採用瀏覽器語言設定,請確定您的設定符合所需的語言。
文件修訂歷程記錄
| 修訂日期 |
版本 |
變更 |
|---|---|---|
| 2023 年 2 月 28 日 |
1 |
初始版本 |
| 2023 年 3 月 29 日 |
2 |
已新增已知問題 3094405、3106569、3113067、3113073、3113076、3113085、3113093、3113100、3118868、3121377、3152174、3152195。 |
| 2023 年 5 月 12 日 |
3 |
已新增已知問題 3210316。 |
| 2023 年 5 月 19 日 |
4 |
已新增已知問題 3116294。 |
| 2023 年 6 月 1 日 |
5 |
已新增已知問題 3186573、3155845 和 3163020。 |
| 2023 年 7 月 20 日 |
6 |
已新增已知問題 3108693。 |
| 2023 年 9 月 8 日 |
7 |
在〈新增功能〉中新增了 NSX Manager 升級。 |
| 2023 年 12 月 14 日 |
8 |
已新增已知問題 3296976。 |
| 2024 年 1 月 10 日 |
9 |
已新增已知問題 3222376。 |
| 2024 年 3 月 7 日 |
10 |
已新增已知問題 3308657。 |
已解決的問題
-
已修正的問題 3053647:Edge 完全移轉失敗,因為在 NSX for vSphere 至 NSX-T 的移轉期間,其中一個 NSX-v ESG 處於電源關閉狀態。
移轉期間在 ESG 上執行的作業失敗。
-
已修正的問題 3048603:以 UDP 為基礎的 DNS 流量會在新連線傳入時建立工作階段資訊,導致記憶體在長時間執行後耗盡。
資料路徑記憶體集區使用量達到 100%,超過臨界值 85%。
-
已修正的問題 3106018:如果 Edge 收到 IGMPv2 報告封包,則服務資料平面可能會在 NSX 4.0.0.1 和 4.0.1.1 中當機。
資料路徑將重新啟動,並導致流量中斷。
-
已修正的問題 3073647:在設定了至少兩個上游伺服器時,發生誤報 DNS「轉寄站上游伺服器逾時」警示。
誤報警示會令人混淆。上游伺服器均正常運作。
-
已修正的問題 3062615:Edge 傳輸節點刪除可能會在 Edge 內部資料表上留下失效項目。
NSX Manager 在 NSX 升級後,因失效項目而進入無回應狀態。
-
已修正的問題 3059517:DNS 摘要屬性程式設計中的記憶體流失。
視流量而定,可能會導致連續的核心傾印。
-
已修正的問題 3055437:即使已從主機交換器移除覆疊傳輸區域,也會啟用 SPF 內容。
執行 vMotion 後,虛擬機器可能會中斷連線。
-
已修正的問題 3046491:在刪除驗證期間,不會檢查 IP 集區與基礎結構區段之間的關係,允許刪除基礎結構區段正在耗用/參考的 IP 集區,從而導致使用中的 IP 位址遭到重新配置。
由於基礎結構區段正在使用的 IP 位址遺失,導致功能受到影響。
-
已修正的問題 3044226:在 DhcpRelayConfig 的 RealizationState 中,已實現的意圖修訂版本未更新。
儘管 dhcp-relay 正常運作,UI 卻將 dhcp-relay 整併狀態顯示為「IN_PROGRESS」。
-
已修正的問題 3056265:NSX Manager 節點部署失敗,因其主機名稱與已中斷連結的 NSX Manager 節點先前使用的主機名稱相同。
NSX Manager 節點的部署遭到封鎖,因主機名稱與先前已中斷連結的節點相同。
-
已修正的問題 3024587:儘管增加了 remote-host-max-msg-len 設定,外部 Syslog 伺服器上收到的 IDPS 記錄仍遭到截斷。
IDPS 事件可能會在外部 Syslog 伺服器上分成多行。
-
已修正的問題 3008229:CCP TN 逾時設定 CLI 沒有使用小時單位的選項。
無法在 CCP TN 逾時設定 CLI 中使用小時單位。
-
已修正的問題 2863105:從 HCX 刪除相關實體之前,無法從 NSX 刪除 HCX 耗用的流量群組。
目前還不清楚如何刪除 HCX 流量群組/關聯對應。
-
已修正的問題 3091229:適用於 cloud-native-service-instances 的 EffectiveMembership Rest API 不適用於具有兩個以上 CNS 成員的群組。
CNS 成員的有效成員資格 REST API 未如預期運作。
-
已修正的問題 3056889:分散式路由器和/或第 1 層服務路由器上的靜態路由不會散佈到傳輸節點。
以這些靜態路由為目的地之流量的流量中斷。必須先設定邏輯路由器連接埠,然後才能設定靜態路由。
-
已修正的問題 3046448:在 MP UI 中強制刪除 NG 群組時,未從 ESX 主機刪除規則。
在來源或目的地中耗用已刪除 NSgroup 的防火牆規則,將繼續分別在所有來源或目的地的 ESX 主機上強制執行安全性狀態。
-
已修正的問題 3044281:Edge 虛擬機器具有失效的硬體組態錯誤。這會導致在套用管理程式組態變更時發生驗證錯誤。
無法透過傳輸節點 PUT API 或 UI 編輯 Edge 組態,因為存在失效錯誤。
-
已修正的問題 3043150:在 MP 移除傳輸節點後,CCP LCP 複寫器會留下失效的傳輸節點資料。
如果 MP 新增了傳輸節點,而此傳輸節點重複使用具有不同 VTEP MAC 的舊 VTEP IP,則會導致 CCP 報告錯誤資料,因為傳輸節點的失效資料並未清除。
-
已修正的問題 3037403:透過 RPC GetLportRealizedState 進行查詢時,CCP 將以區段的 VLAN 識別碼覆寫繫結的 VLAN 識別碼。
當使用者查詢位址繫結時,可能會發現 VLAN 識別碼與手動繫結中設定的不同。
-
已修正的問題 3013563:變更 AD 中的群組名稱會影響資料路徑 - DFW 規則未套用至屬於已變更名稱 [完整/差異同步之後] 之群組的使用者。
資料路徑已中斷。
-
已修正的問題 3008229:CCP TN 逾時設定 CLI 沒有使用小時單位的選項。
無法在 CCP TN 逾時設定 CLI 中使用小時單位。
-
已修正的問題 2982055:未在 Intelligence 上同步巢狀群組成員。
群組流量拓撲 API 不會顯示巢狀群組成員。
-
已修正的問題 2930122:CCP 資料從 GC/HL 移轉至更新版本可能會留下衝突記錄,這可能會產生錯誤的警示。
即使傳輸節點已連線,您還是會看到傳輸節點已中斷連線的錯誤警示。
-
已修正的問題 2863105:從 HCX 刪除相關實體之前,無法從 NSX 刪除 HCX 耗用的流量群組。
目前還不清楚如何刪除 HCX 流量群組/關聯對應。
-
已修正的問題 3062600:controller-info.xml 檔案刪除/空白時,NSX Proxy 會持續重新啟動。
NSX Proxy 會持續重新啟動,且會持續記錄此一情形。
-
已修正的問題 3063646:整合應用裝置上的 Nestdb-ops-agent 連線錯誤記錄。
填入記錄的速度會更快。
-
已修正的問題 3065925:使用者定義的 VRF RIB 未填入 IPv6 ECMP 路由。
IPv6 ICMP 路由的資訊遺失。
-
已修正的問題 3071393:啟用/停用閘道後,具有 L7 存取設定檔的閘道規則未在 Edge 上實現。
啟用/停用閘道後,具有 L7 存取設定檔的閘道規則未在 Edge 上實現。
-
已修正的問題 3072735:CCP 上的有效 IP 探索設定檔計算不會如預期般優先於 [LSP 設定檔] -> [LS 設定檔] -> [群組設定檔]。
可能會在 DFW 群組中找到錯誤的 IP。
-
已修正的問題 3073055:規則意外地從 DHCP 定義繼承範圍,並傳送至 Edge。
規則在不應出現於 UI 上的時候,於 Edge 上實現。
-
已修正的問題 3073457:未重新整理遠端通道端點狀態。
透過遠端通道端點的 BGP 工作階段連線會保持原樣,資料路徑也沒有受到影響,但 UI 未顯示適當的狀態。
-
已修正的問題 3078357:聯盟 LM-LM 版本相容性應為 +/-2,但 CCP 僅支援 +/-1。
如果一個站台在版本 V 上執行,另一個站台在版本 V+2 或 V-2 上執行,則兩個聯盟站台會中斷連線。
-
已修正的問題 3081190:搜尋服務正在使用 GM 上的根磁碟分割來儲存資料。根磁碟分割磁碟空間即將用完並發出警示。
根磁碟分割磁碟的使用量達 100% 後,GM 將無法正常運作。
-
已修正的問題 3081664:DFW 規則誤傳至 EdgeNode。如果推送至 Edge 的其中一個規則具有錯誤參數,可能會導致資料平面永久當機。
在規則的 appliedTo 中使用邏輯交換器/LSP 時,CCP 會將下行連接埠計算為防火牆規則範圍的一部分。因此,DFW 規則會誤傳至 EdgeNode。如果推送至 Edge 的其中一個規則具有錯誤參數,可能會導致資料平面永久當機。
-
已修正的問題 3057573:套用 TN 設定檔至已啟用 vLCM 的叢集時失敗。
由於服務帳戶密碼已到期,因此在已啟用 LCM 的叢集上安裝 NSX 失敗。
-
已修正的問題 3046985:不支援某些閘道防火牆服務 (「MS_RPC_TCP、MS_RPC_UDP、SUN_RPC_TCP、SUN_RPC_UDP、ORACLE_TNS」)。如果已選取服務,發佈作業會失敗並顯示錯誤。
您可以在 UI 中選取服務,但發佈時會顯示錯誤:「不支援的應用程式層級閘道 (ALG) 類型:ORACLE_TNS」。
-
已修正的問題 3040934:無法在分散式防火牆 (DFW)/閘道防火牆 (GWFW) 設定上發佈變更。分散式防火牆 (DFW)/閘道防火牆 (GWFW) 停用時,發佈按鈕也會停用。
無法發佈組態變更,因為防火牆 (DFW)/閘道防火牆 (GWFW) 已停用。
-
已修正的問題 2888207:vIDM 啟用時,無法重設本機使用者認證。
vIDM 啟用時,您將無法變更本機使用者密碼。
-
已修正的問題 3068125:在作用中/待命 Edge 部署中透過 VTI 介面設定 BGP 時,待命 Edge 節點上的 BGP 應為關閉,但仍會在待命 Edge 節點上產生作用中「BGP 已關閉」警示。
功能不受任何影響。但在待命 Edge 節點上觀察到錯誤的「BGP 已關閉」警示。
-
已修正的問題 3057573:套用 TN 設定檔至已啟用 vLCM 的叢集時失敗。
由於服務帳戶密碼已到期,因此在已啟用 LCM 的叢集上安裝 NSX 失敗。
-
已修正的問題 3047608:部署 CSM 應用裝置後,登入後將無法存取 CSM UI,並且 nsx-cloud-service Manager 服務已關閉。
第 0 天 CSM UI 將在登入後關閉。
-
已修正的問題 3045514:無法在 vRNI 中檢視來自 NSX 支援的虛擬機器的流量。
使用者無法在 vRNI 中檢視來自 NSX 支援的虛擬機器的流量。
-
已修正的問題 3042523:NSX 發現 vm-tools 為虛擬機器的區段連接埠提供的繫結 (IP 位址),在 Storage vMotion 進行時變成空白。
在虛擬機器執行 Storage vMotion 期間,根據 vm-tools 探索到的 IP 位址作為來源的任何 DFW 規則都不會套用至 IP。
-
已修正的問題 3038658:在 1K Hypervisor 規模設定中執行還原時,NSX 服務 (proton) 會因為 OOM 問題而當機。
還原程序可能會隨著 NSX 服務重新啟動而執行更長的時間。
-
已修正的問題 3027580:如果在連結至僅針對安全性 (其對應至屬於詳細目錄群組的探索到的區段) 準備的叢集之主機的 vCenter Server 中刪除 DVPG,則永遠不會清理探索到的區段。
功能不受任何影響。NSX Manager UI 會顯示失效物件。
-
已修正的問題 3027473:將超過 1,000 個 DFW 規則從 NSX for vSphere 移轉至 NSX-T Data Center 時,並不會顯示 UI 意見反應,但區段會細分為 1,000 個或更少規則的區段。
UI 意見反應不會顯示。
-
已修正的問題 3025367:如果上行設定檔有四個作用中上行,且在 TN 組態中僅提供兩個用於 VDS 上行對應的上行,則會在主機端中建立四個 vmk。
對功能沒有任何影響。
-
已修正的問題 3024658:處理具有 SMB 流量的封包時,NSX IDS/IPS 會產生高 CPU 使用率和延遲。
在某些情況下,處理 SMB 流量時由於記憶體不足錯誤,NSX IDS/IPS 程序會損毀。
-
已修正的問題 3024136:VRF BGP 組態中的變更並非永遠生效。
VRF 內 BGP 組態中的變更並非永遠生效。
-
已修正的問題 3024129:全域管理程式警示頻繁觸發。
一旦解決警示,就會觸發警示。
-
已修正的問題 3019893:停用負載平衡器持續性後,NGINX 會當機。
由於鎖死,無法建立新連線。
-
已修正的問題 2963524:未根據到期逾時來清除 UDP 連線。
UI 意見反應不會顯示。
-
已修正的問題 2947840:網路拓撲視圖未顯示 UI 上的所有網路元件。
您無法看到完整的網路拓撲。
-
已修正的問題 2928725:無法透過使用特定連接埠的 Proxy 下載 IDPS 簽章。
不允許透過 Proxy 的簽章下載呼叫連線至 NTICS 伺服器。
-
已修正的問題 3034373:從 3.2.0 之前的版本升級至 3.2.x 或 4.0.x 後,DFW IPFIX 設定檔停滯在刪除中。
無法刪除 DFW IPFIX 設定檔。
-
已修正的問題 3043151:當系統遇到需要判定 AppId 的大量流量時,防火牆流量的 L7 分類可能在短時間內無法使用
有時,L7 規則可能不會在流量過大的主機上叫用。
-
已修正的問題 3039159:使用介面處於統一傳遞 (UPT) 模式且流量數目過多的虛擬機器執行 vMotion 可能會導致主機發生 PSOD。
主機發生 PSOD,因此會在流量數目過多的 UPT 型虛擬機器執行 vMotion 期間影響流量。
-
已修正的問題 3047608:部署 CSM 應用裝置後,登入後將無法存取 CSM UI,並且 nsx-cloud-service Manager 服務已關閉。
第 0 天 CSM UI 將在登入後關閉。
-
已修正的問題 3027580:如果在連結至僅針對安全性 (其對應至屬於詳細目錄群組的探索到的區段) 準備的叢集之主機的 vCenter Server 中刪除 DVPG,則永遠不會清理探索到的區段。
功能不受任何影響。NSX Manager UI 會顯示失效物件。
-
已修正的問題 3042382:當封包符合「無 SNAT」規則時,應重新查詢工作階段。
符合無 SNAT 規則的流量停滯。
-
已修正的問題 3044704:NSX-Manager 僅支援不含 SSL-BUMP 的 HTTP Proxy,即使組態頁面採用 HTTPS 配置和憑證也是如此。
在系統 -> 一般設定 -> 網際網路 Proxy 伺服器中設定 Proxy 時,您必須提供配置 (HTTP 或 HTTPS)、主機、連接埠等的詳細資料。
此處的配置表示您要在 NSX Manager 與 Proxy 伺服器之間建立的連線類型。這並不表示 Proxy 的類型。通常,HTTPS Proxy 將使用 HTTPS 配置。但是,使用 http_port + SSL bump 設定的 Proxy (例如 Squid) 也會建立 NSX-Manger 與 Proxy 伺服器之間的 HTTPS 連線。但是,NSX-Manager 中的服務一律會假設 Proxy 公開了 HTTP 連接埠。因此,您提供的憑證永遠不會在 NSX-Manager 中使用。
選擇 HTTPS 配置並提供憑證時,系統會針對組態頁面中 HTTPS Proxy 顯示「憑證 xx 不是 xx 的有效憑證。」錯誤。
如果您嘗試使用 Squid Proxy 搭配 http_port + SSL bump,但 NSX Manager 服務將無法傳送要求至外部伺服器 (記錄中會顯示「找不到憑證鏈結。」錯誤),則不會彈出任何錯誤。
-
已修正的問題 3025104:當您使用不同的 IP 但相同的 FQDN 執行還原時,主機會進入「失敗」狀態。
當使用 NSX Manager 節點的不同 IP (但 FQDN 相同) 執行還原時,主機無法連線至 NSX Manager 節點。
-
已修正的問題 2888207:vIDM 啟用時,無法重設本機使用者認證。
vIDM 啟用時,您無法變更本機使用者密碼。
已知問題
-
問題 3308657:建立具有大量規則的防火牆區段時,建立/刪除規則 API 回應花費超過 30 分鐘。
這種緩慢情況會導致執行 API 以啟動網繭時出現 409/500 錯誤,或執行速度變慢。
因應措施:減少其中一個區段中的規則數。
-
問題 3222376:連線至 Windows Server 2012/Active Directory 時,LDAP 組態 UI 中的 NSX「檢查狀態」功能報告失敗。這是因為 Windows 2012 僅支援較弱的 TLS 加密套件,但基於安全考慮,NSX 不再支援這些加密套件。
即使顯示錯誤訊息,透過 SSL 的 LDAP 驗證仍有效,因為 LDAP 驗證代碼所使用的加密套件集與「檢查狀態」連結所使用的加密套件集不同。
因應措施:如需詳細資料,請參閱知識庫文章 92869。
-
問題 3296976:閘道防火牆可能會允許將不受支援的第 7 層應用程式識別碼用作內容/L7 存取設定檔的一部分。
請參閱下列說明文件頁面,其中列出每個 NSX 版本支援的應用程式識別碼 - https://docs.vmware.com/tw/NSX-Application-IDs/index.html。
因應措施:無。
-
問題 3108693:專案管理員將無法從 UI 來設定 DNS 轉寄站功能。
如果您以「專案管理員」身分登入,則專案範圍下的 T1 不會列在 DNS 轉寄站頁面上的下拉式功能表中。因此,專案管理員無法從 UI 來設定 DNS 轉寄站功能。
因應措施:
-
專案管理員可以透過 API 執行相同的功能。
-
企業管理員可以在專案範圍內建立 DNS 服務。
-
-
問題 3163020:如果 DNS 封包中 FQDN 的文字大小寫與 FQDN 規則的 L7 設定檔中所設定的網域名稱不同,則無法正確套用 DFW FQDN 規則動作。
無法正確套用 DFW FQDN 規則動作。DFW FQDN 篩選無法正常運作。
因應措施:將 L7 內容設定檔中的 FQDN 設定為符合 DNS 封包中的網域名稱。
-
問題 3155845:設定 FQDN 篩選時,執行 vMotion 期間發生 PSOD。
ESXi 主機將重新開機。
因應措施:移除 FQDN 組態。
-
問題 3210316:如果 (1) 管理程式為雙重堆疊 IPv4/IPv6 ,且 (2) 未設定 VIP 位址,以及 (3) 在 vIDM 組態中的 [NSX 應用裝置] 欄位中輸入 IP 位址而不是 FQDN,則會清除 vIDM 組態。
重新設定 vIDM 組態之前,您無法使用 vIDM 登入。
因應措施:在 [NSX 應用裝置] 欄位中使用 FQDN。
-
問題 3152195:當 DFW 規則的內容設定檔具有 .*XYZ.com 類型的 FQDN 時,則無法強制執行該規則。
在此特定案例中,DFW 規則的強制執行未如預期般正常運作。
因應措施:無。
-
問題 3152174:使用 VDS 準備主機失敗,並顯示錯誤:主機 {UUID} 未新增至 VDS 值。
在 vCenter 上,如果網路以巢狀方式內嵌在資料夾內,若是移轉至 NSX-T 中的 CVDS,則從 NVDS 到 CVDS 或 NSX-V 到 NSX-T 的移轉可能失敗。
因應措施:主機的第一個網路是 vCenter MOB 頁面 (https://<VC-IP>/mob?moid=host-moref) 中的網路欄位上所顯現的第一個網路
-
3.2.1 之前:上述主機的第一個網路與涉及的 VDS 應直接位於同一資料夾下。資料夾可以是資料中心或資料中心內的網路資料夾。
-
從 3.2.1 和 4.0.0 開始:上述的主機第一個網路應直接位於資料夾下,所需 VDS 可以直接位於同一資料夾下,也可以內嵌在同一資料夾內。資料夾可以是資料中心或資料中心內的網路資料夾。
-
-
問題 3118868:在啟用 pNIC 的同時,若是對覆疊篩選器進行程式設計,則 pNIC 上進行程式設計的 vNIC 篩選器不正確或失效。
在啟用 pNIC 的同時,如果對覆疊篩選器進行程式設計,則 pNIC 上進行程式設計的 vNIC 篩選器可能失效、不正確或遺失,從而可能導致效能降低。
因應措施:無。
-
問題 3113100:由於 VIF 項目失效,動態安全群組中的某些虛擬機器未實現 IP 位址。
如果一開始使用 [快速入門],設定了叢集的 [網路與安全性],之後解除安裝,然後又基於安全性而個別重新安裝該叢集,則 DFW 規則可能無法如預期般運作。這是因為針對 [網路與安全性] 產生的自動 TZ 仍然存在,且需要移除才能讓 DFW 規則正常運作。
因應措施:從 [網路與安全性] 快速入門中刪除自動產生的 TZ,這將參考 [僅限安全性] 使用的相同 DVS。
-
問題 3113093:新增的主機未設定安全性。
安裝安全性後,當將主機新增至叢集,並連線至分散式虛擬交換器時,不會自動觸發在該主機上安裝 NSX。
因應措施:對 VC 中的現有 VDS 進行任何更新 (或) 在 VC 中新增 VDS,然後將叢集中的所有主機新增至 VDS。這會自動更新 TNP,且會將 TNP 重新套用在 TNC 上。更新 TNC 時,新增的主機將具有 TNP 的最新組態。
-
問題 3113085:執行 vMotion 時,不會將 DFW 規則套用至虛擬機器。
在「僅限安全性安裝」部署中,當執行 vMotion,以將受 DFW 保護的虛擬機器從其中一台主機移至另一台主機時,可能不會在 ESX 主機上強制執行 DFW 規則,從而導致規則分類不正確。
因應措施:將虛擬機器連線至另一個網路,然後將它重新連線回目標 DVPortgroup。
-
問題 3113076:未針對 FRR 精靈當機產生核心傾印。
一旦 FRR 精靈當機,系統不會在 /var/dump 目錄中產生核心傾印。這可能會導致 BGP 變動。
因應措施:啟用 FRR 精靈的核心傾印,觸發當機,然後從 /var/dump 取得核心傾印。
若要啟用核心傾印,請在 Edge 節點上使用下列命令,且必須在 Edge 節點上以 root 使用者身分來執行此命令。
prlimit --pid <pid of the FRR daemon> --core=500000000:500000000
若要驗證是否已針對 FRR 精靈啟用核心傾印,請使用下列命令,然後檢查核心資源的軟限制和硬限制。這些限制必須是 500000000 個位元組或 500 MB。
prlimit --pid <pid of the FRR daemon>
-
問題 3113073:啟用鎖定模式後,有一段時間不會強制執行 DFW 規則。
在傳輸節點上啟用鎖定模式,可能導致 DFW 規則的強制執行延遲。這是因為在傳輸節點上啟用鎖定模式時,相關聯的虛擬機器可能會從 NSX 詳細目錄中移除,然後重建。在這段空檔期間,可能不會在該 ESXi 主機相關聯的虛擬機器上強制執行 DFW 規則。
因應措施:在 ESX 進入鎖定模式之前,請手動在例外清單中新增「da-user」。
-
問題 3113067:執行 vMotion 後無法連線至 NSX-T Manager。
從低於 NSX 3.2.1 的版本升級 NSX 時,NSX Manager 虛擬機器不會自動新增至防火牆排除清單。因此,所有 DFW 規則會套用至管理程式虛擬機器,這可能會導致網路連線問題。
從 NSX 3.2.2 或更新版本的全新部署中,就不會發生此問題。但是,如果您是從 NSX 3.2.1 或更早版本最高升級至 NSX 4.1.0 (含 4.1.0) 的任何目標版本,則可能會遇到此問題。
因應措施:請連絡 VMware 支援。
-
問題 3106569:在 EVPN 路由伺服器模式下,效能未達到預期層級。
在整併情況下,當以程式設計方式將覆疊篩選器寫入至 pNIC 時,pNIC 上進行程式設計的 vNIC 篩選器可能失效、不正確或遺失,從而可能導致效能降低。
因應措施:無。
-
問題 3094405:當設定覆疊網路時,以程式設計方式寫入至 pNIC 的 vNIC 篩選器不正確或失效。
vNIC 覆疊篩選器會以特定順序更新。當接連發生更新時,僅會保留第一項更新,後續的更新會捨棄,從而導致篩選器程式設計不正確,並可能出現效能降低。
因應措施:無。
-
問題 3121377:ESX 上發生 PSOD。
傳輸節點關閉會影響流量。
因應措施:
-
修改工作負載組態,以避免將流量傳送至相同區段上對等的第一個躍點路由器。
-
從第一個躍點路由器正常接受 ICMP6 重新導向。
-
-
問題 3098639:由於反向 Proxy/驗證服務在升級期間無法進入維護模式,NSX Manager 升級失敗。
nsx-manager 升級失敗。
因應措施:如需詳細資料,請參閱知識庫文章 91120。
-
問題 3114329:裸機 NSX Edge 安裝後,Intel QAT 並未啟動。
Intel QuickAssist 技術 (QAT) 是一種硬體加速器技術,旨在將計算密集的密碼編譯和壓縮/解壓縮演算法從 CPU 卸載至專用硬體。由於此問題,您無法使用 Intel QAT 來提高裸機 NSX Edge VPN 服務的輸送量效能。
因應措施:無。
-
問題 3106950:達到 DFW 配額後,在專案範圍下建立新的 VPC 會失敗。
您無法在已達到 DFW 配額的專案下建立 VPC。
因應措施:無。
-
問題 3094463:可透過已棄用的 MP API 建立具有 ALG 服務 FTP 的無狀態防火牆規則。無法透過原則 API 支援此作業。
如果 MP 上的防火牆規則有問題,您將無法執行 MP 至原則的移轉。
因應措施:有問題的防火牆規則應更新為可設定狀態,或不應具有 ALG 服務 FTP 服務。
-
問題 3083358:控制器重新開機時,需要很長時間才能加入叢集。
控制器重新開機後,在 NSX Manager 上建立的新組態可能會面臨實現延遲的情形,因為控制器可能需要一段時間才能啟動。
因應措施:清除冗餘的惡意 IP 群組,然後重新開機。
-
問題 3106317:當客體中的 VNIC MAC 位址變更時,此變更可能不會反映在程式設計至 PNIC 的篩選器中。
效能可能會降低。
因應措施:在客體中停用介面後再重新啟用。
-
問題 3047727:CCP 未發佈更新的 RouteMapMsg。
發佈了不打算發佈的路由。
因應措施:無。
-
問題 2792485:對於在 vCenter 中安裝的管理程式,系統會顯示 NSX Manager IP 而非 FQDN。
對於已安裝的管理程式,在 vCenter 中整合的 NSX-T UI 會顯示 NSX Manager IP 而非 FQDN。
因應措施:無。
-
問題 3092154:目前的 NIC 不支援 IPv6 路由延伸標頭。
任何具有路由延伸標頭的 IPv6 流量都會被智慧 NIC 捨棄。
因應措施:無。
-
問題 3079932:MTU 變更可能會因 UPT 介面上的大規模卸載 TCP 流量而失敗。
當 UPT 介面上出現大規模卸載 TCP 流量時,MTU 變更有時會失敗。
因應措施:
-
請勿在流量期間進行 MTU 變更。
-
或者,停用硬體卸載,然後執行 MTU 變更。
-
-
問題 3077422:SmartNIC 支援的虛擬機器和連接埠/介面不會列在 LTA 中,因為 SmartNIC 支援的虛擬機器和連接埠不支援 LTA。
無法在特定虛擬機器上建立 LTA。
因應措施:無。
-
問題 3076771:「get physical-ports <physical-port-name> stats verbose」針對每個佇列統計資料顯示值 0。
在偵錯中使用詳細資訊連接埠統計資料時,出現非預期的零值。
因應措施:「get physical-ports <physical-port-name> xstats」(如果可用) 會顯示實體連接埠的每個佇列統計資料。
-
問題 3069003:使用巢狀 LDAP 群組時,客戶 LDAP 目錄服務上會出現過多的 LDAP 作業。
在使用巢狀 LDAP 群組的情況下,LDAP 目錄服務上會出現高負載。
因應措施:請針對 8.6 版之前的 vROPS,使用「管理員」本機使用者,而非 LDAP 使用者。
-
問題 3068100:僅在使用對稱路由時,才支援路由洩漏。VRF 之間的非對稱路由洩漏可能會導致流量黑洞。
如果 VRF 路由在叢集內的 Edge 節點之間不對稱,則即使已啟用 SR 間路由,此類非對稱路由也不會在 Edge 叢集中同步。這種情況可能會為從南到北的流量產生黑洞。
因應措施:確保路由已對稱散佈到叢集中的所有 Edge 節點。在此範例中,首碼 2.1.4.0/24 和 2.1.5.0/24 應散佈到 Edge e1 和 e2。
-
問題 2855860:當 Edge 檔案系統進入唯讀模式時,Edge 資料路徑會無限期停止轉送。
流量遺失。存取 Edge 虛擬機器主控台時,可能會顯示檔案系統已進入唯讀模式。
因應措施:無。
-
問題 3046183 和 3047028:啟用或停用 NSX Application Platform 上主控的其中一個 NSX 功能後,其他主控 NSX 功能的部署狀態將變為
In Progress。受影響的 NSX 功能包括 NSX Network Detection and Response、NSX 惡意程式碼防護和 NSX Intelligence。部署 NSX Application Platform 後,啟用或停用 NSX Network Detection and Response 功能會導致 NSX 惡意程式碼防護功能和 NSX Intelligence 功能的部署狀態變為
In Progress。同樣地,啟用和停用 NSX 惡意程式碼防護功能也會導致 NSX Network Detection and Response 功能的部署狀態變為In Progress。如果 NSX Intelligence 已啟用,而您又啟用 NSX 惡意程式碼防護,則 NSX Intelligence 功能的狀態將變為Down和Partially up。因應措施:無。系統會自行復原。
-
問題 3041672:對於僅限組態和 DFW 移轉模式,一旦所有移轉階段成功,您可以叫用移轉前和移轉後 API 以移動工作負載。如果在移轉階段成功後變更 NSX for vSphere、vCenter Server 或 NSX 的認證,則呼叫用於移轉前和移轉後的 API 將會失敗。
您將無法移動工作負載,因為移轉前、移轉後和完成基礎結構 API 呼叫將會失敗。
因應措施:請執行下列步驟。
-
重新啟動移轉協調器。
-
在移轉 UI 上,使用與重新啟動之前相同的移轉模式,提供所有驗證詳細資料。這應會重新同步移轉進度。
-
執行移轉前、移轉後、完成基礎結構 API。
-
-
問題 3043600:當您使用具有來自鮮為人知的憑證授權機構 (CA) 之自我簽署憑證的私人 (非預設) Harbor 存放庫時,NSX Application Platform 部署會失敗。
如果您嘗試使用具有來自鮮為人知的 CA 之自我簽署憑證的私人 (非預設) Harbor 存放庫部署 NSX Application Platform,部署會失敗,因為部署工作無法取得 NSX Application Platform Helm Chart 和 Docker 映像。由於 NSX Application Platform 未成功部署,因此您無法啟用平台託管的任何 NSX 功能,例如 NSX Intelligence。
因應措施:使用知名的受信任 CA 簽署您要用於私人 Harbor 伺服器的憑證。
-
問題 2491800:非同步複寫器通道連接埠 - 不會定期檢查憑證屬性是否已到期或撤銷。
這可能會導致對現有連線使用已到期/已撤銷的憑證。
因應措施:任何重新連線都會使用新憑證 (如果存在),或擲回錯誤,因為舊憑證已到期或已撤銷。若要觸發重新連線,重新啟動管理程式節點上的應用裝置 Proxy Hub (APH) 就已足夠。
-
問題 2994066:無法在 ESXi 8.0.0.0 和 NSX 4.0.1 及更高版本上建立鏡像 vmknic。
無法啟用具有鏡像堆疊的 L3SPAN,因為無法建立鏡像 vmknic。
因應措施:
-
從 ESXi CLI 提示,在 ESXi 上建立鏡像堆疊。
-
從 vSphere Web Client,建立 vmknic。
-
執行下列命令:
esxcli network ip netstack add -N mirror -
-
問題 3007396:如果遠端節點設定為緩慢 LACP 逾時模式,則當我們透過 cli 命令「esxcli network nic down -n vmnicX」關閉其中一個 LAG 連結後,可能會有大約 60-90 秒的流量捨棄
一旦透過 cli 命令「esxcli network nic down -n vmnicX」關閉其中一個 LAG 連結後,會有大約 60-90 秒的流量捨棄。
僅在遠端節點 LACP 逾時設定為 SLOW 模式時,才會觀察到此問題。
因應措施:將外部交換器 LACP 逾時設定為 FAST。
-
問題 3013751:NSX 安裝/解除安裝進度不會在網狀架構頁面上自動顯示。
手動重新整理網狀架構頁面後,會顯示進度。
因應措施:手動重新整理網狀架構頁面。
-
問題 3018596:如果您將客體虛擬機器上的虛擬機器虛擬 NIC (vNIC) MTU 設定為大於實體 NIC MTU,則會釋放虛擬功能 (VF)。
一旦 vNIC MTU 變更為大於 pNIC MTU,虛擬機器將無法取得 VF。因此,虛擬機器將不會處於 UPT 模式。它將處於「emu vmnic」模式。
因應措施:
1.將 DVS 上的 MTU 大小從 1600 變更為 9100。
2.VF 會被指派回虛擬機器 vNIC。
-
問題 3003762:如果您不從原則中刪除惡意程式碼防護服務規則,並且未顯示任何解除安裝失敗的錯誤訊息,則解除安裝 NSX 惡意程式碼防護服務會失敗,因為原則中仍存在規則。
在此案例中,解除安裝 NSX 惡意程式碼防護服務將會失敗。
因應措施:刪除規則並重試解除安裝。
-
問題 3003919:與 CNAMES 相符的 DFW 規則與和原始網域名稱相符的 DFW 規則具有不同動作的 DFW 規則,將導致規則強制執行不一致。
在應用程式/使用者無法存取 CNAME 而非原始網域名稱的情況下,DFW 規則似乎會略過或錯誤地遭到捨棄。
因應措施:執行下列其中一個步驟:
-
僅針對原始網域名稱而非 CNAME 設定 DFW 規則。
-
使用相同的動作設定具有網域名稱和 CNAMES 的規則。
-
-
問題 3014499:關閉處理跨站台流量的 Edge 的電源會導致部分流量中斷。
部分跨站台流量已停止運作。
因應措施:開啟已關閉電源的 Edge 的電源。
-
問題 3014978:將滑鼠暫留在網狀架構頁面上的網路與安全性旗標上時,無論選取的網路如何,都會顯示不正確的資訊。
沒有影響。
因應措施:無。
-
問題 3014979:NSX 安裝/解除安裝進度不會在網狀架構頁面上自動顯示。
沒有影響。手動重新整理頁面以查看進度。
因應措施:手動重新整理網狀架構頁面。
-
問題 3017885:FQDN 分析僅能支援處於可設定狀態的作用中/作用中模式的一個子叢集。
如果可設定狀態的作用中/作用中有多個子叢集,請勿啟用此功能。
因應措施:僅部署一個子叢集。
-
問題 3010038:在為 Edge 統一傳遞 (UPT) 虛擬機器提供服務的雙連接埠 LAG 上,如果與其中一個 LAG 連接埠的實體連線中斷,上行將會關閉,但這些 UPT 虛擬機器所使用的虛擬功能 (VF) 會在透過其他 LAG 介面取得連線時持續啟動並執行。
沒有影響。
因應措施:無。
-
問題 3009907:如果主機在叢集上的「移除 NSX」作業期間處於中斷連線狀態,則不會從 SmartNIC 主機刪除 NSX VIB。
功能不受任何影響。
因應措施:在 vCenter Server 中,移至 vLCM UI 並修復叢集。
-
問題 2490064:嘗試在「外部 LB」切換開啟的情況下停用 VMware Identity Manager 時無法正常運作。
在具有「外部 LB」的 NSX 上啟用 VMware Identity Manager 整合後,如果您接著嘗試將「外部 LB」切換為關閉來停用整合,則大約在一分鐘後,初始組態將會再次出現並覆寫本機變更。
因應措施:嘗試停用 vIDM 時,請勿將「外部 LB」旗標切換為關閉,而僅將 vIDM 整合切換為關閉即可。這將導致該組態儲存到資料庫並同步至其他節點。
-
問題 2558576:全域設定檔定義的全域管理程式和本機管理程式版本可能不同,並且可能在本機管理程式上發生未知行為。
在全域管理程式上建立的全域 DNS、工作階段或洪泛設定檔無法從 UI 套用至本機群組,但可以從 API 進行套用。因此,API 使用者可能會意外在本機管理程式上建立設定檔繫結對應和修改全域實體。
因應措施:使用 UI 來設定系統。
-
問題 2355113:不支援在 Azure 加速網路執行個體上執行 RedHat 和 CentOS 的工作負載虛擬機器。
在 Azure 中,如果已在 RedHat 或 CentOS 作業系統上啟用加速網路,且已安裝 NSX 代理程式,則乙太網路介面將不會取得 IP 位址。
因應措施:為 RedHat 和 CentOS 作業系統停用加速網路。
-
問題 2574281:原則最多僅允許 500 個 VPN 工作階段。
在大型機器尺寸中,每個 Edge 支援 512 個 VPN 工作階段的 NSX 宣告,但由於原則執行安全性原則的自動配管,原則將僅允許最多 500 個 VPN 工作階段。
在第 0 層上設定第 501 個 VPN 工作階段時,會顯示下列錯誤訊息:
{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}
因應措施:使用管理平面 API 建立額外的 VPN 工作階段。
-
問題 2684574:如果 Edge 有 6K+ 的路由用於資料庫和路由,原則 API 將會逾時。
如果 Edge 具有 6K+ 的路由,則 OSPF 資料庫和 OSPF 路由的這些原則 API 會擲回錯誤:/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv 如果 Edge 具有 6,000 個以上的路由用於資料庫和路由,則原則 API 會逾時。這是唯讀 API,只有在 API/UI 用來為 OSPF 路由和資料庫下載 6k+ 的路由時,才會產生影響。
因應措施:使用 CLI 命令從 Edge 擷取資訊。
-
問題 2663483:如果您在某個單一節點的 NSX Manager 上取代了 APH-AR 憑證,該 NSX Manager 將會中斷與其餘 NSX 聯盟環境的連線。
只有 NSX 聯盟和單一節點的 NSX Manager 叢集才會出現此問題。如果您在某個單一節點的 NSX Manager 上取代了 APH-AR 憑證,該 NSX Manager 將會中斷與其餘 NSX 聯盟環境的連線。
因應措施:單一節點的 NSX Manager 叢集部署不是支援的部署選項,因此,請使用三個節點的 NSX Manager 叢集。
-
問題 2690457:將 MP 加入已在 MP 叢集上設定 publish_fqdns,且未正確設定外部 DNS 伺服器的 MP 叢集時,proton 服務可能無法在加入的節點上正確重新啟動。
加入的管理程式將無法正常運作,且使用者介面將無法使用。
因應措施:為外部 DNS 伺服器設定所有管理程式節點的正向和反向 DNS 項目。
-
問題 2719682:來自 AVI 控制器的計算欄位不會同步至原則上的意圖,導致 AVI UI 和 NSX-T UI 上顯示的資料不一致。
來自 AVI 控制器的計算欄位在 NSX-T UI 上會顯示為空白。
因應措施:使用應用程式切換器來檢查 AVI UI 中的資料。
-
問題 2792485:對於在 vCenter 中安裝的管理程式,系統會顯示 NSX Manager IP 而非 FQDN。
對於已安裝的管理程式,在 vCenter 中整合的 NSX-T UI 會顯示 NSX Manager IP 而非 FQDN。
因應措施:無。
-
問題 2799371:即使 L2 VPN 和 IPSec 工作階段已啟動,L2 VPN 的 IPSec 警示仍不會清除。
除了會看到非必要的未處理的警示以外,功能不受影響。
因應措施:手動解決警示。
-
問題 2838613:對於低於 7.0.3 的 ESX 版本,在叢集上安裝安全性後從 6.5 版升級至更高版本的 VDS 不會啟用 NSX 安全性功能。
在連線至從 6.5 升級至更高版本 (6.6+) 的 VDS,且支援 NSX Security on vSphere DVPortgroups 功能的虛擬機器上,並未啟用 NSX 安全性功能。
因應措施:在 VDS 升級後,將主機重新開機並開啟虛擬機器的電源,以在虛擬機器上啟用安全性。
-
問題 2848614:若將 MP 加入某個 MP 叢集,且已在該 MP 叢集上設定 publish_fqdns,且外部 DNS 伺服器中遺漏了正向或反向查閱項目,或加入的節點中遺漏了 DNS 項目,則不會為加入的節點產生正向或反向警示。
即使 DNS 伺服器中遺漏了正向/反向查閱項目,或加入的節點中遺漏了 DNS 項目,也不會為加入的節點產生正向/反向警示。
因應措施:使用正向和反向 DNS 項目為所有管理程式節點設定外部 DNS 伺服器。
-
問題 2853889:建立 EVPN 承租人組態 (具有 VLAN-VNI 對應) 時,系統會建立子區段,但子區段的實現狀態會處於失敗狀態約 5 分鐘,然後自動復原。
實現 EVPN 承租人組態需要 5 分鐘的時間。
因應措施:無。等待 5 分鐘。
-
問題 2866682:在 Microsoft Azure 中,如果已在 SUSE Linux Enterprise Server (SLES) 12 SP4 工作負載虛擬機器上啟用加速網路,且已安裝 NSX 代理程式,則乙太網路介面將不會取得 IP 位址。
虛擬機器代理程式不會啟動,且虛擬機器會變得未受管理。
因應措施:停用加速網路。
-
問題 2868944:將超過 1,000 個 DFW 規則從 NSX for vSphere 移轉至 NSX-T Data Center 時,並不會顯示 UI 意見反應,但區段會細分為 1,000 個或更少規則的區段。
UI 意見反應不會顯示。
因應措施:檢查記錄。
-
問題 2870085:啟用/停用所有規則的記錄的安全性原則層級記錄無法正常運作。
您將無法藉由變更安全性原則的「logging_enabled」來變更所有規則的記錄。
因應措施:修改每個規則以啟用/停用記錄。
-
問題 2871440:受 NSX Security on vSphere dvPortGroups 保護的工作負載在執行 vMotion 至連線到已關閉的 NSX Manager 的主機時,會遺失其安全性設定。
對於使用 NSX Security on vSphere dvPortGroups 功能安裝的叢集,執行 vMotion 至連線到已關閉的 NSX Manager 的虛擬機器不會強制執行其 DFW 和安全性規則。重新建立與 NSX Manager 的連線時,系統會重新強制執行這些安全性設定。
因應措施:當 NSX Manager 關閉時,避免對受影響的主機執行 vMotion。如果其他 NSX Manager 節點正常運作,請對虛擬機器執行 vMotion 至連線到狀況良好 NSX Manager 的另一台主機。
-
問題 2871585:在使用 DVS 的叢集上啟用 NSX Security on vSphere DVPortgroups 功能後,低於 7.0.3 的 DVS 版本允許從 DVS 中移除主機和刪除 DVS。
您可能必須解決在傳輸節點或叢集組態之中,因從 DVS 中移除主機或刪除 DVS 而產生的任何問題。
因應措施:無。
-
問題 2877776:相較於 controller-info.xml 檔案,「get controllers」輸出可能會顯示關於非主要控制器的過時資訊。
此 CLI 輸出令人混淆。
因應措施:在該 TN 上重新啟動 nsx-proxy。
-
問題 2879133:惡意程式碼防護功能最多可能需要 15 分鐘才會開始運作。
第一次設定惡意程式碼防護功能時,最多可能需要 15 分鐘才能初始化此功能。在此初始化期間並未執行任何惡意程式碼分析,但也沒有正在進行初始化的跡象。
因應措施:等待 15 分鐘。
-
問題 2889482:更新探索到的連接埠的區段設定檔時,會顯示錯誤的儲存確認。
原則 UI 允許編輯探索到的連接埠,但在更新區段設定檔時,不會針對連接埠更新要求傳送更新的繫結對應。按一下 [儲存] 後,顯示誤報訊息。區段看起來會針對探索到的連接埠進行更新,但實際上不會。
因應措施:使用 MP API 或 UI 來更新探索到的連接埠的區段設定檔。
-
問題 2898020:錯誤「FRR 組態失敗:ROUTING_CONFIG_ERROR (-1)」會顯示在傳輸節點的狀態上。
Edge 節點會拒絕設定了拒絕動作 (將多個社群清單連結至其符合準則) 的路由對應序列。如果 Edge 節點沒有管理員預期的組態,則會導致未預期的行為。
因應措施:無。
-
問題 2910529:DHCP 配置後,Edge 會遺失 IPv4 位址。
安裝 Edge 虛擬機器並從 DHCP 伺服器接收 IP 後,它會在短時間內遺失 IP 位址並變得無法存取。這是因為 DHCP 伺服器未提供閘道,因此 Edge 節點會遺失 IP。
因應措施:確保 DHCP 伺服器提供適當的閘道位址。否則,請執行下列步驟:
-
以 admin 身分登入 Edge 虛擬機器的主控台。
-
停止服務數據平面。
-
設定介面 <mgmt intf> dhcp 平面管理。
-
啟動服務數據平面。
-
-
問題 2919218:MC 服務重新啟動後,對主機移轉所做的選取項目會重設為預設值。
重新啟動 MC 服務後,之前所做的所有與主機移轉相關的選取項目 (例如,啟用或停用叢集、移轉模式、叢集移轉順序等) 都會重設為預設值。
因應措施:確保重新啟動 MC 服務後,再次執行與主機移轉相關的所有選取項目。
-
問題 2942900:當 Active Directory 查詢逾時時,身分識別防火牆不適用於事件記錄收集。
身分識別防火牆會發出遞迴 Active Directory 查詢以取得使用者的群組資訊。Active Directory 查詢可能會逾時,並顯示 NamingException「LDAP 回應讀取逾時,已用逾時:60000 毫秒」。因此,防火牆規則不會填入事件記錄收集器 IP 位址。
因應措施:若要改善遞迴查詢時間,Active Directory 管理員可以組織 AD 物件並建立索引。
-
問題 2954520:從原則建立區段,且從 MP 設定橋接器時,該區段上的中斷連結橋接選項無法從 UI 使用。
如果從原則建立區段且已從 MP 設定橋接器,則您將無法從 UI 中斷連結或更新橋接。
如果是從原則端建立區段,則建議您僅從原則端設定橋接。同樣地,如果從 MP 端建立邏輯交換器,則應僅從 MP 端設定橋接。
因應措施:使用 API 移除橋接。
1.更新涉及的邏輯連接埠並移除連結。
PUT :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>在 PUT 裝載標頭欄位 -> X-Allow-Overwrite : true 中將此新增至標頭
2. 刪除橋接器端點
DELETE :: https://<mgr-ip>/api/v1/bridge-endpoints/<bridge-endpoint-id>3.刪除邏輯連接埠
DELETE :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id> -
問題 3030847:VRF BGP 組態中的變更不一定會生效。
VRF 內 BGP 組態中的變更不會始終生效。
因應措施:您可以建立虛設靜態路由並將其移除。這會導致組態推送,以在 Edge 上實現 VRF BGP 組態。
-
問題 3005685:將 OpenID Connect 連線設定為 NSX LM 驗證提供者時,客戶可能會遇到錯誤。
OpenID Connect 組態會在組態上產生錯誤。
因應措施:無。
-
問題 2949575:從叢集中移除一個 Kubernetes 工作節點,而不先清空其上的網繭後,這些網繭會永遠停滯於正在終止狀態。
NSX Application Platform 及其上的應用程式可能部分運作或無法如預期運作。
因應措施:使用下列資訊手動刪除每個顯示正在終止狀態的網繭。
-
從 NSX Manager 或執行器 IP 主機 (可從中存取 Kubernetes 叢集的 Linux 跳躍主機),執行下列命令,以列出所有為 Terminating 狀態的網繭。
kubectl get pod -A | grep Terminating -
使用下列命令刪除每個列出的網繭。
kubectl delete pod <pod-name> -n <pod-namespace> --force --grace-period=0
-
-
問題 3017840:當上行 IP 位址變更時,不會進行 Edge 切換。
錯誤 HA 狀態可能會導致流量黑洞。
因應措施:切換 BFD 狀態。變更 Edge 的上行 IP 之前,請先將 Edge 置於維護模式。
