NSX for vSphere 6.0.6 | 2014 年 9 月 11 日 | 内部版本 2103699

更新于 2014 年 9 月 11 日

发行说明内容

本发行说明包含以下主题:

新增功能

NSX vSphere 6.0.6 包含 NSX Edge 修补程序,该修补程序解决了可能导致关键信息披露的漏洞。VMware 建议您升级至此版本。

系统要求和安装

有关系统要求和安装说明的信息,请参见  《NSX 安装和升级指南》

VMware 产品互操作性列表提供了 VMware 产品和组件(如 VMware vCenter Server)当前版本和先前版本的兼容性详细信息。  

 

已知问题

已知问题分为如下类别:

安装和升级问题

NSX Edge 升级失败,但是 NSX Manager 未将 Edge 设备回滚到旧版本
如果 NSX Edge 升级失败并且系统未回滚,您可能会遭遇网络中断并且无法管理 Edge。解决办法:重新部署 NSX Edge,然后再次升级 Edge。

升级后,必须卸载并重新安装 SSL VPN 客户端
升级到 vShield 6.0.5 后,必须卸载 SSL VPN 客户端并进行重新安装。要安装最新客户端,请访问 https:// ssl-vpn-ip-address,其中, ssl-vpn-ip-address 是分配给 Edge 接口的上行链路 IP 地址,SSL VPN 服务在经过配置后会侦听该接口。

vSphere Distributed Switch MTU 无法获取更新
在准备群集时,如果指定的 MTU 值低于 vSphere Distributed Switch 的 MTU 值,则 vSphere Distributed Switch 不会更新此值。这是为了确保不会意外丢弃具有较高帧大小的现有流量。
解决办法:确保在准备群集时指定的 MTU 高于或匹配 vSphere Distributed Switch 的当前 MTU。VXLAN 所需的最低 MTU 为 1550。

如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在 [安装] 页面的 [主机准备] 选项卡上
为网络虚拟化准备群集时,会在这些群集上启用 Distributed Firewall。如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在 [主机准备] 选项卡上。
解决办法:使用以下 REST 调用升级 Distributed Firewall:
PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

使用 [安装] 页面上的 [服务部署] 选项卡部署的服务虚拟机无法开机
解决办法:按照下面的步骤执行操作。

  1. 从群集中的 ESX 代理资源池中手动移除服务虚拟机。
  2. 单击 [网络和安全],然后单击 [安装]
  3. 单击 [服务部署] 选项卡。
  4. 选择相应的服务并单击 [解析] 图标。
    将重新部署服务虚拟机。

 

将 NSX 从 6.0 版升级到 6.0.x 后,NSX Edge 未列在 UI 中
从 NSX 6.0 升级到 NSX 6.0.x 后,vSphere Web Client 插件可能无法正常升级。这可能会导致 UI 显示问题,如缺少 NSX Edge。
如果从 NSX 6.0.1 或更高版本进行升级,则不会显示此问题。
解决办法:按照下面的步骤执行操作。

  1. 在 vSphere Server 上,导航到以下位置:
    /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
  2. 删除以下文件夹:
    com.vmware.vShieldManager-6.0.x.1546773
    com.vmware.vShieldManager-6.0.1378053
  3. 重新启动 vSphere Web Client 服务。
这样可以确保部署最新的插件包。

 

一般问题

NSX vSphere CPU 许可证显示为虚拟机许可证
在 [vSphere 许可] 选项卡中,NSX vSphere CPU 可用量显示为虚拟机可用量。例如,如果客户有 100 个 CPU 的许可证,则 UI 显示 100 个虚拟机。
解决办法:无。

REST 请求失败,并出现错误 HTTP/1.1 500 内部服务器错误 (HTTP/1.1 500 Internal Server Error)
如果未正确配置 Single Sign-On (SSO),则所有 REST API 调用都会失败,并出现此消息,因为 NSX 无法验证凭据。
解决办法:按《NSX 管理指南》  中所述配置 SSO。

 

在 NSX Edge 设备之间导航时,vSphere Web Client 挂起或显示空白页面
解决办法:重新启动浏览器。

vSphere Web Client 显示以下错误: 无法完成操作。有关详细信息,请参阅事件日志 (Cannot complete the operation, see the event log for details)
当您通过 [服务部署] 选项卡安装 vShield Endpoint 或合作伙伴设备等服务时,vSphere Web Client 可能会显示上述错误。可以忽略此错误。

无法从受 vShield Endpoint 和第三方安全解决方案保护的群集中移除主机并重新添加
如果通过断开主机连接然后将其从 vCenter Server 中移除,从受 vShield Endpoint 和第三方安全解决方案保护的群集中移除主机,则在将同一主机重新添加到同一群集时可能会遇到一些问题。
解决办法:要从受保护的群集中移除主机,请先将该主机置于维护模式。接下来,将该主机移动到不受保护的群集中或置于所有群集之外,然后断开连接并移除该主机。

NSX Manager 问题

无法从备份正确还原 NSX Manager
从备份还原 NSX Manager 后,连接逻辑路由器控制虚拟机的通信通道不能正确恢复。因此,逻辑交换机和端口组无法连接到逻辑路由器,也无法与其断开连接。
解决办法:还原 NSX Manager 备份后,重新引导所有逻辑路由器控制虚拟机。

对 NSX Manager 执行 vMotion 操作可能会显示错误 虚拟以太网卡 Network Adapter 1 不受支持 (Virtual ethernet card Network adapter 1 is not supported)
可以忽略此错误。在执行该 vMotion 操作后,网络将正常工作。

在还原 NSX Manager 备份后无法删除第三方服务
仅当 NSX Manager 的还原状态包含第三方服务注册时,才能从 vSphere Web Client 删除第三方服务的部署。
解决办法:注册所有第三方服务后备份 NSX Manager 数据库。

NSX Edge 问题

在已部署的逻辑路由器上启用 HA 会导致该路由器丢失其在 ESXi 主机上的分布式路由
在启用 HA 过程中,逻辑路由器实例会从 ESXi 主机上删除并重新创建。重新创建该实例后,该路由器的控制虚拟机中的路由信息无法正确重新同步。这样就会导致该路由器丢失其在 ESXi 主机上的分布式路由。
解决办法:启用 HA 还原路由后重新引导逻辑路由器控制虚拟机。

已启用 HA 的 NSX 逻辑路由器在升级或重新部署之后不会重新分布路由
在升级或重新部署已启用 High Availability 的 NSX 逻辑路由器时,该路由器不会重新分布路由。
解决办法:升级 NSX 逻辑路由器后,通过选择 [更多操作] > [强制同步] 重新将其与 NSX Manager 同步。

负载平衡器池成员显示警告消息
即使负载平衡器池成员显示警告消息,它仍可以处理流量。可以忽略此消息。

无法为逻辑路由器配置未标记的接口
逻辑(分布式)路由器连接的 vSphere Distributed Switch 的 VLAN ID 不能为 0。
解决办法:仅创建标记的接口。

即使禁用 VDR OSPF,VDR LIF 路由也由上游 ESG 通告
上游 Edge Services Gateway (ESG) 将继续通告从 VDR 连接的接口获得的 OSPF 外部 LSA,即使禁用 VDR OSPF 也是如此。
解决办法:禁用将连接的路由手动重新分发到 OSPF 并在禁用 OSPF 协议之前发布。这可确保路由被正确撤消。

在网关上启用 HA 时,将 OSPF 呼叫和停顿间隔分别配置为 30 秒和 120 秒以外的值会导致故障切换期间某些流量丢失
当主 NSX Edge 在 OSPF 正在运行且启用 HA 的情况下失败时,待机所需的时间将超过正常的重新启动超时时间,并导致 OSPF 邻居从其转发信息库 (FIB) 表中移除发现的路由。这将导致数据平面在 OSPF 重新聚合之前出现故障。
解决办法:对于所有临近路由器上的默认呼叫/停顿间隔超时时间,将呼叫间隔设置为 30 秒,将停顿间隔设置为 120 秒。这可实现正常的故障切换而无流量损失。

如果为 HA 管理和 L2 VPN 配置选择相同的接口,则 HA 配置将失败
如果 NSX Edge 已启用 L2 VPN 并且您尝试在同一 NSX Edge 上启用 HA,则配置可能会失败。在以下两种情况下会出现此问题:

  1. 如果为 HA 管理和 L2 VPN 手动选择了相同的接口。
  2. 如果选择了自动 HA 配置,在这种情况下,HA 可能会因与 L2 VPN 使用相同的接口而停止。
解决办法:选择不同于 L2 VPN 接口的专用 HA 管理接口。

 

启用 L2 VPN 的 Edge 可能会在启用高可用性时生成不一致的结果。
解决办法:请勿将 L2 VPN 与高可用性一起使用。


配置 IPSec VPN 时出错
配置 IPSec VPN 服务时,您可能会看到以下错误:
[Ipsec] 无法访问 localSubnet:应可以通过静态路由或内部 Edge 接口的一个子网与其连接 ([Ipsec] The localSubnet: xxx.xxx.xx.x/xx is not reachable, it should be reachable via static routing or one subnet of internal edge interfaces)。
解决办法:为本地子网手动添加静态路由。

 

SSL VPN 不支持证书吊销列表 (CRL)
可以将 CRL 添加到 NSX Edge,但 SSL VPN 不会使用此 CRL。
解决办法:CRL 不受支持,但您可以通过客户端证书身份验证进行用户身份验证。

无法将外部身份验证服务器添加到 SSL VPN-Plus
无法使用外部身份验证服务器的 FQDN 或主机名。
解决办法:必须使用外部身份验证服务器的 IP 地址。

[使用 Safari 设置] 中启用代理的 SSL VPN 客户端在 MAC 计算机上不起作用
如果在 Mac 计算机上 SSL VPN 客户端的 Safari 设置中选择 [代理],它会自动取消选择。因此,您将无法通过 SSL VPN 客户端连接至该 MAC 计算机。
解决办法:在 MAC 计算机上使用 SOCKS 版本 4/5 或 HTTP,代替 Safari 设置。

无法使用 Google Chrome 29 下载 NSX Edge 技术支持日志
解决办法:使用 Google Chrome 版本 30 或更高版本。

无法修改 SSL VPN-Plus 安装软件包
编辑 SSL VPN-Plus 安装软件包不会向软件包应用更改。
解决办法:按照下面的步骤执行操作:

  1. 不编辑软件包,而是将其删除,然后使用已修改参数创建一个新的安装软件包。
  2. 如果计算机上存在 SSL VPN 客户端,请将其删除。
  3. 重新引导计算机。
  4. 安装新的安装软件包。

 

逻辑交换机问题

删除 EAM 代理时出现问题
为了从 ESX Agent Manager (EAM) 成功移除 EAM 代理,用于部署 EAM 代理对应服务的 NSX Manager 必须可用。
解决办法:确保 NSX Manager 可用。

删除防火墙规则使用的逻辑交换机时不显示警告
即使逻辑交换机正由防火墙规则使用,也可以将其删除。该防火墙规则会标记为无效,但该逻辑交换机会被删除,而不显示任何警告指示该交换机正由该防火墙规则使用。

vShield Endpoint 问题

部署后,vShield Endpoint 服务虚拟机无法与 NSX Manager 进行通信
解决办法:按照下面的步骤执行操作。

  1. 从群集中的 ESX 代理资源池中手动移除服务虚拟机。
  2. 单击 [网络和安全],然后单击 [安装]
  3. 单击 [服务部署] 选项卡。
  4. 选择相应的服务并单击 [解析] 图标。
    将重新部署服务虚拟机。

 

已解决的问题

以下问题已在 6.0.6 版本中解决。

  • Microsoft 群集服务故障切换在逻辑交换机上无法正常工作
    虚拟机在重复地址检测 (DAD) 过程中发送 ARP 探查后,VXLAN ARP 禁止层将对 ARP 请求做出响应。这会导致无法获取 IP 地址,从而使 DAD 过程失败。

以下问题已在 6.0.5 版本中解决。

  • 已在适当环境下将 OpenSSL 1.0.1 更新至 1.0.1h,从而解决了 CVE-2014-0224、CVE-2014-0198、CVE-2010-5298 和 CVE-2014-3470。
  • 已在适当环境下将 OpenSSL 0.9.8 更新至版本 openssl-0.9.8za,从而解决了 CVE-2014-0224、CVE-2014-0198、CVE-2010-5298 和 CVE-2014-3470。
  • 在资源池、群集或 vApp 之间迁移时,虚拟机断开网络连接。
    有关详细信息,请参见 在 vCloud Networking and Security 5.1.4、5.5.2 和 NSX for vSphere 6.0.4 中的资源池、群集或 vApp 之间迁移时,虚拟机断开网络连接
  • NSX Edge 升级失败,并出现错误消息提示端口 22 正在使用中
    如果升级已启用负载平衡器和 SSH 的 NSX Edge,并且负载平衡器虚拟服务器设置为侦听包含 22 的端口(例如端口 22 或端口 8228),则升级失败。
  • NSX/PAN 服务配置文件未对逻辑交换机应用
    选择逻辑交换机作为 Palo Alto NGFW 服务的应用对象时,不会应用服务配置文件。
  • NSX Manager 上的堆栈溢出可能导致 NSX Manager 重新启动
    生成 vShield Edge 的技术支持日志可能会导致堆栈溢出,从而重新启动 NSX Manager。
  • 当虚拟机或主机从一个资源池移动到另一资源池,或者从一个群集移动到另一群集时,虚拟机可能会丢失连接
    当虚拟机在资源池或群集之间移动时,虚拟机的路径变量可能未正确设置。这可能会导致虚拟机丢失连接。
  • 如果虚拟机虚拟网卡连接频繁打开或关闭,主机可能会崩溃
  • 如果在端口 443 上配置 VSphere Web Client,您可能无法访问 vSphere Web Client 中的 [网络与安全] 选项卡
    如果在端口 443 上配置 vSphere Web Client,因为未配置 AMF 通道,因此从 vSphere Web Client 到 NSX Manager 的代理调用不会完成。
  • 部署合作伙伴服务后,客户机虚拟机的 vMotion 失败
  • VXLAN ARP 禁止对于某些流量模式会失败
    进行 ARP 条目数据平面学习时,VXLAN 会更新任意现有 ARP 缓存条目。这会导致这样一种情况:等待控制器响应的 ARP 条目改从数据平面流量进行填充,即使该条目最后并不存在于控制器中。