NSX for vSphere 6.1 | 2014 年 9 月 11 日 | 内部版本 2107742

发行说明内容

本发行说明包含以下主题:

新增功能

NSX vSphere 6.1 包含多项新功能以及在操作、消耗和强化方面的多项增强。

  • 具备高可用性的 NSX Edge 群集具有较快的上行链路速度
    等价多路径 (ECMP)
    NSX 允许您创建具备高可用性的分布式 NSX Edge 群集,向物理网络提供高带宽上行链路连接,还可确保在网络虚拟化边缘实现主动-主动冗余,均在软件中完成。NSX Edge 上的 ECMP 允许高达 80 GBps 的聚合南北向带宽并支持扩展边缘。
  • 增强的微分段和防火墙操作
    NSX 6.1 改进了对 NSX Distributed Firewall 和 Edge Firewall 的置备、故障排除和监控,从而增强了微分段功能。新增了用于配置 Distributed Firewall 和 Edge Firewall 的统一接口。NSX 与 vCAC 6.1 的集成允许将与计算自动化相集成的安全自动化工作流。此外,NSX 6.1 还支持将流量重定向至网络和安全合作伙伴产品,如 Next Generation Firewall 和 Intrusion Prevention Service 等。
  • 连接多个数据中心或者在软件定义的数据中心 (SDDC) 中提供混合云服务
    NSX Edge 上的第 2 层 VPN
    通过第 2 层 VPN,企业可以跨多个数据中心迁移工作负载、整合数据中心或创建延伸的应用程序层。服务提供商可提供租户加入和云爆发服务,使用这些服务可在数据中心保留租户应用程序网络,而不需要客户部署 NSX。
  • 跨整个数据中心统一管理 IP 地址
    DHCP 中继
    通过 DHCP 中继,您可以将物理数据中心中可用的现有 DHCP 服务集成到 SDDC 中。这可确保整个数据中心的 IP 地址策略一致且 IP 管理简单。NSX vSphere 6.1 支持在单个逻辑路由器上存在多个 DHCP 服务器并允许集成多个现有 DHCP 服务器。
  • NSX 负载平衡器增强功能
    为支持在 NSX 中托管的更多应用程序的负载平衡和高可用性,现在可以在 NSX 上使用 UDP 和 FTP 负载平衡。这样可以支持 syslog、NTP 和 DNS 等应用程序的负载平衡。
  • 保护应用程序交付控制器 (ADC) 投资并在 SDDC 中无缝利用它们
    与合作伙伴紧密集成以支持 ADCaaS
    NSX 6.1 允许客户使用 NSX 合作伙伴 ADC 来保护其投资并利用来自一流供应商的高级 ADC 服务。此现成解决方案可简化操作、集成工作流、自动部署资源并提供对虚拟和物理 ADC 进行故障排除和监控的中央窗格。
  • SDDC 内的高级主机或网络安全服务
    增强的合作伙伴与 Service Composer 的集成支持多个安全服务,其中包括在单个策略中包含主机与基于网络的服务的套件解决方案。
  • SDDC 中动态且安全的自助服务
    包含 vCloud Automation Center ® 的 NSX 6.1 可通过将自助服务应用程序动态连接至 NSX 逻辑网络同时确保自动应用基础架构安全策略以隔离和保护这些应用程序,从而帮助您优化资源利用率并进行扩展。
    有关功能列表,请参见《VMware vCloud Automation Center 发行说明》。
    1. 在 vSphere Server 上,导航到以下位置:
      /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
    2. 删除以下文件夹:
      com.vmware.vShieldManager-6.0.x.1546773
      com.vmware.vShieldManager-6.0.1378053
    3. 重新启动 vSphere Web Client 服务。
    1. 升级后在 [分组对象] 选项卡中重新创建服务组。
    2. 编辑受影响的防火墙规则的 [服务] 列,并指向相应的服务组。
    1. 从群集中的 ESX 代理资源池中移除服务虚拟机。
    2. 单击 [网络和安全],然后单击 [安装]
    3. 单击 服务部署选项卡。
    4. 选择相应的服务并单击 [解析] 图标。
      将重新部署服务虚拟机。
    1. 通过服务定义 UI 从分布式端口组或逻辑交换机解除绑定服务配置文件。
    2. 创建新的安全组,并将所需的分布式端口组或逻辑交换机作为该安全组的成员。
    3. 通过服务定义 UI 将服务配置文件绑定到新的安全组。
    4. 通过 Service Composer UI 同步防火墙规则。
    1. 通过在浏览器窗口中键入以下内容导航至 vCenter Managed Object Browser:
      https:// vc-ip/mob?vmodl=1
    2. 单击 [内容]
    3. 按照下面的步骤检索 dvsUuid 值。
      1. 单击 rootFolder 链接(例如,group-d1(Datacenters))。
      2. 单击数据中心名称链接(例如,datacenter-1)。
      3. 单击 networkFolder 链接(例如,group-n6)。
      4. 单击 DVS 名称链接(例如,dvs-1)。
      5. 复制 uuid 的值。
    4. 单击 DVSManager,然后单击 updateOpaqueDataEx
    5. selectionSet 中,添加以下 XML
      <selectionSet xsi:type="DVPortSelection">
          <dvsUuid> value</dvsUuid>
          <portKey> value</portKeyv <!--port number of the DVPG where trunk vnic got connected-->
      </selectionSet>
    6. opaqueDataSpec 中,添加以下 XML
      <opaqueDataSpec>
          <operation>remove</operation>
          <opaqueData>
            <key>com.vmware.net.vxlan.trunkcfg</key>
            <opaqueData></opaqueData>
          </opaqueData>
      </opaqueDataSpec>
    7. isRuntime 设置为 false。
    8. 单击 调用方法
    9. 为在已删除 Edge 虚拟机上配置的每个中继端口重复步骤 5 至 8。
    1. 将主机从受保护的群集移动到不受保护的群集或所有群集之外。该操作将从主机中卸载服务虚拟机。
    2. 将主机从 vCenter Server 中移除。
    • Microsoft 群集服务故障切换在逻辑交换机上无法正常工作
      虚拟机在重复地址检测 (DAD) 过程中发送 ARP 探查后,VXLAN ARP 禁止层将对 ARP 请求做出响应。 这会导致无法获取 IP 地址,从而使 DAD 过程失败。

       

    • 无法从备份正确还原 NSX Manager
      从备份还原 NSX Manager 后,连接逻辑路由器控制虚拟机的通信通道不能正确恢复。因此,逻辑交换机和端口组无法连接到逻辑路由器,也无法与其断开连接。
    • 逻辑路由配置在无状态环境中不起作用
      将无状态 ESXi 主机与 NSX 一起使用时,NSX 控制器可能会在创建分布式虚拟交换机之前向主机发送分布式路由配置信息。这将导致出现不同步的情况,并且不同交换机上两个主机之间的连接会失败。
    • 在已部署的逻辑路由器上启用 HA 会导致该路由器丢失其在 ESXi 主机上的分布式路由
      在启用 HA 过程中,逻辑路由器实例会从 ESXi 主机上删除并重新创建。重新创建该实例后,该路由器的控制虚拟机中的路由信息无法正确重新同步。这样就会导致该路由器丢失其在 ESXi 主机上的分布式路由。
    • REST 请求失败,并出现错误 HTTP/1.1 500 内部服务器错误 (HTTP/1.1 500 Internal Server Error)
      如果未正确配置 Single Sign-On (SSO),则所有 REST API 调用都会失败,并出现此消息,因为 NSX 无法验证凭据。
    • 在 NSX Edge 设备之间导航时,vSphere Web Client 挂起或显示空白页面
    • 已启用 HA 的逻辑路由器在升级或重新部署之后不会重新分布路由
      在升级或重新部署已启用 High Availability 的逻辑路由器时,该路由器不会重新分布路由。
    • 无法在多个 NSX Edge 上行链路上配置 OSPF
      无法在多个 NSX Edge 上行链路上配置 OSPF。
    • 配置 IPSec VPN 时出错
      配置 IPSec VPN 服务时,您可能会看到以下错误:
      [Ipsec] 无法访问 localSubnet:应可以通过静态路由或内部 Edge 接口的一个子网与其连接 ([Ipsec] The localSubnet: xxx.xxx.xx.x/xx is not reachable, it should be reachable via static routing or one subnet of internal edge interfaces)。
    • 删除 EAM 代理时出现问题
      为了从 ESX Agent Manager (EAM) 中成功移除 EAM 代理,用于部署 EAM 代理对应服务的 NSX Manager 必须可用。
    • 删除防火墙规则使用的逻辑交换机时不显示警告
      即使逻辑交换机正由防火墙规则使用,也可以将其删除。该防火墙规则会标记为无效,但该逻辑交换机会被删除,而不显示任何警告指示该交换机正由该防火墙规则使用。
    • 负载平衡器池成员显示警告消息
      即使负载平衡器池成员显示警告消息,它仍可以处理流量。可以忽略此消息。
    • 无法为逻辑路由器配置未标记的接口
      逻辑路由器连接的 vSphere Distributed Switch 的 VLAN ID 不能为 0。
    • 在此版本中,不支持采用 IPV6 的 L2 VPN
    • 显示使用无效逻辑交换机作为源或目标的防火墙规则
      不论防火墙规则如何,都可以删除逻辑交换机。由于在删除逻辑交换机之前不会显示确认消息,因此您可能在不知防火墙规则正在使用该逻辑交换机的情况下,将该逻辑交换机删除。
    • 从 5.5 升级到 6.0.x 后,如果启用了增强型 LACP 成组,则 VXLAN 连接将失败
      如果数据中心内至少有一个群集启用了增强型 LACP 成组,则任意群集中两个主机之间的通信都可能受到影响。从 NSX 6.0.x 升级到 NSX 6.1 后,将不会出现该问题。
    • 配置发生更改后,策略配置才会进行更新。
    • 禁用输出优化。
    • 为负载平衡器分配不同于输出优化 IP 的 IP。
    • 加载保存的配置后重命名当前的默认防火墙区域。
    • 发布之前,重命名加载的已保存配置上的默认区域。
    • vDS 上的 Netflow 收集器端口配置
    • SNMP 目标端口配置
  •  

    系统要求和安装

    有关系统要求和安装说明的信息,请参见 《NSX 安装和升级指南》 
    VMware 产品互操作性列表提供了 VMware 产品和组件(如 VMware vCenter Server)当前版本和先前版本的兼容性详细信息。  

    已解决的问题

    以下问题已在 6.1 版本中解决。

    已知问题

    已知问题分为如下类别:

    安装和升级问题

    设备升级不会升级 NSX Edge 版本或配置
    除要求部署新虚拟机或更换现有虚拟机的重新部署和升级操作以外,其他操作(例如更改大小、资源池或者数据存储设置)将把设备更换为最新可用版本,但不会进行完全升级。
    解决办法:在执行 NSX Manager 升级之后,必须先升级 NSX Edge,然后再尝试执行上述任意操作。

    如果在 Edge 上启用 L2 VPN,则 NSX Edge 升级失败
    不支持将 L2 VPN 配置从 5.x 或 6.x 更新到 6.1。因此,如果已在 Edge 上配置 L2 VPN,Edge 会升级失败。
    解决办法:需要先删除 L2 VPN 配置,再升级 NSX Edge。升级后,重新配置 L2 VPN。

    SSL VPN 不向远程客户端发送升级通知
    SSL VPN 网关不会向用户发送升级通知。管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并且必须更新其客户端。

    将 NSX 从 6.0 版升级到 6.0.x 或 6.1 后,NSX Edge 未列在 UI 中
    从 NSX 6.0 升级到 NSX 6.0.x 或 6.1 后,vSphere Web Client 插件可能无法正常升级。这可能会导致 UI 显示问题,如缺少 NSX Edge。
    如果从 NSX 6.0.1 或更高版本进行升级,则不会显示此问题。
    解决办法:按照下面的步骤执行操作。

    这样可以确保部署最新的插件包。

     

    vSphere Distributed Switch MTU 无法获取更新
    在准备群集时,如果指定的 MTU 值低于 vSphere Distributed Switch 的 MTU 值,则 vSphere Distributed Switch 不会更新此值。这是为了确保不会意外丢弃具有较高帧大小的现有流量。
    解决办法:确保在准备群集时指定的 MTU 高于或匹配 vSphere Distributed Switch 的当前 MTU。VXLAN 所需的最低 MTU 为 1550。

    如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在 [安装] 页面的 [主机准备] 选项卡上
    为网络虚拟化准备群集时,会在这些群集上启用 Distributed Firewall。如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在 [主机准备] 选项卡上。
    解决办法:使用以下 REST 调用升级 Distributed Firewall:
    PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

    在从 vCloud Networking and Security 5.5 升级到 NSX 的过程中,Edge Firewall 表中的服务组展开
    在升级过程中,Edge Firewall 表中用户创建的服务组展开 - 例如,防火墙表中的 [服务] 列显示服务组内的所有服务。如果在升级后修改服务组以添加或移除服务,则这些更改不会反映在防火墙表中。
    解决办法:按照下面的步骤执行操作:

     

    Guest Introspection 安装失败,并出现错误
    在群集中安装 Guest Introspection 时,安装失败并出现以下错误:
    VIB 模块的格式无效 (Invalid format for VIB Module)
    解决办法:在 vCenter Web Client 中,导航至 [vCenter 主页] > [主机和群集],然后重新引导显示 [需要重新引导] 的主机。

    使用 [安装] 页面上的 [服务部署] 选项卡部署的服务虚拟机无法开机
    解决办法:按照下面的步骤执行操作。

     

    如果在 6.0.x 中创建的服务配置文件同时绑定到安全组和分布式端口组或逻辑交换机,则在升级到 NSX 6.1 后,Service Composer 防火墙规则将不同步
    如果在 6.0.x 中同时将服务配置文件绑定到安全组和分布式端口组或逻辑交换机,则在升级到 6.1 后,Service Composer 规则将不同步。无法在 Service Composer UI 中发布规则。
    解决办法:按照下面的步骤执行操作。

     

    一般问题

    NSX vSphere CPU 许可证显示为虚拟机许可证
    在 [vSphere 许可] 选项卡中,NSX vSphere CPU 可用量显示为虚拟机可用量。例如,如果客户有 100 个 CPU 的许可证,则 UI 显示 100 个虚拟机。

    vSphere Web Client 5.5 服务器重新启动后 UI 变得无法访问
    如果在虚拟机上使用 vCenter Server Appliance 或运行 vCenter Server,则在设备或虚拟机不满足特定要求时,您可能会遇到一些问题。
    解决办法:确保该设备或虚拟机至少有 12 GB 的内存,以及一个具有两个或多个逻辑内核的 Intel 或 AMD x64 处理器,且每个内核的速度至少为 2 GHz。

    vSphere Web Client 显示以下错误: 无法完成操作。有关详细信息,请参阅事件日志 (Cannot complete the operation, see the event log for details)
    当您通过 [服务部署] 选项卡安装 Guest Introspection 或合作伙伴设备等服务时,vSphere Web Client 可能会显示上述错误。此错误不会对安装产生影响,因此您可以忽略。

    无法从受 Guest Introspection 和第三方安全解决方案保护的群集中移除主机并重新添加
    如果通过断开主机连接然后将其从 vCenter Server 中移除,从受 Guest Introspection 和第三方安全解决方案保护的群集中移除主机,则在将同一主机重新添加到同一群集时可能会遇到一些问题。
    解决办法:要从受保护的群集中移除主机,请先将该主机置于维护模式。接下来,将该主机移动到不受保护的群集中或置于所有群集之外,然后断开连接并移除该主机。

    NSX Manager 问题

    对 NSX Manager 执行 vMotion 操作可能会显示错误 虚拟以太网卡 Network Adapter 1 不受支持 (Virtual ethernet card Network adapter 1 is not supported)
    可以忽略此错误。在执行该 vMotion 操作后,网络将正常工作。

    在还原 NSX Manager 备份后无法删除第三方服务
    仅当 NSX Manager 的还原状态包含第三方服务注册时,才能从 vSphere Web Client 删除第三方服务的部署。
    解决办法:注册所有第三方服务后备份 NSX Manager 数据库。

    NSX Edge 问题

    在逻辑路由器上启用等价多路径 (ECMP) 路由将禁用路由器控制虚拟机上的防火墙
    解决办法:无。

    子接口上不支持动态路由协议
    解决办法:无。

    将通过协议发现的路由添加为已连接会导致本地转发信息库 (FIB) 表同时显示已连接和动态发现的路由
    如果将已通过协议发现的路由添加为已连接,本地 FIB 会同时显示已连接和动态发现的路由。动态发现的路由优先级高于直接连接的路由。
    解决办法:从路由通告中撤销发现的路由,以便从 FIB 表中将其删除并仅配置已连接的路由。

    如果通过 vCenter Web Client 用户界面删除一个子接口受逻辑交换机支持的 NSX Edge 虚拟机,数据路径可能不适用于连接至同一端口的新虚拟机
    当通过 vCenter Web Client 用户界面(而非 NSX Manager)删除 Edge 虚拟机时,在 dvPort 上通过不透明通道配置的 vxlan 中继不会重置。这是因为中继配置由 NSX Manager 管理。
    解决办法:按照下面的步骤手动删除 vxlan 中继配置:

    启用默认源时,未应用拒绝默认路由的 BGP 筛选器
    在 NSX Edge 上启用 BGP 默认源时,BGP 发言方会将默认路由无条件通告给所有 BGP 邻居。如果不希望 BGP 邻居安装其通告的默认路由,则必须在该 BGP 邻居上配置入站策略以拒绝默认路由。
    解决办法:在相应的 BGP 邻居上配置入站策略以拒绝默认路由。

    在 Edge Services Gateway 上创建了 BGP 筛选器的隐式拒绝规则,但未在非逻辑路由器上创建
    在 Edge Services Gateway 上配置 BGP 出站邻居筛选器时,仅通告包含显式接受策略的前缀。因此,系统将自动创建隐式拒绝规则。在逻辑路由器上,除非显式阻止,否则将通告所有前缀。
    解决办法:配置 BGP 协议时,即使创建了出站筛选器,也要指定需要丢弃的前缀。

    无法在逻辑路由器的网桥或租户名称中添加非 ASCII 字符
    NSX 控制器 API 不支持非 ASCII 字符。
    解决办法:在网桥和租户名称中使用 ASCII 字符。然后便可编辑名称,使其包含非 ASCII 字符。

    在子接口上配置的 SNAT 和负载平衡器(包含 L4 SNAT)无法正常工作
    SNAT 规则配置可以通过 NSX Edge,但此规则的数据路径因 RP 筛选器检查而无法正常工作。
    解决办法:请联系 VMware 支持寻求帮助,以便在 NSX Edge 上放宽 RP 筛选器检查。

    为 L2 VPN 启用输出优化时,池成员跨越站点的负载平衡器显示为已关闭
    使用输出优化时,L2 VPN 客户端和服务器具有相同的内部 IP。因此,从池成员发送到负载平衡器的任意数据包均无法访问 NSX Edge。
    解决办法:执行以下操作之一。

    如果不指定下一个跃点地址,静态路由不会推送到主机
    UI 允许您在 NSX Edge 设备上创建静态路由而不指定下一个跃点地址。如果不指定下一个跃点地址,静态路由不会推送到主机。
    解决办法:始终为静态路由指定下一个跃点地址。

    无法使用在全局范围定义的安全组或其他分组对象配置 NSX防火墙
    在 NSX Edge 范围定义的管理员用户无法访问在全局范围定义的对象。例如,如果用户 abc 在 Edge 范围定义,而安全组 sg-1 在全局范围定义,则 abc 将无法在 NSX Edge 的防火墙配置中使用 sg-1
    解决办法:管理员必须使用仅在 NSX Edge 范围定义的分组对象,或者必须在 NSX Edge 范围创建全局范围对象的副本。

    即使逻辑路由器 OSPF 已禁用,上游 Edge Services Gateway 依然通告逻辑路由器 LIF 路由
    即使逻辑路由器 OSPF 已禁用,上游 Edge Services Gateway 也将继续通告从逻辑路由器连接的接口发现的 OSPF 外部 LSA。
    解决办法:禁用将连接的路由手动重新分发到 OSPF 并在禁用 OSPF 协议之前发布。这可确保路由被正确撤消。

    在 Edge Services Gateway 上启用 HA 时,将 OSPF 呼叫和停顿间隔分别配置为 30 秒和 120 秒以外的值会导致故障切换期间某些流量丢失
    当主 NSX Edge 在 OSPF 正在运行且启用 HA 的情况下失败时,待机所需的时间将超过正常的重新启动超时时间,并导致 OSPF 邻居从其转发信息库 (FIB) 表中移除发现的路由。这将导致数据平面在 OSPF 重新聚合之前出现故障。
    解决办法:对于所有临近路由器上的默认呼叫和停顿间隔超时时间,将呼叫间隔设置为 30 秒,将停顿间隔设置为 120 秒。这可实现正常的故障切换而无流量损失。

    尽管不支持,但 UI 仍然允许您向逻辑路由器接口添加多个 IP 地址
    此版本不支持单个逻辑路由器接口具有多个 IP 地址。
    解决办法:无。

    修改登录或注销脚本时显示错误
    修改登录或注销脚本时,将显示以下错误:
    ObjectNotFoundException:core-services:202:找不到请求的对象 :logon1.logoff。对象标识符区分大小写。(ObjectNotFoundException: core-services:202: The requested object : logon1.logoff could not be found. Object identifiers are case sensitive.).
    解决办法:删除现有脚本和包含已修改参数的新脚本。

    SSL VPN 不支持证书吊销列表 (CRL)
    可以将 CRL 添加到 NSX Edge,但 SSL VPN 不会使用此 CRL。
    解决办法:CRL 不受支持,但您可以通过客户端证书身份验证进行用户身份验证。

    要将外部身份验证服务器添加到 SSL VPN-Plus,必须使用 IP 地址,而不是主机名
    无法使用外部身份验证服务器的 FQDN 或主机名。
    解决办法:必须使用外部身份验证服务器的 IP 地址。

    防火墙问题

    如果使用 REST API 调用删除防火墙配置,则无法加载和发布已保存的配置
    删除防火墙配置时,将创建一个使用新区域 ID 的新默认区域。当您加载已保存的草稿(具有相同区域名称,但是区域 ID 较旧)时,区域名称发生冲突,并显示以下错误:
    重复密钥值违反唯一约束 firewall_section_name_key(Duplicate key value violates unique constraint firewall_section_name_key)
    解决办法:执行以下操作之一:

     

    针对 Distributed Firewall 启用 IPFIX 配置时,NetFlow for vDS 或 SNMP 的 ESXi 管理接口中的防火墙端口可能被移除
    当针对 IPFIX 定义收集器 IP 和端口时,ESXi 管理接口的防火墙将在出站方向为指定 UDP 收集器端口打开。该操作可能会移除以下服务(如果先前已在 ESXi 主机上配置)的 ESXi 管理接口防火墙上的动态规则集配置:

    解决办法:要重新添加动态规则集规则,必须刷新 vCenter Web Client 中 vDS 的 netFlow 设置。还必须使用 esxcli system snmp 命令再次添加 snmp 目标。如果在启用 IPFIX 配置后重新引导 ESXi 主机,或者如果已从主机中卸载 esx-vsip VIB,则将需要重复上述操作。

     

    Guest Introspection 问题

    旧服务虚拟机无法运行
    从 vCenter Server 移除主机时保留在主机上的旧服务虚拟机,在将主机重新添加回同一 vCenter Server 时仍断开连接且无法运行。
    解决办法:按照下面的步骤执行操作。