NSX for vSphere 6.1.3 | 2015 年 3 月 23 日 | 内部版本 2591148

发行说明内容

本发行说明包含以下主题:

新增功能

NSX vSphere 6.1.3 与 vSphere 6.0 兼容。 但是,vSphere 6.0 中引入的 vSphere 新功能尚未经 NSX vSphere 测试。 这些新的 vSphere 功能不应在安装了 NSX vSphere 的环境中使用,因为它们不受支持。 有关 vSphere 6.0 特定的 NSX vSphere 限制的列表,请参见 VMware 知识库文章 2110197

系统要求和安装

VMware 产品互操作性列表  提供了 VMware 产品和组件(如 VMware vCenter Server)当前版本和先前版本的兼容性详细信息。

如果要从 NSX 6.1.1 进行升级,或者所在环境中没有 Data Security,请参见 《NSX 安装和升级指南》  了解升级到此版本的说明。

如果要从 NSX 6.1.1 之前的版本进行升级,并且所在环境中有 Data Security,请按照下面的步骤升级到此版本:

  1. 从安装了 Data Security 的所有群集中卸载该服务。
  2. 将 NSX Manager 升级到 6.1.3 版。 有关说明,请参见 《NSX 安装和升级指南》  
  3. 在相应的群集中安装或升级 Guest Introspection 和其他服务。
  4. 在相应的群集中安装 Data Security。
  5. 升级其余的组件。 有关说明,请参见 《NSX 安装和升级指南》  

 

已解决的问题

以下问题已在 6.1.3 版本中解决:

  • 问题 1407210: 同时部署大量虚拟机导致网络适配器连接故障
    HA 在部署后中止多次虚拟机故障切换尝试,并且未加载任何 dvPort 数据。 受影响的虚拟机被标记为在网络适配器断开连接的情况下启动。 虚拟机处于未受 HA 保护状态,因为在虚拟机配置完全加载之前,标记 cleanPowerOff 被错误地设置为 true。 hostd 进程负载较重时会发生此问题。
  • 问题 1365993: 当 Distributed Firewall 规则使用“源”和/或“目标”字段中的安全组时,虚拟机通过 vMotion 从一台 ESXi 主机迁移到另一台主机后会出现长达 30 秒的网络中断
    虚拟机通过 vMotion 迁移到另一台主机时,会将防火墙规则和容器发送到目标主机,以使现有会话能够继续正常工作。 在 vMotion 活动中,vCenter 会将一个空的虚拟机 IP 地址发送到 NSX Manager,这会将虚拟机的 IP 地址从防火墙容器中清除。然后,vCenter 会重新获取 IP 地址,向 NSX Manager 发送另一个通知,并使用正确的 IP 地址更新防火墙容器。 清除与重新填写 IP 地址之间的时间会导致对目标主机上的虚拟机应用无效的策略,从而出现连接中断的情况。
  • 问题 1301660: 修改登录或注销脚本时显示错误
    修改登录或注销脚本时,将显示以下错误:
    ObjectNotFoundException: core-services:202: 找不到请求的对象 logon1.logoff。 对象标识符区分大小写 (ObjectNotFoundException: core-services:202: The requested object : logon1.logoff could not be found. Object identifiers are case sensitive)。
  • 问题 1312379: 在子接口上启用的协议邻接可能会无法启动
    对于 OSPF,在很多情况下,OSPF 邻接无法启动,且双向阻塞。
    动态路由协议在子接口上不受支持。
  • 在逻辑路由器上启用等价多路径 (ECMP) 路由将禁用路由器控制虚拟机上的防火墙
    在“全局路由”选项卡中启用 ECMP 时,将自动禁用防火墙。

已知问题

已知问题分为如下类别:

安装和升级问题

问题 1375343: 升级后无法重新配置 SSO
如果在 NSX Manager 上配置的 SSO 服务器是 vCenter Server 上的本机服务器,则在 vCenter Server 升级到 6.0 版本且 NSX Manager 升级到 6.1.3 版本后,无法在 NSX Manager 上重新配置 SSO 设置。
解决办法: 无。

问题 1396592: 如果使用 vCenter Server 6.0 和 ESX 6.0,版本部署规范需要更新至 6.0.x。
已针对 vCloud Networking and Security 注册了 NetX 解决方案的合作伙伴必须更新注册,以包含适用于 6.0.x 的版本部署规范以及相应的 OVF。
解决办法: 如果基本配置为 5.5.x 及 vSphere 5.5,且在将 vCloud Networking and Security 升级到 NSX 之前已升级基础架构,请按照以下步骤进行操作:

  1. 将 vSphere 从 5.5 升级到 6.0。
  2. 使用以下 API 调用,添加适用于 6.0.x 的版本部署规范:
    POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. 通过使用以下 REST 调用更新服务
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. 按以下步骤解决 EAM 警报。
    1. 单击 vSphere Web Client 上的“主页”。
    2. 单击“管理”。
    3. 在“解决方案”中,选择 vCenter Server Extension。
    4. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
    5. 在无效的机构状态上单击右键并选择“解决所有问题”。

 

问题 1393503: 将 NSX vSphere 从 6.0.7 升级到 6.1.3 以后,vShpere Web Client 在登录屏幕上崩溃
将 VSM 从 6.0.7 升级到 6.1.3 以后,用户会看到 vSphere Web Client UI 登录屏幕上显示异常。 用户将无法登录 vCenter 或 NSX Manager 并在其上执行操作。
解决办法: 以 root 用户身份登录 VCVA 并重新启动 vSphere Web Client 服务。

问题 1402307: 如果 vCenter 在 NSX vSphere 升级过程中重新引导,将显示错误的群集状态
对于具有多个准备好 NSX 的群集,如果在升级过程中进行主机准备,并且 vCenter Server 在至少准备了一个群集后重新引导,其他群集的“群集状态”可能会显示为“未就绪”,而不是“更新”链接。 此外,vCenter 中的主机可能会显示“需要重新引导”。
解决办法: 不要在主机准备过程中重新引导 vCenter。

问题 1288506: 从 vCloud Networking and Security 5.5.3 升级到 NSX vSphere 6.0.5 或更高版本以后,如果使用 DSA-1024 密钥大小的 SSL 证书,NSX Manager 不会启动
DSA-1024 密钥大小的 SSL 证书在 NSX vSphere 6.0.5 之前的版本中不受支持,因此未能成功升级。
解决办法: 在开始升级之前,导入密钥大小受支持的新 SSL 证书。

问题 1278690: 如果在 Edge 上启用 L2 VPN,则 NSX Edge 升级失败
不支持将 L2 VPN 配置从 5.x 或 6.0.x 更新到 6.1。 因此,如果已在 Edge 上配置 L2 VPN,Edge 会升级失败。
解决办法: 需要先删除 L2 VPN 配置,再升级 NSX Edge。 升级后,重新配置 L2 VPN。

问题 1266433: SSL VPN 不向远程客户端发送升级通知
SSL VPN 网关不会向用户发送升级通知。 管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并且必须更新其客户端。

问题 1169078: 将 NSX 从 6.0 版升级到 6.0.x 或 6.1 后,NSX Edge 未列在 UI 中
从 NSX 6.0 升级到 NSX 6.0.x 或 6.1 后,vSphere Web Client 插件可能无法正常升级。 这可能会导致 UI 显示问题,如缺少 NSX Edge。
如果从 NSX 6.0.1 或更高版本进行升级,则不会显示此问题。
解决办法: 按照下面的步骤执行操作。

  1. 在 vSphere Server 上,导航到以下位置:
    /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
  2. 删除以下文件夹:
    com.vmware.vShieldManager-6.0.x.1546773
    com.vmware.vShieldManager-6.0.1378053
  3. 重新启动 vSphere Web Client 服务。
这样可以确保部署最新的插件包。

 

问题 1088913:vSphere Distributed Switch MTU 无法更新
在准备群集时,如果指定的 MTU 值低于 vSphere Distributed Switch 的 MTU 值,则 vSphere Distributed Switch 不会更新此值。 这是为了确保不会意外丢弃具有较高帧大小的现有流量。
解决办法: 确保在准备群集时指定的 MTU 高于或匹配 vSphere Distributed Switch 的当前 MTU。 VXLAN 所需的最低 MTU 为 1550。

问题 1088913: 如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在“安装”页面的“主机准备”选项卡上
为网络虚拟化准备群集时,会在这些群集上启用 Distributed Firewall。 如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在“主机准备”选项卡上。
解决办法: 使用以下 REST 调用升级 Distributed Firewall:
PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

问题 1215460: 在从 vCloud Networking and Security 5.5 升级到 NSX 的过程中,Edge Firewall 表中的服务组展开
在升级过程中,Edge Firewall 表中用户创建的服务组展开 - 例如,防火墙表中的 [服务] 列显示服务组内的所有服务。 如果在升级后修改服务组以添加或移除服务,则这些更改不会反映在防火墙表中。
解决办法: 按照下面的步骤执行操作:

  1. 升级后在 [分组对象] 选项卡中重新创建服务组。
  2. 编辑受影响的防火墙规则的 [服务] 列,并指向相应的服务组。

 

问题 1088497: Guest Introspection 安装失败,并出现错误
在群集中安装 Guest Introspection 时,安装失败并出现以下错误:
VIB 模块的格式无效 (Invalid format for VIB Module)
解决办法: 在 vCenter Web Client 中,导航至“vCenter 主页”>“主机和群集”,然后重新引导显示“需要重新引导”的主机。

使用 [安装] 页面上的 [服务部署] 选项卡部署的服务虚拟机无法开机
解决办法: 按照下面的步骤执行操作。

  1. 从群集中的 ESX 代理资源池中手动移除服务虚拟机。
  2. 单击 [网络和安全],然后单击 [安装]
  3. 单击 [服务部署] 选项卡。
  4. 选择相应的服务并单击 [解析] 图标。
    将重新部署服务虚拟机。

 

问题 1312562: 如果在 6.0.x 中创建的服务配置文件同时绑定到安全组和分布式端口组或逻辑交换机,则在升级到 NSX 6.1 后,Service Composer 防火墙规则将不同步
如果在 6.0.x 中同时将服务配置文件绑定到安全组和分布式端口组或逻辑交换机,则在升级到 6.1 后,Service Composer 规则将不同步。 无法在 Service Composer UI 中发布规则。
解决办法: 按照下面的步骤执行操作。

  1. 通过服务定义 UI 从分布式端口组或逻辑交换机解除绑定服务配置文件。
  2. 创建新的安全组,并将所需的分布式端口组或逻辑交换机作为该安全组的成员。
  3. 通过服务定义 UI 将服务配置文件绑定到新的安全组。
  4. 通过 Service Composer UI 同步防火墙规则。

 

一般问题

问题 1411125: 无法打开客户机虚拟机电源
打开客户机虚拟机电源时,可能显示“当前未部署所需的全部代理虚拟机 (All required agent virtual machines are not currently deployed)”错误。
解决办法: 按照下面的步骤执行操作。

  1. 单击 vSphere Web Client 上的“主页”。
  2. 单击“管理”。
  3. 在“解决方案”中,选择 vCenter Server Extension。
  4. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
  5. 单击 [解决]。

 

问题 1301627: 安全策略名称不允许超过 229 个字符
Service Composer 的“安全策略”选项卡中的安全策略名称字段最多允许 229 个字符。 这是因为策略名称在内部预置了前缀。
解决办法: 无。

NSX Manager 问题

问题 1386874: 将 vSphere 升级到 6.0 以后,NSX Manager 无法启动。
由于 vSphere 6.0 不接受 root 用户名,因此,如果以 root 用户身份登录,NSX Manager 将不会启动。
解决办法: 使用用户名 administrator@vsphere.local 登录。

问题 1317814: 如果在一个 ServiceManager 关闭的情况下进行策略更改,ServiceComposer 将不同步。
这与注册的多个服务/ServiceManager 实例和创建的策略引用各种服务相关。 如果在其中一个 ServiceManager 关闭的情况下,在 ServiceComposer 中对此类策略进行更改,由于到已关闭 ServiceManager 的回调失败,更改将失败。 因此,ServiceComposer 将不同步。
解决办法: 确保对应的 ServiceManager 能够响应,然后再从 ServiceComposer 执行强制同步。

问题 1070905: 无法从受 Guest Introspection 和第三方安全解决方案保护的群集中移除主机并重新添加
如果通过断开主机连接然后将其从 vCenter Server 中移除,从受 Guest Introspection 和第三方安全解决方案保护的群集中移除主机,则在将同一主机重新添加到同一群集时可能会遇到一些问题。
解决办法: 要从受保护的群集中移除主机,请先将该主机置于维护模式。 接下来,将该主机移动到不受保护的群集中或置于所有群集之外,然后断开连接并移除该主机。

问题 1027066:对 NSX Manager 执行 vMotion 操作可能会显示以下错误消息: 虚拟以太网卡网络适配器 1 不受支持 (Virtual ethernet card Network adapter 1 is not supported)
可以忽略此错误。 在执行该 vMotion 操作后,网络将正常工作。

问题 1091117: 在还原 NSX Manager 备份后无法删除第三方服务
仅当 NSX Manager 的还原状态包含第三方服务注册时,才能从 vSphere Web Client 删除第三方服务的部署。
解决办法: 注册所有第三方服务后备份 NSX Manager 数据库。

NSX Edge 问题

问题 1399955: 不支持升级独立 NSX Edge
解决办法: 用户需要部署新的 Edge OVF 并重新配置设备设置。

问题 1399863: 移除 IPsec VPN 通道的本地和远程子网中的直接汇总网络时,到对等 Edge 的间接子网的汇总路由也将消失
在 Edge 上没有默认网关的情况下,如果在配置 IPsec 的同时移除本地子网中的所有直接连接子网以及远程子网中的部分直接连接子网,其余的对等子网将无法通过 IPsec VPN 进行访问。
解决办法: 在 NSX Edge 上禁用并重新启用 IPsec VPN。

问题 1395183: SSL VPN-Plus 登录/注销脚本修改无法工作
修改脚本在 NGC UI 上正确反映,但在网关上未正确反映。
解决办法: 删除原始脚本并重新添加。

问题 1364996: 适用于 OS X Yosemite 的 SSL VPN Mac 客户端显示证书身份验证错误
由于 Yosemite 不将 /Library/StartupItems/ 用作启动项,因此在计算机启动时不会执行 VMware 启动脚本。
解决办法: 按照下面的步骤执行操作:

  1. 运行以下命令以设置 kext-dev-mode
    sudo nvram boot-args="kext-dev-mode=1"
  2. 重新引导计算机。
  3. 安装客户端。

 

问题 1278437: 将通过协议发现的路由添加为已连接会导致本地转发信息库 (FIB) 表同时显示已连接和动态发现的路由
如果将已通过协议发现的路由添加为已连接,本地 FIB 会同时显示已连接和动态发现的路由。 动态发现的路由优先级高于直接连接的路由。
解决办法: 从路由通告中撤销发现的路由,以便从 FIB 表中将其删除并仅配置已连接的路由。

问题 1288487: 如果通过 vCenter Web Client 用户界面删除一个子接口受逻辑交换机支持的 NSX Edge 虚拟机,数据路径可能不适用于连接至同一端口的新虚拟机
当通过 vCenter Web Client 用户界面(而非 NSX Manager)删除 Edge 虚拟机时,在 dvPort 上通过不透明通道配置的 vxlan 中继不会重置。 这是因为中继配置由 NSX Manager 管理。
解决办法: 按照下面的步骤手动删除 vxlan 中继配置:

  1. 通过在浏览器窗口中键入以下内容导航至 vCenter Managed Object Browser:
    https:// vc-ip/mob?vmodl=1
  2. 单击 [内容]
  3. 按照下面的步骤检索 dvsUuid 值。
    1. 单击 rootFolder 链接(例如,group-d1(Datacenters))。
    2. 单击数据中心名称链接(例如,datacenter-1)。
    3. 单击 networkFolder 链接(例如,group-n6)。
    4. 单击 DVS 名称链接(例如,dvs-1)。
    5. 复制 uuid 的值。
  4. 单击 DVSManager,然后单击 updateOpaqueDataEx
  5. selectionSet 中,添加以下 XML
    <selectionSet xsi:type="DVPortSelection">
            <dvsUuid> value</dvsUuid>
            <portKey> value</portKeyv <!--port number of the DVPG where trunk vnic got connected-->
    </selectionSet>
  6. opaqueDataSpec 中,添加以下 XML
    <opaqueDataSpec>
            <operation>remove</operation>
            <opaqueData>
                <key>com.vmware.net.vxlan.trunkcfg</key>
                <opaqueData></opaqueData>
            </opaqueData>
    </opaqueDataSpec>
  7. isRuntime 设置为 false。
  8. 单击 调用方法
  9. 为在已删除 Edge 虚拟机上配置的每个中继端口重复步骤 5 至 8。

启用默认源时,未应用拒绝默认路由的 BGP 筛选器
在 NSX Edge 上启用 BGP 默认源时,BGP 发言方会将默认路由无条件通告给所有 BGP 邻居。 如果不希望 BGP 邻居安装其通告的默认路由,则必须在该 BGP 邻居上配置入站策略以拒绝默认路由。
解决办法: 在相应的 BGP 邻居上配置入站策略以拒绝默认路由。

问题 1265605 和 1265548: 无法在逻辑路由器的网桥或租户名称中添加非 ASCII 字符
NSX 控制器 API 不支持非 ASCII 字符。
解决办法: 在网桥和租户名称中使用 ASCII 字符。 然后便可编辑名称,使其包含非 ASCII 字符。

问题 1278728: 在子接口上配置的 SNAT 和负载平衡器(包含 L4 SNAT)无法正常工作
SNAT 规则配置可以通过 NSX Edge,但此规则的数据路径因 RP 筛选器检查而无法正常工作。
解决办法: 请联系 VMware 支持寻求帮助,以便在 NSX Edge 上放宽 RP 筛选器检查。

问题 1275788: 为 L2 VPN 启用输出优化时,池成员跨越站点的负载平衡器显示为已关闭
使用输出优化时,L2 VPN 客户端和服务器具有相同的内部 IP 地址。 因此,从池成员发送到负载平衡器的任意数据包均无法访问 NSX Edge。
解决办法: 执行以下操作之一。

  • 禁用输出优化。
  • 为负载平衡器分配经输出优化的 IP 地址以外的 IP 地址。

问题 1113491: 如果不指定下一个跃点地址,静态路由不会推送到主机
UI 允许您在 NSX Edge 设备上创建静态路由而不指定下一个跃点地址。 如果不指定下一个跃点地址,静态路由不会推送到主机。
解决办法: 始终为静态路由指定下一个跃点地址。

问题 1113755: 无法使用在全局范围定义的安全组或其他分组对象配置 NSX防火墙
在 NSX Edge 范围定义的管理员用户无法访问在全局范围定义的对象。 例如,如果用户 abc 在 Edge 范围定义,而安全组 sg-1 在全局范围定义,则 abc 将无法在 NSX Edge 的防火墙配置中使用 sg-1
解决办法: 管理员必须使用仅在 NSX Edge 范围定义的分组对象,或者必须在 NSX Edge 范围创建全局范围对象的副本。

问题 1089745: 即使逻辑路由器 OSPF 已禁用,上游 Edge Services Gateway 依然通告逻辑路由器 LIF 路由
即使逻辑路由器 OSPF 已禁用,上游 Edge Services Gateway 也将继续通告从逻辑路由器连接的接口发现的 OSPF 外部 LSA。
解决办法: 禁用将连接的路由手动重新分发到 OSPF 并在禁用 OSPF 协议之前发布。 这可确保路由被正确撤消。

问题 1082549: 在 Edge Services Gateway 上启用 HA 时,将 OSPF 呼叫和停顿间隔分别配置为 30 秒和 120 秒以外的值会导致故障切换期间某些流量丢失
当主 NSX Edge 在 OSPF 正在运行且启用 HA 的情况下失败时,待机所需的时间将超过正常的重新启动超时时间,并导致 OSPF 邻居从其转发信息库 (FIB) 表中移除发现的路由。 这将导致数据平面在 OSPF 重新聚合之前出现故障。
解决办法: 对于所有临近路由器上的默认呼叫和停顿间隔超时时间,将呼叫间隔设置为 30 秒,将停顿间隔设置为 120 秒。 这可实现正常的故障切换而无流量损失。

问题 1088400: 尽管不支持,但 UI 仍然允许您向逻辑路由器接口添加多个 IP 地址
此版本不支持单个逻辑路由器接口具有多个 IP 地址。
解决办法: 无。

问题 1078618: SSL VPN 不支持证书吊销列表 (CRL)
可以将 CRL 添加到 NSX Edge,但 SSL VPN 不会使用此 CRL。
解决办法: CRL 不受支持,但您可以通过客户端证书身份验证进行用户身份验证。

问题 859909: 要将外部身份验证服务器添加到 SSL VPN-Plus,必须使用 IP 地址,而不是主机名
无法使用外部身份验证服务器的 FQDN 或主机名。
解决办法: 必须使用外部身份验证服务器的 IP 地址。

防火墙问题

问题 1109671: 如果使用 REST API 调用删除防火墙配置,则无法加载和发布已保存的配置
删除防火墙配置时,将创建一个使用新区域 ID 的新默认区域。 当您加载已保存的草稿(具有相同区域名称,但是区域 ID 较旧)时,区域名称发生冲突,并显示以下错误:
重复密钥值违反唯一约束 firewall_section_name_key(Duplicate key value violates unique constraint firewall_section_name_key)
解决办法: 执行以下操作之一:

  • 加载保存的配置后重命名当前的默认防火墙区域。
  • 发布之前,重命名加载的已保存配置上的默认区域。

 

针对 Distributed Firewall 启用 IPFIX 配置时,NetFlow for vDS 或 SNMP 的 ESXi 管理接口中的防火墙端口可能被移除
当针对 IPFIX 定义收集器 IP 和端口时,ESXi 管理接口的防火墙将在出站方向为指定 UDP 收集器端口打开。 该操作可能会移除以下服务(如果先前已在 ESXi 主机上配置)的 ESXi 管理接口防火墙上的动态规则集配置:

  • vDS 上的 Netflow 收集器端口配置
  • SNMP 目标端口配置
解决办法: 要重新添加动态规则集规则,必须刷新 vCenter Web Client 中 vDS 的 netFlow 设置。 还必须使用 esxcli system snmp 命令再次添加 snmp 目标。 如果在启用 IPFIX 配置后重新引导 ESXi 主机,或者如果已从主机中卸载 esx-vsip VIB,则将需要重复上述操作。

 

逻辑交换机问题

使用 API 调用创建大量并发值较高的逻辑交换机可能会导致某些故障
如果使用以下 API 调用创建大量逻辑交换机,可能会出现此问题:
POST https://<nsxmgr-ip>/api/2.0/vdn/scopes/scopeID/virtualwires
某些逻辑交换机可能无法创建。
解决办法: 重新运行 API 调用。

服务部署问题

问题 1110295: 旧服务虚拟机无法运行
从 vCenter Server 移除主机时保留在主机上的旧服务虚拟机,在将主机重新添加回同一 vCenter Server 时仍断开连接且无法运行。
解决办法: 按照下面的步骤执行操作:

  1. 将主机从受保护的群集移动到不受保护的群集或所有群集之外。 该操作将从主机中卸载服务虚拟机。
  2. 将主机从 vCenter Server 中移除。