NSX for vSphere 6.1.4 | 2015 年 5 月 7 日 | 内部版本 2691049

发行说明内容

本发行说明包含以下主题:

新增功能

本版本完成了一系列修复,解决了 Skip-TLS (CVE-2014-6593)、FREAK (CVE-2015-0204) 和 POODLE (CVE-2014-3566) 漏洞及其他问题。 请参见本文档的 已解决的问题部分。 请检查是否存在任何第三方组件(例如第三方合作伙伴解决方案)支持 NSX 中使用的已更新 JRE 和 OpenSSL 版本。

有关详细信息,请参见:

 

NSX vSphere 6.1.4 与 vSphere 6.0 兼容。 但是,vSphere 6.0 中引入的 vSphere 新功能尚未经 NSX vSphere 测试。 这些新的 vSphere 功能不应在安装了 NSX vSphere 的环境中使用,因为它们不受支持。 有关 vSphere 6.0 的 NSX vSphere 限制的列表,请参见 VMware 知识库文章 2110197  

系统要求和安装

VMware 产品互操作性列表  提供了 VMware 产品和组件(如 VMware vCenter Server)当前版本和先前版本的兼容性详细信息。

版本 5.5.x、6.0.x 和 6.1.x 可以直接升级至 6.1.4。

要将 NSX vSphere 升级至 6.1.4,请执行以下步骤:

  1. 将 NSX Manager 和所有 NSX 组件升级至 6.1.4。 有关说明,请参见 《NSX 安装和升级指南》 
    如果您不需要将 vCenter Server 和 ESXi 升级至 6.0,则您已完成该升级过程。
    如果您需要升级 vCenter Server 和 ESXi,请完成此过程中的剩余步骤。
  2. 将 vCenter Server 升级到 6.0。 有关说明,请参见 VMware vSphere 6.0 文档。
  3. 要在不停机的情况下进行升级,请标识您的环境中可以开始升级的主机子集。 将这些主机置于维护模式。
  4. 将 ESXi 升级到 6.0。 有关说明,请参见 VMware vSphere 6.0 文档。
    根据主机设置和升级方法,可以自动重新引导主机或必须手动重新引导主机。
    引导主机时,NSX Manager 将 ESXi 6.0 VIB 推送至主机。
  5. vSphere Web Client 左侧的“主机和群集”选项卡中显示需要重新引导的主机时,请再次重新引导这些主机。
    适用于 ESXi 6.0 的 NSX VIB 现已启用。
  6. 使完成升级的主机退出维护模式。
  7. 对下一个主机子集重复步骤 3 到 6,直到您环境中的所有主机均已升级。

已解决的问题

以下问题已在 6.1.4 版本中解决:

已修复问题 1438242: 连接至 VMware NSX for vSphere 逻辑交换机和分布式路由器的虚拟机带宽/吞吐量过低
此修复解决了 VMware 知识库文章 2110598   中涉及的问题。

已修复问题 1421287: 对广播 IP 执行 ping 操作后,L2VPN 关闭。独立 Edge 上 tap0 接口关闭。
对广播地址执行 ping 操作时,将获知 MAC 地址,但 L2VPN 隧道关闭。 Edge 获知大量 MAC 地址后,tap0 接口关闭。

已修复问题 1406377: vCenter 清单更新期间,NSX Manager 的 CPU 使用率较高
为大量安全组置备防火墙规则需要与内部 Postgres 数据库建立大量连接。 同时运行 CPU 线程会导致 NSX Manager 服务器上 CPU 使用率持续偏高。

已修复问题 1334728: 大量域帐户上的 NSX Manager 加载时间较长
当拥有较多组的域用户登录 vSphere Web Client 时,访问 NSX Manager 界面需要很长的时间。

已修复问题 1409714/1405945: 修复解决了 CVE-2014-6593“Skip-TLS”和 CVE-2015-0204“FREAK”漏洞(统称“SMACK”漏洞)
此修复解决了统称为“SMACK”漏洞的问题。 其中包括“FREAK”漏洞,该漏洞导致基于 OpenSSL 的客户端被诱使使用导出升级密码套件。 该问题通过使用 OpenSSL 版本 1.0.1L 更新 SSL VPN 客户端进行解决。 NSX Edge 上的 OpenSSL 也已更新至版本 1.0.1L。

此修复同时解决了“Skip-TLS”漏洞。 Oracle (Sun) JRE 软件包更新至 1.7.0_75(版本 1.7.0 update 75),这是因为 Skip-TLS 影响了 update 75 之前的 Java 版本。 Oracle 已在 2015 年 1 月的 Oracle Java SE 关键修补程序更新建议中记录了 JRE 1.7.0_75 中已解决的 CVE 标识符问题。

已修复问题 1361424: 修复解决了 CVE-2014-3566“POODLE”漏洞
6.1.4 版本中的部分更改解决了 CVE-2014-3566 漏洞(SSLv3 漏洞称为“POODLE”)。 这些更改包括:

  • 默认情况下在 NSX Edge SSL VPN 上禁用 SSLv3(自 6.1.4 版本开始)。 要在该组件上重新启用 SSLv3 支持,请参见 VMware 知识库文章 2115871  
  • 默认情况下在 NSX Edge 负载平衡器上禁用 SSLv3 (自 6.1.4 版本开始)。 要在该组件上重新启用 SSLv3 支持,请参见 VMware 知识库文章 2116104  
  • 在 NSX Manager 上禁用 SSLv3(自 6.1.2 版本开始)。 要在此组件上重新启用 SSLv3 支持,请联系 VMware 支持部门。
  • 将 vShield Edge 系统 SSL 库更新至 OpenSSL 0.9.8zc。

 

已修复问题 1363274: 虚拟机失去通过有效分布式逻辑路由器配置连接的网络连接
发生这种情况的原因是,出现错误阻止了 NSX Manager 更新 NSX 控制器最新状态。 在此错误条件下,重新引导 vShield Manager 后,NSX 无法将 SSL 状态 (<controllerConfig><sslEnabled>true/false</sslEnabled></controllerConfig>) 同步至 ESX 主机。 NSX 6.1.3 中已解决此问题。

已知问题

已知问题分为如下类别:

安装和升级问题

升级后无法重新配置 SSO
如果在 NSX Manager 上配置的 SSO 服务器是 vCenter Server 上的本机服务器,则在 vCenter Server 升级到 6.0 版本且 NSX Manager 升级到 6.1.3 版本后,无法在 NSX Manager 上重新配置 SSO 设置。
解决办法: 无。

服务部署 UI 显示错误消息: 虚拟机不存在 vAppConfig (vAppConfig not present forc not present for VM)
解决办法: 如果您看到上述错误消息,请检查以下各项:

  1. 服务虚拟机部署已完成。
  2. vCenter Server 任务窗格中不存在该虚拟机正在进行的任务,例如克隆、重新配置等。

完成步骤 1 和 2 后,删除服务虚拟机。 在服务部署 UI 上,部署显示为 “失败”。 单击红色图标后,将针对主机显示代理虚拟机不可用的警报。 解决警报后,将重新部署和启动虚拟机。

备份和还原后,vSphere Web Client 不显示“网络和安全”选项卡
在升级到 NSX vSphere 6.1.3 后,当您执行备份和还原操作时,vSphere Web Client 不显示“网络和安全”选项卡。
解决办法: 还原 NSX Manager 备份后,注销 Appliance Manager。 等待几分钟,然后再登录 vSphere Web Client。

如果使用 vCenter Server 6.0 和 ESX 6.0,版本部署规范需要更新至 6.0.*。
解决办法取决于合作伙伴当前是在 vCloud Networking and Security 还是在 NSX for vSphere 上。

  • 已在 vCloud Networking and Security 中注册 NetX 解决方案的合作伙伴必须使用 REST API 调用更新注册以包含适用于 6.0.* 以及相应 OVF 的 VersionedDeploymentSpec。
    1. 将 vSphere 从 5.5 升级到 6.0。
    2. 使用以下 API 调用,添加适用于 6.0.x 的版本部署规范:
      POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
      
      <versionedDeploymentSpec> <hostVersion>6.0.x</hostVersion> <ovfUrl>http://sample.com/sample.ovf</ovfUrl> <vmciEnabled>true</vmciEnabled> </versionedDeploymentSpec>

      OVF 文件的 URL 由合作伙伴提供。
    3. 通过使用以下 REST 调用更新服务
      POST https://<vsm-ip>/api/2.0/si/service/config?action=update
    4. 按以下步骤解决 EAM 警报。
      1. 在 vSphere Web Client 中,依次单击“主页”与“管理”。
      2. 在“解决方案”中,选择 vCenter Server Extension。
      3. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
      4. 在无效的机构状态上单击右键并选择“解决所有问题”。
  • 已在 NSX 中注册 NetX 解决方案的合作伙伴将 vSphere 升级到 6.0 时,必须更新注册以包含适用于 6.0.* 以及相应 OVF 的 VersionedDeploymentSpec。 按照下面的步骤执行操作:

     

    1. 使用以下步骤,添加适用于 6.0.* 的版本部署规范:
      1. 在 vSphere Web Client 中,依次单击“主页”与“网络和安全”。
      2. 单击“服务定义”,然后单击“服务名称”。
      3. 然后依次单击“管理”和“部署”。
      4. 单击 +,将 ESX 版本添加为 6.0.*,并添加 OVF URL 和相应的服务虚拟机 URL。
      5. 单击“确定”。
    2. 按以下步骤解决问题。
      1. 单击“安装”。
      2. 单击“服务部署”。
      3. 选择部署并单击“解决”。

将 NSX vSphere 从 6.0.7 升级到 6.1.3 以后,vShpere Web Client 在登录屏幕上崩溃
将 NSX Manager 从 6.0.7 升级到 6.1.3 以后,将会看到 vSphere Web Client UI 登录屏幕上显示异常。 您将无法登录 vCenter 或 NSX Manager 并在其上执行操作。
解决办法: 以 root 用户身份登录 VCVA 并重新启动 vSphere Web Client 服务。

如果 vCenter 在 NSX vSphere 升级过程中重新引导,将显示错误的群集状态
对于具有多个准备好 NSX 的群集,如果在升级过程中进行主机准备,并且 vCenter Server 在至少准备了一个群集后重新引导,其他群集的“群集状态”可能会显示为“未就绪”,而不是“更新”链接。 此外,vCenter 中的主机可能会显示“需要重新引导”。
解决办法: 不要在主机准备过程中重新引导 vCenter。

从 vCloud Networking and Security 5.5.3 升级到 NSX vSphere 6.0.5 或更高版本以后,如果使用 DSA-1024 密钥大小的 SSL 证书,NSX Manager 不会启动
DSA-1024 密钥大小的 SSL 证书在 NSX vSphere 6.0.5 之前的版本中不受支持,因此未能成功升级。
解决办法: 在开始升级之前,导入密钥大小受支持的新 SSL 证书。

如果在 Edge 上启用 L2 VPN,则 NSX Edge 升级失败
不支持将 L2 VPN 配置从 5.x 或 6.0.x 更新到 6.1。 因此,如果已在 Edge 上配置 L2 VPN,Edge 会升级失败。
解决办法: 需要先删除 L2 VPN 配置,再升级 NSX Edge。 升级后,重新配置 L2 VPN。

SSL VPN 不向远程客户端发送升级通知
SSL VPN 网关不会向用户发送升级通知。 管理员必须手动通知远程用户 SSL VPN 网关(服务器)已更新,并且必须更新其客户端。

将 NSX 从 6.0 版升级到 6.0.x 或 6.1 后,NSX Edge 未列在 UI 中
从 NSX 6.0 升级到 NSX 6.0.x 或 6.1 后,vSphere Web Client 插件可能无法正常升级。 这可能会导致 UI 显示问题,如缺少 NSX Edge。
如果从 NSX 6.0.1 或更高版本进行升级,则不会显示此问题。
解决办法: 按照下面的步骤执行操作。

  1. 在 vCenter MOB 中,单击“内容”。
  2. 在“值”列中,单击“ExtensionManager”。
  3. 查找 [extensionList["com.vmware.vShieldManager"] 并复制该字符串。
  4. 在“方法”区域,单击“UnregisterExtension”。
  5. 在“值”字段中,粘贴步骤 3 中复制的字符串。
  6. 单击“调用方法”。

这样可以确保部署最新的插件包。

vSphere Distributed Switch MTU 无法更新
在准备群集时,如果指定的 MTU 值低于 vSphere Distributed Switch 的 MTU 值,则 vSphere Distributed Switch 不会更新此值。 这是为了确保不会意外丢弃具有较高帧大小的现有流量。
解决办法: 确保在准备群集时指定的 MTU 高于或匹配 vSphere Distributed Switch 的当前 MTU。 VXLAN 所需的最低 MTU 为 1550。

如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在“安装”页面的“主机准备”选项卡上
为网络虚拟化准备群集时,会在这些群集上启用 Distributed Firewall。 如果未准备好环境中的所有群集,则 Distributed Firewall 的升级消息不会显示在“主机准备”选项卡上。
解决办法: 使用以下 REST 调用升级 Distributed Firewall:
PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

如果在升级后修改服务组以添加或移除服务,则这些更改不会反映在防火墙表中
在升级过程中,Edge Firewall 表中用户创建的服务组展开 - 例如,防火墙表中的“服务”列显示服务组内的所有服务。 如果在升级后修改服务组以添加或移除服务,则这些更改不会反映在防火墙表中。
解决办法: 使用其他名称新建一个服务组,并在防火墙规则中使用此服务组。

Guest Introspection 安装失败,并出现错误
在群集中安装 Guest Introspection 时,安装失败并出现以下错误:
VIB 模块的格式无效 (Invalid format for VIB Module)
解决办法: 在 vCenter Web Client 中,导航至 vCenter“主页”>“主机和群集”,然后重新引导左侧清单中旁边显示“需要重新引导”的主机。

使用“安装”页面上的“服务部署”选项卡部署的服务虚拟机无法开机
解决办法: 按照下面的步骤执行操作。

  1. 从群集中的 ESX 代理资源池中手动移除服务虚拟机。
  2. 单击 网络和安全,然后单击 安装
  3. 单击 服务部署选项卡。
  4. 选择相应的服务并单击 解析图标。
    将重新部署服务虚拟机。

 

如果在 6.0.x 中创建的服务配置文件同时绑定到安全组和分布式端口组或逻辑交换机,则在升级到 NSX 6.1.x 后,Service Composer 防火墙规则将不同步
如果在 6.0.x 中同时将服务配置文件绑定到安全组和分布式端口组或逻辑交换机,则在升级到 6.1 后,Service Composer 规则将不同步。 无法在 Service Composer UI 中发布规则。
解决办法: 按照下面的步骤执行操作。

  1. 通过服务定义 UI 从分布式端口组或逻辑交换机解除绑定服务配置文件。
  2. 创建新的安全组,并将所需的分布式端口组或逻辑交换机作为该安全组的成员。
  3. 通过服务定义 UI 将服务配置文件绑定到新的安全组。
  4. 通过 Service Composer UI 同步防火墙规则。

 

一般问题

无法打开客户机虚拟机电源
打开客户机虚拟机电源时,可能显示错误消息: 当前未部署所需的所有代理虚拟机 (All required agent virtual machines are not currently deployed)
解决办法: 按照下面的步骤执行操作。

  1. 在 vSphere Web Client 中,依次单击“主页”与“管理”。
  2. 在“解决方案”中,选择 vCenter Server Extension。
  3. 单击 vSphere ESX Agent Manager,然后单击“管理”选项卡。
  4. 单击“解决”。

 

安全策略名称不允许超过 229 个字符
Service Composer 的“安全策略”选项卡中的安全策略名称字段最多允许 229 个字符。 这是因为策略名称在内部预置了前缀。
解决办法: 无。

NSX Manager 问题

还原 NSX Manager 备份后,REST 调用显示架构功能“com.vmware.vshield.vsm.messagingInfra”的状态为“红色”
还原 NSX Manager 备份后,使用 REST API 调用检查架构功能“com.vmware.vshield.vsm.messagingInfra”的状态时,其状态显示为“红色”而非“绿色”。
解决办法: 使用以下 REST API 调用重置 NSX Manager 与群集中单个主机或所有主机间的通信。
POST https://<nsxmgr-ip>/api/2.0/nwfabric/configure?action=synchronize
<nwFabricFeatureConfig>
<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
<resourceConfig>
    <resourceId>HOST/CLUSTER MOID</resourceId>
</resourceConfig>
</nwFabricFeatureConfig>

Syslog 在还原的 NSX Manager 上显示备份 NSX Manager 的主机名
假设第一个 NSX Manager 的主机名是 A,且为该 NSX Manager 创建了备份。 现在安装了第二个 NSX Manager,并根据备份还原文档将其配置为与旧 Manager 使用相同的 IP 地址,但主机名为 B。在此 NSX Manager 上运行还原。 还原的 NSX Manager 在还原完成时显示主机名 A,而在重新引导后又显示主机名 B。
解决办法: 第二个 NSX Manager 的主机名应配置为备份 NSX Manager 的主机名。

CA 签名证书导入需要重新引导 NSX Manager 才能生效
导入 CA 签名的 NSX Manager 证书时,新导入的证书在 NSX Manager 重新引导后才有效。
解决办法: 登录到 NSX Manager 虚拟设备或使用 reboot CLI 命令重新引导 NSX Manager。

vSphere Web Client 中不显示“网络和安全”选项卡
vSphere 升级到 6.0 后,使用 root 用户名登录到 vSphere Web Client 时,看不到“网络和安全”选项卡。
解决办法: 使用 administrator@vsphere.local 登录,或使用升级前 vCenter Server 上其角色已在 NSX Manager 中定义的任何其他 vCenter 用户登录。

如果在一个 Service Manager 关闭的情况下进行策略更改,Service Composer 将不同步。
这与注册的多个服务/Service Manager 实例和创建的引用这些服务的策略相关。 如果在其中一个 Service Manager 关闭的情况下,在 Service Composer 中对此类策略进行更改,由于到已关闭 Service Manager 的回调失败,更改将失败。 因此,Service Composer 将不同步。
解决办法: 确保 Service Manger 响应,然后从 Service Composer 执行强制同步。

无法从受 Guest Introspection 和第三方安全解决方案保护的群集中移除主机并重新添加
如果通过断开主机连接然后将其从 vCenter Server 中移除,从受 Guest Introspection 和第三方安全解决方案保护的群集中移除主机,则在将同一主机重新添加到同一群集时可能会遇到一些问题。
解决办法: 要从受保护的群集中移除主机,请先将该主机置于维护模式。 接下来,将该主机移动到不受保护的群集中或置于所有群集之外,然后断开连接并移除该主机。

对 NSX Manager 执行 vMotion 操作可能会显示错误消息: 虚拟以太网卡网络适配器 1 不受支持 (Virtual ethernet card Network adapter 1 is not supported)
可以忽略此错误。 在执行该 vMotion 操作后,网络将正常工作。

NSX Edge 问题

修改 BGP 邻居筛选器规则时,现有筛选器可能在长达 40 秒的时间内无法应用
将 BGP 筛选器应用于运行 IBGP 的 NSX Edge 时,可能需要长达 40 秒的时间才能将这些筛选器应用于 IBGP 会话。 在此期间,NSX Edge 可能会播发被 IBGP 对等会话 BGP 筛选器拒绝的路由。
解决办法: 无。

在逻辑路由器上启用 ECMP 后,NorthBound Edge 未收到此逻辑路由器的前缀
解决办法: 按照下面的步骤执行操作:

  1. 在逻辑路由器上禁用 ECMP。
  2. 禁用 OSPF。
  3. 启用 ECMP。
  4. 启用 OSPF。

如果在 SSL VPN-Plus 服务的身份验证配置下启用证书身份验证,则无法从旧版 Windows 客户端连接到 SSL VPN 服务器
如果启用证书身份验证,旧版 Windows 客户端与最新版本 SSL VPN 之间的 TLS 握手将失败。 这将阻止 Windows 客户端连接到 SSL VPN。 对于 Linux 和 Mac 客户端或到 SSL VPN 的基于浏览器的连接,未发生此问题。
解决办法: 将 Windows 客户端升级到最新版本,如 6.1.4。

不支持将独立 NSX Edge 作为 L2 VPN 客户端进行升级
解决办法: 必须部署新的独立 Edge OVF,然后重新配置设备设置。

移除 IPsec VPN 通道的本地和远程子网中的直接汇总网络时,到对等 Edge 的间接子网的汇总路由也将消失
在 Edge 上没有默认网关的情况下,如果在配置 IPsec 的同时移除本地子网中的所有直接连接子网以及远程子网中的部分直接连接子网,其余的对等子网将无法通过 IPsec VPN 进行访问。
解决办法: 在 NSX Edge 上禁用并重新启用 IPsec VPN。

SSL VPN-Plus 登录/注销脚本修改无法工作
修改的脚本在 vSphere Web Client 上正确反映,但在网关上未正确反映。
解决办法: 删除原始脚本并重新添加。

将通过协议发现的路由添加为已连接会导致本地转发信息库 (FIB) 表同时显示已连接和动态发现的路由
如果将已通过协议发现的路由添加为已连接,本地 FIB 会同时显示已连接和动态发现的路由。 动态发现的路由优先级高于直接连接的路由。
解决办法: 从路由通告中撤销发现的路由,以便从 FIB 表中将其删除并仅配置已连接的路由。

如果通过 vCenter Web Client 用户界面删除一个子接口受逻辑交换机支持的 NSX Edge 虚拟机,数据路径可能不适用于连接至同一端口的新虚拟机
当通过 vCenter Web Client 用户界面(而非 NSX Manager)删除 Edge 虚拟机时,在 dvPort 上通过不透明通道配置的 vxlan 中继不会重置。 这是因为中继配置由 NSX Manager 管理。
解决办法: 按照下面的步骤手动删除 vxlan 中继配置:

  1. 通过在浏览器窗口中键入以下内容导航至 vCenter Managed Object Browser:
    https:// vc-ip/mob?vmodl=1
  2. 单击“内容”  
  3. 按照下面的步骤检索 dvsUuid 值。
    1. 单击 rootFolder 链接(例如,group-d1(Datacenters))。
    2. 单击数据中心名称链接(例如,datacenter-1)。
    3. 单击 networkFolder 链接(例如,group-n6)。
    4. 单击 DVS 名称链接(例如,dvs-1)。
    5. 复制 uuid 的值。
  4. 单击 DVSManager,然后单击 updateOpaqueDataEx
  5. selectionSet 中,添加以下 XML
    <selectionSet xsi:type="DVPortSelection">
            <dvsUuid> value</dvsUuid>
            <portKey> value</portKeyv <!--port number of the DVPG where trunk vnic got connected-->
    </selectionSet>
  6. opaqueDataSpec 中,添加以下 XML
    <opaqueDataSpec>
            <operation>remove</operation>
            <opaqueData>
                <key>com.vmware.net.vxlan.trunkcfg</key>
                <opaqueData></opaqueData>
            </opaqueData>
    </opaqueDataSpec>
  7. isRuntime 设置为 false。
  8. 单击 调用方法
  9. 为在已删除 Edge 虚拟机上配置的每个中继端口重复步骤 5 至 8。

启用默认源时,未应用拒绝默认路由的 BGP 筛选器
在 NSX Edge 上启用 BGP 默认源时,BGP 发言方会将默认路由无条件通告给所有 BGP 邻居。 如果不希望 BGP 邻居安装其通告的默认路由,则必须在该 BGP 邻居上配置入站策略以拒绝默认路由。
解决办法: 在相应的 BGP 邻居上配置入站策略以拒绝默认路由。

无法在逻辑路由器的网桥或租户名称中添加非 ASCII 字符
NSX 控制器 API 不支持非 ASCII 字符。
解决办法: 在网桥和租户名称中使用 ASCII 字符。 然后便可编辑名称,使其包含非 ASCII 字符。

在子接口上配置的 SNAT 和负载平衡器(包含 L4 SNAT)无法正常工作
SNAT 规则配置可以通过 NSX Edge,但此规则的数据路径因 RP 筛选器检查而无法正常工作。
解决办法: 请联系 VMware 支持寻求帮助,以便在 NSX Edge 上放宽 RP 筛选器检查。

为 L2 VPN 启用输出优化时,池成员跨越站点的负载平衡器显示为已关闭
使用输出优化时,L2 VPN 客户端和服务器具有相同的内部 IP 地址。 因此,从池成员发送到负载平衡器的任意数据包均无法访问 NSX Edge。
解决办法: 执行以下操作之一。

  • 禁用输出优化。
  • 为负载平衡器分配经输出优化的 IP 地址以外的 IP 地址。

如果不指定下一个跃点地址,静态路由不会推送到主机
UI 允许您在 NSX Edge 设备上创建静态路由而不指定下一个跃点地址。 如果不指定下一个跃点地址,静态路由不会推送到主机。
解决办法: 始终为静态路由指定下一个跃点地址。

无法使用在全局范围定义的安全组或其他分组对象配置 NSX防火墙
在 NSX Edge 范围定义的管理员用户无法访问在全局范围定义的对象。 例如,如果用户 abc 在 Edge 范围定义,而安全组 sg-1 在全局范围定义,则 abc 将无法在 NSX Edge 的防火墙配置中使用 sg-1
解决办法: 管理员必须使用仅在 NSX Edge 范围定义的分组对象,或者必须在 NSX Edge 范围创建全局范围对象的副本。

即使逻辑路由器 OSPF 已禁用,上游 Edge Services Gateway 依然通告逻辑路由器 LIF 路由
即使逻辑路由器 OSPF 已禁用,上游 Edge Services Gateway 也将继续通告从逻辑路由器连接的接口发现的 OSPF 外部 LSA。
解决办法: 禁用将连接的路由手动重新分发到 OSPF 并在禁用 OSPF 协议之前发布。 这可确保路由被正确撤消。

在 Edge Services Gateway 上启用 HA 时,将 OSPF 呼叫和停顿间隔分别配置为 30 秒和 120 秒以外的值会导致故障切换期间某些流量丢失
当主 NSX Edge 在 OSPF 正在运行且启用 HA 的情况下失败时,待机所需的时间将超过正常的重新启动超时时间,并导致 OSPF 邻居从其转发信息库 (FIB) 表中移除发现的路由。 这将导致数据平面在 OSPF 重新聚合之前出现故障。
解决办法: 对于所有临近路由器上的默认呼叫和停顿间隔超时时间,将呼叫间隔设置为 30 秒,将停顿间隔设置为 120 秒。 这可实现正常的故障切换而无流量损失。

尽管不支持,但 UI 仍然允许您向逻辑路由器接口添加多个 IP 地址
此版本不支持单个逻辑路由器接口具有多个 IP 地址。
解决办法: 无。

SSL VPN 不支持证书吊销列表 (CRL)
CRL 可以添加到 NSX Edge,但 SSL VPN 不使用此 CRL。
解决办法: CRL 不受支持,但您可以通过客户端证书身份验证进行用户身份验证。

要将外部身份验证服务器添加到 SSL VPN-Plus,必须使用 IP 地址,而不是主机名
无法使用外部身份验证服务器的 FQDN 或主机名。
解决办法: 必须使用外部身份验证服务器的 IP 地址。

防火墙问题

尽管发布成功,但是 UI 仍然显示错误消息: 防火墙发布失败 (Firewall Publish Failed)
如果在您环境中的群集子集上启用 Distributed Firewall,且您更新了一个或多个有效防火墙规则中使用的应用程序组,则在 UI 上进行的任何发布操作都将显示错误消息,且该消息中包含未启用 NSX 防火墙的群集的主机 ID。
尽管出现错误消息,规则仍将成功发布,且会在启用了 Distributed Firewall 的主机上强制使用。
解决办法: 联系 VMware 支持人员清除 UI 消息。

如果使用 REST API 调用删除防火墙配置,则无法加载和发布已保存的配置
删除防火墙配置时,将创建一个使用新区域 ID 的新默认区域。 当您加载已保存的草稿(具有相同区域名称,但是区域 ID 较旧)时,区域名称发生冲突,并显示以下错误:
重复密钥值违反唯一约束 firewall_section_name_key (Duplicate key value violates unique constraint firewall_section_name_key)
解决办法: 执行以下操作之一:

  • 加载保存的配置后重命名当前的默认防火墙区域。
  • 发布之前,重命名加载的已保存配置上的默认区域。

 

针对 Distributed Firewall 启用 IPFIX 配置时,NetFlow for vDS 或 SNMP 的 ESXi 管理接口中的防火墙端口可能被移除
当针对 IPFIX 定义收集器 IP 和端口时,ESXi 管理接口的防火墙将在出站方向为指定 UDP 收集器端口打开。 该操作可能会移除以下服务(如果先前已在 ESXi 主机上配置)的 ESXi 管理接口防火墙上的动态规则集配置:

  • vDS 上的 Netflow 收集器端口配置
  • SNMP 目标端口配置

解决办法: 要重新添加动态规则集规则,必须刷新 vCenter Web Client 中 vDS 的 netFlow 设置。 还必须使用 esxcli system snmp 命令再次添加 snmp 目标。 如果在启用 IPFIX 配置后重新引导 ESXi 主机,或者如果已从主机中卸载 esx-vsip VIB,则将需要重复上述操作。

逻辑交换机问题

使用 API 调用创建大量并发值较高的逻辑交换机可能会导致某些故障
如果使用以下 API 调用创建大量逻辑交换机,可能会出现此问题:
POST https://<nsxmgr-ip>/api/2.0/vdn/scopes/scopeID/virtualwires
某些逻辑交换机可能无法创建。
解决办法: 重新运行 API 调用。

服务部署问题

即使未建立 IP 连接,Data Security 服务状态仍显示为“运行”
Data Security 设备可能未收到 DHCP 的 IP 地址或连接了错误的端口组。
解决办法: 确保 Data Security 设备从 DHCP/IP 池获取 IP,且可从管理网络进行访问。 从 NSX/ESX 检查对 Data Security 设备进行的 ping 是否成功。

旧服务虚拟机无法运行
从 vCenter Server 移除主机时保留在主机上的旧服务虚拟机,在将主机重新添加回同一 vCenter Server 时仍断开连接且无法运行。
解决办法: 按照下面的步骤执行操作:

  1. 将主机从受保护的群集移动到不受保护的群集或所有群集之外。 该操作将从主机中卸载服务虚拟机。
  2. 将主机从 vCenter Server 中移除。

 

Service Insertion 问题

通过 REST 删除安全规则时显示错误
如果使用 REST API 调用删除 Service Composer 创建的安全规则,对应的规则集实际上不会从服务配置文件缓存中删除,导致出现 ObjectNotFoundException 错误。
解决办法: 无。

将安全策略配置为端口范围导致防火墙不同步
将安全策略配置为端口范围(如“5900-5964”)将导致防火墙不同步,并出现错误 NumberFormatException
解决办法: 必须将防火墙安全策略配置为逗号分隔的协议端口列表。