vShield 5.1 | 2012 年 9 月 10 日 | 内部版本 807847

上次更新时间:2012 年 9 月 10 日

发行说明内容

本发行说明包含以下主题:

新增功能

  • VXLAN 网关:vShield Edge 的作用相当于可将 VXLAN 逻辑网络映射到传统 VLAN 网络的 VXLAN 网关。
  • 多接口支持:单个 vShield Edge 虚拟机上允许多个内部接口和外部接口。
  • 辅助 IP 池:支持将非连续 IP 块分配到对扩展 IP 命名空间非常有用的 vShield Edge 接口。
  • 负载平衡增强功能:vShield Edge 支持 HTTPS 和 TCP 负载平衡以及改进的运行状况检查选项。
  • DNS 转发:vShield Edge 可以配置为充当转发 DNS 服务器,用于为应用程序提供外部域名的 DNS 名称解析。客户端应用程序的请求会直接转发到 ISP 的 DNS 服务器,并缓存来自 ISP 的 DNS 的响应。
  • SSL VPN-Plus:远程用户可以使用此功能访问私有公司应用程序。
  • vShield Edge High Availability:在主动-被动配置中,您可以创建两个 vShield Edge 虚拟机,从而支持进行状态故障切换以实现设备级别恢复能力并提高服务可用性。
  • 新的 vShield Edge CLI 命令:支持用于配置、查看功能和系统信息、日志记录和故障排除。SSH CLI 和基于角色的访问控制也受支持。
  • vShield Edge 分为不同的性能级别:紧凑型尺寸和大尺寸支持您选择性能级别。
  • 增强的 vShield Edge 日志记录:简化故障排除。
  • 硬件卸载:vShield Edge 可以利用 Intel Westmere 芯片上的硬件加速功能卸载 AES 加密处理。
  • 服务插入框架:提供将任何供应商推出的网络服务(例如 WAN 优化、应用程序交付、高级负载平衡等)和网络安全服务(例如高级防火墙、入侵防御等)插入虚拟化环境的功能。
  • 新的 vShield App 和 vShield Edge 防火墙 UI:经过简化的 UI 支持更简单的规则操作。
    • 新的防火墙规则表视图。
    • 能够添加多个对象作为源和目标,从而减少需要创建的规则的总数。
    • vCenter 容器和第 1 层应用程序服务组中的对象已经过预填充,便于创建规则。
    • 规则管理通过用于添加和编辑规则的图标驱动向导、新的重新排序选项以及用于选择性启用规则的选项等得到简化。
    • 通过采用新方式为规则分组、搜索和选择对象,简化对象操作。
    • 可操作流监控和通过图形方式了解流量模式。

系统要求和安装

有关系统要求和安装说明的信息,请参见 《vShield 安装和升级指南》

已知问题

下列已知问题是通过严格测试而发现的,可帮助您了解在此版本中可能遇到的某些行为。

已知问题分为如下类别:

一般问题

网络接口断开连接并重新连接后,无法访问 vShield Manager
您断开 vShield Manager vNic 连接并重新连接后,vShield Manager 不会与 vCenter Server 同步。
解决办法:重新引导 vShield Manager。

vShield 管理员角色损坏
vShield 管理员角色无法在 vShield Edge 上执行部分操作(创建、配置、升级)。
解决办法:如果您已使用 vShield 管理员角色在 5.0 或 5.0.1 版本中执行角色委派,请将那些用户的特权提升到企业管理员角色。

您为 VXLAN 虚拟线缆取消准备群集后,不显示主机的 vShield 组件安装状态
如果在 VXLAN 虚拟线缆取消准备后未进行重新引导,则不会显示 vShield 组件(vShield App、vShield Endpoint、vShield Data Security)安装状态。
解决办法:在取消准备群集后重新引导主机。

在卸载期间不会删除 vmservice-vswitch
卸载 vShield 组件不会删除 vmservice-vswitch。如果需要,可将其手动删除。

在同一主机上重新安装 vShield App 时会报告先前的流
在同一主机上重新安装 vShield App 时,针对先前的 vShield App 报告的虚拟机的流也会报告在当前的 vShield App 上。

vShield Manager 问题

通过 vCenter Server 配置 vShield Manager 用时过长
通过 vCenter Server 配置 vShield Manager 后,UI 不会刷新。
解决办法:重新加载页面。

vShield Endpoint 问题

SVM 运行状况不正确
当主机上最后一个受保护的客户机虚拟机的电源关闭,并且与 SVM 之间没有任何连接时,SVM 的状态未知。但是,vShield Endpoint Health and Alarms 页面会错误地将 SVM 的状态报告为绿色或红色。

当多个虚拟机的 UUID 相同时,vShield Endpoint 运行状况监视和 vShield Data Security 无法正常运行
当多个虚拟机的 UUID 相同时,vShield Endpoint 只会将一个虚拟机报告为受到保护,并且可能会对错误的对象报告 vShield Data Security 冲突。
解决办法:复制虚拟机时,请确保始终表明已经复制了该虚拟机,以便生成新的 UUID。此外,请在复制后重新启动一次虚拟机(不是重新软启动)。

vShield App 问题

如果其中一台主机不属于 dvSwitch,vShield App 安装会失败
在某些情况下,vShield 服务虚拟机安装可能会失败。考虑以下情况:数据中心中有两个已启用 DRS 的群集,并且每个群集具有两台主机。您创建 dvSwitch 并将每个群集中的一台主机成功添加到该 dvSwitch 中。现在,如果您部署新虚拟机或安装 vShield Edge(其 vnic 位于上面创建的 dvSwitch 的端口组中),则不会创建该虚拟机,也不会导入 OVF 文件。
解决办法:如果已启用 DRS,您必须在 dvSwitch 中添加同一群集中的至少两台主机。

vShield Edge 问题

如果 vShield Edge 已重新部署或者转换为紧凑型尺寸、大尺寸或超大尺寸,则 vShield Edge 统计信息会重置
如果您重新部署 vShield Edge 或者更改 vShield Edge 设备尺寸或配置,则 vShield Edge 统计信息会重置为零。此外,如果任何虚拟机在 vShield Edge 处于 HA 模式时出现异常,则统计信息可能不正确。

全通道注销后,Windows 7 64 位计算机无法访问
在全通道模式中,默认网关会更改,以便通过 VPN 通道发送所有流量。您注销 SSL VPN 客户端后,Windows Vista 及上述计算机的默认网关不会还原回原始状态。
解决办法:禁用然后启用网络适配器。

因 vShield Manager 响应错误而无法删除组织 vdc 网络
如果 vShield Edge 已安装在资源池上,则您无法删除该资源池。
解决办法:先编辑设备配置以反映新资源池,然后再删除原资源池。

vShield VXLAN 虚拟线缆问题

如果连接到同一 vDS 的群集之外的任何主机不同步或无响应,则群集准备会失败
在 VXLAN 虚拟线缆准备过程中,vDS MTU 配置会作为交换机配置([为 VXLAN 网络连接准备基础架构] 对话框)的一部分进行设置。如果主机从 vDS 断开连接,则配置 MTU 值会从 vCenter Server 返回失败消息,因为添加到 DVS 的主机中的一部分在断开连接后无法访问。这会停止剩余的 VXLAN 准备。
解决办法:重新连接所有 VXLAN 主机然后再次准备群集。

VXLAN 虚拟线缆 VIB 卸载或升级需要重新引导主机
从 vShield Manager 部署时,卸载和升级事件显示在 ESX Agent Manager 机构状态和 vShield Manager UI 中。
解决办法:重新引导主机即可继续执行 VXLAN 模块卸载或升级。

VXLAN 虚拟线缆准备和服务插入部署需要有效的 vCenter 管理的 IP 和 FQDN
解决办法:设置有效的 vCenter 管理的 IP 地址,并确保 FQDN 可解析或未设置。vCenter 管理的 IP 地址位于 [vCenter Server 设置] > [运行时设置] 中。FQDN 可通过 [vCenter Server 设置] > [高级设置] > [FQDN] 查看。

为 VXLAN 虚拟线缆准备您的网络时,无法指定多个 VXLAN 多播地址范围
解决办法:使用 REST 调用指定多个多播地址范围。

vShield Data Security 问题

如果在已连接到 vCenter Server 的 vShield Manager 上执行备份还原,则 vShield Data Security 设备将无法访问
解决办法:在未连接到 vCenter Server 的全新部署的 vShield Manager 上还原备份。

数据安全性扫描不应启动,直到添加至少一条法规
如果新数据安全性扫描在未选择任何法规的情况下启动,扫描会运行,但不会检测到任何违规。
解决办法:先添加至少一条法规,然后再运行数据安全性扫描。

特定于某个州的策略匹配所有州的美国驾驶执照
如果 vShield Data Security 中启用了美国某个州的策略,则当文件中包含的驾驶执照来自其他州时,该文件可能会被错误地标识为违规文件。

安装期间 SVM 运行状况不正确
vShield Manager 正在部署 vShield Data Security SVM 时,可能会提前向 SVM 触发警报。SVM 打开并运行后,警报将移除。

已解决的问题

以下问题已在 5.1 版本中解决。

  • 如果管理员用户更改了 vShield CLI 启用密码,则只有该管理员用户才可以再次更改此密码
  • 无法使用与现有用户相同的名称创建新用户
  • 如果主机处于维护模式,则 vShield App 卸载将失败
  • 如果在安装期间迁移 vShield Edge 虚拟机,则安装将失败
  • 如果 CN 包含特殊字符,则 VPN 配置将失败
  • 卸载 vShield Endpoint 将导致 vShield Data Security 停止工作
  • vShield Manager 不支持 UTF8 字符编码用于显示和报告
  • 还原备份配置后,vShield Data Security 的扫描启动和停止无法正常工作