vCloud Networking and Security 5.1.3 | 2014 年 2 月 11 日 | 内部版本 1563888

发行说明内容

本发行说明包含以下主题:

新增功能

vCloud Networking and Security 5.1.3 修补程序版本包含所有 5.1.2.x 修补程序以及多项新的缺陷修复。

系统要求和安装

有关系统要求和安装说明的信息,请参见《vShield 安装和升级指南

已知问题

下列已知问题是通过严格测试而发现的,可帮助您了解在此版本中可能遇到的某些行为。

已知问题分为如下类别:

vShield Manager 问题

vShield Manager 升级失败并显示错误消息
当 vShield Manager 从 4.1 升级到 5.0,再升级到 5.1 时,vShield Manager 无法连接到 vCenter Server,且 UI 显示内部服务器错误。
解决办法:重新输入 vCenter Server 凭据。如果连接未恢复,请重新引导 vShield Manager。

尽管输入的端口格式正确,但仍然显示“数据格式无效 (Invalid Data Format)”错误消息
添加/创建服务时,尽管输入的端口格式正确,您仍可能看到“数据格式无效 (Invalid Data Format)”的错误消息。当输入的端口数量超过 15 个端口的最大限制时,可能会发生此问题。
解决办法:如果服务使用的端口超过 15 个,请创建多个服务。

用户必须注销才能查看已修改或添加的角色
用户在已登录到会话的状态下添加或修改其角色后,会话并不反映对角色所做的更改。
解决办法:注销后重新登录即可查看更新的角色分配。

删除本地用户或 vCenter 用户的角色分配时显示“内部服务器错误 (Internal server error)”消息
解决办法:禁用要删除的用户帐户。

vShield App 问题

如果在 vShield App 升级过程中 vCenter Server 不可用,则升级将失败且 Update 链接也将不可用
请参见 vShield App 升级过程中 Update 链接不可用

主机上安装了 vShield App 时,无法准备群集
主机上安装了 vShield App 时,无法成功为 VXLAN 准备群集,因为这种情况下主机无法进入维护模式。

解决办法:通过手动操作使主机进入维护模式。手动触发维护模式后,vShield App 设备将关闭,此时将允许继续准备群集。群集准备完毕后,主机将退出维护模式,vShield App 设备将继续正常运行。

 

vShield Edge 问题

无法为两项不同的功能配置不同的证书
无法为两项不同的功能配置不同的证书。例如,不能对 IPsec 使用证书 a,而对 SSL VPN 使用证书 b。
解决办法:先对两项功能使用同一证书,然后再更改其中一项功能的证书。

如果 vShield Manager 已升级至 5.1.3 而 Edge 仍为 5.0.2,将无法创建 CSR/证书
当 vShield Manager 升级至 5.1.3 而 Edge 为较低版本时,无法创建大小为 512/1024 位的 CSR
解决办法:请创建大小为 2048 和 3072 位的 CSR。

已解决的问题

5.1.3 修补程序版本中解决了以下问题。

  • 无法在 vShield Manager 版本 5.1.1 中导入两个中间根 CA 证书
  • 升级到版本 5.1.2a 后,规则置备将会增加
  • vShield Manager CPU 的利用率至少为 90%,因为在处理大清单的过程中,所有 DCN 线程由于刷新对象而发生阻塞
  • Edge TCP 闲置超时值可使用 5.1.3 版本的 REST API 进行配置
  • 运行 vShield Manager 的存储发生故障或因较低的磁盘超时值而不可用之后,vShield Manager 将出现内核严重错误。新值已设置为 120 秒。
  • 属于安全组成员的端口组不发生 Mac 地址分组 (mac-set) 更新
  • 生成的证书签名请求的 [城市名称] 和 [省/自治区/直辖市名称] 字段为 NULL
  • 使用 vCloud Director 许可证“vCloud Networking and Security - Networking for VCD”时,无法创建新的隔离组织 VDC 网络,操作将失败并显示错误消息:“VSM 响应错误 (214):实体未获得许可:vcloud-netsec 功能:vxlan :添加于:”("VSM response error (214): Not licensed for Entity : vcloud-netsec feature : vxlan : add on :")。
  • 使用 vMotion 将虚拟机从没有 vShield App 的 ESXi 主机迁移到具有 vShield App 的 ESXi 主机后,虚拟机将失去网络连接
  • 由于 vShield Manager 在 VMInfo 消息中发送无效的虚拟网卡 UUID,导致 vShield App 安装失败
  • 使用 vMotion 迁移虚拟机之后不久,虚拟机将无法连接到网络并/或获得 DHCP 地址。必须强制执行同步才能让虚拟机获得 DHCP 地址
  • 同一 ESXi 主机上安装了 vShield App 时,与第三方防病毒负载转移产品的连接将受到影响
  • 在某些情况下,使用 vMotion 迁移虚拟机之后不久,虚拟机将无法连接到网络
  • 置备防火墙规则需要很长时间
  • 如果虚拟机数据包的以太网尾部被缩短,将会阻止虚拟机的通信流量
  • 当 vSA 由于最终用户配置错误(如组合使用关闭 vSM 和/或 vSA 电源、断开 vSA 虚拟网卡连接和/或关闭 ESXi 主机电源这些操作,这将导致不同步的情况发生)而无法与关键基础架构组件通信后,尽管没有规则或所有规则均设置为允许,vShield App仍然会阻止流量
  • 运行 vSA 的存储出现故障或者因较低的磁盘超时值而不可用之后,vSA 将出现内核严重错误。新的磁盘超时值已设置为 180 秒。
  • 在群集间移动 ESXi 主机将导致 vDS 上的虚拟机失去网络连接
  • 虚拟机从一个 vCenter Server 对象移至另一对象(如 vApp、群集或资源池)后,并不继承应用于目标对象的防火墙规则
  • 使用较大 IP 范围(例如整个 A 类)定义规则时,vShield App 设备将重新引导
  • 通信因为会话超时的时间间隔不正确而中断
  • 对于来自物理源的某些类型的通信,Flow Monitoring 报告的源和目标位置会发生颠倒
  • 重新发布某个防火墙规则达到一定次数后,再次发布该规则可能会意外删除安全组
  • 使用较大的 MACset 时,发布以太网 (L2) 防火墙规则将失败
  • RSA ACE 服务器运行时,无法向 vShield Edge 添加负载平衡器虚拟 IP (VIP)
  • 应用 vShield Edge 配置更改(如重新部署、升级、HA 事件)后,RSA 身份验证将失败
  • 当密码即将达到密码策略中配置的过期超时值时,SSL VPN 的 Mac 客户端将无法登录
  • 配置为 HA 模式的 vShield Edge 同时出现内核严重错误
  • 如果虚拟网卡上两个独立的 IP 地址和子网使用一个子网定义为 0.0.0.0/32,该虚拟网卡上的 vShield Edge DHCP 功能将不工作
  • 一个 HA 对中的两个 vShield Edge 均进入 Active 模式
  • 遇到内存不足 (OoM) 情况后,vShield Edge 无法重新建立已丢弃的 IPSEC VPN 通道
  • 如果初始部署 vShield Edge 的资源池不再可用,vShield Edge 升级将失败
  • 已启用 HA 的 vShield Edge 在使用 SSL VPN 服务时,将显示 CPU 利用率很高,并在很短时间内发生多次故障转移
  • 在 UI 中,已连接到虚拟线路的 vShield Edge 的 DHCP 静态绑定配置显示为空白
  • vShield Edge 有时会遇到吞吐量和性能低下问题
  • 添加了部署 4-vCPU vShield Edge 的选项
  • 数据通过 SSL L2 VPN 通道时发生数据路径问题
  • vSE L2VPN 通道的 SNAT 规则阻止 vSE 后面的虚拟机访问公共 IP
  • vShield Edge 设备不支持保存核心转储。在 CLI 中添加了 debug crashdump 命令
  • 启用 PFS 后发生频繁丢弃 IPsec 通道的问题
  • 通过 UI 设置或更改负载平衡器保持方法时,无法提交更改
  • 保持方法设置为 SSL_SESSION_ID 时,负载平衡器会崩溃
  • 无法在 OSX 10.9 (Mavericks) 上安装 SSL VPN 客户端
  • 在防火墙规则中使用安全组时,UI 和 REST 之间的行为将不一致
  • vShield Edge 配置/安装/升级工作流报告错误
  • 从 VIX 代理接收到无效响应
  • VIX 代理未连接到 VC
  • 无法建立使用证书模式的 IPsec 通道