NSX für vSphere 6.1 | 11. September 2014 | Build 2107742

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

NSX vSphere 6.1 enthält mehrere neue Funktionen sowie Verbesserungen in Bezug auf Bedienung, Nutzung und Absicherung.

  • Hochverfügbare NSX Edge-Cluster mit schnelleren Uplink-Geschwindigkeiten
    Mehrfachpfad mit gleichen Kosten (Equal Cost Multi-Path, ECMP)
    NSX ermöglicht die Erstellung von hochverfügbaren und verteilten NSX Edge-Clustern und bietet eine Uplink-Verbindung hoher Bandbreite mit physischen Netzwerken. NSX stellt außerdem Aktiv-Aktiv-Redundanz beim Netzwerkvirtualisierungs-Edge sicher – alles in der Software. ECMP in NSX Edge ermöglicht bis zu 80 GB/s aggregierte vertikale Bandbreite und aktiviert ein horizontal skaliertes Edge.
  • Verbesserte Mikro-Segmentierungs- und Firewallvorgänge
    NSX 6.1 verbessert die Mikro-Segmentierungsfähigkeiten durch verbesserte Bereitstellung, Fehlerbehebung und Überwachung bei NSX Distributed- und Edge-Firewalls. Es gibt eine neue einheitliche Benutzeroberfläche zum Konfigurieren von Distributed- und Edge-Firewalls. Die Integration von NSX und vCAC 6.1 ermöglicht, dass Sicherheitsautomatisierungs-Workflows auf die Rechenautomatisierung abgestimmt werden können. Außerdem ermöglicht NSX 6.1 die Umleitung des Datenverkehrs zu Netzwerk- und Sicherheitspartnerprodukten wie Firewalls der nächsten Generation und Diensten zur Abwehr von Eindringversuchen.
  • Verbinden mehrerer Datencenter oder Bereitstellen von Hybrid-Cloud-Diensten in durch Software definierten Datencentern (SDDC)
    Layer-2-VPN auf NSX Edge
    Mit Layer-2-VPN können Unternehmen Arbeitslasten migrieren, Datencenter konsolidieren und ausgeweitete Anwendungsschichten über mehrere Datencenter hinweg erstellen. Dienstanbieter können Mandanten-Onboarding und Cloud-Bursting-Dienste anbieten, wobei Mandanten-Anwendungsnetzwerke über Datencenter hinweg erhalten bleiben, ohne dass NSX an den Kundenstandorten benötigt wird.
  • Verwaltung vereinheitlichter IP-Adressen über das gesamte Datencenter hinweg
    DHCP Relay
    Mit DHCP Relay können Sie vorhandene, in physischen Datencentern verfügbare DHCP-Dienste in SDDC integrieren, um einheitliche IP-Adressierungsrichtlinien und eine einfache IP-Verwaltung im ganzen Datencenter sicherzustellen. NSX vSphere 6.1 unterstützt mehrere DHCP-Server auf einem einzelnen logischen Router und ermöglicht die Integration mehrerer vorhandener DHCP-Server.
  • Verbesserungen in NSX Load Balancer
    In NSX ist jetzt UDP-und FTP-Lastausgleich verfügbar, um Lastausgleich und Hochverfügbarkeit für eine größere Anzahl von in NSX gehosteten Anwendungen zu ermöglichen. Dies erlaubt den Lastausgleich bei Anwendungen wie syslog, NTP, DNS.
  • Schutz von Investitionen in Application Delivery Controller (ADC) und deren nahtlose Nutzung in SDDC
    Enge Partnerintegration zur Verwendung von ADCaaS
    NSX 6.1 ermöglicht Kunden, die ADCs von NSX-Partnern einsetzen, ihre Investitionen zu schützen und erweiterte ADC-Dienste von erstklassigen Anbietern zu nutzen. Diese sofort einsatzfähige Lösung ermöglicht eine Vereinfachung der Arbeitsabläufe, integrierte Workflows, eine automatische Bereitstellung von Ressourcen und bietet einen zentralen Ansichtsbereich für Fehlerbehebung und Überwachung virtueller und physischer ADCs.
  • Erweiterte Host- oder Netzwerksicherheitsdienste in SDDC
    Durch die verbesserte Partnerintegration mit Service Composer werden mehrere Sicherheitsdienste, einschließlich Suite-Lösungen, unterstützt, wodurch host- und netzwerkbasierte Dienste in einer einzigen Richtlinie vereint werden können.
  • Dynamischer und sicherer Self-Service in SDDC
    NSX 6.1 mit vCloud Automation Center® hilft Ihnen bei der Optimierung der Ressourcennutzung und -skalierung durch dynamisches Verbinden von Self-Service-Anwendungen mit logischen NSX-Netzwerken, während gleichzeitig sichergestellt wird, dass die Infrastruktursicherheitsrichtlinien automatisch angewendet werden, um die Anwendungen zu isolieren und zu schützen.
    Eine Liste der Funktionen finden Sie in den Versionshinweisen zu VMware vCloud Automation Center.
    1. Wechseln Sie auf dem vSphere Server zum folgenden Speicherort:
      /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
    2. Löschen Sie die folgenden Ordner:
      com.vmware.vShieldManager-6.0.x.1546773
      com.vmware.vShieldManager-6.0.1378053
    3. Starten Sie den vSphere Web Client-Dienst neu.
    1. Erstellen Sie die Dienstgruppen nach dem Upgrade auf der Registerkarte "Gruppieren von Objekten" neu.
    2. Bearbeiten Sie die Spalte "Service" für die betroffenen Firewall-Regeln und zeigen Sie auf die entsprechenden Dienstgruppen.
    1. Entfernen Sie die Dienst-VM manuell vom ESX Agent-Ressourcenpool im Cluster.
    2. Klicken Sie auf Netzwerken und Sicherheit und dann auf Installation.
    3. Klicken Sie auf die Registerkarte Dienstbereitstellungen.
    4. Wählen Sie den entsprechenden Dienst aus und klicken Sie auf das Symbol Auflösen.
      Die Dienst-VM wird neu bereitgestellt.
    1. Heben Sie die Bindung des Dienstprofils mit der verteilten Portgruppe bzw. dem logischen Switch über die Benutzeroberfläche der Dienstdefinition auf.
    2. Erstellen Sie eine neue Sicherheitsgruppe, und fügen Sie die erforderliche verteilte Portgruppe bzw. den erforderlichen logischen Switch zu dieser Sicherheitsgruppe hinzu.
    3. Binden Sie das Dienstprofil über die Benutzeroberfläche der Dienstdefinition an die neue Sicherheitsgruppe.
    4. Synchronisieren Sie die Firewallregeln über die Service Composer-Benutzeroberfläche.
    1. Wechseln Sie zum vCenter-MOB (Managed Object Browser), indem Sie Folgendes in einem Browserfenster eingeben:
      https:// vc-ip/mob?vmodl=1
    2. Klicken Sie auf Inhalt.
    3. Rufen Sie den dvsUuid-Wert wie folgt ab:
      1. Klicken Sie auf den Root-Ordner-Link (zum Beispiel group-d1(Datacenters)).
      2. Klicken Sie auf den Datencenternamen-Link (zum Beispiel "datacenter-1").
      3. Klicken Sie auf den networkFolder-Link (zum Beispiel group-n6).
      4. Klicken Sie auf den DVS-Namen-Link (zum Beispiel dvs-1)
      5. Kopieren Sie den Wert von uuid.
    4. Klicken Sie auf DVSManager und dann auf updateOpaqueDataEx.
    5. Fügen Sie in selectionSet die folgende XML hinzu
      <selectionSet xsi:type="DVPortSelection">
          <dvsUuid> value</dvsUuid>
          <portKey> value</portKeyv <!--Portnummer der DVPG, wo Trunk vnic angeschlossen wurde-->
      </selectionSet>
    6. Fügen Sie in opaqueDataSpec die folgende XML hinzu
      <opaqueDataSpec>
          <operation>remove</operation>
          <opaqueData>
            <key>com.vmware.net.vxlan.trunkcfg</key>
            <opaqueData></opaqueData>
          </opaqueData>
      </opaqueDataSpec>
    7. Setzen Sie isRuntime auf "false".
    8. Klicken Sie auf Methode aufrufen.
    9. Wiederholen Sie die Schritte 5 bis 8 für jeden Trunk-Port, der auf der gelöschten Edge-VM gelöscht wurde.
    1. Verschieben Sie den Host vom geschützten Cluster zu einem nicht geschützten Cluster oder in einen Bereich außerhalb aller Cluster. Damit werden die Dienst-VMs auf dem Host deinstalliert.
    2. Entfernen Sie den Host aus dem vCenter Server.
    • Microsoft Clustering Services-Failover funktioniert mit logischen Switches nicht ordnungsgemäß
      Wenn virtuelle Maschinen im Rahmen des Prozesses zur Erkennung doppelter Adressen (DAD) ARP-Prüfpakete senden, antwortet der VXLAN ARP-Unterdrückungslayer auf die ARP-Anforderung. Dies führt zu einem Fehler beim Abrufen der IP-Adresse und somit zu einem Fehler im DAD-Prozess.

       

    • NSX-Manager wird aus einer Sicherung nicht ordnungsgemäß wiederhergestellt
      Nachdem NSX-Manager aus einer Sicherung wiederhergestellt wurde, funktionieren die Kommunikationskanäle mit der Steuerelement-VM des logischen Routers nicht ordnungsgemäß. Daher können logische Switches und Portgruppen nicht mit dem logischen Router verbunden bzw. von diesem getrennt werden.
    • Die Konfiguration für das logische Routing funktioniert in einer statusfreien Umgebung nicht
      Bei Verwendung statusfreier ESXi-Hosts mit NSX sendet der NSX-Controller möglicherweise Konfigurationsinformationen zum verteilten Routing an die Hosts, bevor der verteilte virtuelle Switch erstellt wurde. Dadurch entsteht ein nicht synchronisierter Zustand und es kommt zu Fehlern bei der Konnektivität zwischen zwei Hosts auf unterschiedlichen Switches.
    • Beim Aktivieren von HA auf einem bereitgestellten logischen Router verliert der Router seine verteilten Routen auf ESXi-Hosts
      Die Instanz des logischen Routers wird gelöscht und als Teil des Aktivierungsvorgangs für HA auf ESXi-Hosts neu erstellt. Nachdem die Instanz neu erstellt wurde, werden die Routing-Informationen von der Steuer-VM des Routers nicht richtig neu synchronisiert. Dadurch verliert der Router seine verteilten Routen auf ESXi-Hosts.
    • REST-Anforderung schlägt mit Fehler fehl HTTP/1.1 500 Interner Serverfehler
      Wenn Single Sign On (SSO) nicht richtig konfiguriert ist, schlagen alle REST-API-Aufrufe mit dieser Meldung fehl, weil NSX nicht die Anmeldedaten validieren kann.
    • Beim Navigieren zwischen NSX Edge-Geräten bleibt vSphere Web Client hängen oder zeigt eine leere Seite an
    • Für Hochverfügbarkeit aktivierter logischer Router verteilt Routen nach dem Upgrade oder nach einer erneuten Bereitstellung nicht neu
      Wenn Sie einen logischen Router, auf dem Hochverfügbarkeit aktiviert ist, aktualisieren oder neu bereitstellen, verteilt der Router die Routen nicht neu.
    • OSPF kann nicht auf mehr als einem NSX Edge-Uplink konfiguriert werden
      Es ist nicht möglich, OSPF auf mehr als einem der NSX Edge-Uplinks zu konfigurieren.
    • Fehler beim Konfigurieren von IPSec VPN
      Wenn Sie den IPSec VPN-Dienst konfigurieren, wird möglicherweise folgender Fehler angezeigt:
      [Ipsec] Das localSubnet: xxx.xxx.xx.x/xx ist nicht erreichbar. Es muss über das statische Routing oder ein Subnetz von internen Edge-Schnittstellen erreichbar sein.
    • Probleme beim Löschen von EAM-Agencys
      Um EAM-Agencys erfolgreich aus ESX Agent Manager (EAM) zu entfernen, muss der NSX-Manager, der die den EAM-Agencys zugeordneten Dienste bereitgestellt hat, verfügbar sein.
    • Beim Löschen eines logischen Switches, der von einer Firewall-Regel verwendet wird, wird keine Warnung angezeigt
      Sie können einen logischen Switch löschen, auch wenn dieser gerade von einer Firewall-Regel verwendet wird. Die Firewall-Regel wird als ungültig markiert, aber der logische Switch wird ohne Hinweis darauf gelöscht, dass der Switch gerade von dieser Firewall-Regel verwendet wird.
    • Ein Mitglied des Lastausgleichspools zeigt eine Warnmeldung an
      Obwohl ein Mitglied des Lastausgleichspools eine Warnmeldung anzeigt, kann es weiterhin Datenverkehr verarbeiten. Sie können diese Meldung ignorieren.
    • Für einen logischen Router können keine nicht gekennzeichneten Schnittstellen konfiguriert werden
      Die VLAN-ID für den vSphere Distributed Switch, zu dem ein logischer Router eine Verbindung herstellt, darf nicht 0 sein.
    • L2 VPN mit IPV6 wird in dieser Version nicht unterstützt.
    • Es werden Firewallregeln angezeigt, die ungültige logische Switches als Quelle oder Ziel verwenden
      Ein logischer Switch kann unabhängig von der Firewallregel gelöscht werden. Da vor dem Löschen eines logischen Switches keine Bestätigungsmeldung angezeigt wird, löschen Sie möglicherweise einen logischen Switch, ohne zu bemerken, dass er in einer Firewallregel verwendet wird.
    • Nach dem Upgrade von 5.5 auf 6.0.x kommt es zu einem VXLAN-Konnektivitätsfehler, wenn die erweiterte LACP-Gruppierung aktiviert ist
      Wenn ein Datencenter mindestens einen Cluster enthält, in dem die erweiterte LACP-Gruppierung aktiviert ist, kann dies die Kommunikation zwischen zwei Hosts in den betreffenden Clustern beeinträchtigen. Dieses Problem tritt beim Upgrade von NSX 6.0.x auf NSX 6.1 nicht auf.
    • Die Richtlinienkonfiguration wird erst bei einer Konfigurationsänderung aktualisiert.
    • Deaktivieren Sie Egress-Optimierung.
    • Weisen Sie dem Lastausgleichsdienst eine andere IP-Adresse zu als die Egress-optimierte IP-Adresse.
    • Benennen Sie den aktuellen Standard-Firewall-Abschnitt nach dem Laden einer gespeicherten Konfiguration um.
    • Benennen Sie den Standardabschnitt in einer geladenen gespeicherten Konfiguration vor dem Veröffentlichen um.
    • Konfiguration des Netflow-Collector-Ports auf vDS
    • Konfiguration des SNMP-Zielports
  •  

    Systemanforderungen und Installation

    Weitere Informationen zu den Systemanforderungen und den Installationsanweisungen finden Sie im NSX Installation and Upgrade Guide .
    Die VMware-Produkt-Interoperabilitätsmatrix enthält Details zur Kompatibilität aktueller und vorheriger Versionen von VMware-Produkten und -Komponenten, wie z. B. VMware vCenter Server.

    Behobene Probleme

    Die folgenden Probleme wurden in der Version 6.1 behoben.

    Bekannte Probleme

    Bekannte Probleme gliedern sich wie folgt:

    Installations- und Upgrade-Probleme

    Beim Appliance-Upgrade wird kein Upgrade der NSX Edge-Version oder -Konfiguration ausgeführt
    Bei Vorgängen außer dem erneuten Bereitstellen und dem Aktualisieren, die das Bereitstellen einer neuen virtuellen Maschine oder das Ersetzen einer vorhandenen virtuellen Maschine erfordern (z. B. Ändern der Größen-, Ressourcenpool- oder Datenspeichereinstellung) wird die Appliance durch die neueste verfügbare Version ersetzt, aber es wird kein vollständiges Upgrade ausgeführt.
    Problemumgehung: Nach einem NSX Manager-Upgrade müssen Sie ein Upgrade von NSX Edge vornehmen, bevor Sie versuchen, andere der oben beschriebenen Vorgänge auszuführen.

    NSX Edge-Upgrade schlägt fehl, wenn L2 VPN auf Edge aktiviert ist
    L2 VPN-Konfigurations-Upgrade von 5.x oder 6.x auf 6.1 wird nicht unterstützt. Deshalb schlägt das Upgrade von Edge fehl, wenn L2 VPN darauf konfiguriert ist.
    Problemumgehung: Löschen Sie die L2 VPN-Konfiguration vor dem Aktualisieren von NSX Edge. Konfigurieren Sie L2 VPN nach dem Upgrade neu.

    SSL VPN sendet keine Upgrade-Benachrichtigung an den Remote-Client
    Das SSL VPN-Gateway sendet keine Upgrade-Benachrichtigung an den Benutzer. Der Administrator muss dem Remotebenutzer manuell mitteilen, dass das SSL VPN-Gateway (Server) aktualisiert wurde, und ihn bitten, den Client zu aktualisieren.

    Nach dem Aktualisieren von NSX von Version 6.0 auf 6.0.x oder 6.1 sind keine NSX Edges auf der Benutzeroberfläche aufgeführt
    Wenn Sie von NSX 6.0 auf NSX 6.0.x oder NSX 6.1 aktualisieren, wird das vSphere Web Client-Plug-In möglicherweise nicht ordnungsgemäß aktualisiert. Dies kann zu Anzeigeproblemen auf der Benutzeroberfläche führen, wie zum Beispiel fehlende NSX Edges.
    Dieses Problem tritt nicht beim Aktualisieren von NSX 6.0.1 oder höher auf.
    Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

    Damit wird die Bereitstellung des neuesten Plug-In-Pakets sichergestellt.

     

    vSphere Distributed Switch-MTU wird nicht aktualisiert
    Wenn Sie beim Vorbereiten eines Clusters einen MTU-Wert festlegen, der kleiner als der MTU-Wert des vSphere Distributed Switch ist, wird der vSphere Distributed Switch nicht auf diesen Wert aktualisiert. Damit soll sichergestellt werden, dass der vorhandene Datenverkehr mit der höheren Frame-Größe nicht versehentlich unterbrochen wird.
    Problemumgehung: Stellen Sie sicher, dass der MTU-Wert, den Sie beim Vorbereiten des Clusters festlegen, mindestens so groß wie der aktuelle MTU-Wert des vSphere Distributed Switch ist. Der erforderliche Mindest-MTU-Wert für VXLAN beträgt 1550.

    Wenn in Ihrer Umgebung kein Cluster vorbereitet ist, wird die Upgrade-Meldung für Distributed Firewall nicht auf der Registerkarte "Hostvorbereitung" der Installationsseite angezeigt
    Wenn Sie Cluster für die Netzwerkvirtualisierung vorbereiten, ist Distributed Firewall auf solchen Clustern aktiviert. Wenn in Ihrer Umgebung kein Cluster vorbereitet ist, wird die Upgrade-Meldung für Distributed Firewall nicht auf der Registerkarte "Hostvorbereitung" angezeigt.
    Problemumgehung: Verwenden Sie den folgenden REST-Aufruf, um die Distributed Firewall zu aktualisieren:
    PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

    Dienstgruppen werden in der Edge Firewall-Tabelle beim Upgrade von vCloud Networking and Security 5.5 auf NSX erweitert
    Von Benutzern erstellte Dienstgruppen werden in der Edge Firewall-Tabelle beim Upgrade erweitert, d. h., in der Spalte "Service" in der Firewall-Tabelle werden alle Dienste innerhalb der Dienstgruppe angezeigt. Wenn die Dienstgruppe nach dem Upgrade zum Hinzufügen oder Entfernen von Diensten modifiziert wird, werden diese Änderungen nicht in der Firewall-Tabelle widergespiegelt.
    Problemumgehung: Befolgen Sie die unten beschriebenen Schritte:

     

    Die Guest Introspection-Installation schlägt mit einem Fehler fehl
    Beim Installieren von Guest Introspection auf einem Cluster schlägt die Installation mit dem folgenden Fehler fehl:
    Ungültiges Format für VIB-Modul
    Problemumgehung: Wechseln Sie im vCenter Web Client zu "vCenter-Home" > "Hosts und Cluster" und starten Sie die Hosts neu, für die "Neustart erforderlich" angezeigt wird.

    Die Dienst-VM, die über die Registerkarte "Dienstbereitstellungen" auf der Installationsseite bereitgestellt wurde, wird nicht eingeschaltet
    Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

     

    Wenn ein in 6.0.x erstelltes Dienstprofil sowohl an eine Sicherheitsgruppe als auch eine verteilte Portgruppe bzw. einen logischen Switch gebunden ist, sind die Service Composer-Firewallregeln nach dem Upgrade auf NSX 6.1 nicht synchronisiert
    Wenn eine Dienstprofilbindung in 6.0.x sowohl mit einer Sicherheitsgruppe als auch einer verteilten Portgruppe oder einem logischen Switch erfolgt, sind die Service Composer-Regeln nach dem Upgrade auf 6.1 nicht synchronisiert. Die Regeln können nicht über die Service Composer-Benutzeroberfläche veröffentlicht werden.
    Problemumgehung: Befolgen Sie die unten beschriebenen Schritte.

     

    Allgemeine Probleme

    NSX vSphere-CPU-Lizenzen werden als VM-Lizenzen angezeigt
    NSX vSphere-CPU-Berechtigungen werden auf der Registerkarte "vSphere-Lizenzen" als VM-Berechtigungen angezeigt. Wenn ein Kunde z. B. Lizenzen für 100 CPUs hat, werden in der Benutzeroberfläche 100 VMs angezeigt.

    Der Server des vSphere Web Client 5.5 wird neu gestartet und auf die Benutzeroberfläche kann nicht mehr zugegriffen werden
    Wenn Sie die vCenter Server Appliance verwenden oder vCenter Server auf einer virtuellen Maschine ausführen, können Probleme auftreten, wenn die Appliance bzw. die virtuelle Maschine bestimmte Anforderungen nicht erfüllt.
    Problemumgehung: Stellen Sie sicher, dass die Appliance bzw. die virtuelle Maschine über mindestens 12 GB Arbeitsspeicher und einen Intel- oder AMD x64-Prozessor mit mindestens zwei logischen Cores mit einer Frequenz von jeweils mindestens 2 GHz verfügt.

    vSphere Web Client zeigt diesen Fehler an: Der Vorgang kann nicht abgeschlossen werden. Weitere Informationen finden Sie im Ereignisprotokoll
    Wenn Sie Dienste wie Guest Introspection oder eine Partner-Appliance über die Registerkarte Dienstbereitstellungen installieren, wird von vSphere Web Client möglicherweise der obige Fehler angezeigt. Dieser Fehler beeinträchtigt die Installation nicht, daher können Sie ihn ignorieren.

    Entfernen und erneutes Hinzufügen eines Hosts zu einem Cluster, der durch Guest Introspection und Lösungen von Drittanbietern geschützt wird, ist nicht möglich
    Wenn Sie einen Host aus einem durch Guest Introspection und Lösungen von Drittanbietern geschützten Cluster entfernen, indem Sie die Verbindung des Hosts zu vCenter Server trennen und ihn anschließend aus diesem entfernen, treten möglicherweise Probleme auf, wenn Sie versuchen, denselben Host erneut demselben Cluster hinzuzufügen.
    Problemumgehung: Um einen Host aus einem geschützten Cluster zu entfernen, versetzen Sie den Host zunächst in den Wartungsmodus. Verschieben Sie den Host im nächsten Schritt in einen nicht geschützten Cluster oder außerhalb aller Cluster. Trennen Sie dann die Verbindung und entfernen Sie den Host.

    Probleme beim NSX-Manager

    Beim Verlagern des NSX-Managers unter Verwendung von vMotion kann der folgende Fehler angezeigt werden: Die virtuelle Ethernet-Karte 'Netzwerkadapter 1' wird nicht unterstützt
    Sie können diesen Fehler ignorieren. Das Netzwerk funktioniert nach vMotion ordnungsgemäß.

    Dienste von Drittanbietern können nach dem Wiederherstellen von NSX-Manager-Sicherungen nicht gelöscht werden
    Bereitstellungen von einem oder mehreren Diensten von Drittanbietern können nur dann im vSphere Web Client gelöscht werden, wenn der wiederhergestellte Zustand des NSX-Managers die Dienstregistrierung der Drittanbieter enthält.
    Problemumgehung: Sichern Sie die NSX-Manager-Datenbank, wenn alle Drittanbieterdienste registriert worden sind.

    Probleme bei NSX Edge

    Durch das Aktivieren des ECMP-Routings (Equal Cost Multi-Path) auf einem logischen Router wird die Firewall auf der virtuellen Maschine des Router-Steuerelements deaktiviert
    Umgehung: Keine.

    Protokolle des dynamischen Routings werden auf Teilschnittstellen nicht unterstützt
    Umgehung: Keine.

    Das Hinzufügen einer dem Protokoll nach "verbundenen" Route führt dazu, dass in der FIB-Tabelle (Forwarding Information Base) sowohl verbundene als auch dynamisch gelernte Routen angezeigt werden
    Wenn Sie eine Route hinzufügen, die dem Protokoll nach bereits "verbunden" ist, werden in der lokalen FIB sowohl verbundene als auch dynamisch gelernte Routen angezeigt. Die dynamisch gelernte Route wird gegenüber der direkt verbundenen Route als bevorzugte Route angezeigt.
    Problemumgehung: Entfernen Sie die gelernte Route aus der Routen-Ankündigung, sodass sie aus der FIB-Tabelle gelöscht wird, und konfigurieren Sie nur die verbundene Route.

    Wenn eine NSX Edge-VM mit einer Teilschnittstelle, die durch einen logischen Switch gesichert ist, über die Benutzeroberfläche von vCenter Web Client gelöscht wird, funktioniert der Datenpfad eventuell nicht für eine neue virtuelle Maschine, die mit demselben Port verbunden ist
    Wenn die Edge-VM über die Benutzeroberfläche von vCenter Web Client (und nicht über NSX-Manager) gelöscht wird, wird der auf dvPort über einem opaken Kanal konfigurierte VXLAN-Trunk nicht zurückgesetzt. Die Trunk-Konfiguration wird nämlich von NSX-Manager verwaltet.
    Problemumgehung: Löschen Sie die VXLAN-Trunk-Konfiguration wie folgt manuell:

    Wenn "Standardeinstellung erzeugen" aktiviert ist, wird der BGP-Filter zum Ablehnen der Standardroute nicht angewendet
    Wenn "Standardeinstellung erzeugen" für BGP in NSX Edge aktiviert ist, wird die Standardroute ohne Einschränkung für alle BGP-Nachbarn angekündigt. Wenn ein BGP-Nachbar nicht die durch diesen BGP-Speaker angekündigte Standardroute installieren soll, müssen Sie eine Eingangsrichtlinie auf diesem BGP-Nachbarn zum Ablehnen der Standardroute konfigurieren.
    Problemumgehung: Konfigurieren Sie eine Eingangsrichtlinie auf dem entsprechenden BGP-Nachbarn zum Ablehnen der Standardroute.

    Implizite Ablehnungsregel für BGP-Filter wird auf Edge Services Gateway, aber nicht auf logischem Router erstellt
    Wenn ein BGP-Ausgangsnachbarfilter auf einem Edge Services Gateway konfiguriert wird, werden nur Präfixe mit einer expliziten Annahmerichtlinie angekündigt. Deshalb wird eine implizite Ablehnungsregel automatisch erstellt. Auf einem logischen Router werden alle Präfixe angekündigt, wenn sie nicht ausdrücklich gesperrt sind.
    Problemumgehung: Geben Sie beim Konfigurieren des BGP-Protokolls die Präfixe an, die entfernt werden müssen, auch wenn ein Ausgangsfilter erstellt wird.

    Im Bridge- oder Mandantennamen für den logischen Router können keine Nicht-ASCII-Zeichen hinzugefügt werden
    NSX-Controller-APIs unterstützen Nicht-ASCII-Zeichen nicht.
    Problemumgehung: Verwenden Sie ASCII-Zeichen in Bridge- und Mandantennamen. Sie können dann die Namen bearbeiten und Nicht-ASCII-Zeichen einfügen.

    SNAT und Lastausgleichsdienst (mit L4 SNAT), die auf der Teilschnittstelle konfiguriert sind, funktionieren nicht
    Die SNAT-Regelkonfiguration wird bei NSX Edge weitergeleitet, aber der Datenpfad für die Regel funktioniert wegen der RP-Filterprüfungen nicht.
    Problemumgehung: Wenden Sie sich an den Support von VMware, wenn Sie Hilfe beim Schwächen der RP-Filterprüfung in NSX Edge benötigen.

    Wenn Egress-Optimierung für L2 VPN aktiviert ist, wird der Lastausgleichsdienst mit Poolmitgliedern, die sich über die Site erstrecken, als ausgeschaltet angezeigt
    Bei Egress-Optimierung haben L2 VPN-Client und -Server dieselbe interne IP-Adresse. Deshalb kann kein Paket von einem Poolmitglied zum Lastausgleichsdienst NSX Edge erreichen.
    Problemumgehung: Führen Sie einen der folgenden Schritte aus.

    Statische Routen werden nicht per Push an Hosts übertragen, wenn keine Adresse für den nächsten Hop festgelegt ist
    Die Benutzeroberfläche ermöglicht es Ihnen, eine statische Route auf einem NSX Edge-Gerät zu erstellen, ohne eine Adresse für den nächsten Hop anzugeben. Wenn Sie keine Adresse für den nächsten Hop angeben, wird die statische Route nicht an die Hosts übertragen.
    Problemumgehung: Geben Sie für statische Routen immer eine Adresse für den nächsten Hop an.

    NSX-Firewall kann nicht unter Verwendung von Sicherheitsgruppen oder anderen Gruppierungsobjekten, die unter dem globalen Geltungsbereich definiert sind, konfiguriert werden
    Administratorbenutzer, die unter dem Geltungsbereich von NSX Edge definiert sind, können nicht auf Objekte zugreifen, die unter dem globalen Geltungsbereich definiert sind. Wenn beispielsweise Benutzer abc unter dem Geltungsbereich von NSX Edge und Sicherheitsgruppe sg-1 unter dem globalen Geltungsbereich definiert ist, kann abc die Sicherheitsgruppe sg-1 in der Firewall-Konfiguration auf dem NSX Edge nicht verwenden.
    Problemumgehung: Der Administrator darf nur Gruppierungsobjekte verwenden, die unter dem Geltungsbereich von NSX Edge definiert sind, oder er muss eine Kopie der global definierten Objekte unter dem Geltungsbereich von NSX Edge erstellen.

    LIF-Routen des logischen Routers werden durch das Upstream-Edge Services Gateway angekündigt, auch wenn OSPF auf dem logischen Router deaktiviert ist
    Das Upstream-Edge Services Gateway kündigt aus den mit dem logischen Router verbundenen Schnittstellen übernommene, OSPF-externe LSAs weiterhin an, auch wenn OSPF auf dem logischen Router deaktiviert ist.
    Problemumgehung: Deaktivieren Sie manuell die Neuverteilung der Routen in OSPF und veröffentlichen Sie vor dem Deaktivieren des OSPF-Protokolls. Auf diese Weise wird sichergestellt, dass die Routen ordnungsgemäß zurückgezogen werden.

    Wenn Hochverfügbarkeit (HA) auf einem Edge Services Gateway aktiviert ist und das OSPF-Hallo- bzw. Ausfallintervall auf andere Werte als 30 bzw. 120 Sekunden eingestellt ist, kann ein Teil des Datenverkehrs während eines Failovers verloren gehen
    Wenn das primäre NSX Edge fehlschlägt, während OSPF ausgeführt wird und HA aktiviert ist, überschreitet die bis zum Wechsel in den Standby-Modus benötigte Zeit die für einen unterbrechungsfreien Neustart festgelegte Höchstdauer und führt dazu, dass OSPF-Nachbarn gelernte Routen aus ihren FIB-Tabellen (Forwarding Information Base) entfernen. Dies führt zu einem Ausfall der Datenebene, bis OSPF erneut konvergiert.
    Problemumgehung: Stellen Sie die Standardwerte für die Zeitüberschreitung beim Hallo- bzw. Ausfallintervall auf allen benachbarten Routern auf 30 Sekunden für das Hallo- und auf 120 Sekunden für das Ausfallintervall. Dies ermöglicht ein erfolgreiches Failover ohne Verlust von Datenverkehr.

    Die Benutzeroberfläche erlaubt das Hinzufügen von mehreren IP-Adressen zur Schnittstelle eines logischen Routers, obwohl diese nicht unterstützt wird
    Diese Version unterstützt für die Schnittstelle eines logischen Routers nicht mehrere IP-Adressen.
    Problemumgehung: Keine.

    Beim Ändern von Anmelde- oder Abmeldeskripts wird ein Fehler angezeigt
    Wenn Sie ein Anmelde- oder Abmeldeskript ändern, wird der folgende Fehler angezeigt:
    ObjectNotFoundException: core-services:202: Das angeforderte Objekt "logon1.logoff" wurde nicht gefunden. Bei Objektbezeichnern wird die Groß- und Kleinschreibung berücksichtigt.
    Problemumgehung: Löschen Sie das vorhandene Skript und erstellen Sie ein neues mit geänderten Parametern.

    SSL VPN unterstützt keine Zertifikatswiderrufslisten (Certificate Revocation List, CRL)
    Sie können zwar eine CRL zu einem NSX Edge hinzufügen, aber diese CRL wird von SSL VPN nicht verarbeitet.
    Problemumgehung: CRL wird nicht unterstützt, aber Sie können die Benutzerauthentifizierung mit Clientzertifikatauthentifizierung aktivieren.

    Zum Hinzufügen eines externen Authentifizierungsservers zu SSL VPN-Plus muss eine IP-Adresse und kein Hostname verwendet werden
    Sie können den FQDN oder den Hostnamen des externen Authentifizierungsservers nicht verwenden.
    Problemumgehung: Sie müssen die IP-Adresse des externen Authentifizierungsservers verwenden.

    Firewall-Probleme

    Wenn Sie die Firewall-Konfiguration mit einem REST-API-Aufruf löschen, können Sie gespeicherte Konfigurationen nicht laden oder veröffentlichen
    Wenn Sie die Firewall-Konfiguration löschen, wird ein neuer Standardabschnitt mit einer neuen Abschnittskennung erstellt. Wenn Sie einen gespeicherten Entwurf (der denselben Abschnittsnamen, aber eine ältere Abschnittskennung hat) laden, entsteht ein Konflikt zwischen den Abschnittsnamen und der folgende Fehler wird angezeigt:
    Doppelter Schlüsselwert verletzt eindeutige Beschränkung firewall_section_name_key
    Problemumgehung: Führen Sie einen der folgenden Schritte aus:

     

    Wenn IPFix-Konfiguration für Distributed Firewall aktiviert ist, werden Firewallports in der ESXi-Verwaltungsschnittstelle für NetFlow für vDS oder SNMP möglicherweise entfernt
    Wenn ein Collector-IP und ein Port für IPFix definiert sind, wird die Firewall für die ESXi-Verwaltungsschnittstelle in der Ausgangsrichtung für die festgelegten UDP-Collector-Ports geöffnet. Mit dieser Operation wird die dynamische Regelsatzkonfiguration auf der ESXi-Verwaltungsschnittstellen-Firewall eventuell für die folgenden Dienste entfernt, wenn sie zuvor auf dem ESXi-Host konfiguriert waren:

    Problemumgehung: Um die dynamischen Regelsatzregeln wieder hinzuzufügen, müssen Sie die NetFlow-Einstellungen für vDS im vCenter Web Client aktualisieren. Sie müssen außerdem das SNMP-Ziel mithilfe von "esxcli system snmp"-Befehlen wieder hinzufügen. Diese Schritte müssen wiederholt werden, wenn der ESXi-Host neu gestartet wird, nachdem IPFix-Konfiguration aktiviert wurde, oder wenn das ESX-vsip-VIB auf dem Host deinstalliert wird.

     

    Guest Introspection-Probleme

    Alte Dienst-VMs funktionieren nicht
    Die Verbindung zu alten Dienst-VMs, die bei der Hostentfernung vom vCenter Server auf den Hosts zurückgelassen wurden, bleibt getrennt und diese Dienst-VMs funktionieren nicht, wenn der Host wieder demselben vCenter Server hinzugefügt wird.
    Problemumgehung: Befolgen Sie die unten beschriebenen Schritte