VMware NSX 4.2.1.3 发布 - 网络安全虚拟化平台

作者：sysin

2025-02-13
北京
本文字数：4019 字
阅读完需：约 13 分钟

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化。

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

VMware NSX 4.2.1.3 | 10 FEB 2025 | Build 24533884

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

NSX 概览

VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台，能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX，无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行，都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似，可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型，从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络，利用由 NSX 或范围广泛的第三方集成（从新一代防火墙到高性能管理解决方案）生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后，可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。

主要优势

通过自动化将网络置备时间从数天缩短至数秒并提高运维效率。
利用工作负载级微分段、工作负载级高级威胁防护和精细安全机制保护应用。
在不同的数据中心和原生公有云内，以及跨不同的数据中心和原生公有云之间，以独立于物理网络拓扑的方式，对网络和安全策略进行统一管理。
能够详尽显示应用拓扑状况、自动生成安全策略建议以及持续进行流监控。
采用内置的全分布式威胁防护引擎，支持对东西向流量的高级横向威胁防护。

应用场景

安全性 NSX 有助于在私有云和公有云环境中高效实现对应用的零信任安全保护。无论目标是锁定关键应用、以软件方式创建逻辑隔离区 (DMZ)，还是减小虚拟桌面环境的受攻击面，NSX 都可以通过微分段在单个工作负载级别定义和强制实施网络安全策略。
多云网络 NSX 提供网络虚拟化解决方案，可跨异构站点以一致的方式实现网络连接和安全性，从而精简多云运维。因此，NSX 可支持多种多云应用场景，从无缝数据中心扩展到多数据中心池化，再到工作负载快速移动。
自动化通过将网络和安全服务虚拟化，NSX 可以突破手动管理式网络和安全服务及策略的瓶颈，从而可以更快速地置备和部署全栈应用。NSX 与云管理平台和其他自动化工具（例如 vRealize Automation/vRealize Automation Cloud、Terraform、Ansible 等）原生集成，开发人员和 IT 团队能够按照业务要求的速度置备、部署和管理应用。
云原生应用的网络连接和安全性 NSX 为容器化应用和微服务提供集成式全栈网络连接和安全性，从而可以在开发新应用时针对每个容器提供精细策略。这可为微服务实现容器间的原生 L3 网络连接和微分段功能，并跨新旧应用提供网络连接和安全策略的端到端可见性。

VMware NSX 版本

Professional 版适用于需要敏捷的自动化网络连接及微分段功能，并且可能具有公有云端点的企业。
Advanced 版适用于以下企业：需要 Professional 版功能及高级网络和安全服务，与范围广泛的生态系统集成，且可能拥有多个站点。
Enterprise Plus 版适用于这样的企业：需要 NSX 提供的最先进的功能 (sysin)，以使用 vRealize Network Insight 执行网络运维、通过 VMware HCX® 实现混合云移动性，以及借助 NSX Intelligence 实现流量可见性和安全运维。
Remote Office Branch Office (ROBO) 版适用于要对远程办公室或分支机构中的应用进行网络连接和安全虚拟化改造的企业。

新增功能

VMware NSX 4.2.1.3 | 10 FEB 2025 | Build 24533884

新增功能参看：

VMware NSX 4.2 新增功能

VMware NSX 4.2.1.3 是一个更新版本，仅包含错误修复，修复了 22 个已知问题。

已解决的问题

已修复问题 3481219：防火墙 / NAT 规则在环回接口上应用。如果有任何适用的非 AT 规则，则对虚拟服务的负载平衡器服务可能会降低。
已修复问题 3478902：DNS 响应流量列出了 L4 规则，而不是 DNS 请求的 L7 规则，其中有 0 个记录。未使用正确的上下文配置文件检查 DNS 流量，可能导致处理不当和安全风险。
已修复问题 3476557：由于 IDS 签名流失败而发生多个完整的同步。新的配置更新可能不会反映在 “发现” 和 “操作” 页面中。
已修复问题 3481032：物理链路将上行链接配置文件从链接聚合（滞后）更改为裸露金属边缘上的多个隧道端点（TEP）之后下降。由于物理接口状态下降，因此在上行链路轮廓变化后，裸金属边缘上的连通性受到了影响。
已修复问题 3468857：ICMP 在主机交换机上配置了增强的 DataPath（EDP）时，可以通过分布式防火墙（DFW）删除目标生成的 ICMP“目标无法实现” 数据包。当 TCP/UDP 端口被阻止在目标中时，目标将 ICMP“目标无法实现” 数据包发送到源。当在主机交换机上配置增强的数据管道时，这些 ICMP 数据包被错误地处理为普通的 TCP/UDP 数据包，并且可以通过 DFW 删除。
已修复问题 3480984：FRR 日志文件大小增加到大尺寸，而没有任何日志文件旋转。边缘节点的内存消耗会增长，最终导致不稳定的边缘（边缘耗尽空间）。不稳定的边缘会导致潜在的流量 / 工作负载中断。
已修复问题 3479902：登录页面上缺少 “登录使用 vcenter-idp-federation” 的按钮。当 OIDC 用户从 NSX UI 登录时，他们没有一个选项可以重新登录为 OIDC 用户。
已修复问题 3479805：MP DHCP 服务器的备用搬迁属性在 MP 到政策促销后未保留。“启用待机重定位” 的数据未促进，并且在 DHCP 服务器配置中始终是错误的。促销后，客户将必须手动更新此此信息。
已修复问题 3479722：NSX Manager 节点 FQDNS 之一在 vCenter 扩展中添加了两次，而 NSX Manager（原始）节点 FQDNS 被遗漏了。因此，NSX 容器插件（NCP）吊舱正在下降。使用 vCenter 扩展时，NCP 由于拇指打印不匹配错误而坠毁。
已修复问题 3478975：当命令关闭已经在关闭状态中的边缘接口的命令被执行并在边缘上启用控制优先级（默认启用）时，Edge DataPath 会生成核心转储。此问题可能导致 NSX 边缘崩溃，从而影响所有基于边缘的服务和流量。爆炸崩溃的边缘出现并正常运行。
已修复问题 3477676：ESXI 上的内存资源约束可能会导致无法从边缘 VM 初始化虚拟 NIC，从而导致 DataPlane Coredump。这将导致 NSX 边缘的网络连接性，直到 DataPath 进程重新启动而在 ESXI 上没有内存约束。
已修复问题 3477677：在多个上行链路上重复流量，导致流量中断。当配置了 TN 襟翼的上行链路和具有更高的 TeamPolicyUpdelay 计时器值的上行链路团队策略时，将从所有上行链路中发送流量。这导致整个 TeamPolicyUpdelay 时间的交通黑洞。
已修复问题 3477173：使用 NSX Manager 版本 4.2.1 和有限的导出（LE）版本时，无法创建 UplinkProfile。用户无法制作 ESX 或 Edge 传输节点（TNS），因为他们无法创建 UplinkProfile。
已修复问题 3477171：在某些情况下，路径 MTU Discovery 不适用于 NSX T 边缘的 TCP 流量，如果配置了较低的 MTU，则可以在物理基础架构中删除带有 DF-PIT 集的大型 / JUMBO 数据包。当在边缘逻辑端口收到 TCP 数据包（MTU 高于端口的 MTU）时，如果该数据包具有 DF-BIT 集，则 Edge 均未发送 ICMP 需要折断错误消息保持 DF 位设置并按原样进行转发。
已修复问题 3476288：由于 ESX 主机上的内部功能之间的僵局，出现了紫色的死亡屏幕（PSOD）。当 VM 在 VM 上或 VM 时具有 VM 时，并且该主机上的同一段中还有其他覆盖层 VM，并且如果其他覆盖层正在将流量发送到 VM 或 VMOTINS 的 VM，则在 corne Case（race）条件）内部 ESX 功能可能发生僵局，导致 PSOD。 PSOD 可能导致停电和数据丢失。
已修复问题 3476287：该过程的核心转储是在从任何版本升级到 4.1.x 的过程中生成的，直到 4.2.1.2 ep。在升级期间可以看到 CFGAGENT 核心转储，这是 CFGAGENT 启动 / 重新启动步骤的一部分。 CFGAGENT CORE DUMP 可以在短时间内影响覆盖网络的网络配置 / 流量，直到 CFGAGENT 进程再次启动为止。
已修复问题 3476284：由于现有的运输区域参考已删除的运输区域概况，该集群中的 NSX 经理之一没有出现。NSX Manager 群集状态显示，随着影响节点上未出现的服务而退化。
已修复问题 3476404：当端到端延迟或实时跟踪（LTA）功能在配置的 HOST 上启用时，可以进行数据包重新排序。当在配置的 HOST 的增强网络堆栈（ENS）上启用端到端延迟或实时跟踪（LTA）功能时，数据包重新排序可能会在环境中引起性能影响。
已修复问题 3476281：内存泄漏发生在升级到 4.2.x 的加载平衡器（LB）过程中。在升级到 4.2.x 时，可能会出现内存，从而对在 eDGE 上运行的多个过程产生影响，在这些情况下，在这些情况下：当 LB 虚拟服务器中配置 SSL 以及在 LB Cookie Persistence Profile 中打开 “cookie cookbling” 时。
已修复问题 3475330：Broadcom NICS 上增强网络堆栈（Uens）模式的性能降解。与 Uens 停用时，用户观察到较低的 TCP 吞吐量。
已修复问题 3468859：以太网虚拟专用网络（EVPN）和容器流量在增强的网络堆栈（ENS）启用环境中受到影响。容器端口的流量会在设置中受到影响，在设置中，VM 内有多个容器，并且在环境中启用了 ENS。
已修复问题 3474778：当边缘错误地撤回广告的总路线到 RACK（TOR）开关的汇总路线时，特定路线的入站流量不起作用。当客户提供 NSX-T 边缘以宣传汇总摘要途径仅到 TOR（汇总路线的更具体的前缀（/32A））时，没有宣传），此问题被击中，Edge 撤回了聚合路线，尽管许多更具体的前缀（/32）出现，导致 tors 黑色 - 用于用于总路线的任何前缀的流量。