VMware NSX 4.2.1.2 发布 - 网络安全虚拟化平台

作者：sysin

2025-01-20
北京
本文字数：3483 字
阅读完需：约 11 分钟

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化。

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

VMware NSX 4.2.1.2 | 10 Jan 2025 | Build 24476729

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

NSX 概览

VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台，能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX，无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行，都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似，可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型，从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络，利用由 NSX 或范围广泛的第三方集成（从新一代防火墙到高性能管理解决方案）生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后，可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。

主要优势

通过自动化将网络置备时间从数天缩短至数秒并提高运维效率。
利用工作负载级微分段、工作负载级高级威胁防护和精细安全机制保护应用。
在不同的数据中心和原生公有云内，以及跨不同的数据中心和原生公有云之间，以独立于物理网络拓扑的方式，对网络和安全策略进行统一管理。
能够详尽显示应用拓扑状况、自动生成安全策略建议以及持续进行流监控。
采用内置的全分布式威胁防护引擎，支持对东西向流量的高级横向威胁防护。

应用场景

安全性 NSX 有助于在私有云和公有云环境中高效实现对应用的零信任安全保护。无论目标是锁定关键应用、以软件方式创建逻辑隔离区 (DMZ)，还是减小虚拟桌面环境的受攻击面，NSX 都可以通过微分段在单个工作负载级别定义和强制实施网络安全策略。
多云网络 NSX 提供网络虚拟化解决方案，可跨异构站点以一致的方式实现网络连接和安全性，从而精简多云运维。因此，NSX 可支持多种多云应用场景，从无缝数据中心扩展到多数据中心池化，再到工作负载快速移动。
自动化通过将网络和安全服务虚拟化，NSX 可以突破手动管理式网络和安全服务及策略的瓶颈，从而可以更快速地置备和部署全栈应用。NSX 与云管理平台和其他自动化工具（例如 vRealize Automation/vRealize Automation Cloud、Terraform、Ansible 等）原生集成，开发人员和 IT 团队能够按照业务要求的速度置备、部署和管理应用。
云原生应用的网络连接和安全性 NSX 为容器化应用和微服务提供集成式全栈网络连接和安全性，从而可以在开发新应用时针对每个容器提供精细策略。这可为微服务实现容器间的原生 L3 网络连接和微分段功能，并跨新旧应用提供网络连接和安全策略的端到端可见性。

VMware NSX 版本

Professional 版适用于需要敏捷的自动化网络连接及微分段功能，并且可能具有公有云端点的企业。
Advanced 版适用于以下企业：需要 Professional 版功能及高级网络和安全服务，与范围广泛的生态系统集成，且可能拥有多个站点。
Enterprise Plus 版适用于这样的企业：需要 NSX 提供的最先进的功能 (sysin)，以使用 vRealize Network Insight 执行网络运维、通过 VMware HCX® 实现混合云移动性，以及借助 NSX Intelligence 实现流量可见性和安全运维。
Remote Office Branch Office (ROBO) 版适用于要对远程办公室或分支机构中的应用进行网络连接和安全虚拟化改造的企业。

新增功能

VMware NSX 4.2.1.2 发行说明是一个更新版本，仅包含错误修复。有关此版本中已解决的问题列表，请参阅 “已解决的问题”。有关 NSX 4.2.1 中引入的新功能列表请参看：

VMware NSX 4.2.1 新增功能

已解决的问题

已修复问题 3457020/3451703：vDefend Gateway Firewall 的规则匹配问题。当 Gateway Firewall 规则配置了多个重叠地址集时，流量可能会与不正确的防火墙规则匹配。有关更多信息，请参阅知识库文章 382935。
已修复问题 3469038：裸机 Edge ISO 安装失败。从 NSX Edge ISO 映像新安装受影响版本（4.2.0 到 4.2.1.1 EP）的裸机 Edge 将失败，状态代码为 100。但是，现有用户将其实例从 4.2.0 或更高版本升级到任何 NSX 版本时，不会遇到此问题。
已修复问题 3459259：裸机 Edge 升级失败。带有 Intel E810 DDP 驱动程序的裸机 Edge 无法升级到受影响的版本（4.2.1 和 4.2.1.1 EP）。
已修复问题 3465858：在 L4 虚拟服务器中禁用源 IP 持久性时，负载均衡器 nginx 主进程崩溃。所有实时 L7 连接都会受到影响。当主 nginx 进程崩溃并重新启动时，用于新 L4 和 L7 连接的 LB 服务将不可用。
已修复问题 3465853：由于以不同的格式创建逻辑路由器端口关系，从 Tier-0 到上行链路设备的连接中断。从 Tier-0 到上行链路设备的连接中断，这可能会导致网络中断。
已修复问题 3466655：升级到受影响的版本（4.2.0 及更高版本到 4.2.1.1 EP）后，客户无法打开计划备份或修改备份配置。无法执行计划备份或修改备份配置。
已修复问题 3466841：DFW 规则可能无法按预期工作，并可能由于丢失标记而导致网络中断。由于产品版本不匹配，ESX 主机不会更新标记。由于虚拟机丢失标记，DFW 规则不起作用。
已修复问题 3464729：无法删除环回接口。使用环路接口作为隧道源地址时，由于 GRE 隧道错误地与其关联，因此删除环路接口失败。
已修复问题 3464725：未将 Edge 数据路径 QoS 配置收集到 Edge 支持包中。Edge 支持捆绑包中没有可用的 QoS 数据。
已修复问题 3464720：引用受影响全局组的全局防火墙规则在远程站点的适用主机上无法按预期工作。在联合环境中，如果将本地组引用为动态嵌套组的全局组中的子组，则当全局防火墙规则中使用全局组时，本地组成员不会反映在另一个站点中。
已修复问题 3464718：重新应用 Edge vNIC 控制优先级筛选器，因此可能会在 Edge 上观察到流量中断。重新应用 Edge vNIC 控制优先级筛选器时，可能会出现流量中断。
已修复问题 3464701：配置静态路由时，无法更新 Tier-1 接口子网 IP 地址。客户无法更新 Tier-1 接口的子网地址。
已修复问题 3464697：Edge 上可能会发生意外的 HA 操作。在集群中的 Edge 之间使用多 VTEP 时，由于 BFD 行为不正确，导致 Edge 集群状态不正确，因此会发生意外的 HA 操作。
已修复问题 3465755：工作负载虚拟机 / Edge 虚拟机在 vMotion 后断开连接，从而导致流量中断。在配置了 VRNI 延迟配置文件的情况下，在升级期间在 4.2 之前的主机和 4.2.X 主机之间迁移工作负载 / 边缘虚拟机时，会发生流量中断。
已修复问题 3464732：防火墙 ListSections MP API 响应不完整，有分页。ListSection MP API 会跳过分页响应中具有重复优先级值的防火墙部分。
已修复问题 3464735：由于内存无效，NSX-T Edge 数据路径崩溃并重新启动。在处理大量过期的 FTP 连接时，由于内存无效，NSX-T Edge 数据路径进程崩溃并重新启动。
已修复问题 3464738：当组包含 IP 范围时，组关联 GET API/CLI/UI 请求有时不返回预期值。当组包含 NSX 4.2.1 或更早版本中使用的 IP 范围时，组关联 API/CLI/UI 可能不会返回预期值。
已修复问题 3464696：CCP 为其传播不正确的过时 ARP 绑定的虚拟机上出现网络中断。当满足以下条件时，CCP 可能会发布过时的 ARP 记录，该记录将虚拟机 IP 映射到过时的 MAC，而不是具有相同 IP 绑定的新 MAC：
将 VM 移动到其他主机（未报告 VIF 删除）。
CCP 在源主机可以更新 CCP 有关 VIF 删除的信息之前崩溃。
已修复问题 3464656：通过 Edge CLI 为虚拟服务器启用规则日志时，NSX Load Balancer CONF 进程持续崩溃。稍后，将删除同一虚拟服务器，并重新启动边缘节点或 Load Balancer Docker。出现问题时，客户将无法在 Load Balancer 上进行配置更改。
已修复问题 3463380：在 “仅安全” 安装中，vCenter 可能会因 vCenter VPXD 数据库中的端口组条目无效或重复而崩溃。当 vCenter 上的 VPXD 服务由于 NSX 推送的 vCenter VPXD 数据库中的无效端口组条目而崩溃时，可能会发生网络中断。
已修复问题 3457008：删除成员索引为 0 的边缘节点上的所有 VRF 访问端口可能会为父 Tier-0 上的中继路由器端口留下失效的条目。在父 Tier-0 上，客户可能无法创建连接到过时中继路由器端口所连接的同一分段的外部接口。