Introducción

Después de hablar hace poco sobre NSX-T 2.4 nos llega como del cielo NSX-T 2.4.1 con un montón de correciones e importantes cambios de integración. A continuación os comento todo ello.

¿Qué hay de nuevo?

VMware HCX ahora es compatible con VMware NSX-T 2.4.1 para la migración de máquinas virtuales a implementaciones basadas en NSX-T locales. Esto permite a los clientes migrar en masa máquinas virtuales desde NSX Data Center for vSphere a NSX-T, desde las migraciones entre sitios de NSX-t a los de NSX-T y los entornos que no son de NSX vSphere a los entornos SDDC basados en NSX-T.

Principales FIX en NSX-T 2.4.1

• Problema solucionado 2243415: cliente incapaz de desplegar el servicio NXGI usando el switch lógico (como red de administración)

En la pantalla de despliegue NXGI, el usuario no puede ver un switch lógico en el control de selección de red. Si la API se utiliza directamente con el switch lógico mencionado como red de administración, el usuario verá el siguiente error: «red especificada no accesible para la implementación del servicio.»

• Problema solucionado 2248345: después de la instalación de NSX-T Edge, la máquina arranca con una pantalla negra en blanco.

No se puede instalar NSX-T Edge en la máquina HPE ProLiant DL380 Gen9.

• Problema solucionado 2264386: la eliminación del nodo de transporte tiene lugar aunque el nodo de transporte forma parte del grupo NS

La eliminación del nodo de transporte está permitida incluso cuando el nodo forma parte de un grupo NS. La eliminación debe evitarse. Si encuentra este problema, debe volver a crear los grupos NS y reconstruir las relaciones con sus nodos de transporte.

• Problema solucionado 2275869: el registro de cfgAgent se traspasa en < 1 minuto en el host ESXi si las reglas del host tienen etiquetas de más de 31 caracteres

Las enrollaciones de registros frecuentes pueden provocar la pérdida de información útil en cfgAgent. log para depurar y solucionar problemas en el host. Ubicación de registro en el host ESXi:/var/log/cfgagent.log

• Problema solucionado 2288872: estado de instalación que se muestra como «nodo no listo»

El nodo perimetral no se va a incorporar. El estado de configuración de nodo de transporte es Pending y, por tanto, no se puede Agregar a un clúster perimetral. Ubicación del registro:/var/log/Proton/nsxapi.log

• Problema solucionado 2291267: la sección de política de pasarela predeterminada creada por PCM no tiene asignado ningún número de secuencia, por lo que la política se predetermina en 0

Si un usuario crea directivas de puerta de enlace sin números de secuencia o opciones insert_top, se produce un conflicto de directiva. Ubicación del registro:/var/log/Policy/Policy.log

• Problema solucionado 2292995: el estado de realización se establece en error aunque todas las reglas configuradas están programadas en OVS

La API da una falsa impresión negativa incluso cuando las reglas de DFW se programan en el plano de datos.

• Problema solucionado 2285117: la actualización del kernel en máquinas virtuales NSX administradas no se admite

En algunas imágenes de Marketplace de Linux Ubuntu, el kernel se actualiza automáticamente al reiniciar la máquina virtual. Como resultado, el NSX-Agent no funciona como se esperaba. Aunque el agente NSX puede parecer funcional, habrá algunas políticas de red no realizadas que afectarán al NSX-Agent. El agente reintenta realizar estas directivas una y otra vez, causando un uso elevado de la CPU.

Problema solucionado 2288509: la propiedad MTU no se admite para la interfaz de servicio Tier0/Tier1 (puerto de servicio central)

La propiedad MTU no se admite para la interfaz de servicio Tier0/Tier1 (puerto de servicio central).

• Problema solucionado 2266553: en NSX-T 2.4.1 Appliance, es posible que un servicio no se inicialice en su primer arranque

El nodo implementado no puede atender solicitudes o no puede formar un clúster.

• Problema solucionado 2288773: la API de protocolo TLS antigua todavía disponible, se sobrescribe

NSX-T 2.4.1 tiene una nueva API para configurar las versiones del protocolo NSX TLS y los conjuntos de cifrado, que actualiza todos los nodos de un clúster de NSX-T. Sin embargo, la API antigua sigue estando disponible. Esto se puede utilizar, pero los ajustes nuevos se sobrescribirán con la configuración global.

• Problema solucionado 2269901: la interfaz VMK no se incluye en la captura de paquetes CLI

Este comando no se puede ejecutar hasta la versión NSX-T 2.4.1.

• Problema solucionado 2275985: los vNICs no conectados al switch lógico se enumeran como opciones para los miembros directos de NSGroup

Un VNIC que no está conectado con un switch lógico se agrega como miembro directo del NSGroup. La operación se realiza correctamente, pero las directivas aplicadas en ese grupo no se aplican en el VNIC.

• Problema solucionado 2279973: si se crea un grupo en blanco y la actualización continúa, después de la actualización de MP, ese grupo en blanco se muestra como no iniciado

Esto ocurre si se crea un grupo en blanco y la actualización continúa. NSX-T 2.4.1 acaba con este problema

• Problema solucionado 2288921: el estado de la actualización sale de sincro cuando se agregan nodos perimetrales de la versión antigua

El estado de actualización queda fuera de sincro si el usuario agrega nodos perimetrales de una versión anterior después de la actualización de Edge. Esto causa los problemas en continuar la llamada de la actualización.

• Problema solucionado 2289278: Policy API inicia el error pero permite la configuración de varios servidores virtuales con el mismo grupo con un perfil de persistencia diferente

El sistema no admite la configuración de tipos de persistencia conflictivas para el mismo grupo para diferentes LbVirtualServers. Sin embargo, la Directiva no puede validar/rechazar correctamente la entrada en conflicto y permite la configuración. Posteriormente, la política muestra una alarma con el mensaje de error.

• Problema solucionado 2290083: falta la validación al crear un segmento basado en VLAN

Cuando se especifica una zona de transporte de VLAN con una propiedad de ID de VLAN, el sistema no puede validar e identificar el error. Como resultado, la intención fallará durante la realización y producirá un error.

• Problema solucionado 2290669: a medida que aumenta el número de servidores virtuales, el tiempo de configuración para cada uno aumenta

A medida que aumenta el número de servidores virtuales, el tiempo de configuración de cada uno aumenta debido a un gran numero de validación. Para los primeros 100 servidores virtuales, el tiempo medio de respuesta es de aproximadamente 1 segundo. Después de 250 servidores virtuales, el tiempo de respuesta promedio aumenta a 5-10 segundos. Después de 450 servidores virtuales, el tiempo de respuesta aumenta a alrededor de 30 segundos.

• Problema solucionado 2291872: el mensaje del registro muestra un mensaje de advertencia cuando el servicio TFTP se utiliza en la regla del firewall

El mensaje del registro muestra el mensaje de advertencia irrelevante cuando el servicio TFTP se utiliza en la regla del firewall. Ubicación de registro en el nodo ESXi: /var/log/cfgagent.log.

• Problema solucionado 2292096: el comando CLI «Get Service router config Route-Maps» devuelve una salida vacía

El comando CLI «Get Service router config Route-Maps» devuelve una salida vacía incluso cuando se configuran los Route-Maps. Esto es sólo un problema de visualización resuelto en NSX-T 2.4.1

• Problema solucionado 2292526: mensaje «host no accesible» que se muestra al agregar el host

Al agregar un host ESXi, se muestra el mensaje «host no accesible», pero se especifica el motivo. La causa probable es Credenciales incorrectas.

• Problema solucionado 2292701: el usuario no puede actualizar el número de secuencia en un mapa de enlace

El usuario no puede cambiar el orden o la precedencia de los perfiles aplicados a una entidad actualizando el número de secuencia.

• Problema solucionado 2293227: después de la actualización a 2.4, las reglas IDFW no se aplican para las máquinas virtuales que ejecutan VMTools 10.3.5

Después de realizar una actualización de NSX-T en vivo, no se aplican las reglas IDFW para las máquinas virtuales que ejecutan VMTools 10.3.5, lo que resulta en una posible pérdida de protección AV para esas máquinas virtuales.

• Problema solucionado 2994002: Tier1 no aparece en la lista desplegable de puerta de enlace Tier0/Tier1 para la selección en la creación de reenviador de DNS

En una implementación a gran escala con miles de registros, Tier1 no aparece en la lista desplegable puerta de enlace Tier0/Tier1 para la selección en el flujo de trabajo de creación de reenviador de DNS. Como resultado, debe usar la API para configurar la creación de reenviador de DNS.

• Problema solucionado 2294345: la ejecución de la clasificación de detección de aplicaciones en un grupo con máquinas virtuales hospedadas en ESXi y en KVM puede fallar

La característica de detección de aplicaciones solo se admite en los hipervisores de ESXi. Para los grupos de máquinas virtuales que se encuentran en hosts mixtos que incluyen hosts no admitidos, no se garantizan los resultados de la clasificación de detección de aplicaciones.

• Problema solucionado 2294821: la información del dispositivo NSX se muestra en el panel de supervisión del clúster con el error «error al eliminar el nodo» sin ninguna orientación para que el usuario controle la situación.

Este problema se ha observado después de que el usuario haya intentado borrar el nodo desplegado automáticamente vía la interfaz, y el apagar del nodo ha fallado. Si el clúster pierde un nodo, debe agregar manualmente un nuevo nodo y limpiar los Estados de configuración utilizando la solución siguiente.

• Problema solucionado 2281095: cuando el host que ha implementado SVM se volvió a agregar al mismo clúster, no se activó ninguna devolución de llamada desde EAM

Todas las máquinas virtuales guest podrían estar desprotegidas. La interfaz de usuario de NSX no se encuentra en estado de progreso.

• Problema solucionado 2295564: la Conectividad del controlador de nodo perimetral puede bajar después de actualizar de 2,3 a 2,4

Este es un problema intermitente que afectará a algunos tráfico norte-sur.

• Problema solucionado 2273651-después de eliminar el nodo de transporte, el usuario no puede hacer SSH en el host.

Observados en implementaciones KVM. El usuario elimina un nodo de transporte y recibe un mensaje de que la eliminación se realizó correctamente. Sin embargo, después el usuario no puede acceder el mismo host vía SSH. El problema probablemente se debe a la presencia de un conmutador virtual abierto (OVS) que no está gestionado por NSX-T y que probablemente se instaló previamente como parte de la plantilla KVM.

• Problema solucionado 2297157: el modo FIPS afecta al rendimiento de HTTPS de equilibrio de carga.

El rendimiento del equilibrio de carga puede verse afectado negativamente cuando se habilita el modo FIPS predeterminado.

• Problema solucionado 2290688-la actualización de las máquinas virtuales Windows 2016 en AWS falla.

La actualización de varias máquinas virtuales de carga de trabajo de Windows falla en AWS. El estado de actualización de VM se muestra en el portal de AWS como atascado en «1/2 comprobar.» Reintentar falla también. Este problema solo se observa en las mismas actualizaciones de la versión de NSX-T.

• Problema solucionado 2203863-las reglas de Firewall de identidad no son compatibles con el tráfico UDP y ICMP.

Las reglas de Firewall de identidad no funcionan con las pruebas de ping la funcionalidad actual solo se admite para tráfico TCP.

• Problema solucionado 2281537-después de la migración, el nodo de transporte de ESXi con multi-VTEP no puede iniciar la sesión de BFD.

Después de migrar un nodo de NSX-V a NSX-T, el nodo de transporte de ESXi con multi-VTEP no puede iniciar la sesión de BFD en todos los VTEPs en los nodos perimetrales.

• Solucionado el problema 2297918-post-upgrade de 2.3.1 a 2.4, incapaz de eliminar NSX del clúster.

Después de actualizar un clúster de 2.3.1 a 2,4, NSX-T no se puede quitar y se produce un error con el siguiente mensaje: «no se pudo quitar NSX en el clúster: existe una plantilla de nodo de transporte o una colección de nodos de transporte relacionadas para esta plantilla de tejido. La plantilla de nodo de transporte o la colección de nodos de transporte deben eliminarse antes de eliminar o deshabilitar esta plantilla.

• Problema solucionado 2298499-la VPN falla entre el gateway de la nube pública y el host del par si el gateway no se despliega con el IP público.

El túnel VPN entre el Public Cloud Gateway (PCG) y el host del par no se puede establecer si el PCG se despliega sin una dirección IP pública en el uplink. La razón es que el PCG por abandono está realizando el SNAT en el tráfico VPN por abandono.

• Problema solucionado 2339832: no se puede aplicar el certificado de nodo o establecer el certificado de clúster con un certificado firmado por una entidad emisora de certificados.

Esto da como resultado mensajes «error al actualizar el uso de certificados.» o «se ha producido un error al establecer el certificado del clúster.» Esto puede deberse a la aplicación repetida de certificados, alternando entre los certificados de nodo y el certificado de clúster. El certificado no se aplicará correctamente y es posible que las llamadas a la API de REST a través de la VIP dejen de funcionar. Ubicación del registro:/var/log/Proton/nsxapi.log. Con NSX-T 2.4.1 se soluciona.

Si encuentra este error antes de actualizar a 2.4.1, use certificados autofirmados en su lugar.

Gracias por leer y compartir