VMware NSX 4.2.3.3 发布,新增功能概览
VMware NSX 4.2.3.3 发布,新增功能概览 VMware NSX 4.2.3.3 - 网络安全虚拟化平台 构建具有网络连接和安全性的云智能网络,跨多种云环境支持一致的策略、运维和自动化。 请访问原文链接:https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org 网络虚拟化平台 VMware NSX 使用 VMware NSX,通过单一窗口像管理单个实体一样管理整个网络。 VMware NSX 4.2.3.3 | 27 JAN 2026 | Build 25171318 VMware NSX 4.2.3.3 是一个更新版本,包含错误修复以及以下新功能。 有关本版本中已修复问题的列表,请参见下方“已解决的问题”。 已修复问题 3585470:当 SCX Pod 崩溃、频繁重启或重新启动时,IDPS 告警“Security Services Health Degraded”未能稳定生成。 由于告警未生成,用户在 IDPS 安全服务降级时不会收到通知。 已修复问题 3604716:当 IDPS 服务(Turbo 模式)在低数据包速率(低于 1K PPS)下处理流量时,数据包会产生额外延迟。 在低流量条件下,由于每个数据包遇到额外延迟,应用响应时间可能会增加。 已修复问题 3504290:NSX Manager 节点在“start_manager”步骤升级失败。 由于 CORFU_NONCONFIG 服务器启动失败,NSX Manager 节点升级失败。在升级的“start_manager”步骤中,配置 Corfu 服务器启动时遇到竞争条件,导致 CORFU_NONCONFIG 服务器异常 (sysin),并持续将 CORFU_NONCONFIG 状态报告为“DEGRADED”。 已修复问题 3542426:在 NSX Federation 环境中,某些罕见情况下,备用全局管理器与主全局管理器的同步状态显示为 UNAVAILABLE。 在罕见场景(例如网络抖动、领导节点切换或服务重启)下,主备全局管理器之间的同步实际上是成功的,但 已修复问题 3569783:在重新配置分布式负载均衡器(DLB)或分布式防火墙(DFW)后,部分 DLB 连接未命中预期的 DFW 规则。 重新配置 DLB 或 DFW 后,某些 DLB 连接可能不再命中之前的 DFW 规则,而是命中默认 DFW 规则。如果默认 DFW 规则的动作为丢弃,则可能导致数据包被丢弃。 已修复问题 3582922:由于来宾操作系统发送的异常 IGMPv3 数据包,ESX 主机会发生紫屏(PSOD)。 来自来宾操作系统的异常 IGMPv3 数据包在 已修复问题 3590050:在新部署的 ESX 主机上,NSX 安装有时会失败。 当尝试在新加入的 ESX 主机上安装 NSX 时,用于将 ESX 主机加入 NSX Manager 集群的 CLI 命令可能失败,并返回错误 “curl_wrapper: (7) No APH UUID found in CheckTrusted RPC response”。 已修复问题 3617765:当规则更新使连接的当前规则失效时,Edge 上的数据路径 fastpath 线程会进入无限循环 (sysin),导致 CPU 使用率飙升至 100%。 通过 Edge 的流量会受到影响。 已修复问题 3616400:在高流量场景下,网关防火墙 NSGroup 中频繁更新 IP 地址可能会触发 Edge 节点上的 datapath 守护进程产生 core dump。 当 datapath 守护进程因 core dump 重启时,通过 Edge 的流量会受到影响。 已修复问题 3518994:Distributed Firewall(DFW)API 在 DFW 规则的字段(packet_count、byte_count、session_count、hit_count)显示了错误的统计值。 已修复问题 3614734:在频繁配置变更的情况下,竞争条件可能导致 Edge 上的 datapath 守护进程产生 core dump。 当使用已删除的安全组进行规则匹配时会触发 core dump,datapath 进程随后重启,从而影响流量。 已修复问题 3635224:新 Edge 安装、重新部署和扩容操作失败。 由于 Edge OVF 的签名证书已于 2026 年 1 月 3 日过期,导致 OVF 证书无法验证 (sysin),新 Edge 安装、重新部署和扩容操作失败。该问题适用于通过 NSX Manager UI、NSX API、vCenter、OVF Tool 或 SDDC Manager 进行的操作。 升级到 NSX 4.2.3.3 可解决此问题。 已修复问题 3630051:在记录高流量事件时,NSX IDPS 事件日志有时缺少空白字符,影响签名映射和威胁分析。 监控团队会间歇性地收到签名名称格式异常的事件数据,从而导致 IDPS 签名映射和威胁分析出现混乱和错误。 已修复问题 3605372:在极少数情况下,超时后删除 FQDN 域条目可能导致 ESXi 主机发生 PSOD。 主机发生 PSOD 后,其上运行的虚拟机会失去网络连接。 已修复问题 3519821:在日语界面中查看 Distributed Firewall(DFW)策略规则列表时 (sysin),规则数量显示为“{{totalRuleCount}} / {{viewedRuleCount}}”,而非实际数值。 当 NSX UI 切换为日语并进入 Distributed Firewall 策略页面查看或创建防火墙规则时,滚动规则列表,网格底部的分页/计数指示器未能将占位符替换为实际的数值。 已修复问题 3625943:将 NSX Manager 从 3.2.x 升级到 4.2.x 后,Tier-1 网关上的 DHCP 服务器因 IP 池重叠错误而处于失败状态。 在 NSX Manager UI 中,一些段仍处于 “IN-PROGRESS” 状态,所连接的 Tier-1 网关处于 “FAILED” 状态。该问题的影响仅限于 DHCP 配置更改,DHCP 服务器和 datapath 功能不受影响。 已修复问题 3516646:在 NSX Federation 中,使用 AR 通道的数据库操作出现问题。 在 NSX Federation 环境中,罕见的竞争条件可能导致 NSX 中的数据库操作出现问题,尤其是 Async-Replicator(AR)通道所使用的操作。由于 AR 通道用于全局管理器(GM)与本地管理器(LM)之间的通信,可能导致 GM 与 LM 之间的配置同步失败。 已修复问题 3619313:IpAddressAllocation 在更新完成后仍保持为 IN_PROGRESS 状态。 UI 中即使对象已完成更新,IpAddressAllocation 仍显示为 IN_PROGRESS。该问题仅为显示问题,不影响功能。 已修复问题 3626240:当 Edge 与 ESXi 主机共享同一 VLAN 用于 TEP 流量时,Edge 隧道会中断。 当跨不同主机时,Edge 隧道无法建立;当位于同一主机上时,隧道可以建立。 已修复问题 3626202:“Compute Manager Lost Connectivity” 告警未提供足够的解决指导。 在之前的版本中,该告警要求用户打开外部 KB 文档并执行多步骤操作来解决问题。 本版本增强了告警说明,通过直接引导用户前往 系统 → Fabric → Compute Managers 页面来解决问题,无需再查阅 KB 文档 (sysin),从而提升了易用性。 已修复问题 3618724:DHCP 中继在 VPC 子网中无法按预期工作。 当用户配置带有外部 DHCP 中继配置文件的 VPC(例如指向 192.168.110.10 的 “DHCP-Server”),并创建访问模式为 “Public” 的 VPC 子网时,该子网会被自动配置为 NSX 管理的 DHCP 服务器(例如 30.30.30.50),而不是使用 VPC 级别的 DHCP 中继配置。因此,连接到该 VPC 段的虚拟机会从 NSX DHCP 服务器而非预期的外部 DHCP 服务器(192.168.110.10)获取 IP 地址。 已修复问题 3607928:在启用 ENS 的环境中,当 vNIC 端口被停用时,主机会发生紫屏(PSOD)。 在端口停用过程中,ENS 在端口分离前存在一个宽限期,在此期间 datapath 线程仍可能运行。如果在所有 datapath 线程运行完成之前宽限期结束,则会触发 PSOD。 本版本针对导致该问题的变量提供了补充修复,并包含一些增强改进。 已修复问题 3605756:在大规模部署环境中收集支持包时,ESXi 主机会发生紫屏(PSOD)。 ESXi 内核模块维护了一个内部表,用于存储主机上所有逻辑交换机和路由域中的 VTEP 联合信息,以优化 datapath 处理并提升内存使用效率。在逻辑交换机和路由域中存在超过 2048 个唯一 VTEP 的大规模环境中,执行收集支持包的命令会导致缓冲区溢出,从而引发 PSOD。 已修复问题 3601750:在重新部署 Edge 节点或集群后,Tier-1 未向 Tier-0 通告服务接口路由。 该问题适用于从 NSX-V 迁移到 NSX-T 3.2.0 或更高版本的环境,且仅影响服务端口。服务端口配置中的一个参数(管理状态)在迁移和重新部署后未被设置,NSX Manager 将其视为关闭状态,从而停止通告服务接口路由。这会导致预期通过 Tier-0/VRF 的 Tier-1 服务接口网络流量失败。 已修复问题 3603918/3601174:在配置 RSPAN Destination 时,ESXi 主机会发生紫屏(PSOD)。 在 RSPAN 过程中,会为数据结构分配内存。由于缺陷,该内存未能及时释放,最终导致内存耗尽。后续的内存分配失败会进入循环,从而导致主机 PSOD。 已修复问题 3583257:NSX Manager 节点上多个服务处于错误状态。 在基础设施高负载的罕见情况下,运行在 NSX Manager 节点上的模块可能因 已修复问题 3580790:当 NSX Manager 上的 备份失败时,错误信息未明确指出失败是由于 已修复问题 3574090:升级后,NSX Manager 节点与所有传输节点及其他管理器节点失去管理连接 (sysin)。 在升级过程中,如果在部署时启用了软件完整性检查功能,NSX Manager 节点的管理 IP 地址在重启后无法保持。 已修复问题 3567393:裸金属 Edge 的数据平面转发受影响,datapath 配置处于错误状态,且 Edge datapath 的 CLI 无法使用。 在罕见情况下,当将配置从基于 bond 的单 VTEP 更改为基于独立 pNIC 的多 VTEP 时,裸金属 Edge 节点可能出现 datapath 影响。在配置变更过程中,两个系统进程相互等待并永久阻塞,导致两个进程冻结。 已修复问题 3546893:计划任务备份未执行。 由于计划备份未运行,客户只能执行手动备份。 已修复问题 3534050:在存储故障后,Edge datapath 服务无法启动。 由于 Tx 或 Rx 环大小无效,Edge datapath 服务启动失败,导致数据平面转发完全中断。 已修复问题 3529732:NSX Manager 的 syslog 未记录 NSX 用户成功登录事件。 日志中仅记录实际操作,而未记录相对被动的登录行为。 已修复问题 3514331:在主机上使用 Broadcom 网卡承载 Geneve 流量时,当带有错误 L4 校验和的数据包通过 Tier-0 上行链路进入 Edge VM,会被错误地更新内部 L4 校验和并通过 Geneve 转发至南向的工作负载虚拟机。 客户无法通过 HTTPS 下载文件。 已修复问题 3486896:在 NSX Manager 中导航至升级页面会出现错误 “Reboot less upgrade cannot be disabled for vSphere Lifecycle Managed cluster”,且升级 API 返回 “Internal server error”。 如果将无重启升级配置设置为 false,且主机集群启用了 vLCM,则在主机计划验证阶段同步计划会失败,导致所有升级 API 失败,升级无法完成。 通过此修复,如果当前无重启配置被设置为 false,则会为启用了 vLCM 的组重置该配置。 想要开始学习和研究? 请访问:https://sysin.org/blog/vmware-nsx-4/ 相关产品:
新增功能
已解决的问题
active_standby_sync_statuses 显示为“UNAVAILABLE”。该问题仅影响状态显示,不影响实际功能。McastFilterProcessIGMPv3Report() 中由于分组信息过大而导致 PSOD。/api/v1/infra/domains/default/security-policies/default-layer3-section/statistics 中返回错误的统计信息。org.bouncycastle.crypto.fips.FipsOperationError 异常而进入错误状态。该异常表示 BouncyCastle 的 FIPS 认证加密模块(BCFIPS)由于底层操作系统提供的熵不足(随机数不够随机),未能通过连续自检,从而初始化失败。NSX Manager 上运行的模块均为 FIPS 合规,并依赖 BCFIPS 来维持该合规性。/tmp 目录已满时,备份操作失败但未指明失败原因。/tmp 磁盘空间已满导致的。下载地址