VMware NSX 4.2.3.3 发布，新增功能概览-育师

VMware NSX 4.2.3.3 发布，新增功能概览

VMware NSX 4.2.3.3 - 网络安全虚拟化平台

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化。

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

VMware NSX 4.2.3.3| 27 JAN 2026 | Build 25171318

新增功能

VMware NSX 4.2.3.3 是一个更新版本，包含错误修复以及以下新功能。

在裸金属 Edge 节点上支持 NVIDIA Mellanox ConnectX-6 Lx SmartNIC（CX6 LX）。
Edge 传输节点的重新部署工作流会在启动重新部署之前，先校验用户提供的 vCenter 配置（例如 vCenter、计算资源和数据存储 ID）。如果检测到 vCenter 配置不正确，重新部署将停止并抛出错误。
在之前的版本中，由证书过期触发的告警并未清晰指示如何替换证书 (sysin)，通常需要使用 CARR 脚本进行手动干预。从本版本开始，告警会引导用户前往相关的 UI 页面进行证书替换，无需再使用 CARR 脚本，使证书过期后的恢复更加简便。

有关本版本中已修复问题的列表，请参见下方“已解决的问题”。

已解决的问题

已修复问题 3585470：当 SCX Pod 崩溃、频繁重启或重新启动时，IDPS 告警“Security Services Health Degraded”未能稳定生成。

由于告警未生成，用户在 IDPS 安全服务降级时不会收到通知。

已修复问题 3604716：当 IDPS 服务（Turbo 模式）在低数据包速率（低于 1K PPS）下处理流量时，数据包会产生额外延迟。

在低流量条件下，由于每个数据包遇到额外延迟，应用响应时间可能会增加。

已修复问题 3504290：NSX Manager 节点在“start_manager”步骤升级失败。

由于 CORFU_NONCONFIG 服务器启动失败，NSX Manager 节点升级失败。在升级的“start_manager”步骤中，配置 Corfu 服务器启动时遇到竞争条件，导致 CORFU_NONCONFIG 服务器异常 (sysin)，并持续将 CORFU_NONCONFIG 状态报告为“DEGRADED”。

已修复问题 3542426：在 NSX Federation 环境中，某些罕见情况下，备用全局管理器与主全局管理器的同步状态显示为 UNAVAILABLE。

在罕见场景（例如网络抖动、领导节点切换或服务重启）下，主备全局管理器之间的同步实际上是成功的，但active_standby_sync_statuses显示为“UNAVAILABLE”。该问题仅影响状态显示，不影响实际功能。

已修复问题 3569783：在重新配置分布式负载均衡器（DLB）或分布式防火墙（DFW）后，部分 DLB 连接未命中预期的 DFW 规则。

重新配置 DLB 或 DFW 后，某些 DLB 连接可能不再命中之前的 DFW 规则，而是命中默认 DFW 规则。如果默认 DFW 规则的动作为丢弃，则可能导致数据包被丢弃。

已修复问题 3582922：由于来宾操作系统发送的异常 IGMPv3 数据包，ESX 主机会发生紫屏（PSOD）。

来自来宾操作系统的异常 IGMPv3 数据包在McastFilterProcessIGMPv3Report()中由于分组信息过大而导致 PSOD。

已修复问题 3590050：在新部署的 ESX 主机上，NSX 安装有时会失败。

当尝试在新加入的 ESX 主机上安装 NSX 时，用于将 ESX 主机加入 NSX Manager 集群的 CLI 命令可能失败，并返回错误 “curl_wrapper: (7) No APH UUID found in CheckTrusted RPC response”。

已修复问题 3617765：当规则更新使连接的当前规则失效时，Edge 上的数据路径 fastpath 线程会进入无限循环 (sysin)，导致 CPU 使用率飙升至 100%。

通过 Edge 的流量会受到影响。

已修复问题 3616400：在高流量场景下，网关防火墙 NSGroup 中频繁更新 IP 地址可能会触发 Edge 节点上的 datapath 守护进程产生 core dump。

当 datapath 守护进程因 core dump 重启时，通过 Edge 的流量会受到影响。

已修复问题 3518994：Distributed Firewall（DFW）API 在/api/v1/infra/domains/default/security-policies/default-layer3-section/statistics中返回错误的统计信息。

DFW 规则的字段（packet_count、byte_count、session_count、hit_count）显示了错误的统计值。

已修复问题 3614734：在频繁配置变更的情况下，竞争条件可能导致 Edge 上的 datapath 守护进程产生 core dump。

当使用已删除的安全组进行规则匹配时会触发 core dump，datapath 进程随后重启，从而影响流量。

已修复问题 3635224：新 Edge 安装、重新部署和扩容操作失败。

由于 Edge OVF 的签名证书已于 2026 年 1 月 3 日过期，导致 OVF 证书无法验证 (sysin)，新 Edge 安装、重新部署和扩容操作失败。该问题适用于通过 NSX Manager UI、NSX API、vCenter、OVF Tool 或 SDDC Manager 进行的操作。

升级到 NSX 4.2.3.3 可解决此问题。

已修复问题 3630051：在记录高流量事件时，NSX IDPS 事件日志有时缺少空白字符，影响签名映射和威胁分析。

监控团队会间歇性地收到签名名称格式异常的事件数据，从而导致 IDPS 签名映射和威胁分析出现混乱和错误。

已修复问题 3605372：在极少数情况下，超时后删除 FQDN 域条目可能导致 ESXi 主机发生 PSOD。

主机发生 PSOD 后，其上运行的虚拟机会失去网络连接。

已修复问题 3519821：在日语界面中查看 Distributed Firewall（DFW）策略规则列表时 (sysin)，规则数量显示为“{{totalRuleCount}} / {{viewedRuleCount}}”，而非实际数值。

当 NSX UI 切换为日语并进入 Distributed Firewall 策略页面查看或创建防火墙规则时，滚动规则列表，网格底部的分页/计数指示器未能将占位符替换为实际的数值。

已修复问题 3625943：将 NSX Manager 从 3.2.x 升级到 4.2.x 后，Tier-1 网关上的 DHCP 服务器因 IP 池重叠错误而处于失败状态。

在 NSX Manager UI 中，一些段仍处于 “IN-PROGRESS” 状态，所连接的 Tier-1 网关处于 “FAILED” 状态。该问题的影响仅限于 DHCP 配置更改，DHCP 服务器和 datapath 功能不受影响。

已修复问题 3516646：在 NSX Federation 中，使用 AR 通道的数据库操作出现问题。

在 NSX Federation 环境中，罕见的竞争条件可能导致 NSX 中的数据库操作出现问题，尤其是 Async-Replicator（AR）通道所使用的操作。由于 AR 通道用于全局管理器（GM）与本地管理器（LM）之间的通信，可能导致 GM 与 LM 之间的配置同步失败。

已修复问题 3619313：IpAddressAllocation 在更新完成后仍保持为 IN_PROGRESS 状态。

UI 中即使对象已完成更新，IpAddressAllocation 仍显示为 IN_PROGRESS。该问题仅为显示问题，不影响功能。

已修复问题 3626240：当 Edge 与 ESXi 主机共享同一 VLAN 用于 TEP 流量时，Edge 隧道会中断。

当跨不同主机时，Edge 隧道无法建立；当位于同一主机上时，隧道可以建立。

已修复问题 3626202：“Compute Manager Lost Connectivity” 告警未提供足够的解决指导。

在之前的版本中，该告警要求用户打开外部 KB 文档并执行多步骤操作来解决问题。

本版本增强了告警说明，通过直接引导用户前往系统 → Fabric → Compute Managers 页面来解决问题，无需再查阅 KB 文档 (sysin)，从而提升了易用性。

已修复问题 3618724：DHCP 中继在 VPC 子网中无法按预期工作。

当用户配置带有外部 DHCP 中继配置文件的 VPC（例如指向 192.168.110.10 的 “DHCP-Server”），并创建访问模式为 “Public” 的 VPC 子网时，该子网会被自动配置为 NSX 管理的 DHCP 服务器（例如 30.30.30.50），而不是使用 VPC 级别的 DHCP 中继配置。因此，连接到该 VPC 段的虚拟机会从 NSX DHCP 服务器而非预期的外部 DHCP 服务器（192.168.110.10）获取 IP 地址。

已修复问题 3607928：在启用 ENS 的环境中，当 vNIC 端口被停用时，主机会发生紫屏（PSOD）。

在端口停用过程中，ENS 在端口分离前存在一个宽限期，在此期间 datapath 线程仍可能运行。如果在所有 datapath 线程运行完成之前宽限期结束，则会触发 PSOD。

本版本针对导致该问题的变量提供了补充修复，并包含一些增强改进。

已修复问题 3605756：在大规模部署环境中收集支持包时，ESXi 主机会发生紫屏（PSOD）。

ESXi 内核模块维护了一个内部表，用于存储主机上所有逻辑交换机和路由域中的 VTEP 联合信息，以优化 datapath 处理并提升内存使用效率。在逻辑交换机和路由域中存在超过 2048 个唯一 VTEP 的大规模环境中，执行收集支持包的命令会导致缓冲区溢出，从而引发 PSOD。

已修复问题 3601750：在重新部署 Edge 节点或集群后，Tier-1 未向 Tier-0 通告服务接口路由。

该问题适用于从 NSX-V 迁移到 NSX-T 3.2.0 或更高版本的环境，且仅影响服务端口。服务端口配置中的一个参数（管理状态）在迁移和重新部署后未被设置，NSX Manager 将其视为关闭状态，从而停止通告服务接口路由。这会导致预期通过 Tier-0/VRF 的 Tier-1 服务接口网络流量失败。

已修复问题 3603918/3601174：在配置 RSPAN Destination 时，ESXi 主机会发生紫屏（PSOD）。

在 RSPAN 过程中，会为数据结构分配内存。由于缺陷，该内存未能及时释放，最终导致内存耗尽。后续的内存分配失败会进入循环，从而导致主机 PSOD。

已修复问题 3583257：NSX Manager 节点上多个服务处于错误状态。

在基础设施高负载的罕见情况下，运行在 NSX Manager 节点上的模块可能因org.bouncycastle.crypto.fips.FipsOperationError异常而进入错误状态。该异常表示 BouncyCastle 的 FIPS 认证加密模块（BCFIPS）由于底层操作系统提供的熵不足（随机数不够随机），未能通过连续自检，从而初始化失败。NSX Manager 上运行的模块均为 FIPS 合规，并依赖 BCFIPS 来维持该合规性。

已修复问题 3580790：当 NSX Manager 上的/tmp目录已满时，备份操作失败但未指明失败原因。

备份失败时，错误信息未明确指出失败是由于/tmp磁盘空间已满导致的。

已修复问题 3574090：升级后，NSX Manager 节点与所有传输节点及其他管理器节点失去管理连接 (sysin)。

在升级过程中，如果在部署时启用了软件完整性检查功能，NSX Manager 节点的管理 IP 地址在重启后无法保持。

已修复问题 3567393：裸金属 Edge 的数据平面转发受影响，datapath 配置处于错误状态，且 Edge datapath 的 CLI 无法使用。

在罕见情况下，当将配置从基于 bond 的单 VTEP 更改为基于独立 pNIC 的多 VTEP 时，裸金属 Edge 节点可能出现 datapath 影响。在配置变更过程中，两个系统进程相互等待并永久阻塞，导致两个进程冻结。

已修复问题 3546893：计划任务备份未执行。

由于计划备份未运行，客户只能执行手动备份。

已修复问题 3534050：在存储故障后，Edge datapath 服务无法启动。

由于 Tx 或 Rx 环大小无效，Edge datapath 服务启动失败，导致数据平面转发完全中断。

已修复问题 3529732：NSX Manager 的 syslog 未记录 NSX 用户成功登录事件。

日志中仅记录实际操作，而未记录相对被动的登录行为。

已修复问题 3514331：在主机上使用 Broadcom 网卡承载 Geneve 流量时，当带有错误 L4 校验和的数据包通过 Tier-0 上行链路进入 Edge VM，会被错误地更新内部 L4 校验和并通过 Geneve 转发至南向的工作负载虚拟机。

客户无法通过 HTTPS 下载文件。

已修复问题 3486896：在 NSX Manager 中导航至升级页面会出现错误 “Reboot less upgrade cannot be disabled for vSphere Lifecycle Managed cluster”，且升级 API 返回 “Internal server error”。

如果将无重启升级配置设置为 false，且主机集群启用了 vLCM，则在主机计划验证阶段同步计划会失败，导致所有升级 API 失败，升级无法完成。

通过此修复，如果当前无重启配置被设置为 false，则会为启用了 vLCM 的组重置该配置。