​VMware NSX 4.2.1 发布，新增功能概览

VMware NSX 4.2.1.0 - 网络安全虚拟化平台

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化。

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

VMware NSX 提供了一个敏捷式软件定义基础架构，用来构建云原生应用程序环境。NSX 专注于为具有异构端点环境和技术堆栈的新兴应用程序框架和架构提供网络、安全和自动化并简化操作。NSX 支持云原生应用程序、裸机工作负载、公有云和多个云。

NSX 旨在由开发组织管理、操作和使用。NSX 允许 IT 团队和开发团队选择最适合其应用程序的技术。

新增功能

VMware NSX 4.2.1 | 09 OCT 2024 | Build 24304122 Check for additions and updates to these release notes.

新增功能

此版本解决了 CVE-2024-38818、CVE-2024-38815。有关这些漏洞及其对 VMware 产品影响的更多信息，请参阅 VMSA- 2024-0020 。

NSX 4.2.1 提供了各种新功能，为虚拟化网络和私有云安全提供了新功能。亮点包括以下重点领域的新功能和增强功能：

• NSX 现在支持全局管理器级别的 VRF 配置。这使得客户可以在一个地方配置延伸的 T0 网关。
• 现在支持许多增强功能，可帮助您提供网络高可用性，包括 TEP 组、双 DPU 部署监控以及 NSX Edge 上改进的警报。
• 作为多租户功能集的一部分，我们现在将 NSX 项目作为文件夹公开在 VMware vCenter 中。
• 自定义 IDPS 签名：VMware vDefend 高级威胁防护 (ATP) 现在包含自定义签名支持，使客户能够导入自己的签名或从第三方威胁源导入基于 Suricata 的签名。分布式 IDS/IPS 和网关 IDS/IPS 都可以强制执行这些自定义签名。通过增加这一层安全性和灵活性，客户可以更好地保护其组织免受高级威胁。
• 网关防火墙针对多种场景进行了扩展增强，包括支持每个部分最多 2500 条规则
• 安全操作增强，包括附加警报。
• 恶意软件文件分析测试驱动：vDefend Firewall 用户现在可以测试驱动恶意软件文件分析，允许客户上传工件（文件/URL）以进行全面的恶意软件分析，并通过 VMware Advanced Threat Cloud Service 获得结论，特别是针对高度规避的恶意软件和零日威胁。

此外，产品的各个领域还添加了许多其他功能。更多详情请见下文。

联网

二层网络

• TEP 组的高可用性：NSX 4.2 引入了 TEP 组，使虚拟网络流量能够在 ESXi 主机上的多个隧道端点之间实现负载平衡。此版本基于双向转发检测 (BFD) 会话状态，为这些 TEP 组添加了高可用性，从而确保 TEP 组成员关闭时工作负载网络流量的连续性。
• NSX 增强型数据路径的策略 API：启用基于 REST API 的增强型数据路径操作的自动配置和监控。等效操作仅在此版本之前的 NSX CLI 中可用。
• DPU 监控在 NSX UI 和 API 中作为数据平面计数器提供，与为性能网卡提供的 RX/TX 计数器详细信息一致。

第三层网络

• ESXi 传输节点 ECMP 的 5 元组哈希：增强 ESXi 传输节点基于 5 元组的哈希的配置工作流程。 5 元组的旧配置是一个全局参数，影响所有节点。现在可以按主机或按 TNP（传输节点配置文件）启用此选项。该配置只能通过 API 进行。
• 对第 0 层 VRF 网关的 SR 间支持：除了对父第 0 层的现有 SR 间支持之外，还引入了对主动/主动边缘节点部署中的第 0 层 VRF 网关的 SR 间路由支持。使用 VRF 的部署将能够部署具有更高可用性的 Active/Active Edge 节点。

边缘平台

• 清理 Edge 过时条目：支持清理过时 Edge 条目，简化 NSX 环境的管理，从而获得更流畅的体验。
• 自动刷新边缘节点设置：自动刷新已通过 vCenter 或 Edge CLI 覆盖的设置，为管理边缘节点配置提供统一的体验。
• 边缘警报：通过引入更详细的警报（例如由边缘数据路径死锁检测、只读数据存储状态和磁盘空间不足问题触发的警报）来增强可见性，帮助您更有效地响应关键事件。

安全

网关防火墙

• 增加每个部分的 vDefend 网关防火墙规则的规模，使每个网关防火墙部分的规则规模增加到 2500 条。网关防火墙规模限制警报：
• 系统范围的网关防火墙规则：当满足 GFW 系统范围的规则规模限制时发出警报。
• 每个 Edge 的最大规则数：当 GFW 规则达到 Edge 上支持的最大规则数时发出警报。
• 每个 Edge 的最大 SR 和网桥：当满足每个 Edge 托管的最大支持网关/网桥时发出警报。

分布式防火墙

• 安全使用情况报告现已以 CSV 文件形式提供，其中包含有关 vDefend Firewall 和 vDefend Advanced Threat Prevention 当前使用的安全功能以及相关许可证核心计数的详细信息。引入了新的 NSX API，以使用“GET /license/security-usage?format=csv”收集安全使用数据。

入侵检测和防御系统 (IDS/IPS)

• 自定义签名支持：vDefend IDS/IPS 现在支持上传您自己的基于 Suricata 的自定义签名，以便在网关和分布式 IDS/IPS 功能集中使用。
• 签名阈值：vDefend IDS/IPS 现在支持高级系统签名功能，可以为签名配置警报阈值，从而减少噪音签名并更改检测到威胁时的操作。

恶意软件预防

• 恶意软件防护测试：让 VMware Firewall 用户无需 NAPP 或 ATP SKU 即可利用恶意软件防护功能。激活后，您可以上传工件（文件/URL），通过我们的云后端进行全面的恶意软件分析，其中包括静态和动态分析。

平台及运营

自动化

• 用于从管理 API 迁移到策略 API 的增强工具：管理到策略工具已得到增强，可支持在混合模式下将管理 API 对象 (MP API) 提升为策略对象 - 当同时从 API（MP 和策略）进行配置时在同一设置中交织在一起。

多租户和虚拟私有云

• vCenter 中的项目和 VPC 网络文件夹：引入了在 vCenter 网络选项卡中包含反映项目和 VPC 的 NSX 托管文件夹的功能。现在，您可以根据 NSX 租赁模型组织 vSphere 端口组，从而增强 vCenter 中网络租赁的可见性，并允许您将 RBAC 置于特定项目或 VPC 的网络上。此功能对 vSphere 和 vCenter 版本有一些要求。请查看文档。

生命周期管理（安装和升级）和证书管理

• 升级：支持在 VCF 部署中对基于 VUM 的集群进行就地升级，从而实现更快的主机升级。
• 证书管理：
• NSX 会在某些自签名 X.509 证书过期之前自动续订它们。更新的证书保留其值和属性，例如密钥长度和有效期。
• NSX UI 现在允许用户输入使用者备用名称 (SAN) 来创建证书。支持两种标准格式：带有通配符的 FQDN 列表（如 *.example.com）和 IP 地址列表。

规模

• VMware 对 NSX 支持的最大规模进行了多次更新。 VMware 最高配置工具中提供了详细信息。

联邦

• 第 0 层 VRF 网关支持联合：此版本引入了对 Global Manager 的第 0 层 VRF 网关配置的支持。还支持跨多个位置的第 0 层 VRF 网关，其拓扑和操作模式与之前支持延伸父层 0 的拓扑和操作模式相同。

已解决的问题

72 个已知问题修复，篇幅过长，不在列出，请查阅官方文档。

文件列表

VMware NSX 4.2.1 | 09 OCT 2024 | Build 24304122

下载地址

想要开始学习和研究，请访问：https://sysin.org/blog/vmware-nsx-4/

更多：VMware 产品下载汇总