VMware NSX 9.0.2.0 发布 - 下一代网络安全虚拟化平台

VMware NSX 9.0.2.0 发布 - 下一代网络安全虚拟化平台

NSX is an implementation of a software-defined network. It provides network services such as switching, routing, load balancing, firewalls, and VPN.

请访问原文链接：https://sysin.org/blog/vmware-nsx-9/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

发布日期：2026 年 1 月 20 日

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台，能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX，无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行，都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似，可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型，从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络，利用由 NSX 或范围广泛的第三方集成（从新一代防火墙到高性能管理解决方案）生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后，可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。

VMware NSX 9.0.2.0 | 2026 年 1 月 20 日 | Build 25150912

新增功能

本次发布被视为一次维护版本，无新增功能，仅修复已知问题。

VMware NSX 9.0.2.0 修复了以下问题：

• 使用 NSX-T DNS 转发器进行名称解析在某些边缘情况下可能失败

  偶发但罕见的 DNS 解析失败。

• VCF 9.0 NSX 创建带外部连接的新项目失败

  新项目创建失败。

• NSX 升级后，使用非空 MTU 的上行链路配置的已升级 ESXi 主机出现主机验证错误

  错误信息不明确，并且可能无法从上行链路配置中移除 MTU 以解决问题 (sysin)。

• 在 NSX 升级到 9.0.0/9.0.1 时，如果在升级过程中安装低版本的传输节点，可能导致配置推送失败和 vMotion 失败

  主机安装失败，主机无法正常工作。

• VPN 会话配置超过 1024 条隧道时，Edge 上出现 iked 核心转储并持续重启

  核心转储重复生成，iked 不断重启。

• Tier-1 状态 API 返回 400 错误

  当 Tier-1 本地服务字段 edgeClusterPath 为空时，用户无法调用 Tier-1 状态 API。

• 使用 Broadcom 网卡处理 Geneve 流量时，L4 校验和错误的数据包通过 Tier-0 上行链路进入 Edge VM 后，被错误更新内层 L4 校验和并转发到南向工作负载 VM

  用户无法通过 HTTPS 下载文件。

• NSX-T Edge 节点 /var/log 分区磁盘使用率过高（由于负载均衡器调试文件）

  /var/log 分区磁盘使用率高。

• 多次调用 CentralAPI /api/v1/node/central-config 出现超时失败

  后续 API 调用成功，无实际影响。

• 计划备份未执行

  用户只能手动备份，因为计划备份未执行。

• NSX UI 未显示正确的集群备份状态

  当当前节点备份状态通过，但整体集群备份状态失败时，UI 显示为通过，导致用户混淆 (sysin)。

• 当主机上删除所有来自 vtep 的 BFD 会话时，faulty_tep 警报未清除，TEP HA 未执行故障切换

  NSX Manager 上显示不必要的 faulty_tep 警报，引起混淆。

• 网络分区导致 Corfu 服务器内存泄漏，因 SslContext 资源未正确清理导致 OOM 崩溃

  Corfu 服务器因内存不足崩溃，生成核心转储文件 (core.corfu_oom.hprof.gz)，UI 上触发应用程序崩溃警报。

• Syslog TLS-Log Insight 配置在 UI 修改后丢失

  配置修改后日志丢失。

• RCPM 因查询定时器过期崩溃

  Edge 上可能发生故障转移，流量可能受影响。

• VCF 许可证容量增大或更新有效期未能同步至 NSX（相同 allocationId）

  新有效期晚于旧有效期时，NSX 仍引用旧有效期；更新容量（增大容量）未反映在 NSX 中。

• NSX Manager syslog 未报告用户登录成功事件

  仅记录实际操作，不记录登录动作。

• BGP 下线警报在 BGP 通过 VTI 且 VTI 接口下线时未触发

  用户不会收到 BGP Peer 下线警报，无功能性影响。

• 附加 VRF 到 Tier-1 网关时，由于 IpBlockSubnet 过期，Tier-1 状态失败

  用户无法将 Tier-1 附加到期望 VRF。

• 父 Tier-0 的合并状态失败，但子 VRF 状态成功

  Tier-0 合并状态在新干道端口实现后仍显示失败。

• API 无防护措施防止用户删除系统拥有的默认 LB 持久化配置文件

  删除默认 LB 持久化配置文件后，用户需手动创建自定义 LB 持久化配置文件。

• NSX 准备过程中，如果 ESXi 主机存在预先配置的 NSX 安全端口属性的 VM，则主机失去 DVS 网络

  生产工作负载连接完全丢失，需要通过 DCUI 恢复 (sysin)。

• Cloud Partner Admin (CPA) 角色未添加至 alarm_framework 的 roles_mp.xml，导致无法访问警报和事件

  用户无法使用 CPA 角色访问警报和事件。

• 运行 enable_uens 脚本会导致传输节点状态失败，尽管 ESX 主机数据路径未受影响

  VM 无法迁移回“失败”状态的 ESX 主机，集群中最后一台主机无法将交换机模式从 Standard 改为 EDP Standard。

• NSX Federation：远程站点启动时 Edge 出现南北向流量丢失

  在远程站点启动期间，某站点流量丢失约 5 秒。仅在远程站点所有 Edge 不可达时发生。

• 配置 RSPAN Destination 时 ESXi 出现 PSOD

  客户环境出现 PSOD。

• VM 的首次邻居发现机制延迟 1 秒，导致逻辑段中首个 ping 包 RTT 延迟

  当多播 ND 解析需要在发送实际流量前完成时，首个 IPv6 包延迟增加。

• 接收到带 RMAC 的 BGP 更新，但更新针对非 EVPN 路由时应忽略

  路由未被接受，可能导致流量丢失。

• 通过 Setup Network Connectivity UI 创建 Edge 时，系统创建的 DVPG 在 Edge 通电 24 小时后被删除

  NSX Edge 上行链路端口组消失，无法使用网络。

• Tier-1 SR 上 VPN 会话因 “Local Endpoint not bound to interface” 问题中断

  VPN 会话中断，配置子网流量受影响。

• LDAP 配置中 “display name” 包含特殊字符（如 “.”）时，LDAP 配置 ID 字段分配自动生成的 UUID

  联邦故障切换无法工作，因为 LDAP 在备用 GM 站点不可用。

• Edge 接收来自 TOR 的多播流量时，如果先未加入 JOIN，再收到 JOIN 后跟停止 JOIN 和多播流量，会导致 MFIB 与 Mroute 表不一致

  不一致可能导致多播流量丢失，客户曾因 MFIB 中过期 (S,G) 条目导致多播流量失败。

• 来自 guest OS 的格式错误 IGMPv3 包导致 McastFilterProcessIGMPv3Report() PSOD

  主机 PSOD。

• 在规模化环境中，多台 VM 在 NSX-T Host transport-node 升级期间同时 vMotion，会导致 VM 无法访问网络

  多台 VM 失去网络连接，影响数据路径 (sysin)。

• 启用 TEP Group 时，与 MP 同步会导致 BFD 隧道断开

  Edge 显示降级状态；4.2.1 之前版本可能影响广播/未知单播/多播流量。

• Tier-1 分配在已删除的 Edge 上，尝试重新分配到其他 Edge 时失败

  用户可能有一个或多个 Tier-1 被锁定，无法分配新备用节点，高可用性受影响。

• 包含重叠子网的路由公告规则未按预期工作

  路由公告受影响。

• 全局配置中物理上行链路 MTU 一旦取消无法再次设置

  系统被固定使用默认物理 MTU 1700。

• VDS 在 vCenter 中重命名后执行 TNC 更新操作（升级或显式调用）会生成新的分配 ID (VTEP 标签)

  NSX Manager 升级完成后，VM 通信中断。

• 无法在 Aria Operations 中为网络启用 NSX 延迟指标收集

  启用部分传输区域配置失败。

• 使用 Broadcom 网卡处理 Geneve 流量时，L4 校验和错误数据包通过 Tier-0 上行链路进入 Edge VM 后，错误更新内层 L4 校验和并转发至南向工作负载 VM

  用户无法通过 HTTPS 下载文件。

• 包含重叠子网的路由公告规则未按预期工作

  路由公告受影响。

• 通过 Setup Network Connectivity UI 创建 Edge 时，系统创建的 dvpg 在 Edge 通电 24 小时后被删除

  NSX Edge 上行链路端口组消失，无法使用网络。

• TLS 1.3 密码套件无法通过 API 禁用 https://$IP/api/v1/cluster/api-service

  解决方法：检查 TLS 1.3 状态，启用时视所有 TLS 1.3 密码套件已启用，禁用时视所有 TLS 1.3 密码套件已禁用。可通过 TLS 连接建立期间的 Envoy REST API 443 端口抓包确认。

• 强制故障切换后 (sysin)，L2 Bridge 在两台 Edge 节点上都变为 Standby

  当原本 Active 的桥在首选 Edge 节点上，强制故障切换在备用 Edge 节点执行，且数据路径线程因规则处理时间长周期性阻塞时，会发生此问题。桥接流量无法工作。

  解决方法：再次触发强制故障切换。

下载地址

VMware NSX 9.0

请访问：https://sysin.org/blog/vmware-nsx-9/

更多：VMware 产品下载汇总