VMware NSX 4.2.3 新增功能

请访问原文链接：VMware NSX 4.2.3.1 - 网络安全虚拟化平台 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

VMware NSX 提供了一个敏捷式软件定义基础架构，用来构建云原生应用程序环境。NSX 专注于为具有异构端点环境和技术堆栈的新兴应用程序框架和架构提供网络、安全和自动化并简化操作。NSX 支持云原生应用程序、裸机工作负载、公有云和多个云。

NSX 旨在由开发组织管理、操作和使用。NSX 允许 IT 团队和开发团队选择最适合其应用程序的技术。

NSX 概览

VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台，能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX，无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行，都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似，可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型，从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络，利用由 NSX 或范围广泛的第三方集成（从新一代防火墙到高性能管理解决方案）生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后，可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。

✅ 主要优势

• 通过自动化将网络置备时间从数天缩短至数秒并提高运维效率。
• 利用工作负载级微分段、工作负载级高级威胁防护和精细安全机制保护应用。
• 在不同的数据中心和原生公有云内，以及跨不同的数据中心和原生公有云之间，以独立于物理网络拓扑的方式，对网络和安全策略进行统一管理。
• 能够详尽显示应用拓扑状况、自动生成安全策略建议以及持续进行流监控。
• 采用内置的全分布式威胁防护引擎，支持对东西向流量的高级横向威胁防护。

✅ 应用场景

• 安全性

  NSX 有助于在私有云和公有云环境中高效实现对应用的零信任安全保护。无论目标是锁定关键应用、以软件方式创建逻辑隔离区 (DMZ)，还是减小虚拟桌面环境的受攻击面，NSX 都可以通过微分段在单个工作负载级别定义和强制实施网络安全策略。

• 多云网络

  NSX 提供网络虚拟化解决方案，可跨异构站点以一致的方式实现网络连接和安全性，从而精简多云运维。因此，NSX 可支持多种多云应用场景，从无缝数据中心扩展到多数据中心池化，再到工作负载快速移动。

• 自动化

  通过将网络和安全服务虚拟化，NSX 可以突破手动管理式网络和安全服务及策略的瓶颈，从而可以更快速地置备和部署全栈应用。NSX 与云管理平台和其他自动化工具（例如 vRealize Automation/vRealize Automation Cloud、Terraform、Ansible 等）原生集成，开发人员和 IT 团队能够按照业务要求的速度置备、部署和管理应用。

• 云原生应用的网络连接和安全性

  NSX 为容器化应用和微服务提供集成式全栈网络连接和安全性，从而可以在开发新应用时针对每个容器提供精细策略。这可为微服务实现容器间的原生 L3 网络连接和微分段功能，并跨新旧应用提供网络连接和安全策略的端到端可见性。

✅ VMware NSX 版本

• Professional 版

  适用于需要敏捷的自动化网络连接及微分段功能，并且可能具有公有云端点的企业。

• Advanced 版

  适用于以下企业：需要 Professional 版功能及高级网络和安全服务，与范围广泛的生态系统集成，且可能拥有多个站点。

• Enterprise Plus 版

  适用于这样的企业：需要 NSX 提供的最先进的功能 (sysin)，以使用 vRealize Network Insight 执行网络运维、通过 VMware HCX® 实现混合云移动性，以及借助 NSX Intelligence 实现流量可见性和安全运维。

• Remote Office Branch Office (ROBO) 版

  适用于要对远程办公室或分支机构中的应用进行网络连接和安全虚拟化改造的企业。

新增功能

VMware NSX 4.2.3 | 31 JUL 2025 | Build 24866349

提示：此版本也包含已知问题修复，解决了 53 个已知问题，篇幅较长，此处仅介绍新增功能。

NSX 4.2.3 提供了多种新功能，为私有云的虚拟化网络和安全带来新的能力。重点更新包括以下领域的新功能和增强：

• Edge Platform
• VMware vDefend
• System Platform and Operations
• Lifecycle Management
• Certificate Management

✅ Edge Platform

• 重新部署 Edge 节点时的日志通知

  从 NSX 4.2.3 开始，引入了一条新的日志消息，用于通知你重新部署 Edge 节点将导致与该 Edge 相关的所有日志丢失。为保留这些信息，你可以在执行重新部署之前生成并下载支持包。

• Root Shell 命令历史

  Root shell 命令会被收集到单独的文件中，以便更清晰地进行故障排查。

✅ VMware vDefend

• 防火墙
  • NSX 4.2.3 在通过 UI 和 API 创建分布式防火墙（DFW）和网关防火墙规则时，支持所有 RFC IANA 文档中定义的 ICMPv4 和 ICMPv6 类型和代码。此外，本版本还支持 RFC IANA 文档中定义的所有 IP 协议 (sysin)，可通过 UI 和 API 在分布式和网关防火墙规则中使用。
  • 本版本通过 API 提供基于 IP Options 的数据包丢弃功能，适用于网关防火墙（Tier-0 和 Tier-1）：Loose Source Routing、Strict Source Routing、Record Route（用于 IPv4）以及 IPv6 扩展头部类型 43（Routing Header）。
• Turbo 模式分布式 IDS/IPS
  • 本版本提供从 NSX Manager UI 启动的脚本，用于检查集群和主机 ESX 版本的兼容性，以及 bootbank 大小和 Turbo 模式（SCRX）状态的详细信息。用户可以将脚本输出下载为 CSV 文件。
  • 对于在启用 Turbo 模式分布式 IDS/IPS 的 ESXi hypervisor 上出现的网络超额订阅场景，系统会触发警报。

✅ System Platform and Operations

• 在线诊断系统 Runbooks

  NSX 4.2.3 引入了 dp_support.py，这是一款用于离线分析 ESXi net-stats 的 Python 工具。它处理收集到的 net-stats 数据并生成包含关键 datapath 指标的 Datapath.json 文件。其主要功能包括：

  • 使用 Python 3.10+ 离线运行
  • 输出 Datapath.json，便于快速了解 datapath
  • 支持 NSX/ESX 版本标志和 SmartNIC 选项
  • 支持自定义日志级别

✅ Lifecycle Management

• NSX 升级准备评估

  NSX 4.2.3 提供了更快、更有针对性的升级前检查，从而带来增强的升级体验。通过增加线程数、减少休眠时间，以及仅对选定升级的主机运行检查，用户能够更快、更有效地确认升级准备情况。

• NSX 升级前检查

  本版本新增升级前检查功能，用于验证是否存在已过期或将在 90 天内过期的传输节点（TN）SSL 证书。如果检测到此类证书，系统会提示用户运行 Certificate Analyzer, Results and Recovery (CARR) 脚本。

✅ Certificate Management

• CARR 脚本新版本

  发布了 CARR 脚本的 1.17 版本。强烈建议在升级 NSX Manager 之前运行 CARR 脚本。运行该脚本的目的是确保 NSX 证书（如传输节点证书）不会在 90 天内过期。如果有证书将在 90 天内过期，可以再次调用 CARR 脚本来替换证书。

• 已撤销 TN 证书无宽限期

  已移除传输节点证书撤销后的 24 小时宽限期。如果在 CRL 验证中未找到有效证书，与传输节点的连接将被立即关闭。

VMware NSX 4.2.2.1 | 04 JUN 2025 | Build 24765084

VMware NSX 4.2.2.1 是一个仅包含错误修复的更新版本。解决了 4 个已知问题。

VMware NSX 4.2.2 | 08 MAY 2025 | Build 24730888

NSX 4.2.2 提供了多种新功能，为私有云的虚拟化网络和安全性带来新功能。亮点包括以下重点领域的新功能和增强功能：

• vDefend 防火墙 引入了一种全新的高性能 Turbo 模式 (SCRX)，可提升分布式 IDS/IPS 和分布式防火墙的 L7 应用检测性能。此检测引擎利用确定性的资源分配和 ESXi Hypervisor 内的更高数据包处理管道，在显著降低 CPU 和内存消耗的情况下提升性能。
• 增强数据路径 (EDP) 的多项改进，包括新增脚本以减少启用群集 EDP 时的手动用户干预、提高稳定性和兼容性 (sysin)，以及减少生命周期操作的影响。
• 边缘平台增强，包括新的重新部署选项和改进的 Edge 监控 API 文档。
• 证书分析器解析器 (CARR) 脚本现在支持验证计算管理器 (vCenter) 证书。该脚本执行 NSX 自签名证书的完整性检查和恢复操作，并可替换已过期或即将过期的证书。
• 平台安全增强，包括为 Cloud Admin Partner 提供的预定义角色、增加的 LDAP 和 Active Directory 组数量，以及对 FIPS 140-3 的支持。

✅ 网络

二层网络

• EDP 开关模式启用自动化脚本（适用于 VCF 5.2.x 和 NSX 4.2.2）
  • NSX Manager 管理设备中新增了 enable_uens 脚本，以减少启用群集 EDP Standard（标准模式）时的手动用户干预。
  • 该脚本按顺序执行主机更改：进入维护模式、将开关模式更新为 EDP、退出维护模式，最后将更改同步到群集传输节点配置文件。
  • 脚本位于 /opt/vmware/migration-coordinator-tomcat/bin/uens-adoption/config，可从相同位置执行。
  • 可在单个群集上使用该脚本，且需要从 JSON 文件中提供输入 (sysin)。详细说明见脚本的自述文件。
  • 该脚本可帮助 NSX 4.x 版本，因为通过传输节点配置文件设置将数据路径模式更改为 EDP Standard 会立即更改 ESXi 主机，可能导致每个主机数秒的网络中断。
• EDP Standard（标准模式）长期支持 (LTS) 可维护性改进
  • NSX 4.2.2 是增强数据路径在所有 VMware Cloud Foundation 部署和工作负载域类型（包括 NSX Edge 群集和常规计算群集（VI 工作负载域））上的推荐版本。
  • EDP 旨在最大化网络处理性能并降低网络处理的资源成本。
  • NSX 4.2.2 可维护性亮点：
    • 在大规模部署中提升 EDP 性能。
    • 在 vSAN 部署中提升 EDP 性能。
    • 在分布式防火墙部署中提升 EDP 性能。
    • 通过驱动程序仿真扩展 EDP 网卡适配器兼容性。
    • EDP 兼容容器部署（NCP、Antrea）。
• 提高生命周期操作期间的 EDP Standard 数据路径正常运行时间
  • NSX 4.2.2 系统在进行生命周期操作（如更改模式）时，将从数十秒减少至不足 3 秒。

✅ 边缘平台

• 重新部署 Edge UI 增强
  • 在 UI 中引入了 “重新部署 Edge” 按钮，支持无缝地重新部署 Edge 节点。
  • 该操作触发文档中定义的重新部署 API：NSX Edge VM Redeploy API。
• 改进的 NSX Edge 监控文档
  • 改进后的 NSX Edge 监控 API 文档提供了更清晰和全面的指导。
  • 更新后的文档包括：
    • 所有相关 API 调用的详细说明，包括请求 / 响应示例。
    • 返回监控数据的逐字段详细描述。
    • 所有可用指标的深入解释，包括每个指标代表的含义、计算方式以及在实际场景中的解释方法。

✅ 安全性

• 防火墙

  • 分布式防火墙采用新的高性能 Turbo 模式 (SCRX) 进行 L7 应用过滤。
  • NSX Manager 支持在 Extra Large（超大） NSX Manager 上提供更多的防火墙服务。详情请参见 “配置最大值”。
  • 防火墙分组支持在 Large（大）和 Extra Large（超大） NSX Manager 上拥有更多的有效成员。

• IDS/IPS

  • 分布式 IDS/IPS 使用新的高性能 Turbo 模式 (SCRX)，实现显著的性能提升。
    • 根据 ESXi 主机的流量配置文件 (sysin)，新 SCRX 引擎可实现高达 9 Gbps 的分布式 IDS/IPS 检测。
    • 分布式 IDS/IPS 性能和其他操作指标可在 Security Services Platform 实时查看。
  • Turbo 模式兼容性要求
    • 新的 SCRX 引擎对 ESXi 兼容性以及安装 / 升级要求有严格限制。
    • 详细信息请参见 KB 文章 396277。

• 安全情报

  • 支持 Security Services Platform (SSP)
    • 所有在 NSX Application Platform (NAPP) 上提供的安全情报功能均可在 SSP 上使用。
    • NSX Application Platform 将于 2026 年 5 月退役。

✅ 平台安全

• 证书管理

  • 证书分析器解析器 (CARR) 脚本
    • 强烈建议在升级 NSX Manager 之前运行 CARR 脚本。
    • 运行 CARR 脚本的目的是确保传输节点 (TN) 证书在 825 天内不会过期。
    • 如果任何 TN 证书在 825 天内即将过期，可再次运行 CARR 脚本替换证书。

• 基于角色的访问控制 (RBAC)

  • 新增预定义 RBAC 角色：Cloud Partner Admin
    • 新增的预定义角色专为需要访问网络和安全服务但不得访问 NSX 许可证视图的云合作伙伴设计。

• LDAP 身份验证

  • 增加的 LDAP 和 Active Directory 组支持
    • 最大支持的 LDAP 组数量从 20 增加到 500。

• 平台认证

  • FIPS 140-3 验证
    • NSX 4.2.2 现在采用联邦信息处理标准 (FIPS) 140-3 加密模块。
    • NSX 默认在所有部署中以 FIPS 合规标准运行。

VMware NSX 4.2.1.4 | 04 JUN 2025 | Build 24765227

VMware NSX 4.2.1.4 是一个更新版本，仅包含错误修复，修复了 21 个已知问题。

另外此版本解决了 CVE-2025-22243、CVE-2025-22244 和 CVE-2025-22245。

VMware NSX 4.2.1.3 | 10 FEB 2025 | Build 24533884

VMware NSX 4.2.1.3 是一个更新版本，仅包含错误修复，修复了 22 个已知问题。

VMware NSX 4.2.1.2 | 10 Jan 2025 | Build 24476729

VMware NSX 4.2.1.2 是一个更新版本，仅包含错误修复 (21 项已知问题修复)。

VMware NSX 4.2.1.1 | 05 DEC 2024 | Build 24405893

VMware NSX 4.2.1.1 是一个更新版本，仅包含错误修复 (19 项已知问题修复)。

VMware NSX 4.2.1 | 09 OCT 2024 | Build 24304122

此版本解决了 CVE-2024-38818、CVE-2024-38815。

NSX 4.2.1 提供了各种新功能，为虚拟化网络和私有云安全提供了新功能。亮点包括以下重点领域的新功能和增强功能：

• NSX 现在支持全局管理器级别的 VRF 配置。这使得客户可以在一个地方配置延伸的 T0 网关。
• 现在支持许多增强功能，可帮助您提供网络高可用性，包括 TEP 组、双 DPU 部署监控以及 NSX Edge 上改进的警报。
• 作为多租户功能集的一部分，我们现在将 NSX 项目作为文件夹公开在 VMware vCenter 中 (sysin)。
• 自定义 IDPS 签名：VMware vDefend 高级威胁防护 (ATP) 现在包含自定义签名支持，使客户能够导入自己的签名或从第三方威胁源导入基于 Suricata 的签名。分布式 IDS/IPS 和网关 IDS/IPS 都可以强制执行这些自定义签名。通过增加这一层安全性和灵活性，客户可以更好地保护其组织免受高级威胁。
• 网关防火墙针对多种场景进行了扩展增强，包括支持每个部分最多 2500 条规则
• 安全操作增强，包括附加警报。
• 恶意软件文件分析测试驱动：vDefend Firewall 用户现在可以测试驱动恶意软件文件分析，允许客户上传工件（文件/URL）以进行全面的恶意软件分析，并通过 VMware Advanced Threat Cloud Service 获得结论，特别是针对高度规避的恶意软件和零日威胁。

此外，产品的各个领域还添加了许多其他功能。更多详情请见官方发行说明。

VMware NSX 4.2.0.1 | 20 August 2024 | Build 24210154

NSX 4.2.0.1 是一个仅包含错误修复的更新版本。

• 已修复问题 3422772：在环境中配置 L7 DFW 规则或部署 Security Intelligence 时，ESXi 主机可能会发生 PSOD。

VMware NSX 4.2.0 | 23 July 2024 | Build 24105817

NSX 4.2.0 提供了各种新功能，为私有云、公有云和多云的虚拟化网络和安全性提供了新功能。亮点包括以下重点领域的新功能和增强功能：

• 为连接到 VLAN 拓扑的虚拟机轻松选定虚拟网络。
• 仅通过 IPv6 访问 NSX Manager 和 Edge 节点。
• 通过双 DPU 支持、TEP 分组、改进的故障事件检测以及对检测故障的数据包进行优先级排序，提高了网络连接的可用性。
• 对事件、警报和其他操作功能的额外支持。
• 多租户和 VPC 的增强 (sysin)。
• 本地管理器和全局管理器的防火墙规则和组规模均有所增加。
• T0 上网关防火墙的 IDS/IPS 功能的可用性。
• 分布式恶意软件防护可在延伸 VSAN 集群上使用。
• 在 IDS/IPS 事件的 NDR 中添加了用于威胁分类和取证的数据包捕获。

此外，产品的各个领域还添加了许多其他功能。更多详情请见发行说明。

文件列表

Download Product

SHA256 校验值及文件列表包含在下载中。

下载地址

VMware NSX 4.2.2.0 download, Release date MAY 2025

此处仅展示新增功能和文件列表，下载地址请访问：

• VMware NSX 4.2.3.1 - 网络安全虚拟化平台

相关产品：

• VMware NSX Advanced Load Balancer (NSX ALB) 22.1.7 - 软件定义的应用交付平台
• VMware NSX Advanced Load Balancer (NSX ALB) 30.1.2 - 软件定义的应用交付平台

更多：VMware 产品下载汇总

---

---

• ← Previous Post
• Next Post →

---