VMware NSX 4.2.3 发布，新增功能概览

VMware NSX 4.2.3 - 网络安全虚拟化平台

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化。

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

VMware NSX 提供了一个敏捷式软件定义基础架构，用来构建云原生应用程序环境

VMware NSX 4.2.3 | 31 JUL 2025 | Build 24866349

新增功能

提示：此版本也包含已知问题修复，解决了 53 个已知问题，篇幅较长，有兴趣可参阅官方文档。

NSX 4.2.3 提供了多种新功能，为私有云的虚拟化网络和安全带来新的能力。重点更新包括以下领域的新功能和增强：

重新部署 Edge 节点时的日志通知

从 NSX 4.2.3 开始，引入了一条新的日志消息，用于通知你重新部署 Edge 节点将导致与该 Edge 相关的所有日志丢失。为保留这些信息，你可以在执行重新部署之前生成并下载支持包。
Root Shell 命令历史

Root shell 命令会被收集到单独的文件中，以便更清晰地进行故障排查。

防火墙
- NSX 4.2.3 在通过 UI 和 API 创建分布式防火墙（DFW）和网关防火墙规则时，支持所有 RFC IANA 文档中定义的 ICMPv4 和 ICMPv6 类型和代码。此外，本版本还支持 RFC IANA 文档中定义的所有 IP 协议 (sysin)，可通过 UI 和 API 在分布式和网关防火墙规则中使用。
- 本版本通过 API 提供基于 IP Options 的数据包丢弃功能，适用于网关防火墙（Tier-0 和 Tier-1）：Loose Source Routing、Strict Source Routing、Record Route（用于 IPv4）以及 IPv6 扩展头部类型 43（Routing Header）。
Turbo 模式分布式 IDS/IPS
- 本版本提供从 NSX Manager UI 启动的脚本，用于检查集群和主机 ESX 版本的兼容性，以及 bootbank 大小和 Turbo 模式（SCRX）状态的详细信息。用户可以将脚本输出下载为 CSV 文件。
- 对于在启用 Turbo 模式分布式 IDS/IPS 的 ESXi hypervisor 上出现的网络超额订阅场景，系统会触发警报。

在线诊断系统 Runbooks

NSX 4.2.3 引入了 dp_support.py，这是一款用于离线分析 ESXi net-stats 的 Python 工具。它处理收集到的 net-stats 数据并生成包含关键 datapath 指标的 Datapath.json 文件。其主要功能包括：
- 使用 Python 3.10+ 离线运行
- 输出 Datapath.json，便于快速了解 datapath
- 支持 NSX/ESX 版本标志和 SmartNIC 选项
- 支持自定义日志级别

NSX 升级准备评估

NSX 4.2.3 提供了更快、更有针对性的升级前检查，从而带来增强的升级体验。通过增加线程数、减少休眠时间，以及仅对选定升级的主机运行检查，用户能够更快、更有效地确认升级准备情况。
NSX 升级前检查

本版本新增升级前检查功能，用于验证是否存在已过期或将在 90 天内过期的传输节点（TN）SSL 证书。如果检测到此类证书，系统会提示用户运行 Certificate Analyzer, Results and Recovery (CARR) 脚本。

CARR 脚本新版本

发布了 CARR 脚本的 1.17 版本。强烈建议在升级 NSX Manager 之前运行 CARR 脚本。运行该脚本的目的是确保 NSX 证书（如传输节点证书）不会在 90 天内过期。如果有证书将在 90 天内过期，可以再次调用 CARR 脚本来替换证书。
已撤销 TN 证书无宽限期

已移除传输节点证书撤销后的 24 小时宽限期。如果在 CRL 验证中未找到有效证书，与传输节点的连接将被立即关闭。

想要开始学习和研究？