VMware Avi Load Balancer 30.2.7 发布 - 多云负载均衡平台

VMware Avi Load Balancer 30.2.7 发布 - 多云负载均衡平台

应用交付:多云负载均衡、Web 应用防火墙和容器 Ingress 服务

请访问原文链接:https://sysin.org/blog/vmware-avi-load-balancer-30/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org

负载均衡平台
VMware Avi Load Balancer

VMware Avi Load Balancer 可简化应用交付,并提供多云负载均衡、Web 应用防火墙和容器 Ingress 服务。

VMware Avi Load Balancer 概述

对多云环境中的负载均衡进行现代化改造

Modernize Load Balancing for Any Cloud

  • 实现多云一致性

    集中式策略以及跨本地数据中心和公有云(包括 VMware Cloud、AWS、Azure 和 Google Cloud Platform)的一致运维可简化管理 (sysin)。

  • 从前期到后续的自动化可简化运维

    将基础架构团队从手工劳动中解放出来,并使 DevOps 团队能够实现自服务。应用交付自动化工具包包括 Python SDK、RESTful API、Ansible 和 Terraform 集成。

  • 使用无处不在的分析进行故障排除

    通过实时应用性能监控、闭环分析和深度机器学习 (sysin),获得前所未有的洞察力,包括网络、终端用户和安全性领域。

  • 面向未来的所有工作负载

    通过具有分布式现代体系架构的单一平台,可轻松将应用服务(例如容器 Ingress 和应用安全性延展到 Kubernetes 和 OpenShift 环境中的云原生应用 (sysin)。

  • 多云负载均衡入门

    可提供负载均衡、Web 应用防火墙和容器服务的平台。

新增功能

VMware Avi Load Balancer 30.2.7 | 2026 年 5 月 15 日

VMware Avi Load Balancer 30.2.7 是一个维护版本,仅包含缺陷修复。

30.2.7 中已修复的问题

  • AV-222375:如果 Service Engine Group 中包含陈旧或不存在的管理网络引用,升级到 30.2.x 版本会失败。

  • AV-241070:新的集群 Leader 节点在切换后,可能无法触发某些事件告警(例如 SE_UPCONTROLLER_NODE_JOINED)。

  • AV-244479:升级到 30.2.3 后,如果系统配置了代理,但 NSX Manager 和/或 vCenter 无法通过该代理访问,则 NSX 与 vCenter Cloud 可能进入失败状态。

  • AV-246642:API 分页链接(下一页 “>`” 按钮)返回相对路径而非完整 URL,导致现有自动化脚本失效。

  • AV-247012:Swagger UI 无法加载 anomaly.yamlmetrics.yamlhealthscore.yaml API 定义文件。

  • AV-247034:使用 Management Profile 更新门户证书后,System Settings 中不会同步更新,导致 UI 继续使用旧证书,甚至在手动修改配置前无法访问。

  • AV-250259:当 SSL Profile(System-Standard-Portal)配置了不兼容的 Cipher Suite 与 TLS 协议组合时,Avi Controller UI 与 CLI Shell 可能无法访问。

  • AV-252057:连接 Avi Controller CLI 时可能发生超时,导致新的 CLI 会话无法建立 (sysin)。

  • AV-252973:当 Avi REST API 请求中存在重复 Query 参数时,API 会解析第一个参数而非最后一个参数,导致结果与旧版本行为不一致。详见后文“30.2.7 关键变更”。

  • AV-254344:在 IPv6 环境中,Path MTU Discovery 可能导致 Service Engine 出现 Packet Buffer Leak,进而引发流量中断(CONN_DROP_NO_PKT_BUFF)。

  • AV-254685:仅启用 TLS 1.3 的 Virtual Service 会错误触发 “缺少 PFS 支持” 异常,导致 Health Score 错误显示为 0。

  • AV-254919:在 Admin Tenant 中使用 certificate_management_profile 更新 SSL 证书时,其他 Tenant 中具有相同 common_name 或相同父证书的证书会重复追加完整证书链,导致证书内容无限增长。

  • AV-255240:Controller 数据库因累积过期 Session 记录而膨胀,导致 API 响应变慢、数据库负载增加,并在 Session 清理期间占用更多内存。

  • AV-255505:若同时配置远程 LDAP 认证与 SMTP 设置,HTTP/HTTPS 端口可能被错误修改,导致 UI 无法访问。

  • AV-256335:导入证书 Bundle 时,即使系统中不存在同名证书,也会报错 Ssl key and certificate with this Name and Tenant ref already

  • AV-256342:Service Engine 命令:show pool <pool-name> vs service server map kv 可能导致 SE 故障。

  • AV-256910:Active GSLB Follower Site 状态错误显示为 IN_SYNC,而不是 GSLB_SITE_CFG_SYNC_NOT_APPLICABLE

  • AV-256955:Avi Controller 从 30.2.5 回滚到更早版本时 (sysin),由于兼容性问题导致失败。

  • AV-256970:在混合 API 版本环境中,对 Pool Member 的异步 PATCH 操作可能失败,且失败记录不会生成外部事件;Patch ID 过期后失败历史永久丢失。

  • AV-256987:启用 Dedicated Dispatcher 与 RSS 后,UDP Fast Path Virtual Service 可能出现间歇性丢包,并报错 no_flow_not_kni_no_routing

  • AV-257307:多个 Pool 中存在相同 IP 与端口的 Server 时,删除后的 Server 实例不会从内存中清除,从而导致内存泄漏。

  • AV-259226:更新绑定到 Virtual Service 的证书后,UI 中的 Health Score 显示可能不一致。

  • AV-260602:当 SIP Virtual Service 同时启用 TCP 与 UDP 作为 L4 协议时,呼叫建立消息可能间歇性丢失。

  • AV-260812:位于 /opt/avi/python/lib/avi/scripts/csshared 的用户自定义脚本,在 Controller 升级后不会被保留。

  • AV-261337:升级 Avi Controller 时,如果已有 SSL 证书包含非法 SAN(Subject Alternative Name)值,会被校验机制阻止升级。

  • AV-261672:使用 Legacy Active-Standby HA 模式的 Service Engine,在通过 CLI switchover 触发 Failover 后,可能出现 NAT IP 不可达问题。

  • AV-262053:在 30.2.x 中启用 HSM 时,Service Engine 会发生内存泄漏 (sysin)。

  • AV-262072:在高 CPS(Connections Per Second)流量下,如果启用了 GRO(Generic Receive Offload),Service Engine 数据面可能故障。

  • AV-262460:启用 Health Monitor 抓包后,Child Virtual Service 的 Packet Capture 无法生成。

  • AV-262539:为 Layer 4 TCP Fast Virtual Service 绑定 DataScript 时,可能导致 Service Engine 异常重启,并造成短暂业务中断。

  • AV-262778:SE 向 TLS Endpoint 进行客户端日志流式传输时,若网络较慢,日志代理可能意外停止。

  • AV-262853:旧版日志视图中,Load Balancer Analytics 的 Policies 弹窗无法正常渲染,只显示 {{ template.header }}

  • AV-263123:当 Virtual Service 处于 Streaming Mode 且后端 Pool 不可用时,同一连接上的后续请求可能返回 400 Bad Request

  • AV-263259:由于 /etc/ssl/certs 中缺少 CA 证书 Hash 符号链接,自动证书续期失败,并引发 SSL 校验错误。

  • AV-263400:在启用 Remove Listening Port when VS down 的 L2 Scaled-out VS 中,如果 SE Group 配置了 RSS,可能因丢包导致连接被终止。

  • AV-263462:如果在单次更新中同时配置 Pool 与引用该 Pool 的 L4 Policy,创建或更新 Virtual Service 可能导致 Service Engine 故障。

  • AV-264107:在同一个 Enhanced Virtual Hosting 父 VS 下,多个 Child VS 使用重复 Hostname 时,更新其中一个 Child VS 可能导致 SE 故障。

  • AV-264643:当流量规模(OpenConnections + throughput)超过 SE 规格配置时,可能发生 I/O 错误。

  • AV-264973:通过 UI 编辑角色权限时 (sysin),界面未显示的权限会被错误删除,而不是保留。

  • AV-265097:SE 中大量 Open Connections 会导致连接内存占用过高,从而引发间歇性连接抖动与 4xx 错误。

  • AV-265481:使用 UDP Fast Path 与 DSR 的 Scaled-out DNS Virtual Service 可能导致 Service Engine 故障。

  • AV-267222:由于 VMXNET3 驱动在收到无 TCP Options(MSS 为 0)的 SYN 包时发生阻塞,SE 数据面会失败。

  • AV-267339:当一个 Pool 被大量 Virtual Service 共享时,对该 Pool 执行 PATCH 更新会失败,并报错 Cannot change Pool because of referred Virtual Service: Timed out while executing the checks!

  • AV-267358:升级到 30.2.6 后,如果多个 Cloud 共用同一个 vCenter 但属于不同 Datacenter,则 vCenter Cloud 可能失败。

  • AV-267528:在 OpenStack Write Access 环境中,Service Engine 在热插拔 NIC 时,可能间歇性无法识别新增网卡。

  • AV-267951:当上游服务器在完整 POST Body 接收前提前返回错误响应时,如果关闭 Proxy Expect Header,Virtual Service 可能将剩余 Body 错误识别为新请求,并返回 400 Bad Request

  • AV-268360:用户同时在多个浏览器标签页进行 OAuth 登录时,会返回 401 Unauthorized

  • AV-268492:在 Enhanced Virtual Hosting(EVH)模式下,Application Profile 的 HTTP Body Size Limit 不生效,超大 POST 请求会被错误接受(HTTP 200)而非拒绝(HTTP 413)。

  • AV-268672:在 Active/Active 多站点环境中,OAuth 登录可能失败并返回 401 Unauthorized,日志中会出现 OAUTH Error: Handshake cookie received on invalid redirect URI

  • AV-271295:30.2.x 中的 Syslog 缺少关键字段(如 Client IP 与事件描述),原因是 Avi 无法解析嵌套事件数据。

  • AV-271485:使用 DSR 的 Virtual Service 在流量突增或 Server 状态变化后,Open Connections 数值统计可能不准确。

  • AV-271940:Linux Server Cloud 的 Service Engine 使用 Intel i40e 网卡并启用 Jumbo MTU 时,可能出现丢包。

  • AV-273284:当 Virtual Service 配置 Application Cookie Persistence 且 Cookie 值为空时,Service Engine 会错误触发:Memory Limit Exceeded 从而导致应用请求处理中断。

30.2.7 关键变更

1、REST API 重复 Query 参数行为变更

示例:

/api/pool?fields=name&fields=uuid
版本 行为 示例
30.2.1 ~ 30.2.6 仅解析第一个重复参数,忽略后续参数 fields=name 生效
30.2.7 仅解析最后一个重复参数,忽略前面的参数 fields=uuid 生效

2、System-Standard-Portal SSL Profile 新增严格 Cipher 校验

从 30.2.7 开始,引入严格 Cipher Compatibility 检查。

如果 System-Standard-Portal 使用了不兼容的 Cipher 与 TLS 协议组合,会显示错误:

No compatible cipher found for the provided protocols: -tls1,-tls1.1

解决方法

任选以下一种:

  • 移除旧版不兼容协议
  • 手动添加至少一个兼容 Cipher:
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

VMware Avi Load Balancer 30.2.6 | 2025 年 12 月 9 日

此版本仅多项已知问题修复,无新增功能。

VMware Avi Load Balancer 30.2.5 | 2025 年 9 月 25 日

此版本仅多项已知问题修复,无新增功能。

VMware Avi Load Balancer 30.2.4 | 2025 年 7 月 1 日

云连接器(Cloud Connector)

  • 在启用 gVNIC 的情况下,支持在 Google Cloud Platform 中为服务引擎(Service Engines)使用 C4 和 N4 实例。

已知问题修复(50 项),详述略过。

VMware Avi Load Balancer 30.2.3 | 2024 年 3 月 31 日

  • 支持在 GCP 环境中的 SE 使用 gVNIC DPDK 驱动。
  • 支持在 OEL 9.5、RHEL 9.5 和 Ubuntu 22.04 上部署 Linux Server Cloud Controller 和 Service Engines。
  • 支持基于每个 SE 的最少连接数算法进行池服务器选择。
  • 已知问题修复(50 项)。
  • 安全更新:此版本修复了 CVE-2025-41233。

VMware Avi Load Balancer 30.2.2 | 2024 年 9 月 6 日

这是一个维护版本,提供高优先级问题的修复(15 项)。

VMware Avi Load Balancer 30.2.1 | 2024 年 5 月 7 日

VMware NSX 高级负载均衡器现在称为 VMware Avi 负载均衡器。从 30.2.1 开始,Avi 控制器 UI、CLI、API 和产品文档中引入了产品名称更改。此更改不会影响产品的功能,也不会影响与先前版本的兼容性的 API 更改。

  • 云连接器

    AWS

    • 支持服务引擎的 C6i 实例类型。

    VMware NSX

    • 使用标志 automate_dfw_objects 控制 DFW 对象的创建的能力。
    • 通过代理支持传出流量 system_configuration.proxy_configuration vCenter 和 NSX Manager 的字段。
    • 每个 NSX 云的数据段最大第 1 层数量增加至 800。
    • 保留 NSX 云的客户端 IPv6 支持。
    • 当虚拟服务出现故障时,支持从 NSX Cloud 部署中的 T1 逻辑路由器中删除 VIP 路由。
    • 为了增强 NSX 部署中的数据路径性能,在 SE 虚拟机上的 vNIC 中配置了 ctxPerDev 和 pnicfeatures。

    开放堆栈

    • SRIOV 支持 OpenStack 无 Orchestrator 云中的 Mellanox VF。
    • 支持 OpenStack No-Orchestrator 云中出站 NAT 的默认网关。

    VMware vCenter

    • 能够在 vCenter 写入访问云配置中更改数据中心名称。
    • 支持在 Avi vCenter 写入访问云配置中更改 vCenter 的 URL/IP。

  • 负载均衡核心功能

    • 支持在 DataScripts 函数和 HTTP 策略中指定任何 HTTP 响应代码 (200-599)。
    • WebSocket 支持 V1 客户端 (HTTP/1.x) 和 V2 (HTTP/2) 服务器之间的通信。
    • 当 L4 应用程序配置文件用作覆盖应用程序配置文件时 (sysin),支持 TCP 代理协议(选择 “启用代理协议” )。
    • SSL 握手失败现在包括在客户端日志中记录客户端提供的密码。

  • 联网

    • SCTP 支持的以下功能全面可用:
    • vCenter Cloud 环境中具有旧版 HA 的 SCTP 代理配置文件。
    • 支持 Preserve-Client-IP、自动网关、L4 连接日志和指标。
    • SCTP 的 Active-Active 和 N+M HA 模式支持。
    • 支持用于虚拟服务和服务引擎数据包捕获的 AND/OR/NOT 过滤器。
    • 引入了 NAT 策略规则 NAT_POLICY_ACTION_TYPE_DYNAMIC_IP_PRESERVE_PORT 的新操作,通过保留 UDP 流的源端口来支持出站 NAT 功能,并帮助正常恢复 UDP 流。
    • 浮动 IP 显示在服务引擎 UI 的正在使用的接口列表弹出屏幕中。
    • Linux 服务器云:支持 MLNX_OFED 版本 OFED_LINUX-5.8-2.0.3.0 中的 Mellanox ConnectX6 LX NIC。

  • 用于控制平面的 IPv6

    • 主接口支持 IPv6,用于集群和外部通信,即主接口可以是 IPv6 或 IPv4。
    • 云连接器支持 vCenter 和 NSX-T 云 (sysin),以便与这些端点进行 IPv6 通信。

  • IPv6 数据平面

    • 为 vCenter 和 NSX Cloud 环境保留客户端 IP、浮动 IP 、路由支持、 NSX 服务插入。
    • 快速路径支持(TCP 和 UDP 网络配置文件)。
    • SCTP IPv6(SCTP 代理配置文件)。
    • DSR(直接服务器返回)、SNAT、路径 MTU 支持。
    • BGP 社区的 IPv6 支持。
    • 对 IPv6 的 GRO 和 RSS 支持。

  • 边界网关协议

    • 支持在虚拟服务级别配置 AS 路径前置和本地首选项设置,以及可用于 VRF 级别设置的现有配置选项。

  • 监控和可观察性

    • CONFIG_CREATE 和 CONFIG_DELETE 审核事件现在提供进行配置更改的客户端的用户代理和 IP 地址。
    • 未解析的 URI 现在记录在应用程序日志中 (sysin),并且可以通过 UI 查看。
    • 支持用户通过 UI 配置 SE 资源指标事件 / 警报的阈值。
    • 使用每 VS 日志统计信息 (vslogstats) 和每 VS 每 SE 日志统计信息 (vslogstatsdisaggr) 增强 SE-Log-Agent 统计信息。

  • 系统

    • 增强的灾难恢复和配置恢复能力。

  • 安全

    • 管理证书吊销列表 (CRL) 的增强功能。
    • 支持可配置的 CRL 到期事件。
    • 数据脚本 avi.ssl.get_tls_fingerprint(type) 返回与虚拟服务进行 SSL/TLS 连接的客户端的 TLS 指纹。
    • 现在可以使用 ControlScript 通过 InfoBlox DNS 使用 DNS-01 质询通过 LetsEncrypt 自动续订和颁发证书。
    • 能够选择在证书验证期间排除的错误类型,以在 PKI 配置文件中实施故障关闭或故障打开场景。
    • 配置 IDP 元数据 URL 时,支持使用 “启用定期下载” 字段定期自动检索、监控和更新 SAML IDP 元数据。

  • Web 应用程序防火墙 (WAF)

    • 支持 CSRF 保护。
    • HTTP 会话和客户端状态管理,以实现 CSRF 保护和状态机器人管理。
    • WAF 配置文件中的内容类型映射支持启用字符串操作(等于和正则表达式)来匹配内容类型。
    • 支持通过 WAF 配置文件系统 - WAF-Profile-API 保护 JSON 和 XML API 流量。
    • 字符串组支持 PSM 位置匹配。
    • 使用 Avi 机器人管理时,WAF 策略中会引入 “受信任的客户端类型” 选项,以将应用程序配置为仅从符合配置条件的客户端进行学习。
    • 支持克隆现有的 WAF 策略。
    • WAF CRS 默认版本已更新至 2024-01。

  • 用户界面

    • UI 支持配置处于 UP 状态的最小池数,以便将虚拟服务标记为 UP。
    • 虚拟服务树视图中的可视指示器表示与每个虚拟服务关联的主服务引擎。
    • 在日志页面中,日志页面出现超时 (sysin),表明 API 在指定时间内没有返回所有可用的日志数据。
    • UI 支持管理同一主机名的多个静态记录,确保保留通过 CLI 和 API 进行的现有配置。
    • 利用 VMware Clarity 框架增强用户界面,具有以下功能:
    • 服务引擎
    • 池组
    • GSLB
    • 健康监测仪
      • LDAP/LDAPS
      • FTP/FTPS
      • SMTP/SMTPS
      • IMAP/IMAPS
      • POP3/POP3S
    • 警报

  • 已解决的问题

    36 项已知问题修复,本文主要列出新增功能,限于篇幅,请访问官网查看。

  • 安全修复

    此版本解决了 CVE-2024-22264 和 CVE-2024-22266。

兼容性

VMware Avi Load Balancer 与 vSphere 互操作性:

Avi Load Balancer

下载地址

VMware Avi Load Balancer 30.2.7 for VMware, 2026-05-15

Item File Name Size Release Date
CLI Packages - Standalone CLI Shell avi_shell-30.2.7-9093.tar.gz 20.09 KB 15 May 2026
VMWARE - Controller OVA controller-30.2.7-9093.ova 4.53 GB 15 May 2026
Upgrade - VMware / OpenStack / AWS / KVM / CSP controller-30.2.7-9093.pkg 4.24 GB 15 May 2026
OpenStack / KVM / CSP - Controller Qcow2 controller-30.2.7-9093.qcow2 4.48 GB 15 May 2026
OpenStack / KVM / CSP - Controller Qcow2 Raw Image controller-30.2.7-9093.raw.gz 4.21 GB 15 May 2026
Microsoft Azure - Controller VHD controller-30.2.7-9093.vhd 10 GB 15 May 2026
Upgrade - Container Clouds / Linux Server controller_docker-30.2.7-9093.tgz 5.45 GB 15 May 2026
Linux Server Cloud (Bare Metal) - Docker Install Image docker_install-30.2.7-9093.tar.gz 6.82 GB 15 May 2026
Controller GCP - Controller GCP gcp_controller-30.2.7-9093.tar.gz 4.21 GB 15 May 2026
Container Clouds - ServiceEngine Docker Image se_docker-30.2.7-9093.tgz 1.40 GB 15 May 2026

相关产品:VMware NSX 4.2.3 - 网络安全虚拟化平台

更多:VMware 产品下载汇总

posted @ 2025-12-19 10:49  sysin  阅读(8)  评论(0)    收藏  举报