VMware NSX 9.1 新增功能简介

VCF Networking (NSX) 9.1 发布 - 云计算网络服务

formerly VMware NSX | 为 VCF 提供高性能网络连接和网络服务

请访问原文链接:https://sysin.org/blog/vcf-networking-9/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org

VCF Networking (NSX)

VMware NSX 提供了一个敏捷式软件定义基础架构,用来构建云原生应用程序环境

VMware Cloud Foundation Networking (NSX)

VCF Networking 为 VMware Cloud Foundation 中的工作负载提供高性能连接、网络服务以及敏捷运维能力。

NSX 9.1 新功能

NSX 9.1.0.0 | 12 MAY 2026

从 NSX 9.0 开始,NSX 仅通过 VCF BOM(软件清单)提供,不再支持独立升级或全新安装 NSX。您必须使用 VCF BOM 并按照推荐流程将 NSX 4.x 升级至 VCF 9.0 或更高版本。

虚拟私有云 (VPC) 网络

AVI 集成:支持分布式 VLAN 连接的 VPC 与分布式中转网关 (DTGW)

此版本引入了对 VPC 使用 AVI 负载均衡器以及支持分布式 VLAN 连接的中转网关的支持。

Supervisor 和 VCF Automation 的分布式 VLAN 连接支持

通过集成虚拟网络设备 (VNA),我们增加了为 Supervisor 启用分布式中转网关所需的基本服务。该功能允许 VCF Automation 环境仅需使用一个简单 VLAN 即可连接到数据中心,无需更复杂的网络先决条件。

针对 VPC 和 IPAM 增强的 NSX UI 体验

鉴于 VPC 对 VCF 网络的重要性,为了改进 NSX 用户体验,进行了以下增强:

  • 扩展了 VPC 视图:除了按 VPC 查看外,新增了按功能(如子网和 NAT)查看的选项 (sysin)。
  • 完整的 IP 分配和管理工作流:简化 IP 管理,提供指向服务(如 NAT 和外部 IP)的快速分配入口。
  • 重新组织网络选项卡:明确区分由 VPC 网络使用的对象(如中转网关)与分段网络(Segment Networking)的对象(如 Tier-1 和分段)。

扩展从 vCenter 消费 VPC 和中转网关

  • 中转网关在 vCenter 中可见且完全可配置。
  • 能够在 vCenter 中将子网扩展到 VLAN。
  • 完整的 IPAM 可见性和 IP 分配机制 (sysin)。
  • VPC 虚拟机可直接在 vCenter 中使用扩展的拓扑视图和 Traceflow(流量追踪)功能。
  • DHCP 服务器和 DHCP 中继选项可在 vCenter 中完全配置。

Terraform 扩展对中转网关和 VPC 的覆盖

Terraform Provider 随 VCF 网络的新功能同步演进,暴露了中转网关(多个 TGW、高级连接选项等)和 VPC(改进的 IPAM、VLAN 扩展等)的新增能力。

VPC 服务:虚拟网络设备的负载均衡器

VPC 现在支持通过部署在虚拟网络设备 (VNA) 之上的解决方案提供负载均衡 (LB) 功能。第 4 层 (L4) 负载均衡服务得到全面支持,并在专用的 VNA 内运行,确保了虚拟网络基础设施内的可扩展性、灵活性和增强的服务隔离。

集中式中转网关上的 VPC 服务 VPN 支持

支持使用集中式外部连接的 VPC 的 IPSec VPN 服务 —— 在 VCF 9.1 中,现支持使用集中式外部连接的 VP
使用 IPSec VPN 服务,实现跨不同网络环境的安全加密通信。此版本包括对基于策略基于路由(仅静态路由)的 VPN 支持,为满足各种连接和安全需求提供了灵活性。

支持具有外部分布式连接的 VPC 的 1:N SNAT 服务

VCF 9.1 在使用分布式中转网关时增加了对 1:N SNAT 的支持。该功能使多个内部虚拟机能够通过端口地址转换 (PAT) 共享单个外部 IP 地址 (sysin),优化了公网 IP 的使用并简化了工作负载的出站连接。

VCF 9.1 中引入虚拟网络设备

VCF 9.1 引入了虚拟网络设备 (VNA),旨在分布式 VPC 环境中运行和支持网络服务。这一新设备为部署高级网络服务提供了灵活且可扩展的基础。

VPC 子网的 VLAN 扩展

VPC VLAN 扩展提供了将 VPC 子网扩展到 Fabric 中现有 VLAN 的能力。它通过分布式 VLAN 扩展,实现了将连接到 DVPG(分布式虚拟端口组)的虚拟机接入 VPC 子网。

集中式中转网关的高级连接类型

此功能为中转网关(具有集中式外部连接)提供以下高级连接选项:

  • 每个中转网关配置多个网关外部连接。
  • 在单个项目中部署多个中转网关。
  • 为集中式中转网关配置独立的高可用性模式选择和灵活的 Edge 节点放置。
  • 在 Tier-0 上为中转网关和 VPC 子网启用代理 ARP (Proxy-ARP)。

每个项目支持多个分布式中转网关

此版本引入了对同一项目内支持多个具有分布式 VLAN 连接的中转网关的支持。

支持 EVPN VXLAN 连接的分布式中转网关

此版本引入了分布式 EVPN-VXLAN,能够利用 BGP EVPI 和 VXLAN 直接与 EVPN-VXLAN Fabric 进行工作负载集成,且流量路径中无需集中式网关设备。

转发功能更靠近工作负载,BGP EVPN 控制平面连接由 VCF 路由控制器通过与 Fabric EVPN 边界网关 (BGW) 建立对等连接提供——从而在虚拟网络和物理网络之间提供更佳的规模、性能和更简单的运维一致性。

租户网络支持服务和多个中转网关

VCF Automation networking 9.1 允许租户拥有:

  • 针对 TGW 和直连 VLAN 扩展的分布式连接到 VLAN。
  • 具有多个连接的多个中转网关。
  • 自助式 NAT、VPN、分组、防火墙(有状态 GFW 和 DFW 需要 vDefend Firewall 许可证)。
  • 创建跨命名空间共享的子网。

支持原生 Infoblox 与 VPC 集成

VCF 网络 IPAM 现在可以选择与 Infoblox 集成,以:

  • 发现 Infoblox 网络视图、DNS 视图和网络容器 (sysin)。
  • 使用 Infoblox 网络容器创建子网并更新虚拟机 IP/FQDN 信息。

您可以在 NSX 中配置此功能:与 Infoblox 配对,将外部 IP 块映射到可被发现的 Infoblox 网络容器,并将其用作 VCF Automation 外部 IP 块。

定义中转网关和 VPC 的作用域 (Span)

现在可以直接从 vCenter 或 NSX 定义 VPC 的作用域,从而将 VPC 限制在特定的集群内,或使其跨越网络域的所有 vCenter 实例。

新的 VPC 连接策略

VPC 通信现在可以通过一项名为“连接策略”的新功能轻松定义,该功能可以将预期相互通信的 VPC 分组到同一个中转网关下。提供不同的分组选项,例如 VPC 社区(例如映射到相连的应用程序)、隔离 VPC(用于 DMZ 等限制性更强的场景)以及托管服务并连接到所有其他 VPC 的混合模式 (Promiscuous) VPC。

Edge 平台

NSX 中用于创建 Edge 节点的新 UI

VCF 9.1 通过 NSX Manager 引入了一种全新的、用户友好的、简化的 UI 工作流,用于定义 Edge 节点和 Edge 集群配置。这一增强简化了设置和管理,使 Edge 基础设施的部署更快、更直观。

BM Edge 数据通路 NIC 支持 Broadcom 574X/575X 和 Mellanox CX6 LX

VCF 9.1 支持 Broadcom 574X 和 575X 以及 Mellanox CX6 LX NIC 用于裸金属 (BM) Edge 的数据通路。

Edge 控制平面优先级 (CPP)

VCF 9.1 在 Edge 上行链路上引入了控制平面优先级 (CPP),以确保所有控制平面数据包获得优先处理。这一增强适用于接收 (RX) 和发送 (TX) 数据包,为控制平面操作提供了更高的可靠性和稳定性。CPP 在裸金属 Edge (BME) 和 Edge 虚拟机部署中均已实现。

Edge 虚拟机 VLAN 和 MTU 健康检查

作为新的 Edge 节点创建 UI 和新的 Edge 集群创建工作流的一部分,增加了对 Edge 节点的 VLAN 和 MTU 预检查。它验证了物理 TOR 交换机上的 VLAN 和 MTU 配置是否已正确设置,以确保 VCF 网络 Edge 的成功部署。

增强型数据通路与性能

NVIDIA 加速网卡的 FPO 硬件引导 (Hardware Steering)

此版本引入了一种基于异步队列的硬件引导引擎,以提高 UPTv2 和增强型 DirectPath I/O 的流表编程速率和可扩展性。此功能在 NVIDIA 加速网卡(ConnectX-6 DX、ConnectX-7、BlueField-2、BlueField-3)上可用。

加速网卡的统一直通 (UPT)

统一直通 (UPT) 通过将数据通路卸载到 NVIDIA ConnectX-7 或 BlueField-2、BlueField-3(NIC 模式)硬件,通过标准 VMXNET3 接口实现接近线速的网络性能 (sysin)。该技术无需专有客户机驱动程序,并支持 vMotion 等核心功能,非常适合需要操作灵活性和简化镜像管理的高性能通用工作负载。

  • 最佳用例: 需要在速度和操作灵活性之间取得平衡的高性能通用企业工作负载。
  • 主要优势: 在不牺牲 vMotion 或客户机操作系统可移植性的前提下实现高速吞吐量。

加速网卡的增强型直接路径 I/O (EDPIO)

增强型直接路径 I/O (EDPIO) 通过为虚拟机提供对 NVIDIA ConnectX-6 DX、ConnectX-7 或 BlueField-3(NIC 模式)适配器的直接硬件访问,提供尽可能高的吞吐量和最低的延迟。此模式专门针对 AI、机器学习和分布式计算进行了优化,支持 GPUDirect RDMA,以促进跨网络的 GPU 之间的高速直接通信。

  • 最佳用例: AI/ML 训练、大规模分布式计算和高频交易环境。
  • 主要优势: 为计算密集型应用提供最大级别的硬件性能和先进的 RDMA 能力。

增强型数据通路 (EDP) 优化

EDP Standard 具有多项部署和性能增强:

  • 改进部署: 利用更新的序列,在有计划的维护期间,在多上行链路环境中保持数据通路的正常运行时间。
  • 延迟与吞吐量: 增加对发布中断 (Posted Interrupt) 的支持以降低 VMXNET3 延迟,增强多播快路径性能,以及 VMKAPI 校验和卸载。
  • 扩展功能支持: 为 EDP Standard 引入 SR-IOV,实现与 pkthandle 同等的 RDMA 能力,以及针对基于 Antrea 部署的 LRO。
  • 平台优化: 通过多世界 VMKnics 优化 vSAN 性能,并通过 TLB 优化针对 AMD 架构进行优化。

云服务提供商的 GRE 流量规模扩展(物理 NIC 和 vNIC RSS 哈希)

针对 Edge 节点虚拟机设备的 GRE vNIC RSS 哈希增强改善了流量规模。通过对内层数据包的检查,将流量分发到多个 CPU,从而提高了流量性能。

平台安全 (Platform Security)

使用 NSX 服务的 VCF 组件的无中断证书续订

在 VCF 9.1 中,使用 NSX 服务的 VCF 组件已采用标准化的无中断证书架构,即使 NSX 服务器证书发生变更,它们也能保持与 NSX 的信任关系。

NSX 备份与恢复支持 RSA 和 SSH-ED 算法

NSX 备份与恢复现已支持 RSA 和 SSH-ED 主机密钥算法,带来更好的安全性和一致性。

注意:如果您希望使用 ssh-ed25519主机密钥算法,请仅通过 NSX Manager UI/API 配置 NSX 备份。

NSX 重置密码操作中新密码必须与旧密码不同

从 VCF 9.1 开始,用户在重置本地账户密码时,不能再提供旧密码。关于重置密码的信息,请参阅《重置用户密码》。

NSX 在 ESXi 上使用内部账户创建普通用户账户

从 VCF 9.1 开始,NSX 不再在 ESX 主机上为其自身操作创建和使用以下普通用户:mux_userda-usernsx-userlldpVim-user。取而代之的是,它将使用对用户不可见的特殊账户。

NSX 迁移至 Ubuntu 24.04 及精简容器 (Chiseled Containers)

所有 NSX 设备已升级至 Ubuntu 24.04,并利用精简容器 (Chiseled Containers) 最小化攻击面,优化部署效率,并通过统一的、受企业支持的堆栈简化补丁管理。

VCF 集成 (VCF Integration)

使域 (Domains) 具备 VPC 就绪状态的工作流

在 VCF 9.1 中,即使在创建或导入 VCF 域时未初始配置 vNetworking 服务(隧道端点 - TEP),您也可以随后进行配置。您还可以将默认中转网关配置为默认项目的一部分。

vCenter 中的 Overlay 服务配置

在 VCF 9.1 中,Overlay 隧道端点 (TEP) 现在可以像其他 vmkernel 网卡一样直接从 vCenter 进行配置。这为配置运行在 ESX 主机上的所有服务提供了一个中心位置。

VCF 工作流对链路聚合控制协议 (LACP) 的 UI 支持

VCF 安装程序和 VCF Operations 提供了直接在 UI 中配置带有链路聚合控制协议 (LACP) 的链路聚合组 (LAG) 的选项。

管理和工作负载域之间共享 NSX Manager

VCF 管理域现在可以与其他 VCF 工作负载域共享 NSX Manager。这减少了运行 NSX 所需的资源以及 NSX 生命周期管理的开销。

网络可见性 (Network Visibility)

VDS IPFIX 采用 ConnTrack 模块

将 VDS 中的 IPFIX 模块(Netflow)更新为支持连接跟踪 (ConnectionTrack) 的模块,以提高性能并标准化所有 IPFIX 实现(DFW IPFIX、交换机 IPFIX 和 VDS IPFIX)使用单一模块。因此,上行链路端口组的 IPFIX 将不再受支持

网络可观测性 (Network Observability)

端口镜像策略 API 支持

此功能增强了策略 API 和 UI,以支持本地 SPAN (Local SPAN) 以及远程 SPAN (RSPAN)。之前的策略 API 仅支持 ERSPAN 和逻辑 SPAN。现在,所有 SPAN 类型都可以在一个中心位置进行配置。

IP 地址管理 (IP Address Management)

面向云消费的 IP 地址管理 (IPAM)

  • 面向云消费的 IPAM: IPAM 通过扩展 IP 块 (IP Block) 变得更加灵活和强大。现在允许一个 IP 块支持多达 10 个 CIDR、10 个 IP 范围(之前仅支持 1 个),并支持排除特定 IP。这使得在不干扰 VPC 消费者的情况下填充 CIDR 和 IP 成为可能。如果用于访问互联网的 IP 块已满,可以添加一些新的 IP,而消费者无需做任何更改,因为它属于同一个 IP 块和配额。
  • IP 地址管理 (IPAM) 增强的提供商控制: 现在可以在限制租户对 IP 块内容可见性的同时,将 IP 块共享给租户。例如,这允许提供商将一个名为“Internet”的 IP 块共享给 VCF Automation 中的组织,并配额为 2 个 IP,而无需暴露通常由提供商拥有的互联网 IP。
  • IPAM 分配、使用和可见性: IPAM 在为使用 VPC 的 UI(VCF Automation、vCenter 和 NSX)中提供了增强的 IP 分配和 IPAM 管理能力。

VPC 分布式 DHCP 服务器增强

VCF 9.1 引入了静态 IP 地址的自动检测功能,这些地址现在会自动从 DHCP 池中排除 (sysin)。这一增强通过防止静态分配和动态分配的 IP 之间的冲突,确保了无缝的 IP 地址管理,从而提高了网络稳定性并减少了手动配置错误。

负载均衡器 (Load Balancer)

分布式负载均衡器与分布式防火墙解耦

分布式负载均衡器 (Distributed Load Balancer) 现在可以独立管理,并与分布式防火墙 (DFW) 解耦。这种分离提供了更大的灵活性,允许用户配置和操作负载均衡服务,而无需依赖 DFW 的配置。

运维 (Operations)

NSX 设备的 SSH 登录横幅自定义

现在可以在 NSX Manager 和 Edge 设备上配置 SSH 横幅 (Banner)。用户在登录这些设备之前,将看到管理员配置的可定制消息。

VKS 多接口网络 (VKS Multi-Interface Networking)

为 VKS 工作负载提供 Istio Service Mesh

Istio Service Mesh 现已在基于 Supervisor 的工作负载上,按每个 VKS 集群级别提供。主要功能包括:

  • 单个 VKS 集群内容器工作负载之间的 mTLS。
  • 支持 Sidecar 模式和 Istio Ambient(无 Sidecar)模式。
  • 所有 Istio 安全和流量管理 API 均可用。
  • 启用 L4 和 L7 路由(包含 Waypoint Proxy)。

VKS 集群的双网络支持

这使得任何 VKS 集群在部署时可以配备辅助网络接口 (vNIC),并且当运行 Antrea CNI 时,集群内的 Pod 也可以部署辅助网络接口。VKS 集群节点和 Pod 的辅助 NIC 都会映射到 NSX VPC 中由 VLAN 或 Overlay 支撑的子网。这解决了许多客户的使用场景,例如与主网络进行流量隔离、往返容器工作负载的多播流量,以及对 NFS 存储等物理系统的直接访问。

VCF 存量环境/导入 (VCF Brownfield/Import)

带外网络更改不影响 SDDC Manager

SDDC Manager 现在支持直接通过 vCenter 或 NSX Manager 进行的网络配置更改,并能在其数据库中同步这些更改。

VCF 导入支持裸金属 Edge

在 VCF 9.1 中,现有的带有 NSX 裸金属 Edge 节点的非 VCF 部署现在可以导入到 VCF 中。

安装与升级 - LCM (Installation and Upgrade - LCM)

VDS 支持 VCP 自动引导 (Autobootstrap)

增强 VDS 功能和特性,以支持 NSX 与 vSphere 配置文件的集成。

将 NSX Edge/SVM 升级移至升级序列末尾,以完成与 vSphere 的对齐

  • 更简单快捷的升级 —— 合并 NSX 和 vSphere 管理平面及数据平面的维护窗口。
  • 最新的 VMX 版本 —— 作为升级过程的一部分,您的 NSX Edge 将获得最新的 VMX 版本。无需升级后的人工干预或额外的重启。

DPDK 升级至 24.11

将数据平面开发套件 (DPDK) 升级至 24.11 版本,带来了性能改进、增强的稳定性,并支持最新的硬件和功能。这确保了高性能网络工作负载更高的效率和未来的兼容性。

路由 (Routing)

针对自动伸缩应用的动态 BGP 对等连接

此功能在 Tier-0 网关和 Tier-0 VRF 上提供动态 BGP 对等连接支持。利用此功能,用户可以定义一个 IP 地址范围,用于确定 Tier-0 网关何时应与外部路由器建立 BGP 对等连接。

提升 L3 网络规模

在此版本中,VCF 网络多个方面(包括 L3 网络规模)的配置最大值已得到提升。

下载地址

VCF Networking (NSX) 9.1 | 12 MAY 2026

请访问原文链接:https://sysin.org/blog/vmware-nsx-9/

更多:VMware 产品下载汇总

posted @ 2026-05-18 18:26  sysin  阅读(19)  评论(0)    收藏  举报