VMware Avi Load Balancer 30.2.3 - 多云负载均衡平台
应用交付:多云负载均衡、Web 应用防火墙和容器 Ingress 服务
请访问原文链接:https://sysin.org/blog/vmware-avi-load-balancer-30/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
负载均衡平台
VMware Avi Load Balancer
VMware Avi Load Balancer 可简化应用交付,并提供多云负载均衡、Web 应用防火墙和容器 Ingress 服务。
新增功能
版本 30.2.3 的新增功能
Release date: 31 Mar 2025
- 支持在 GCP 环境中的 SE 使用 gVNIC DPDK 驱动。
- 支持在 OEL 9.5、RHEL 9.5 和 Ubuntu 22.04 上部署 Linux Server Cloud Controller 和 Service Engines。
- 支持基于每个 SE 的最少连接数算法进行池服务器选择。
版本 30.2.3 中已解决的问题
- AV-203620:如果对非 SSL 请求调用 SSL DataScript 函数
check_client_cert_validity()
,Service Engine 可能会崩溃。 - AV-205033:Virtual Service Log UI 中的每请求显示缺少端到端计时数据。
- AV-208096:在 L2 横向扩展中,从主 SE 发送到辅助 SE 的重组数据包可能由于 IP 校验和错误而被丢弃。
- AV-208638:Service Engine 与 Controller 断开连接超过 24 小时后,重新连接后可能无法同步新配置。
- AV-209576:在使用 GC API 清理未使用的数据时,OpenStack 云中的 VS VIP 端口创建失败。
- AV-212397:在客户端证书认证过程中,如果证书主题中没有 common name,SE 会出现内存泄漏。
- AV-212570:启用
async_ssl
时,Service Engine 可能失败。 - AV-215505:LDAP 和 TACACS+ 用户被阻止访问 Controller shell,并提示接受 SSH 密钥和输入本地管理员密码。
- AV-215537:如果 SE 的核心数与服务引擎组中配置的
se_dps
不匹配,Virtual Service 抓包可能失败。 - AV-216497:在 BGP 配置中,Avi SE 会错误地发送非本地 IP 地址的 gratuitous ARP。
- AV-217209:在配置云环境时,Service Engine Network 字段中子网 CIDR 显示为未定义。
- AV-217566:如果 vCenter 环境中未配置内容库,通过 UI 创建 vCenter 时会显示 API 错误。
- AV-217806:在 Basic 和 Essentials 授权模式下使用不支持的指标会导致池和服务器的健康评分计算不正确。
- AV-218786:如果在升级前存在 postgres 复制延迟,会在所有节点上创建
replication_not_complete
文件,导致升级失败。 - AV-218791:在 Controller 主节点变更后,通过 API / CLI / UI 进行的配置更改可能失败。
- AV-218797:SE 的日志代理进程可能失败,导致 SE 故障。
- AV-218899:HTTP Profile 中的
Headers To Find True Client IP
字段只接受 IP 地址输入,而非 HTTP 头字符串。 - AV-218892:在启用 LRO 的 L2 横向扩展场景中,如果数据包大小在 MTU 范围内,主 SE 仍可能发送带有错误 TCP 校验和的数据包给辅助 SE。
- AV-220307:向启用了 TCP Fast Profile 的 Virtual Service 发送无效 MSS 包可能导致 Service Engine 失败。
- AV-220414:当系统配置了代理但 NSX Manager 和/或 vCenter 无法通过该代理访问时,NSX 和 vCenter 云会因 Bad Gateway 错误而进入失败状态。
- AV-222262:在启用 LRO 的 L2 横向扩展系统中,将流量重定向到辅助 SE 时会出现 HTTP 400 错误。
- AV-227721:由于内存占用高,部分 Virtual Services 和 Pools 无法显示事件。
- AV-222825:当配置了客户端 IP/APP cookie 持久性,并且相同 key 的并发请求被 SE 的两个不同核心处理时,可能出现竞争条件导致 SE 失败。
- AV-222980:将中间证书更新为根证书后,证书链中仍包含对其原父证书的引用,导致证书链无效。
- AV-222958:EVH 无法识别仅有有效 Subject Alternate Names 扩展但缺少 Common Name 字段的 TLS 证书。
- AV-223059:在 Azure 上启用 DPDK 模式但必要模块在 SE 启动时未加载,会导致性能下降。
- AV-223074:如果在 Service Engine Group 中配置了 vCenter 文件夹,升级后为 NSX 云创建 SE 时可能失败。
- AV-223828:在 C2S AWS Cloud 中升级至 30.2.1 失败,因为未使用 /etc/c2s 证书文件进行 AWS API 调用。
- AV-223972:更新门户的 SSL 配置(尤其是修改密码套件和协议)会导致不一致行为,包括:
- 从节点出现服务异常错误
- 客户端在集群节点之间使用不同协议密码套件
- AV-224177:如果 Virtual Service 的 HTTP Policy 引用处于 Disabled 状态的 pool group,Service Engine 可能失败。
- AV-225392:升级到 30.2.2 后,告警管理器可能因历史事件触发错误告警。
- AV-225475:由于证书中包含异常的回车符(\r)和换行符(\n),导致控制器无法解析并添加证书。
- AV-226641:在 Azure SaaS 环境中,当 SE 处于 inband 模式时,Virtual Service 状态可能在活跃与非活跃之间切换不稳定。
- AV-227724:有时无法通过 UI 查看 SE Group 升级记录。
- AV-227843:配置了通过 TCP 的 syslog 时,如果因网络中断而临时失去连接,日志流可能失败。
- AV-227943:当使用 WAF 持久集合(如 SESSION 或 IP)作为规则时,Service Engine 可能失败。
- AV-228116:在大型系统上禁用 se_lro 可能会导致系统尝试分配超过 HugePages 容量的内存,从而导致系统失败。
- AV-228171:即使 pool 被标记为 Down,Service Engine 仍可能从具有 min_servers_up 配置的 pool group 中错误选择高优先级池的服务器。
- AV-228211:通过 UI 升级 SE 时,“Action to Take on SEG Update Failure” 中的 Continue 和 Rollback 选项不可用,仅剩 Suspend。
- AV-228234:Linux Server Cloud 中,如果 RHEL/OEL 8+ 主机使用 NetworkManager 管理网络,SE 重启后会丢失所有 IP。
- AV-230582:修改服务器主机名可能导致在 HTTP 健康监测请求中发送错误的主机头。
- AV-232230:在启用了 Accelerated Networking 的 Azure 实例上,有时仍会创建虚拟接口,导致 MAC 地址冲突和集群连接问题。
- AV-232176:使用 DataScript 函数 avi.ssl.client_cert (avi.CLIENT_CERT_SAN_EXTENSION) 可能导致内存激增。
- AV-232777:在基于地理位置的 GSLB 中,如果 Pool Members 的坐标非常接近,可能由于舍入误差返回错误记录。
- AV-232388:当 Default Server Timeout 到期时,活动的 WebSocket 连接会断开,导致应用失败。
- AV-232833:在网络中创建或编辑 link-local 子网失败,报错为 “The configured subnet cannot be link-local, loopback, multicast, etc.”。
- AV-232883:在启用 FIPS 模式并启用会话密钥抓取时启用 Virtual Service 抓包可能导致 SE 失败。
- AV-232983:当 Controller 核心数超过 9 个时执行 SE-PCAP 抓包可能导致 Controller 崩溃。
Security Advisory
- AV-230847:本版本修复了 CVE-2025-41233。详情请参阅 VMSA-2025-0011。
功能弃用与支持移除
- Azure Basic Load Balancer 将于 2025 年 9 月 30 日退役,自 2025 年 3 月 31 日起不再支持部署新的 Basic SKU ALB。建议将 Azure 云中的所有部署从 Basic LB 迁移至 Standard LB。Avi 将在新部署中使用 Azure Standard LB 进行集群 VIP 放置。使用 Basic Azure LB 的 Avi 客户应考虑迁移至 Standard LB。详情参见 Migrating Azure Basic LB to Standard LB。
版本 30.2.3 中的已知问题
-
AV-234241:OpenStack Write Access 云无法正常运行。
-
AV-233616:在 Virtual Service 中使用包含无效 Subject Alternative Name (SAN) 的 CSR 证书,可能在升级后导致服务失败。
Workaround
升级后请执行以下步骤:
- 使用 GET 请求检索完整证书详情。
- 更新 subject_alt_names 字段以移除无效数据。
- 使用 PUT 请求更新证书。
下载地址
VMware Avi Load Balancer 30.2.3
请访问:https://sysin.org/blog/vmware-avi-load-balancer-30/