check-circle-line exclamation-circle-line close-line

VMware NSX for vSphere 6.4.1 | 2018 年 5 月 24 日リリース | ビルド 8599035

このドキュメントの改訂履歴を参照してください。

リリース ノートの概要

本リリース ノートには、次のトピックが含まれています。

NSX 6.4.1 の新機能

NSX for vSphere 6.4.1 では、操作性と保守容易性が向上し、ユーザーから報告された複数のバグが修正されています。詳細については、解決した問題を参照してください。

NSX for vSphere 6.4.1 の変更点は次のとおりです。

セキュリティ サービス

  • コンテキスト アウェア ファイアウォール:
    • レイヤー 7 アプリケーションのコンテキスト サポートを追加:SYMUPD(Symantec LiveUpdate トラフィック。スパイウェア定義、ファイアウォール ルール、アンチウイルス シグネチャ ファイル、ソフトウェアのアップデートを含む)、MAXDB(SQL 接続、MaxDB SQL サーバに対するクエリ)、GITHUB(Web ベースの Git、バージョン管理リポジトリとインターネット ホスティング サービス)。
    • Identity Firewall の OS サポートの拡張:Identity Firewall では、リモート デスクトップおよびアプリケーション サーバ (RDSH) 上のユーザー セッションのサポートを拡張しており、VMware Tools 10.2.5 を実装する Windows Server 2012 と、VMware Tools 10.2.5 を実装する Windows 2012 R2 が新たに追加されました。

NSX ユーザー インターフェイス

  • VMware NSX: vSphere Client (HTML) 向けの機能をアップデート
  • ファイアウォール - ユーザー インターフェイスの機能拡張:
    • 視認性の向上:ステータス サマリ、アクション ツールバー、ファイアウォール テーブルのグループ メンバーシップの詳細表示
    • ルール作成の効率化:インライン編集、ルールのクローン作成、複数選択と一括アクションのサポート、ルール設定の簡素化
    • セクション管理の効率化:ドラッグ アンド ドロップ、セクションとルールの位置の挿入、スクロール時のセクション アンカー
    • 取り消し操作:ユーザー インターフェイスのクライアント側で、未発行のルールとセクションに対する変更を取り消すことができます。
    • ファイアウォール タイムアウトの設定:プロトコル値が、ポップアップ ダイアログなしで分かりやすく表示されます。
  • アプリケーション ルール マネージャのユーザー インターフェイスの機能拡張:
    • セッション管理:セッションのリストとそれらのステータス(データ収集中、分析完了など)、期間が表示されます。
    • ルールのプランニング:グループ オブジェクトとファイアウォール ルールのサマリや、ユニバーサル ファイアウォールの推奨が表示されます。
  • グループ オブジェクトの機能拡張:
    • グループ オブジェクがどこで使用されているかを容易に確認できるようになりました。
    • グループ メンバーのリストで仮想マシン、IP アドレス、MAC アドレス、vNIC が見やすくなりました。
  • SpoofGuard - ユーザー インターフェイスの機能拡張:
    • 一括アクションのサポート: 複数の IP アドレスを一括で承認または消去できます。

NSX Edge の機能拡張

  • ロード バランサのスケーリング: サポートされる ロード バランサのメンバー数が 32 から 256 に増加しました。

操作とトラブルシューティング

  • インストール - ユーザー インターフェイスの機能拡張:
    • ステータスによるクラスタ リストのフィルタリング: すべて、インストール済み:良好、インストール済み:要注意、未インストール
    • クラスタのサマリ ビュー:通信チャネルの健全性ステータスが表示されます。
  • 証明書の期限切れアラーム:証明書の期限前と期限当日に、システム イベントと SNMP アラートが生成されます。間隔は設定可能です。デフォルトは、有効期限の 7 日前です。
  • アップグレード前の自動バックアップ:NSX Manager を NSX 6.4.1 にアップグレードすると、アップグレード中にバックアップが自動的に作成され、ローカルに保存されます。詳細については、NSX Manager のアップグレードアップグレードで作成された NSX Manager のバックアップの管理を参照してください。

ソリューションの相互運用性

  • vSphere 6.7 のサポート:vSphere 6.7 にアップグレードする場合は、最初に NSX for vSphere 6.4.1 以降のインストールまたはアップグレードが必要です。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」とナレッジベースの記事 KB53710 (Update sequence for vSphere 6.7 and its compatible VMware products) を参照してください。

NSX ライセンスのエディション

  • VMware NSX Data Center ライセンス: 2018 年 6 月に追加された新しい VMware NSX Data Center のライセンス(Standard、Professional、Advanced、Enterprise Plus、Remote Office Branch Office)がサポートされます。以前の VMware NSX for vSphere ライセンス キーも引き続きサポートされます。NSX ライセンスの詳細については、VMware のナレッジベースの記事 KB2145269 を参照してください。

バージョン、システム要件、およびインストール

注:

  • 次の表は、推奨される VMware ソフトウェアのバージョンです。ここで推奨されるバージョンは一般的なものであり、環境に固有の推奨に優先するものではありません。

  • これは、本ドキュメントが公開された時点で最新の情報です。

  • NSX とその他の VMware 製品を併用する場合にサポートされる最小バージョンについては、VMware 製品の相互運用性マトリクスを参照してください。VMware はテスト結果に基づいて、サポートされる最小バージョンを定めています。

製品またはコンポーネント バージョン
NSX for vSphere

新たに導入する場合には、最新の NSX リリースをお勧めします。

既存の環境をアップグレードする場合は、アップグレード プランを策定する前に、NSX リリース ノートを参照して、特定の問題に関する情報を確認してください。あるいは、VMware テクニカル サポートの担当者に詳細をお問い合わせください。

vSphere

  • vSphere 6.0:
    サポート対象: vSphere 6.0 Update 2、6.0 Update 3
    推奨:  vSphere 6.0 Update 3。vSphere 6.0 Update 3 を使用することで、vCenter Server の再起動後に ESXi ホストの VTEP が重複するという問題が解決されます。詳細については、VMware のナレッジベースの記事 KB2144605 を参照してください。

  • vSphere 6.5:
    サポート対象: vSphere 6.5a、6.5 Update 1
    推奨: vSphere 6.5 Update 1。vSphere 6.5 Update 1 により、メモリ不足で ESX Agent Manager が機能しないという問題が解決されます。詳細については、VMware のナレッジベースの記事 KB2135378 を参照してください。 

  • vSphere 6.7
    サポート対象:6.7
    推奨:6.7
    重要:既存の vSphere 環境を vSphere 6.7 にアップグレードする場合は、vSphere Distributed Switch を 6.6 にアップグレードしないでください。詳細については、問題 2197754 を参照してください。 

注:vSphere 5.5 は、NSX 6.4 でサポートされていません。

ゲスト イントロスペクション (Windows) VMware Tools のすべてのバージョンがサポートされます。一部のゲスト イントロスペクション ベースの機能には、VMware Tools の最新バージョンが必要です。
  • VMware Tools に含まれるオプションの Thin Agent Network Introspection Driver コンポーネントを有効にするには VMware Tools 10.0.9 および 10.0.12 を使用します。
  • NSX または vCloud Networking and Security 環境の VMware Tools をアップグレードした後に仮想マシンの動作が遅くなる問題を解決するには、VMware Tools 10.0.8 以降にアップグレードする必要があります。詳細については、VMware のナレッジベースの記事 KB2144236 を参照してください。
  • Windows 10 には VMware Tools 10.1.0 以降を使用します。
  • Windows Server 2016 には VMware Tools 10.1.10 以降を使用します。
ゲスト イントロスペクション (Linux) NSX の本バージョンは、次の Linux のバージョンをサポートします。
  • RHEL 7 GA(64 ビット)
  • SLES 12 GA(64 ビット)
  • Ubuntu 14.04 LTS(64 ビット)

システム要件とインストール

NSX のインストールの前提条件については、『NSX インストール ガイド』の「NSX のシステム要件」のセクションを参照してください。

インストール手順については、『NSX インストール ガイド』または『Cross-vCenter NSX インストール ガイド』を参照してください。

廃止および提供を中止する機能

販売およびサポートの終了に関するご注意

ただちにアップグレードが必要な NSX およびその他の VMware 製品については、VMware Lifecycle Product Matrix(英語)を参照してください。

  • NSX for vSphere 6.1.x は、2017 年 1 月 15 日に提供終了日 (EOA) およびジェネラル サポートの終了日 (EOGS) を迎えました。(VMware ナレッジベースの記事 KB2144769 を参照してください)

  • vCNS Edge のサポートを終了:NSX 6.3.x 以降にアップグレードする前に、NSX Edge にアップグレードする必要があります。

  • NSX for vSphere 6.2.x のジェネラル サポートの終了日 (EOGS) は 2018 年 8 月 20 日です。

  • セキュリティに関する推奨に基づいて、NSX Edge IPsec VPN サービスの暗号化アルゴリズム 3DES のサポートを終了
    IPsec サービスで提供されるセキュアな暗号に切り替えることが推奨されています。この暗号化アルゴリズムの切り替えは、IKE SA (phase1) だけでなく、IPsec サイトの IPsec SA (phase2) ネゴシエーションにも適用されます。
     
    NSX Edge IPsec サービスで 3DES 暗号化アルゴリズムを使用している場合、サポートが終了しているリリースにアップグレードすると、推奨される別の暗号に置き換わります。このため、NSX Edge で使用する暗号化アルゴリズムに合わせてリモート ピアの設定を変更しない限り、3DES を使用していた IPsec サイトに接続できなくなります。
     
    3DES 暗号を使用している場合は、IPsec サイトの設定で暗号化アルゴリズムを 3DES からサポート対象の AES (AES/AES256/AES-GCM) に変更します。たとえば、暗号化アルゴリズムが 3DES に設定されている 各 IPsec サイトで、3DES を AES に変更します。これに合わせて、ピアのエンドポイントで IPsec 設定を更新します。

全般的な動作変更

vSphere Distributed Switch が複数ある環境で、その 1 つに VXLAN が設定されている場合、vSphere Distributed Switch のポート グループにすべての分散論理ルーター インターフェイスを接続する必要があります。NSX 6.4.1 以降、ユーザー インターフェイスと API でこの構成の適用が実装されます。以前のリリースでは、正しくない設定が可能となっていました。

ユーザー インターフェイスの削除と変更

NSX 6.4.1 では、Service Composer キャンバスが削除されました。

API の削除と動作の変更

NSX 6.4.1 での動作変更

POST /api/2.0/services/ipam/pools/scope/globalroot-0 で新しい IP アドレス プールを作成するか、PUT /api/2.0/services/ipam/pools/ で既存の IP アドレス プールを変更するときに、プール内に複数の IP アドレス範囲が定義されていると、範囲が重複していないことが確認されます。以前のリリースでは、確認は実行されていませんでした。

NSX 6.4.0 で非推奨となった項目
次の項目の使用が非推奨となりました。今後のリリースで削除される可能性があります。

  • GET /api/4.0/edges/edgeID/statussystemStatus パラメータの使用は推奨されません。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ の使用は推奨されません。GET /api/2.0/services/policy/serviceprovider/firewall/info を使用してください。
  • 分散ファイアウォールのグローバル設定セクションでの TCP Strict の設定は非推奨となりました。NSX 6.4.0 以降では、TCP Strict はセクション レベルで定義されます。:NSX 6.4.0 以降にアップグレードした場合、TCP Strict のグローバル設定は、既存のレイヤー 3 セクションの TCP Strict の設定に使用されます。レイヤー 2 セクションとレイヤー 3 リダイレクト セクションの設定では、TCP Strict は false になります。詳細については、『NSX API ガイド』の「分散ファイアウォール設定の操作」を参照してください。

NSX 6.4.0 での動作変更
NSX 6.4.0 では、POST /api/2.0/vdn/controller でコントローラを作成するときに、<name> パラメータの使用が必須となりました。

NSX 6.4.0 では、エラー処理が次のように変更されます。

  • 以前のリリースでは、POST /api/2.0/vdn/controller は、コントローラの作成ジョブが作成されたことを示す「201 Created」を返しました。 しかし、コントローラの作成に失敗している可能性がありました。NSX 6.4.0 以降では、応答が「202 Accepted」になります。
  • 以前のリリースでは、移行モードまたはスタンドアローン モードで許可されていない API 要求を送信した場合、応答ステータスは「400 Bad Request」でした。 NSX 6.4.0 以降では、応答が「403 Forbidden」となります。

CLI の削除と動作の変更

NSX Controller ノードで、サポートされていないコマンドを使用しないでください。
NSX Controller ノードで NTP と DNS を設定する場合に、ドキュメントに記載されていないコマンドが使用できてしまう場合があります。ただし、これらのコマンドはサポートされていないため、NSX Controller ノードでは使用しないでください。『NSX CLI ガイド』に記載されているコマンドのみを使用してください。

アップグレードに関する注意事項

注:インストールとアップグレードに影響する既知の問題については、「インストールとアップグレードに関する既知の問題」セクションを参照してください。

アップグレードに関する注意事項

  • NSX をアップグレードするには、ホスト クラスタのアップグレード(ホストの VIB のアップグレード)を含む、完全な NSX アップグレードを実行する必要があります。手順については、『NSX アップグレード ガイド』の「ホスト クラスタのアップグレード」セクションを参照してください。

  • VUM を使用したホスト クラスタの NSX VIB のアップグレードはサポートされていせん。ホスト クラスタの NSX VIB をアップグレードするには、アップグレード コーディネータ、ホストの準備、または関連する REST API を使用してください。

  • システム要件:NSX のインストールとアップグレードのシステム要件については、NSX ドキュメントの「NSX のシステム要件」セクションを参照してください。

  • NSX のアップグレード パス:VMware NSX のアップグレードの詳細については、VMware 製品の相互運用性マトリクスを参照してください。
  • Cross-vCenter NSX のアップグレードについては、NSX アップグレード ガイドを参照してください。

  • ダウングレードはサポートされない:
    • アップグレードの前に、必ず NSX Manager をバックアップしてください。

    • NSX を正常にアップグレードしたあとは、ダウングレードすることはできません。

  • NSX 6.4.x へのアップデートが成功したことを確認するには、ナレッジベースの記事 KB2134525 を参照してください。
  • vCloud Networking and Security から NSX 6.4.x へのアップグレードはサポートされません。まず、サポート対象の 6.2.x リリースにアップグレードする必要があります。

  • 相互運用性:アップグレードを行う前に、関連する VMware 製品をVMware 製品の相互運用性マトリックスで確認してください。
    • NSX 6.4 へのアップグレード:NSX 6.4 には、vSphere 5.5 との互換性がありません。
    • vSphere 6.5 へのアップグレード:vSphere 6.5a 以降または 6.5 バージョンにアップグレードする場合は、最初に NSX 6.3.0 以降にアップグレードする必要があります。NSX 6.2.x には、vSphere 6.5 との互換性がありません。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」を参照してください。
    • vSphere 6.7 へのアップグレード:vSphere 6.7 にアップグレードする場合は、最初に NSX 6.4.1 以降にアップグレードする必要があります。これより前の NSX バージョンは、vSphere 6.7 と互換性がありません。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」を参照してください。
  • パートナー サービスとの互換性:サイト内で、ゲスト イントロスペクションまたはネットワーク イントロスペクション用に VMware のパートナー サービスを使用している場合、アップグレード前にVMware 互換性ガイドを参照して、アップグレードする NSX のバージョンとベンダーのサービスに互換性があることを確認してください。
  • Networking and Security プラグイン:NSX Manager をアップグレードした後は、vSphere Web Client からログアウトし、再度ログインする必要があります。NSX プラグインが正しく表示されない場合には、ブラウザのキャッシュと履歴を消去してください。Networking and Security プラグインが vSphere Web Client に表示されない場合には、NSX アップグレード ガイドの説明に従って、vSphere Web Client サーバをリセットしてください。
  • ステートレス環境:ステートレス ホスト環境では、NSX アップグレード プロセスで、新しい VIB がホスト イメージ プロファイルに事前追加されます。ステートレス ホストで NSX のアップグレードを行う場合は、次の手順を実行してください。

    NSX 6.2.0 より前のバージョンでは、NSX Manager 上に 1 つの URL があり、そこから特定バージョンの ESX ホストの VIB を見つけることができました。つまり、管理者は NSX バージョンに関係なく、1 つの URL を知っておくだけで済みました。NSX 6.2.0 以降では、新しい NSX VIB を異なる URL で利用できます。正しい VIB を見つけるには、以下の手順を実行する必要があります。

    1. 新しい VIB URL を https://<nsxmanager>/bin/vdn/nwfabric.properties から見つけます。
    2. 必要な ESX ホスト バージョンの VIB を、対応する URL から取得します。
    3. 取得した VIB をホスト イメージ プロファイルに追加します。
       

NSX コンポーネントのアップグレードに関する注意事項

NSX Manager のアップグレード

  • 重要:NSX 6.2.0、6.2.1 または 6.2.2 から NSX 6.3.5 以降にアップグレードする場合は、アップグレードを開始する前に、既知の問題への回避策を実行しておく必要があります。詳細については、VMware のナレッジベースの記事 KB000051624 を参照してください。

  • NSX 6.3.3 から NSX 6.3.4 以降にアップデートする場合は、VMware のナレッジベースの記事 KB2151719の回避策を行ってからアップデートしてください。

  • NSX のバックアップに SFTP を使用する場合は、hmac-sha1 はサポートされていないため、NSX 6.3.0 以降にアップグレードした後で hmac-sha2-256 に変更してください。サポートされるセキュリティ アルゴリズムについては、VMware のナレッジベースの記事 KB2149282 を参照してください。

  • NSX Manager を NSX 6.4.1 にアップグレードすると、アップグレード中にバックアップが自動的に作成され、ローカルに保存されます。詳細については、NSX Manager のアップグレードを参照してください。

  • NSX 6.4.0 へのアップグレードでは、TLS の設定が維持されます。TLS 1.0 のみを有効にする場合、vSphere Web Client に NSX プラグインが表示されますが、NSX Manager は表示されません。データパスに影響はありませんが、NSX Manager の設定を変更することはできません。https://nsx-mgr-ip/ で NSX アプライアンスの管理 Web ユーザー インターフェイスにログインし、TLS 1.1 と TLS 1.2 を有効にします。これにより、NSX Manager アプライアンスが再起動します。

コントローラのアップグレード

  • NSX Controller クラスタには、3 台のコントローラ ノードが必要です。コントローラが 3 台未満の場合は、アップグレードを開始する前にコントローラを追加する必要があります。詳細については、NSX Controller クラスタのデプロイを参照してください。
  • NSX 6.3.3 では、NSX Controller の基盤となるオペレーティング システムが変わりました。NSX 6.3.2 以前から NSX 6.3.3 以降にアップデートする場合、インプレース アップグレードは実行されません。既存のコントローラが 1 度に 1 つずつ削除され、同じ IP アドレスを使用して新しい Photon OS ベースのコントローラが展開されます。

    コントローラを削除すると、関連する DRS の非アフィニティ ルールも削除されます。vCenter Server で新しい非アフィニティ ルールを作成して、新しいコントローラ仮想マシンが同じホストに配置されないようにする必要があります。

    コントローラのアップグレードの詳細については、NSX Controller クラスタのアップグレードを参照してください。

分散論理ルーターのアップグレード

  • NSX 6.4.1 では、VXLAN と複数の vSphere Distributed Switch を持つ環境で、分散論理ルーターのインターフェイスを VXLAN が設定された vSphere Distributed Switch にのみ接続する必要があり、これを確認します。VXLAN が設定されていないvSphere Distributed Switch に分散論理ルーターのインターフェイスが接続していると、分散論理ルーターを NSX 6.4.1 以降にアップグレードできません。サポート対象外の vSphere Distributed Switch はユーザー インターフェイスに表示されなくなりました。

ホスト クラスタのアップグレード

  • NSX 6.3.2 以前のバージョンから NSX 6.3.3 以降にアップグレードすると NSX VIB 名が変更されます。
    ESXi 6.0 以降に NSX 6.3.3 以降をインストールすると、esx-vxlan と esx-vsip VIB が esx-nsxv に変更されます。

  • アップグレードおよびアンインストールでホストの再起動が不要:vSphere 6.0 以降で、NSX 6.2.x から NSX 6.3.x 以降にアップグレードする場合、以降の NSX VIB の変更でホストの再起動が不要になります。代わりに、VIB 変更を完了するには、ホストをメンテナンス モードにする必要があります。これは、NSX ホスト クラスタのアップグレードと ESXi のアップグレードの両方に影響します。詳細については、『NSX アップグレード ガイド』を参照してください。

NSX Edge のアップグレード

  • NSX Edge アプライアンスをアップグレードする前に NSX 用ホスト クラスタを準備する必要がある:NSX 6.3.0 以降では、NSX Manager と Edge 間で、VIX チャネルを経由した管理プレーン通信はサポートされません。メッセージ バス チャネル経由のみがサポートされます。NSX 6.2.x 以前から NSX 6.3.0 以降にアップグレードする場合、NSX Edge アプライアンスのデプロイ先のホスト クラスタが準備されていることと、メッセージング インフラストラクチャのステータスが正常であることを確認する必要があります。NSX 用ホスト クラスタが準備されていない場合、NSX Edge アプライアンスのアップグレードに失敗します。詳細については、『NSX アップグレード ガイド』の NSX Edge のアップグレードを参照してください。

  • Edge Services Gateway (ESG) のアップグレード:
    NSX 6.2.5 以降、リソース予約は NSX Edge のアップグレード時に実行されるようになりました。十分なリソースのないクラスタで vSphere HA が有効になっている場合、vSphere HA の制約に違反するためアップグレードに失敗することがあります。

    そのようなアップグレードの失敗を回避するには、ESG をアップグレードする前に次の手順を実行します。

    インストール時またはアップグレード時に値を明示的に設定していない場合は、次のリソース予約が NSX Manager で使用されます。

    NSX Edge
    フォーム ファクタ
    CPU 予約 メモリの予約
    Compact 1000 MHz 512 MB
    Large 2000 MHz 1024 MB
    Quad Large 4000 MHz 2048 MB
    X-Large 6000 MHz 8192 MB
    1. インストール環境が vSphere HA 向けのベスト プラクティスに従っていることを常に確認します。ナレッジベースの記事 KB1002080 を参照してください。

    2. NSX チューニング設定 API を使用します。
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      edgeVCpuReservationPercentageedgeMemoryReservationPercentage の値が、フォーム ファクタで使用可能なリソースを超えていないことを確認します(デフォルト値は上の表を参照)。

  • vSphere HA が有効で Edge を展開している環境では、vSphere の [仮想マシンの起動] オプションを無効にする:vSphere HA が有効で Edge が展開されているクラスタでは、NSX Edge の 6.2.4 以前のバージョンを 6.2.5 以降にアップグレードした後、vSphere の [仮想マシンの起動] オプションを無効にする必要があります。それには、vSphere Web Client を開き、NSX Edge 仮想マシンが常駐する ESXi ホストを見つけ、[管理] > [設定] の順にクリックし、[仮想マシン] で [仮想マシンの起動/シャットダウン] を選択して、[編集] をクリックします。次に、仮想マシンが手動モードにあることを確認します。[自動起動/シャットダウン] リストに追加されていないことを確認してください。

  • NSX 6.2.5 以降にアップグレードする前に、ロード バランサの暗号化リストがコロン区切りであることを確認します。暗号化リストにコンマなど別の区切り文字が使用されている場合は、https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles への PUT 呼び出しを実行し、<clientssl> </clientssl> および <serverssl> </serverssl> の各 <ciphers> </ciphers> リストをコロン区切りのリストに置換します。たとえば、要求本文の関連セグメントは次のようになります。すべてのアプリケーション プロファイルに対して次の手順を繰り返します。

    <applicationProfile>
      <name>https-profile</name>
      <insertXForwardedFor>false</insertXForwardedFor>
      <sslPassthrough>false</sslPassthrough>
      <template>HTTPS</template>
      <serverSslEnabled>true</serverSslEnabled>
      <clientSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <clientAuth>ignore</clientAuth>
        <serviceCertificate>certificate-4</serviceCertificate>
      </clientSsl>
      <serverSsl>
        <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
        <serviceCertificate>certificate-4</serviceCertificate>
      </serverSsl>
      ...
    </applicationProfile>
  • vRealize Operations Manager (vROPs) 6.2.0 より前のバージョンでロード バランシングされたクライアントに正しい暗号バージョンを設定する:vROPs 6.2.0 より前のバージョンの vROPs プール メンバーは TLS バージョン 1.0 を使用しています。このため、NSX のロード バランサの設定で監視の拡張機能を編集し、"ssl-version=10" と明示的に指定する必要があります。手順については、『NSX 管理ガイド』の「サービス モニターの作成」を参照してください。
    {
                                  "expected" : null,
                                  "extension" : "ssl-version=10",
                                  "send" : null,
                                  "maxRetries" : 2,
                  "name" : "sm_vrops",
                  "url" : "/suite-api/api/deployment/node/status",
                  "timeout" : 5,
                  "type" : "https",
                  "receive" : null,
                  "interval" : 60,
                  "method" : "GET"
    }

ゲスト イントロスペクションのアップグレード

  • ゲスト イントロスペクション仮想マシンで、マシンの XML ファイルに追加ホストの識別情報が含まれるようになりました。ゲスト イントロスペクション仮想マシンにログインするときに、/opt/vmware/etc/vami/ovfEnv.xml ファイルにホスト識別情報が含まれている必要があります。

FIPS のアップグレードに関する注意事項

NSX 6.3.0 より前のバージョンから NSX 6.3.0 以降のバージョンにアップグレードする場合は、アップグレードが完了するまで FIPS モードを有効にしないでください。アップグレードが完了する前に FIPS モードを有効にすると、アップグレード済みのコンポーネントとアップグレードされていないコンポーネント間の通信が中断されます。詳細については、『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードの理解」を参照してください。

  • OS X Yosemite および OS X El Capitan でサポートされる暗号:OS X 10.11 (EL Capitan) で SSL VPN クライアントを使用している場合は、AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHA、および AES128-SHA 暗号を使用して接続することができ、OS X 10.10 (Yosemite) を使用している場合は AES256-SHA および AES128-SHA 暗号のみを使用して接続することができます。

  • NSX 6.3.x へのアップグレードが完了するまでは FIPS を有効にしないでください。詳細については、『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードの理解」を参照してください。

  • FIPS モードを有効にする前に、パートナーのソリューションが FIPS モードの認定を受けていることを確認してください。『VMware 互換性ガイド』と、関連するパートナーのドキュメントを参照してください。

FIPS コンプライアンス

NSX 6.4 を正しく設定すると、すべてのセキュリティ関連の暗号化に、FIPS 140-2 認証を受けている暗号モジュールが使用されます。

注:

  • コントローラと VPN のクラスタリング:NSX Controller は、IPsec VPN を使用してコントローラ クラスタに接続します。IPsec VPN では、VMware Linux カーネル暗号モジュール(VMware Photon OS 1.0 環境)を使用しています。このモジュールは現在 CMVP 認証を申請中です。
  • Edge IPsec VPN:NSX Edge IPsec VPN では、VMware Linux カーネル暗号モジュール(VMware NSX OS 4.4 環境)を使用しています。このモジュールは現在 CMVP 認証を申請中です。

ドキュメントの改訂履歴

2018 年 5 月 24 日:初版。
2018 年 5 月 29 日:第 2 版。既知の問題 2127813 について記載しました。
2018 年 6 月 8 日:第 3 版。NSX Data Center ライセンスに関する情報と既知の問題 2130563 について記載しました。
2018 年 7 月 20 日:第 4 版。既知の問題 2147002 を追加しました。
2018 年 9 月 5 日:第 5 版。既知の問題 2186968 と 2183584 について記載しました。
2018 年 9 月 19 日:第 6 版。既知の問題 2197754 を追加しました。また、関連する注意事項をシステム要件の表に記載しました。
2018 年 10 月 5 日:第 7 版。既知の問題 2164138 を追加しました。

解決した問題

解決した問題には、次のトピックが含まれます。

解決した一般的な問題
  • 解決した問題 1993691、1995142:ホストを vCenter Server インベントリから削除したあと、レプリケーション クラスタから削除されない

    ユーザーがレプリケーション クラスタにホストを追加し、該当のホストをクラスタから削除する前に、vCenter Server インベントリから先に削除すると、ホストがクラスタに残ったままになります。

  • 解決した問題 1809387:脆弱なトランスポート プロトコル TLS v1.0 の削除

    NSX v6.4.1 以降では、TLS v1.0 がサポートされません。

  • 解決した問題 2002679:Cross-vCenter NSX 環境で、プライマリ サイトにデプロイされた HW VTEP がトラフィックをブリッジしている場合、セカンダリ NSX Manager が再起動すると、ネットワークが停止する場合がある

    Cross-vCenter NSX 環境で、プライマリ サイトにデプロイされた HW VTEP がトラフィックをブリッジしている場合、セカンダリ NSX Manager が再起動すると、ネットワークが停止する場合があります。

  • 解決した問題 2065225:NSX 6.4.0 環境で、「a specified parameter is not correct Property.info.key[9]」というエラーが発生して、 NSX ゲスト イントロスペクションのインストールに失敗する

    ゲスト イントロスペクションのデプロイでインストールのステータスが「失敗」になり、複数のホストでサービスのステータスが「不明」と表示されます。

  • 解決した問題 2094364:ウォッチドック プロセスが USVM プロセスを再起動できないため、プロセスのクラッシュ後に USVM プロセスが再起動されない

    プロセスが停止した後、USVM が警告状態になります。

  • 解決した問題 2105632:USVM が Google(外部)NTP サーバと時間の同期を試みる

    timesync サービスが変更され、この動作は実行されません。

  • 解決した問題 2031099:NSX ホストの準備が ESX Agent Manager (EAM) のエラー「Host is no longer in vCenter inventory」で失敗する

    詳細については、VMware のナレッジベースの記事 KB52550 を参照してください。

  • 解決した問題 2064298:月にアクセント記号付きの文字が含まれていると、テクニカル サポート ログをダウンロードできない

    NSX Manager がフランス語のロケールを使用している場合、月の短縮名にアクセント記号付きの文字が含まれていると、テクニカル サポート ログをダウンロードできません。

  • 解決した問題 2017141:グローバル (globalroot-0) のアクセス範囲が設定された証明書に、Edge のアクセス範囲が適用されユーザーがアクセスできない

    Edge のアクセス範囲が適用されたユーザーが Edge ロード バランサ機能にアクセスすると、次のエラー メッセージが表示されます。
    「ユーザーはオブジェクト Global および機能 truststore.trustentity_management にアクセスする権限がありません。
    このユーザーのオブジェクト アクセス範囲および機能の権限を確認してください。」

論理ネットワークと NSX Edge に関する解決した問題
  • 解決した問題 1907141:ARP 要求を送信するときに、GARP を有効な応答として受け入れる

    一部の古いデバイスは、ARP 要求の応答として GARP を送信します。問題を修正し、GARP を有効な ARP 応答として受け入れるようになりました。

  • 解決した問題 2039443:インターフェイスなしで分散論理ルーターを作成すると、ホストに分散論理ルーター インスタンスが作成されないが、制御仮想マシンは引き続きホストへの接続を試みる

    論理インターフェイスなしで分散論理ルーターを作成すると、ホストに分散論理ルーター インスタンスが作成されません。この構成では、分散論理ルーターの制御仮想マシンが VMCI 接続を試みますが、失敗します。データ パスへの影響はないため、この問題は無視してもかまいません。

  • 解決した問題 2070281:DNS 機能が有効なときにメモリ リークが起き、名前解決に失敗してネットワーク到達不能エラーが発生する

    Edge ログに名前解決エラーが記録されます。しばらすると、システム イベントに、Edge 仮想マシン メモリの使用率が高い(90% 以上)ことが表示されます。

  • 解決した問題 2084281:VPN アイドル タイムアウトを過ぎた後、ESG を経由した拠点側からトラフィックが新規発生しても、VPN トンネルが機能しない

    ロジックの誤りで IPsec spd エントリが削除されるため、VPN トンネルが停止したままになります。

  • 解決した問題 2092730:/var/log パーティションのディスク使用率が 100% に達し、NSX Edge が応答不能になる

    アクティブな Edge で NSX Edge ゲートウェイの /var/log がいっぱいになります。

NSX Manager に関する解決した問題
  • 解決した問題 1984392:ユニバーサル オブジェクト(トランスポート ゾーン、UDLR、ULS およびセグメント)がセカンダリ NSX Manager との同期に失敗する

    セカンダリ NSX Manager にデータを複製するレプリケータ スレッドがスタックし、新しい要求を処理できません。

  • 解決した問題 2064258:NetBIOS 名の確認に失敗する

    NSX 6.4.0 では、ドメイン同期機能に新しいパラメータが追加されました。このパラメータは NetBIOS 名で、NSX のバックエンドで確認されます。ルート以外のドメイン間でショートカット信頼と呼ばれる特別なの信頼構成にある場合や、ルート ドメインとルート以外のドメイン間の信頼関係がツリー ルートになっているなど、特定の Active Directory 構造では、NetBios 名の検証に失敗します。

  • 解決した問題 1971683:NSX Manager が重複する IP アドレスのメッセージをログに記録する

    誤検知のログの収集機能を強化しました。

  • 解決した問題 2085654:同じセット内に重複する動的な選択基準がある場合(特に、value = null の場合)、動的な選択基準のアップグレードに失敗する

    アップグレード後に NSX Manager が起動しません。アップグレード後に NSX を管理できません。

セキュリティ サービスに関する解決した問題
  • 解決した問題 1991702:特定の条件下で、「Unable to start data collection on SG with no VMs」というエラーが発生する

    Active Directory グループに対応する ID ベースのセキュリティ グループでエンドポイントの監視セッションを開始すると、「Unable to start data collection on SG with no VMs」というエラーが表示されます。

  • 解決した問題 2052634:ネストされたセキュリティ グループの変換で、このグループに除外メンバーが設定されていると、間違った結果が返される

    セキュリティ グループがネストされ、除外メンバーが設定されてると、ファイアウォール ルールでトラフィックが誤ってブロックまたは許可されます。

  • 解決した問題 2089957:削除された Active Directory グループを参照するセキュリティ グループでは、仮想マシンの解釈で null ポインタ例外が発生する

    Active Directory グループが削除され、そのグループをセキュリティ グループが参照している場合、セキュリティ グループから仮想マシンへの解釈によって null ポインタ例外が発生します。ルールの発行に失敗します。

インストールとアップグレードに関する解決した問題
  • 解決した問題 2035026:Edge のアップグレードで、ネットワークが 40~50 秒停止する

    Edge のアップグレード時に発生するネットワークの停止時間が 10~20 秒に短縮されました。

  • 解決した問題 2027916:アップグレード コーディネータで、アップグレードに失敗したコントローラが正常にアップグレードされたと表示される場合がある

    3 台のノード コントローラから構成されるクラスタで、3 台目のコントローラのアップグレードに失敗して、コントローラが削除されていても、コントローラ クラスタ全体のアップグレードが成功とマークされる場合があります。

既知の問題

既知の問題には次の項目が含まれます。

一般的な既知の問題
  • 問題 2197754:vSphere Distributed Switch を 6.6 にアップグレードすると、ホストにパープル スクリーンが表示される

    NSX 6.4 がインストールされている環境で vSphere Distributed Switch をバージョン 6.6 にアップグレードすると、ESXi がパープル スクリーンを表示します。この問題は、新規にインストールされた vSphere 6.7 の vSphere Distributed Switch 6.6 では発生しません。

    回避策:vSphere 6.7 にアップグレードする場合は、バージョン 6.5 以前の vSphere Distributed Switch を使用してください。

  • 問題 2130563: NSX Data Center のライセンスを割り当てるときに、次の警告メッセージが表示される「選択したライセンスは、ライセンス供与された製品で現在使用可能な一部の機能をサポートしていません」

    NSX for vSphere のライセンスが割り当てられていないときに、NSX Data Center のライセンスを割り当てると、次の警告メッセージが表示されます。「選択したライセンスは、ライセンス供与された製品で現在使用可能な一部の機能をサポートしていません」この問題は、2 つのライセンスで定義されている NSX の機能が異なるために発生します。既存のライセンスが提供する機能が新しいライセンス エディションに含まれている場合は、このメッセージを無視しても問題ありません。

    NSX ライセンスの詳細については、VMware のナレッジベースの記事 KB2145269 を参照してください。

    回避策: 新しいライセンスで必要な機能がサポートされることを確認してください。問題がなければ、この警告メッセージを無視してください。

  • 問題 2127813: vSphere Client (HTML5) を使用していると、NSX ライセンス キーを選択して NSX Manager に割り当てることができない

    vSphere Client (HTML5) にログインして NSX ライセンス キーを追加した場合、[ライセンス] > [資産] > [ソリューション] で、キーを割り当てることができません。新しいライセンス キーが表示されません。

    回避策:vSphere Web Client を使用して、ライセンスの追加と割り当てを行います。

  • vSphere Web Client で、Flex コンポーネントを開いて HTML の画面に重ねると、画面が表示されなくなる

    メニューやダイアログなどの Flex コンポーネントを開き、HTML 画面に重ねると、画面が一時的に非表示になります。
    (参照:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)

    回避策:なし。 

  • 問題 1874863:ローカル認証サーバで SSL VPN サービスを無効にして有効にすると、変更後のパスワードで認証されない

    ローカル認証を使用するときに、SSL VPN サービスを無効にして再度有効にすると、変更後のパスワードでログインできません。

    詳細については、VMware ナレッジベースの記事 KB2151236 を参照してください。

  • 問題 1702339:脆弱性スキャナが Quagga bgp_dump_routes の脆弱性 (CVE-2016-4049) をレポートすることがある

    NSX for vSphere で、脆弱性スキャナが Quagga bgp_dump_routes の脆弱性 (CVE-2016-4049) をレポートすることがあります。NSX for vSphere は Quagga を使用しますが、この脆弱性の原因となる BGP 機能は使用していません。この脆弱性アラートは、無視しても問題ありません。

    回避策: 問題による製品への影響はないので、パッチを適用する必要はありません。

  • 問題 1993691: レプリケーション ノードの設定を解除せずにホストを削除すると、NSX Manager に古いエントリが残る

    ハードウェア VTEP のレプリケーション ノードとして機能しているホストを親クラスタから削除する際、クラスタから削除する前にレプリケーション ノードでないことを確認する必要があります。これを確認しないと、NSX Manager データベースのステータスがレプリケーション ノードのままになり、この状態でレプリケーション ノードを操作すると、エラーが発生します。

    回避策:詳細については、ナレッジベースの記事 KB52418 を参照してください。

  • 問題 2147002: NSX for vSphere 6.4.1 にインストールされたゲスト イントロスペクションで、サービスまたはパフォーマンスの問題が発生する

    ゲスト イントロスペクションが有効になっているホスト間で vMotion または仮想マシンの Storage vMotion に時間がかかると、この問題が発生します。
    仮想マシンの vmware.log に「Mux is disconnected」イベント ログが頻繁に記録されます。また、ホストの Syslog に「PANIC: NamespaceDb.cpp:AccessNamespaceDb():83 Function call to read_key failed」エラー メッセージが書き込まれます。

    回避策:詳細については、VMware のナレッジベースの記事 56734 を参照してください。

  • 問題 2164138: NSX のクラスタを準備しているときに、ixgbe ドライバを実行している物理 NIC のホストで ixgbe ドライバが再ロードされる

    Receive Side Scaling (RSS) オプションを有効にして VXLAN のスループットを向上させるため、ixgbe ドライバが再ロードされます。ixgbe ドライバが再ロードされると、ixgbe ドライバを使用している vmnic が数秒間停止し、再起動します。まれに、ixgbe ドライバの再ロードが失敗し、ESXi ホストを再起動するまで ixgbe ドライバを使用する vmnic が停止状態になることがあります。

    回避策:詳細については、VMware のナレッジベースの記事 KB52980 を参照してください。

インストールとアップグレードに関する既知の問題

アップグレードの前に、このドキュメントの前半の「アップグレードに関する注意事項」を参照してください。

  • 問題 2036024:データベースのデイスク使用率が原因で、NSX Manager のアップグレードが「アップロードされたファイルの検証」でスタックする

    アップグレード ログ ファイル「vsm-upgrade.log」には、次のメッセージが含まれます。"Database disk usage is at 75%, but it should be less than 70%"(データベースのディスク使用率が 75% に達しています。使用率は 70% 未満でなければなりません)vsm-upgrade.log は NSX Manager サポート バンドルで確認できます。[Networking and Security] > [サポート バンドル] の順に移動し、NSX Manager ログを含めることを選択します。

    回避策:VMware サポートにお問い合わせください。

  • 問題 2006028:アップグレード中に vCenter Server システムが再起動すると、ホストのアップグレードに失敗する場合がある

    ホストのアップグレード中に関連する vCenter Server システムが再起動すると、ホストのアップグレードに失敗し、ホストがメンテナンス モードになる場合があります。[解決] をクリックしても、ホストがメンテナンス モードから切り替わりません。クラスタのステータスは「準備ができていません」になります。

    回避策:ホストのメンテナンス モードを手動で終了します。クラスタで [準備ができていません] をクリックして、[すべて解決] をクリックします。

  • 問題 2001988:NSX ホスト クラスタのアップグレードで各クラスタをアップグレードしているときに、[ホストの準備] タブでクラスタ全体のインストール状況を確認すると、「準備ができていません」と「インストール中」が交互に表示される

    NSX のアップグレードで、NSX が準備したクラスタの「アップグレードを利用可能」をクリックすると、ホストのアップグレードを開始します。DRS FULL AUTOMATIC が設定されたクラスタの場合、ホストのアップグレードがバックグラウンドで問題なく実行されているにも関わらず、インストール状況として「インストール中」と「準備ができていません」が交互に表示されます。

    回避策:これはユーザー インターフェイスの問題で、無視しても問題ありません。ホスト クラスタのアップグレードが完了するまでお待ちください。

  • 問題 1859572: vCenter Server バージョン 6.0.0 で管理されている ESXi ホストから NSX バージョン 6.3.x の NSX VIB をアンインストールすると、ホストがメンテナンス モードのままになる
    クラスタで NSX 6.3.x の NSX VIB をアンインストールする場合、vSphere ESX Agent Manager (EAM) サービスがホストをメンテナンス モードに切り替え、VIB をアンインストールし、ホストのメンテナンス モードを解除します。ただし、ホストを vCenter Server 6.0.0 で管理している場合、VIB のアンインストール後にホストがメンテナンス モードのままになります。VIB をアンインストールする EAM サービスは、ホストをメンテナンス モードに切り替えることはできますが、メンテナンス モードの解除に失敗します。

    回避策:ホストのメンテナンス モードを手動で解除します。vCenter Server バージョン 6.5a 以降でホストを管理している場合、この問題は発生しません。

  • 問題 1797929:ホスト クラスタのアップグレード後に、メッセージ バス チャネルが停止する
    ホスト クラスタ アップグレードの後、vCenter Server 6.0(およびそれ以前)ではイベント「reconnect」が生成されず、その結果 NSX Manager はホスト上でメッセージング インフラストラクチャをセットアップしませんでした。vCenter Server 6.5 で、この問題は修正されました。

    回避策:次のようにメッセージング インフラストラクチャを再同期します。
    POST https://<ip>:/api/2.0/nwfabric/configure?action=synchronize

    <nwFabricFeatureConfig>
            <featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
            <resourceConfig>
                <resourceId>host-15</resourceId>
            </resourceConfig>
        </nwFabricFeatureConfig>
  • 問題 1263858: SSL VPN がアップグレード通知をリモート クライアントに送信しない
    SSL VPN ゲートウェイはアップグレード通知をユーザーに送信しません。管理者は、SSL VPN ゲートウェイ(サーバ)が更新されたことと、リモート ユーザーが自分のクライアントを更新しなければならないことを、リモート ユーザーに手動で通知する必要があります。

    回避策: ユーザーは旧バージョンのクライアントをアンインストールして、最新バージョンを手動でインストールする必要があります。

  • 問題 1979457:アップグレードまたは後方互換性モードで、ゲスト イントロスペクション サービス仮想マシンが削除されると、ゲスト イントロスペクション クラスタがアップグレードされるまで、ゲスト イントロスペクション経由で Identity Firewall が機能しない

    Identity Firewall が機能せず、Identity Firewall に関連するログが表示されないクラスタがアップグレードされない限り、Identity Firewall による保護が中断したままになる 

    回避策:すべてのホストで最新バージョンのゲスト イントロスペクション サービス仮想マシンが実行されるように、クラスタをアップグレードします。

    または

    Identity Firewall が機能するようにログ スクレーパを有効にします。

  • 問題 2106417: NSX Manager を 6.3.0 から 6.4.1 にアップグレードした後で、ゲスト イントロスペクション サービス仮想マシンの状態が「失敗」になる

    vCenter Server 6.5 u1 を使用していて、NSX Manager を 6.3.0 から 6.4.1 にアップグレードすると、ゲスト イントロスペクション サービス仮想マシンのアップグレードに失敗する場合があります。

    回避策:この問題が発生したら、ゲスト イントロスペクション サービス仮想マシンを削除して、再度デプロイします。

NSX Manager に関する既知の問題
  • 問題 2088315: NSX Manager のバックアップ処理が失敗する

    バックアップ ファイルに含まれる rabbitmq 証明書 S01_NSX_00_00_00_Fri23Mar2018 が期限切れです。次の手順でバックアップの証明書を確認してください。
    openssl enc -md sha512 -d -aes-256-cbc -salt -in S01_NSX_00_00_00_Fri23Mar2018 -out backup.tar -pass 'pass: )' tar -xvf backup.tar
    openssl x509 -enddate -noout -in home/secureall/secureall/.store/.rabbitmq_cert.pem

    出力に有効期限が表示されます。
    notAfter=Dec 26 20:20:40 1978 GMT

    サポートに連絡してください。サポートが新しい証明書を作成します。

論理ネットワークと NSX Edge に関する既知の問題
  • 問題 1747978:NSX Edge 高可用性のフェイルオーバー後に、OSPF 隣接関係が MD5 認証で削除される
    NSX for vSphere 6.2.4 環境で、NSX Edge が高可用性構成となっており、OSPF グレースフル リスタートが設定され、認証に MD5 が使用される場合、OSPF は正常に起動できません。隣接関係は、Dead タイマーが OSPF ネイバー ノード上で終了した後にのみ発生します。

    回避策:なし。

  • 問題 2005973:いくつかの GRE トンネルを削除し、管理プレーンから Edge ノードの強制同期を行うと、ルーティング デーモン MSR がすべてのルーティング設定を失う

    この問題は、GRE トンネル経由で BGP セッションを使用している Edge で発生することがあります。GRE トンネルを削除し、管理プレーンから Edge の強制同期を行うと、すべてのルーティング設定が失われます。

    回避策:Edge ノードを再起動してください。

  • 問題 2015368:ファイアウォールのログの収集でメモリ不足が発生することがある

    大規模な構成で Edge ファイアウォールを有効にし、一部またはすべてのルールでファイアウォールのログの収集を有効にすると、まれに Edge でメモリ不足 (Out-Of-Memory) が発生します。この問題は、特に、ログの収集ルールに影響する大量のトラフィックによって発生します。メモリ不足が発生すると、Edge 仮想マシンが自動的に再起動します。

    回避策:デバッグを行う場合にのみファイアウォールのログの収集を有効にし、それ以外の場合は無効にします。この問題を回避するには、すべてのファイアウォールのログの収集を無効にします。

  • 問題 2005900: 8-way iBGP/マルチホップ BGP ECMP の大規模なトポロジで、すべての GRE トンネルがフラップすると、CPU 使用率が 100% になり、Edge でルーティング デーモン MSR がスタックする

    この問題は、ESG で iBGP またはマルチホップ BGP が設定され、多くの GRE トンネルにまたがって複数のネイバーが確立されている大規模なトポロジで発生する可能性があります。複数の GRE トンネルがフラップすると、CPU 使用率が 100% になり、MSR がスタックする場合があります。

    回避策:Edge ノードを再起動してください。

セキュリティ サービスに関する既知の問題
  • 問題 2186968:コンテナセットの API 呼び出しで静的 IP セットが通知されない

    サービス アプライアンスを使用している場合、パートナー サービス マネージャとの通信で NSX が IP セットを使用しないことがあります。  これにより、パートナー ファイアウォールが誤って接続を許可または拒否する可能性があります。

    回避策:回避策については、VMware サポートにお問い合わせください。詳細については、VMware のナレッジベースの記事 KB57834 を参照してください。

  • 問題 2183584:推奨ルールの [適用先] 列のドロップダウン メニューに、Application Rule Manager セッションで作成されたセキュリティ グループが表示されない

    推奨ルールの [適用先] 列のドロップダウン メニューに、Application Rule Manager セッションで作成されたセキュリティ グループが表示されない

    回避策:回避策については、VMware のナレッジベースの記事 KB57837 を参照してください。

  • 問題 2017806:セキュリティ ポリシーの RDSH ファイアウォール セクションで、セキュリティ グループにメンバーを追加するときに表示されるエラー メッセージが明瞭でない

    セキュリティ ポリシーの RDSH ファイアウォール セクションでセキュリティ グループが使用されている場合、グループに追加できるのはディレクトリ グループのメンバーだけです。ディレクトリ グループ以外のメンバーを追加すると、次のエラーが表示されます。
    "Security group is being used by service composer, Firewall and cannot be modified"(Service Composer とファイアウォールによってセキュリティ グループが使用されているため、変更できません)

    このエラー メッセージは「セキュリティ グループがセキュリティ ポリシーの RDSH ファイアウォール セクションで使用されているため、セキュリティ グループを変更できない」という意味ではありません。

    回避策:なし。

  • 問題 1648578:新しい NetX ホストベースのサービス インスタンスの作成時に、NSX でクラスタ/ネットワーク/ストレージの追加が強制される
    vSphere Web Client からファイアウォール、IDS、IPS などの NetX ホストベース サービス用に新しいサービス インスタンスを作成する際に、クラスタ/ネットワーク/ストレージの追加が不要な場合でも強制されます。

    回避策:新しいサービス インスタンスの作成時に、クラスタ/ネットワーク/ストレージに関する情報を追加し、フィールドに入力します。これにより、サービス インスタンスの作成が許可され、操作を続行できるようになります。

  • 問題 2018077:カスタム L7 ALG サービスを含むルールに宛先ポートとプロトコルが指定されていないと、ファイアウォール ルールの発行に失敗する

    宛先ポートとプロトコルを指定せずに、L7 ALG APP (APP_FTP、APP_TFTP、APP_DCERPC、APP_ORACLE) を選択して L7 サービスを作成し、このサービスをファイアウォール ルールで使用すると、ファイアウォール ルールの発行に失敗します。

    回避策:次の ALG サービスにカスタム L7 サービスを作成するときに、宛先ポートとプロトコル (TCP/UDP) に適切な値を設定します。

    • APP_FTP:ポート 21、プロトコル:TCP
    • APP_TFTP:ポート 69、プロトコル:UDP
    • APP_DCERPC:ポート 135、プロトコル:TCP
    • APP_ORACLE:ポート 1521、プロトコル:TCP
監視サービスに関する既知の問題
  • 問題 1466790:NSX トレースフロー ツールを使用してブリッジ ネットワーク上の仮想マシンを選択することができない
    NSX トレースフロー ツールを使用して、論理スイッチに接続されていない仮想マシンを選択することはできません。つまり、L2 ブリッジ ネットワーク上の仮想マシンの場合、トレースフロー検査の送信元アドレスまたは宛先アドレスとして仮想マシン名を選択することはできません。

    回避策: L2 ブリッジ ネットワークに接続された仮想マシンの場合、インターフェイスの IP アドレスまたは MAC アドレスを使用すれば、トレースフロー検査の宛先として指定できます。L2 ブリッジ ネットワークに接続された仮想マシンを送信元として選択することはできません。詳細については、ナレッジベースの記事 KB2129191 を参照してください。