VMware NSX Data Center for vSphere 6.4.6 | 2019 年 10 月 10 日 | ビルド 14819921

このドキュメントの改訂履歴を参照してください。

リリース ノートの概要

本リリース ノートには、次のトピックが含まれています。

NSX Data Center for vSphere 6.4.6 の新機能

重要:NSX for vSphere の名称が NSX Data Center for vSphere になりました。

NSX Data Center for vSphere 6.4.6 では、操作性と保守容易性が向上しており、ユーザーから報告された複数のバグが修正されています。詳細については、解決した問題を参照してください。

NSX Data Center for vSphere 6.4.6 の変更点:

  • VMware NSX: vSphere Client (HTML) 向けの機能をアップデートvSphere Client で、次の VMware NSX の機能を使用できるようになりました。Edge サービス(Edge ファイアウォール、L2 VPN、IPSEC VPN、NSX 構成)。サポートされる機能の一覧については、vSphere Client での VMware NSX for vSphere ユーザー インターフェイス プラグインの機能を参照してください。
  • NSX Manager の監査者ロールに、Skyline Log Assist を使用して NSX Edge サポート ログ バンドルを収集する権限が追加されました。この権限の強化により、監査者ロールを持つユーザーは、NSX Manager と Edge ノードの両方からサポート ログ バンドルを制限なくダウンロードできます。ロールと権限の完全なリストについては、『NSX 管理ガイド』を参照してください。

バージョン、システム要件、インストール

注:

  • 次の表は、推奨される VMware ソフトウェアのバージョンです。ここで推奨されるバージョンは一般的なものであり、環境に固有の推奨に優先するものではありません。これは、本ドキュメントが公開された時点で最新の情報です。

  • NSX とその他の VMware 製品を併用する場合にサポートされる最小バージョンについては、VMware 製品の相互運用性マトリクスを参照してください。VMware はテスト結果に基づいて、サポートされる最小バージョンを定めています。

製品またはコンポーネント バージョン
NSX Data Center for vSphere

新たに導入する場合には、最新の NSX リリースをインストールすることをおすすめします。

既存の環境をアップグレードする場合は、アップグレードのプランニングを行う前に、NSX Data Center for vSphere のリリース ノートを参照して、特定の問題に関する情報を確認してください。あるいは、VMware テクニカル サポートの担当者に詳細をお問い合わせください。

vSphere

vSphere 6.0
推奨:6.0 Update 3
vSphere 6.0 Update 3 では、vCenter Server の再起動後に ESXi ホストの VTEP が重複するという問題が解決しています。詳細については、VMware のナレッジベースの記事 KB2144605 を参照してください。

vSphere 6.5
推奨:6.5 Update 3
:vSphere 6.5 Update 1 では、メモリ不足により ESX Agent Manager が機能しないという問題が解決しています。詳細については、VMware のナレッジベースの記事 KB2135378 を参照してください。
重要:

  • vSphere 6.5 でマルチキャスト ルーティングを使用している場合は、vSphere 6.5 Update 2 以降を推奨します。
  • vSphere 6.5 で NSX ゲスト イントロスペクションを使用している場合は、vSphere 6.5 P03 以降を推奨します。

vSphere 6.7:
推奨:6.7 Update 2
重要: 

  • vSphere 6.7 で NSX ゲスト イントロスペクションを使用している場合は、NSX 6.4.6 をインストールする前にナレッジベースの記事 KB57248 を参照してください。詳細については、VMware サポートにお問い合わせください。

注:vSphere 5.5 は、NSX 6.4 でサポートされていません。
ゲスト イントロスペクション (Windows)

NSX for vSphere をアップグレードする前に、VMware Tools を 10.3.10 にアップグレードすることをおすすめします。
ゲスト イントロスペクション (Linux) NSX の本バージョンは、次の Linux のバージョンをサポートします。
  • RHEL 7 GA(64 ビット)
  • SLES 12 GA(64 ビット)
  • Ubuntu 14.04 LTS(64 ビット)

システム要件とインストール

NSX のインストールの前提条件については、『NSX インストール ガイド』の「NSX のシステム要件」のセクションを参照してください。

インストール手順については、『NSX インストール ガイド』または『Cross-vCenter NSX インストール ガイド』を参照してください。

廃止および提供を中止する機能

販売およびサポートの終了に関するご注意

ただちにアップグレードが必要な NSX およびその他の VMware 製品については、VMware Lifecycle Product Matrix(英語)を参照してください。

  • NSX for vSphere 6.1.x は、2017 年 1 月 15 日に提供終了日 (EOA) およびジェネラル サポートの終了日 (EOGS) を迎えました。(VMware ナレッジベースの記事 KB2144769 を参照してください)

  • vCNS Edge のサポートを終了:NSX 6.3.x 以降にアップグレードする前に、NSX Edge にアップグレードする必要があります。

  • NSX for vSphere 6.2.x は、2018 年 8 月 20 日にジェネラル サポートが終了 (EOGS) しました。

  • セキュリティに関する推奨に基づいて、NSX Edge IPsec VPN サービスの暗号化アルゴリズム 3DES のサポートを終了
    IPsec サービスで提供されるセキュアな暗号に切り替えることが推奨されています。この暗号化アルゴリズムの切り替えは、IKE SA (phase1) だけでなく、IPsec サイトの IPsec SA (phase2) ネゴシエーションにも適用されます。
     
    NSX Edge IPsec サービスで 3DES 暗号化アルゴリズムを使用している場合、サポートが終了しているリリースにアップグレードすると、推奨される別の暗号に置き換わります。このため、NSX Edge で使用する暗号化アルゴリズムに合わせてリモート ピアの設定を変更しない限り、3DES を使用する IPsec サイトに接続できなくなります。
     
    3DES 暗号を使用している場合は、IPsec サイトの設定で暗号化アルゴリズムを 3DES からサポート対象の AES (AES/AES256/AES-GCM) に変更します。たとえば、暗号化アルゴリズムが 3DES に設定されている 各 IPsec サイトで、3DES を AES に変更します。これに合わせて、ピアのエンドポイントで IPsec 設定を更新します。

全般的な動作変更

vSphere Distributed Switch が複数ある環境で、その 1 つに VXLAN が設定されている場合、vSphere Distributed Switch のポート グループにすべての分散論理ルーター インターフェイスを接続する必要があります。NSX 6.4.1 以降、ユーザー インターフェイスと API でこの構成の適用が実装されます。以前のリリースでは、正しくない設定が可能となっていました。  NSX 6.4.1 以降にアップグレードした後に、分散論理ルーター インターフェイスに誤って接続した場合は、この問題を解決するための操作を行う必要があります。詳細については、アップグレードに関する注意事項を参照してください。

ユーザー インターフェイスの削除と変更

NSX 6.4.1 では、Service Composer キャンバスが削除されました。

インストールの動作変更

バージョン 6.4.2 以降で、ixgbe ドライバを使用する物理 NIC を搭載したホストに NSX Data Center for vSphere をインストールした場合、デフォルトでは Receive Side Scaling (RSS) が ixgbe ドライバで有効になりません。NSX Data Center をインストールする前に、ホスト上の RSS を手動で有効にする必要があります。RSS は、ixgbe ドライバを使用する NIC を搭載したホストでのみ有効にしてください。RSS を有効にする手順については、VMware ナレッジベースの記事 https://kb.vmware.com/s/article/2034676 を参照してください。この記事には、VXLAN パケット スループットを向上させる RSS の推奨設定が記載されています。

これは、ESXi ホストにカーネル モジュール (VIB ファイル) をフレッシュ インストールする場合のみ発生します。NSX の管理対象ホストを NSX 6.4.2 にアップグレードする場合、修正は必要はありません。

API の削除と動作の変更

NSX 6.4.2 で非推奨となった項目

次の項目の使用が非推奨となりました。今後のリリースで削除される可能性があります。

  • GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog。代わりに GET/PUT /api/2.0/vdn/controller/cluster/syslog  を使用してください。

NSX 6.4.1 での動作変更

POST /api/2.0/services/ipam/pools/scope/globalroot-0 で新しい IP アドレス プールを作成するか、PUT /api/2.0/services/ipam/pools/ で既存の IP アドレス プールを変更するときに、プール内に複数の IP アドレス範囲が定義されていると、範囲が重複していないことが確認されます。以前のリリースでは、確認は実行されていませんでした。

NSX 6.4.0 で非推奨となった項目
次の項目の使用が非推奨となりました。今後のリリースで削除される可能性があります。

  • GET /api/4.0/edges/edgeID/statussystemStatus パラメータの使用は推奨されません。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ の使用は推奨されません。GET /api/2.0/services/policy/serviceprovider/firewall/info を使用してください。
  • 分散ファイアウォールのグローバル設定セクションでの TCP Strict の設定は非推奨となりました。NSX 6.4.0 以降では、TCP Strict はセクション レベルで定義されます。:NSX 6.4.0 以降にアップグレードした場合、TCP Strict のグローバル設定は、既存のレイヤー 3 セクションの TCP Strict の設定に使用されます。レイヤー 2 セクションとレイヤー 3 リダイレクト セクションの設定では、TCP Strict は false になります。詳細については、『NSX API ガイド』の「分散ファイアウォール設定の操作」を参照してください。

NSX 6.4.0 での動作変更
NSX 6.4.0 では、POST /api/2.0/vdn/controller でコントローラを作成するときに、<name> パラメータの使用が必須となりました。

NSX 6.4.0 では、エラー処理が次のように変更されます。

  • 以前のリリースでは、POST /api/2.0/vdn/controller は、コントローラの作成ジョブが作成されたことを示す「201 Created」を返しました。 しかし、コントローラの作成に失敗している可能性がありました。NSX 6.4.0 以降では、応答が「202 Accepted」になります。
  • 以前のリリースでは、移行モードまたはスタンドアローン モードで許可されていない API 要求を送信した場合、応答ステータスは「400 Bad Request」でした。 NSX 6.4.0 以降では、応答が「403 Forbidden」となります。

CLI の削除と動作の変更

NSX Controller ノードで、サポートされていないコマンドを使用しないでください。
NSX Controller ノードで NTP と DNS を設定する場合に、ドキュメントに記載されていないコマンドが使用できてしまう場合があります。ただし、これらのコマンドはサポートされていないため、NSX Controller ノードでは使用しないでください。『NSX CLI ガイド』に記載されているコマンドのみを使用してください。

アップグレードに関する注意事項

注:インストールとアップグレードに影響する既知の問題については、「インストールとアップグレードに関する既知の問題」を参照してください。

アップグレードに関する注意事項

  • NSX をアップグレードするには、ホスト クラスタのアップグレード(ホストの VIB のアップグレード)を含む、完全な NSX アップグレードを実行する必要があります。手順については、『NSX アップグレード ガイド』の「ホスト クラスタのアップグレード」セクションを参照してください。

  • VUM を使用したホスト クラスタの NSX VIB のアップグレードはサポートされていせん。ホスト クラスタの NSX VIB をアップグレードするには、アップグレード コーディネータ、ホストの準備、または関連する REST API を使用してください。

  • システム要件:NSX のインストールとアップグレードのシステム要件については、NSX ドキュメントの「NSX のシステム要件」セクションを参照してください。

  • NSX のアップグレード パス:VMware NSX のアップグレードの詳細については、VMware 製品の相互運用性マトリクスを参照してください。

  • Cross-vCenter NSX のアップグレードについては、NSX アップグレード ガイドを参照してください。

  • ダウングレードはサポートされない:

    • アップグレードの前に、必ず NSX Manager をバックアップしてください。

    • NSX を正常にアップグレードしたあとは、ダウングレードすることはできません。

  • NSX 6.4.x へのアップデートが成功したことを確認するには、ナレッジベースの記事 KB2134525 を参照してください。

  • vCloud Networking and Security から NSX 6.4.x へのアップグレードはサポートされません。まず、サポート対象の 6.2.x リリースにアップグレードする必要があります。

  • 相互運用性:アップグレードを行う前に、関連する VMware 製品をVMware 製品の相互運用性マトリックスで確認してください。
    • NSX Data Center for vSphere 6.4 へのアップグレード:NSX 6.4 には、vSphere 5.5 との互換性がありません。
    • NSX Data Center for vSphere 6.4.5 へのアップグレード:NSX が VMware Integrated OpenStack (VIO) で展開されている場合は、VIO を 4.1.2.2 または 5.1.0.1 にアップグレードしてください。バージョン 5.0 への spring パッケージ アップデートのため、NSX 6.4.5 は以前のリリースと互換性がありません。
    • vSphere 6.5 へのアップグレード:vSphere 6.5a 以降または 6.5 バージョンにアップグレードする場合は、最初に NSX 6.3.0 以降にアップグレードする必要があります。NSX 6.2.x には、vSphere 6.5 との互換性がありません。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」を参照してください。
    • vSphere 6.7 へのアップグレード:vSphere 6.7 にアップグレードする場合は、最初に NSX 6.4.1 以降にアップグレードする必要があります。これより前の NSX バージョンは、vSphere 6.7 と互換性がありません。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」を参照してください。 
  • パートナー サービスとの互換性:ゲスト イントロスペクションまたはネットワーク イントロスペクション用に VMware のパートナー サービスをサイトで使用している場合、アップグレード前にVMware 互換性ガイドを参照して、アップグレードする NSX のバージョンとベンダーのサービスに互換性があることを確認してください。
  • Networking and Security プラグイン:NSX Manager をアップグレードした後は、vSphere Web Client からログアウトし、再度ログインする必要があります。NSX プラグインが正しく表示されない場合には、ブラウザのキャッシュと履歴を消去してください。Networking and Security プラグインが vSphere Web Client に表示されない場合には、NSX アップグレード ガイドの説明に従って、vSphere Web Client サーバをリセットしてください。
  • ステートレス環境:ステートレス ホスト環境では、NSX アップグレード プロセスで、新しい VIB がホスト イメージ プロファイルに事前追加されます。ステートレス ホストで NSX のアップグレードを行う場合は、次の手順を実行してください。

    NSX 6.2.0 より前のバージョンでは、NSX Manager 上に 1 つの URL があり、そこから特定バージョンの ESX ホストの VIB を見つけることができました。つまり、管理者は NSX バージョンに関係なく、1 つの URL を知っておくだけで済みました。NSX 6.2.0 以降では、新しい NSX VIB を異なる URL で利用できます。正しい VIB を見つけるには、以下の手順を実行する必要があります。

    1. 新しい VIB URL を https://<nsxmanager>/bin/vdn/nwfabric.properties から見つけます。
    2. 必要な ESX ホスト バージョンの VIB を、対応する URL から取得します。
    3. 取得した VIB をホスト イメージ プロファイルに追加します。

NSX コンポーネントのアップグレードに関する注意事項

NSX コンポーネントでの仮想マシン ハードウェア バージョン 11 のサポート

  • NSX Data Center for vSphere 6.4.2 の新規インストールの場合、NSX コンポーネント(Manager、Controller、Edge、ゲスト イントロスペクション)は仮想マシン ハードウェア バージョン 11 にインストールされます。
  • NSX Data Center for vSphere 6.4.2 へアップグレードする場合、NSX Edge と ゲスト イントロスペクションは自動的に仮想マシン ハードウェア バージョン 11 にアップグレードされます。NSX Manager と NSX Controller は、アップグレード後も引き続き仮想マシン ハードウェア バージョン 8 で実行されます。仮想マシン ハードウェア バージョン 11 にアップグレードすることも可能です。仮想マシン ハードウェアのバージョンをアップグレードする手順については、ナレッジベース (https://kb.vmware.com/s/article/1010675) を参照してください。
  • NSX 6.3.x、6.4.0、6.4.1 の新規インストールの場合、NSX コンポーネント(Manager、Controller、Edge、ゲスト イントロスペクション)は仮想マシン ハードウェア バージョン 8 にインストールされます。

NSX Manager のアップグレード

  • 重要:NSX 6.2.0、6.2.1 または 6.2.2 から NSX 6.3.5 以降にアップグレードする場合は、アップグレードを開始する前に、既知の問題への回避策を実行しておく必要があります。詳細については、VMware のナレッジベースの記事 KB000051624 を参照してください。

  • NSX 6.3.3 から NSX 6.3.4 以降にアップデートする場合は、VMware のナレッジベースの記事 KB2151719の回避策を行ってからアップデートしてください。

  • NSX のバックアップに SFTP を使用する場合は、hmac-sha1 はサポートされていないため、NSX 6.3.0 以降にアップグレードした後で hmac-sha2-256 に変更してください。サポートされるセキュリティ アルゴリズムについては、VMware のナレッジベースの記事 KB2149282 を参照してください。

  • NSX Manager を NSX 6.4.1 にアップグレードすると、アップグレード中にバックアップが自動的に作成され、ローカルに保存されます。詳細については、NSX Manager のアップグレードを参照してください。

  • NSX 6.4.0 へのアップグレードでは、TLS の設定が維持されます。TLS 1.0 のみを有効にする場合、vSphere Web Client に NSX プラグインが表示されますが、NSX Manager は表示されません。データパスに影響はありませんが、NSX Manager の設定を変更することはできません。https://nsx-mgr-ip/ で NSX アプライアンスの管理 Web ユーザー インターフェイスにログインし、TLS 1.1 と TLS 1.2 を有効にします。これにより、NSX Manager アプライアンスが再起動します。

コントローラのアップグレード

  • NSX Controller クラスタには、3 台のコントローラ ノードが必要です。コントローラが 3 台未満の場合は、アップグレードを開始する前にコントローラを追加する必要があります。詳細については、NSX Controller クラスタのデプロイを参照してください。

  • NSX 6.3.3 では、NSX Controller の基盤となるオペレーティング システムが変わりました。NSX 6.3.2 以前から NSX 6.3.3 以降にアップデートする場合、インプレース アップグレードは実行されません。既存のコントローラが 1 度に 1 つずつ削除され、同じ IP アドレスを使用して新しい Photon OS ベースのコントローラが展開されます。

    コントローラを削除すると、関連する DRS の非アフィニティ ルールも削除されます。vCenter Server で新しい非アフィニティ ルールを作成して、新しいコントローラ仮想マシンが同じホストに配置されないようにする必要があります。

    コントローラのアップグレードの詳細については、NSX Controller クラスタのアップグレードを参照してください。

ホスト クラスタのアップグレード

  • NSX 6.3.2 以前のバージョンから NSX 6.3.3 以降にアップグレードすると NSX VIB 名が変更されます。
    ESXi 6.0 以降に NSX 6.3.3 以降をインストールすると、esx-vxlan と esx-vsip VIB が esx-nsxv に変更されます。

  • アップグレードおよびアンインストールでホストの再起動が不要:vSphere 6.0 以降で、NSX 6.2.x から NSX 6.3.x 以降にアップグレードする場合、以降の NSX VIB の変更でホストの再起動が不要になります。代わりに、VIB 変更を完了するには、ホストをメンテナンス モードにする必要があります。これは、NSX ホスト クラスタのアップグレードと ESXi のアップグレードの両方に影響します。詳細については、『NSX アップグレード ガイド』を参照してください。

NSX Edge のアップグレード

  • NSX 6.4.1 で、無効な分散論理ルーターの設定を許可しない検証機能を追加:VXLAN と複数の vSphere Distributed Switch を持つ環境では、分散論理ルーターのインターフェイスを VXLAN が設定された vSphere Distributed Switch にのみ接続する必要があります。VXLAN が設定されていない vSphere Distributed Switch に分散論理ルーターのインターフェイスが接続していると、分散論理ルーターを NSX 6.4.1 以降にアップグレードできません。正しく設定されていないインターフェイスを VXLAN が設定されている vSphere Distributed Switch のポート グループに接続するには、API を使用します。有効な設定に変更してから、アップグレードを再試行します。インターフェイスの設定を変更するには、PUT /api/4.0/edges/{edgeId} または PUT /api/4.0/edges/{edgeId}/interfaces/{index} を使用します。詳細については、『NSX API ガイド』を参照してください。

  • ユニバーサル分散論理ルーター (UDLR) を 6.2.7 から 6.4.5 にアップグレードする前に、セカンダリ NSX Manager に関連付けられた UDLR 制御仮想マシンを vCenter Server から削除してください。
    マルチ vCenter Server 環境で NSX UDLR を 6.2.7 から 6.4.5 にアップグレードするときに、UDLR 制御仮想マシンで HA が有効になっていると、セカンダリ NSX Manager で UDLR 仮想アプライアンス(UDLR 制御仮想マシン)のアップグレードに失敗します。アップグレード中に、HA ペアで HA インデックス #0 の仮想マシンが NSX データベースから削除されますが、この仮想マシンは vCenter Server に存在し続けます。このため、セカンダリ NSX Manager で UDLR 制御仮想マシンをアップグレードすると、仮想マシンの名前が vCenter Server 上の既存の仮想マシンと競合するため、アップグレードに失敗します。この問題を解決するには、セカンダリ NSX Manager の UDLR に関連付けられている vCenter Server から制御仮想マシンを削除し、UDLR を 6.2.7 から 6.4.5 にアップグレードします。

  • NSX Edge アプライアンスをアップグレードする前に NSX 用ホスト クラスタを準備する必要がある:NSX 6.3.0 以降では、NSX Manager と Edge 間で、VIX チャネルを経由した管理プレーン通信はサポートされません。メッセージ バス チャネル経由のみがサポートされます。NSX 6.2.x 以前から NSX 6.3.0 以降にアップグレードする場合、NSX Edge アプライアンスのデプロイ先のホスト クラスタが準備されていることと、メッセージング インフラストラクチャのステータスが正常であることを確認する必要があります。NSX 用ホスト クラスタが準備されていない場合、NSX Edge アプライアンスのアップグレードに失敗します。詳細については、『NSX アップグレード ガイド』の NSX Edge のアップグレードを参照してください。

  • Edge Services Gateway (ESG) のアップグレード:
    NSX 6.2.5 以降、リソース予約は NSX Edge のアップグレード時に実行されるようになりました。十分なリソースのないクラスタで vSphere HA が有効になっている場合、vSphere HA の制約に違反するためアップグレードに失敗することがあります。

    そのようなアップグレードの失敗を回避するには、ESG をアップグレードする前に次の手順を実行します。

    インストール時またはアップグレード時に値を明示的に設定していない場合は、次のリソース予約が NSX Manager で使用されます。

    NSX Edge
    フォーム ファクタ    		 CPU 予約 メモリの予約
    Compact 1000 MHz 512 MB
    Large 2000 MHz 1024 MB
    Quad Large 4000 MHz 2048 MB
    X-Large 6000 MHz 8192 MB

    1. インストール環境が vSphere HA 向けのベスト プラクティスに従っていることを常に確認します。ナレッジベースの記事 KB1002080 を参照してください。

    2. NSX チューニング設定 API を使用します。
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      edgeVCpuReservationPercentageedgeMemoryReservationPercentage の値が、フォーム ファクタで使用可能なリソースを超えていないことを確認します(デフォルト値は上の表を参照)。

  • vSphere HA が有効で Edge を展開している環境では、vSphere の [仮想マシンの起動] オプションを無効にする:vSphere HA が有効で Edge が展開されているクラスタでは、NSX Edge の 6.2.4 以前のバージョンを 6.2.5 以降にアップグレードした後、vSphere の [仮想マシンの起動] オプションを無効にする必要があります。それには、vSphere Web Client を開き、NSX Edge 仮想マシンが常駐する ESXi ホストを見つけ、[管理] > [設定] の順にクリックし、[仮想マシン] で [仮想マシンの起動/シャットダウン] を選択して、[編集] をクリックします。次に、仮想マシンが手動モードにあることを確認します。[自動起動/シャットダウン] リストに追加されていないことを確認してください。

  • NSX 6.2.5 以降にアップグレードする前に、ロード バランサの暗号化リストがコロン区切りであることを確認します。暗号化リストにコンマなど別の区切り文字が使用されている場合は、https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles への PUT 呼び出しを実行し、<clientssl> </clientssl> および <serverssl> </serverssl> の各 <ciphers> </ciphers> リストをコロン区切りのリストに置換します。たとえば、要求本文の関連セグメントは次のようになります。すべてのアプリケーション プロファイルに対して次の手順を繰り返します。

    <applicationProfile>
  <name>https-profile</name>
  <insertXForwardedFor>false</insertXForwardedFor>
  <sslPassthrough>false</sslPassthrough>
  <template>HTTPS</template>
  <serverSslEnabled>true</serverSslEnabled>
  <clientSsl>
    <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
    <clientAuth>ignore</clientAuth>
    <serviceCertificate>certificate-4</serviceCertificate>
  </clientSsl>
  <serverSsl>
    <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
    <serviceCertificate>certificate-4</serviceCertificate>
  </serverSsl>
  ...
</applicationProfile>
  • vRealize Operations Manager (vROPs) 6.2.0 より前のバージョンでロード バランシングされたクライアントに正しい暗号バージョンを設定する:vROPs 6.2.0 より前のバージョンの vROPs プール メンバーは TLS バージョン 1.0 を使用しています。このため、NSX のロード バランサの設定で監視の拡張機能を編集し、"ssl-version=10" と明示的に指定する必要があります。手順については、『NSX 管理ガイド』の「サービス モニターの作成」を参照してください。
    {
                              "expected" : null,
                              "extension" : "ssl-version=10",
                              "send" : null,
                              "maxRetries" : 2,
              "name" : "sm_vrops",
              "url" : "/suite-api/api/deployment/node/status",
              "timeout" : 5,
              "type" : "https",
              "receive" : null,
              "interval" : 60,
              "method" : "GET"
}

  • NSX 6.4.6 にアップデートした後、分散論理ルーター上の L2 ブリッジとインターフェイスが、異なるトランスポート ゾーンに属する論理スイッチに接続できなくなる:  NSX 6.4.5 以前では、分散論理ルーター (DLR) 上の L2 ブリッジ インスタンスとインターフェイスは、異なるトランスポート ゾーンに属する論理スイッチの使用をサポートしていました。NSX 6.4.6 以降では、この構成はサポートされません。分散論理ルーター上の L2 ブリッジ インスタンスとインターフェイスは、同じトランスポート ゾーンに属する論理スイッチに接続する必要があります。複数のトランスポート ゾーンの論理スイッチが使用されている場合、NSX を 6.4.6 にアップデートすると、アップデート前の検証チェックで Edge のアップグレードがブロックされます。この Edge アップグレードの問題を解決するには、分散論理ルーターのブリッジ インスタンスとインターフェイスを単一のトランスポート ゾーンの論理スイッチに接続してください。

FIPS のアップグレードに関する注意事項

NSX 6.3.0 より前のバージョンから NSX 6.3.0 以降のバージョンにアップグレードする場合は、アップグレードが完了するまで FIPS モードを有効にしないでください。アップグレードが完了する前に FIPS モードを有効にすると、アップグレード済みのコンポーネントとアップグレードされていないコンポーネント間の通信が中断されます。詳細については、『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードの理解」を参照してください。

  • OS X Yosemite および OS X El Capitan でサポートされる暗号:OS X 10.11 (EL Capitan) で SSL VPN クライアントを使用している場合は、AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHA、および AES128-SHA 暗号を使用して接続することができ、OS X 10.10 (Yosemite) を使用している場合は AES256-SHA および AES128-SHA 暗号のみを使用して接続することができます。

  • NSX 6.3.x へのアップグレードが完了するまでは FIPS を有効にしないでください。詳細については、『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードの理解」を参照してください。

  • FIPS モードを有効にする前に、パートナーのソリューションが FIPS モードの認定を受けていることを確認してください。『VMware 互換性ガイド』と、関連するパートナーのドキュメントを参照してください。

FIPS コンプライアンス

NSX 6.4 を正しく設定すると、すべてのセキュリティ関連の暗号化に、FIPS 140-2 認証を受けている暗号モジュールが使用されます。

注:

  • コントローラと VPN のクラスタリング:NSX Controller は、IPsec VPN を使用してコントローラ クラスタに接続します。IPsec VPN では、VMware Linux カーネル暗号モジュール(VMware Photon OS 1.0 環境)を使用しています。このモジュールは現在 CMVP 認証を申請中です。
  • Edge IPsec VPN:NSX Edge IPsec VPN では、VMware Linux カーネル暗号モジュール(VMware NSX OS 4.4 環境)を使用しています。このモジュールは現在 CMVP 認証を申請中です。

ドキュメントの改訂履歴

2019 年 10 月 10 日:初版。
2019 年 11 月 6 日:第 2 版。既知の問題 2442884 について記載しました。また、関連するアップグレードの注意事項を追加しました。
2019 年 12 月 3 日:第 3 版。既知の問題 2367906 の回避策へのリンクを追加しました。
2020 年 1 月 9 日。第 4 版。既知の問題 2449643 を追加しました。
2020 年 5 月 18 日。第 5 版。既知の問題 2444275、2445183、2445396、2448235、2448449、2451586、2452833、2458746、2459936、2493095、2498988、2502739、2509224、2513773、2536058、2551523 を追加しました。
2020 年 5 月 25 日。第 6 版。解決した問題 2379274 に、Edge のアップグレードに関する注意事項を追加しました。

解決した問題

  • 解決した問題 1648578:新しい NetX ホストベースのサービス インスタンスの作成時に、NSX でクラスタ/ネットワーク/ストレージが強制的に追加される
    vSphere Web Client からファイアウォール、IDS、IPS などの NetX ホストベース サービス用に新しいサービス インスタンスを作成する際に、クラスタ/ネットワーク/ストレージの追加が不要な場合でも強制されます。
  • 解決した問題 2001988:NSX ホスト クラスタのアップグレード中にクラスタの各ホストをアップグレードしている際に、[ホストの準備] タブでクラスタ全体のインストール状況を確認すると、「準備ができていません」と「インストール中」が交互に表示される

    NSX のアップグレードで、NSX が準備したクラスタの「アップグレードを利用可能」をクリックすると、ホストのアップグレードを開始します。DRS FULL AUTOMATIC が設定されたクラスタの場合、ホストのアップグレードがバックグラウンドで問題なく実行されているにも関わらず、インストール状況として「インストール中」と「準備ができていません」が交互に表示されます。

  • 解決した問題 2005973:いくつかの GRE トンネルを削除して、管理プレーンから Edge ノードを強制的に同期すると、ルーティング デーモン MSR ですべてのルーティング設定が失なわれる

    この問題は、GRE トンネル経由で BGP セッションを使用している Edge で発生することがあります。GRE トンネルを削除し、管理プレーンから Edge の強制同期を行うと、すべてのルーティング設定が失われます。

  • 解決した問題 2005900:8 通りの iBGP/マルチホップ BGP ECMP の大規模なトポロジで、すべての GRE トンネルがフラップすると、CPU 使用率が 100% になり、Edge でルーティング デーモン MSR がスタックする

    この問題は、ESG で iBGP またはマルチホップ BGP が設定され、多くの GRE トンネルにまたがって複数のネイバーが確立されている大規模なトポロジで発生する可能性があります。複数の GRE トンネルがフラップすると、CPU 使用率が 100% になり、MSR がスタックする場合があります。

  • 解決した問題 2118255:分散論理ルーターの制御仮想マシンがマルチキャスト ルーティングに参加しない

    分散論理ルーターの制御仮想マシンがマルチキャスト ルーティングに参加しません。制御仮想マシンでは、マルチキャスト関連の CLI には、空の CLI が表示されます。

  • 解決した問題 2189417:イベント ログの数がサポートされる制限を超える

    イベント数が増加すると、一部のイベントが失われ、IDFW が機能しなくなります(物理ワークロードの場合のみ)。

  • 解決した問題 2312793:http ヘッダーの etag 値が二重引用符で囲まれている

    応答に etag 値を使用すると、REST API が失敗します。

  • 解決した問題 2279045:vNIC が VLAN でバッキングされた dvportgroup に接続している場合、エンドツーエンドの遅延を設定できない

    エンドツーエンドの遅延は VLAN でバッキングされた dvportgroup をサポートしていません。このようなポートグループの遅延設定を行うと、例外が発生します。使用できるのは、オーバーレイ バッキングされた dvportgroup のみです。

  • 解決した問題 2265909:REST API URI で二重のスラッシュを使用できない

    REST API 呼び出しが、エラー 500 で失敗します。内部サーバ エラー。URI でスラッシュが二重に使用されていると、REST API が失敗します。

  • 解決した問題 2319867:エンドツーエンドの遅延を有効にして VDS に新しいホストを追加すると、エンドツーエンドの遅延が新しいホストに自動的に設定されない

    end2end 遅延が VDS で設定されているときに、新しいホストを追加すると、新しいホストに end2end 遅延が自動的に設定されません。このホストの遅延は監視できません。

  • 解決した問題 2442884:NSX-v 6.4.6 が VMware Integrated OpenStack と互換性がない

    NSX 6.4.6 から、宛先 IP が 0.0.0.0/0 のファイアウォール ルールを作成できなくなりました。その結果、NSX 6.4.6 と vSphere Integrated Openstack の一部のバージョンとの間に互換性がなくなりました。互換性のあるバージョンについては、VMware 製品の相互運用性マトリックスを参照してください。

  • 解決した問題 2331068:ファイアウォール グループ オブジェクトの更新メッセージが多すぎるため、NSX Edge が管理不能になる

    NSX Edge は管理不能になりますが、データ プレーンは正常に動作します。管理者は、構成を変更したり、Edge の状態に対するクエリを実行することができません。

  • 解決した問題 2320171:Edge アプライアンスを別のクラスタまたはリソース プールに移動すると、Edge アプライアンスのリソース予約が「予約なし」にリセットされる

    Edge アプライアンスを別のクラスタまたはリソース プールに移動した後、管理者は API 要求を実行して Edge アプライアンスの予約を手動でリセットする必要があります。

  • 解決した問題 2349110:Mac コンピュータの SSL VPN-Plus Client でパスワードを保存できない

    [パスワードの保存] オプションを選択していても、SSL VPN サーバにログインするたびに、ユーザー名とパスワードを再入力する必要があります。

  • 解決した問題 2360114:マルチサイト Cross-vCenter NSX 環境で、セカンダリ NSX Manager によって管理されている Edge の [ルート再配分] 画面を使用できない 

    この問題は、HTML5 ベースの vSphere Client でのみ発生していました。vSphere Web Client では発生していません。

  • 解決した問題 2337437:CPU カーネルが長時間ロックアップされる

    CPU が N 秒間ハートビートを受信せず、パフォーマンスが低下します。

  • 解決した問題 2305079:NSX Identity Firewall が断続的に機能する。NSX コンテキスト エンジンが ESXi ホストで実行されない

    NSX ゲスト イントロスペクションでネットワーク イベントを検出しているときに、NSX Identity Firewall が断続的に機能します。NSX コンテキスト エンジンが ESXi ホストで実行されている場合、Identity Firewall は意図したとおり機能しますが、コンテキスト エンジンが実行されていないと、Identity Firewall は機能しません。

  • 解決した問題 2375249:[送信元の IP アドレス] フィールドまたは [宛先の IP アドレス] フィールドに余分なスペースが含まれていると、ファイアウォール ルールの発行に失敗する

    string2ip 関数により、無効なファイアウォールの設定が vsfwd ログ ファイルに記録されます。

  • 解決した問題 2305989:CLI コマンド(show ip bgp と show ip bgp neighbors)の実行中に、dcsms プロセスでメモリ リークが発生する

    Dynamic Clustering Secure Mobile Multicast (dcsms) プロセスのメモリ使用率が非常に高くなり、通常の処理に影響を及ぼします。メモリ不足になると、Edge が再ロードされます。

  • 解決した問題 2379274:分散論理ルーターのインターフェイスまたはブリッジが、異なるトランスポート ゾーンにある論理スイッチに接続していると、一部のホストで VDR インスタンスが見つからない

    仮想マシンがデフォルト ゲートウェイにアクセスできず、データ パスのトラフィックが停止します。

  • 解決した問題 2291285:マルチキャストがすでに設定されている分散論理ルーターのインターフェイスにブリッジを設定した場合、設定済みのマルチキャスト インターフェイスからこのインターフェイスが削除されない

    vCenter Server ユーザー インターフェイスで、ソースとしてマルチキャスト IGMP とブリッジが設定された分散論理ルーターのインターフェイスが「切断」として表示されます。

  • 解決した問題 2377057:分散ファイアウォール ルールを発行すると、CPU 使用率が高くなり、NSX Manager が停止する

    NSX Manager の CPU 使用率が高くなると、パフォーマンスが低下します。

  • 解決した問題 2391802:新しい仮想マシンをリストに追加すると、NSX 除外リストから仮想マシンが表示されなくなる

    除外リストにある仮想マシンのリストがユーザー インターフェイスに読み込まれる前に新しい仮想マシンを追加すると、除外リストから既存の仮想マシンが削除されます。

  • 解決した問題 2389897:サードパーティ製ライブラリが log4j を使用しているため、log4j と log4j2 の設定が競合する

    NSX で生成されたログが vsm.log にありません。NSX ログがないと、問題のデバッグが難しくなります。

  • 解決した問題 2273837:NSX を 6.4.0 以降にアップグレードすると、スコープがデータセンターの IP セット、アプリケーションまたはアプリケーション グループを使用するファイアウォール ルールが表示されない

    NSX 6.4.0 以降で、ファイアウォール ルールにスコープがデータセンターの IP セット、アプリケーションまたはアプリケーション グループを使用すると、NSX ログに次のエラー メッセージが記録されます。
    [ファイアウォール] グループ オブジェクト ID が無効です。このオブジェクトは存在しないか、使用できません。

  • 解決した問題 2319561:プライマリ NSX Manager の同期エラー

    ユーザー インターフェイスと NSX ログに次のエラーメッセージが表示されます。 
    REST API エラー:instance_uuid の uuid 形式が無効です。

  • 解決した問題 2327330:RabbitMQ ポート 5671 で TLS 1.1 が有効になっている

    後方互換性のため、TLS 1.1 サポートが残っています。TLS 1.1 が必要でなければ、明示的に削除できます。
    TLS 1.1 を削除するには、/etc/rabbitmq/ にある rabbitmq.config ファイルを編集して、マネージャのブローカを再起動します。

  • 解決した問題 2341214:高可用性 (HA) を有効にして展開した Edge アプライアンスで、HA の有効化に必要な条件をすべて満たしていても、2 回目の設定の変更を Edge アプライアンスに発効するまで Edge で HA が有効にならない

    HA を有効にして Edge(ESG/分散論理ルーター/ユニバーサル分散論理ルーター)を構成し、アプライアンスを展開すると(他の機能も一括で設定)、この設定が Edge アプライアンスに発行されますが、HA が無効の状態です。管理プレーンでは HA が有効と表示されますが、実際の Edge アプライアンスでは無効になっています。

  • 解決した問題 2392371:Edge アプライアンスで VMware Tools が実行されていない場合、Edge 仮想アプライアンスの再起動に失敗する

    Edge アプライアンスの再起動に失敗することがあります。たとえば、FIPS を有効または無効にするときに、システム状態の不整合を報告した Edge で強制同期が行われると、この状況が発生します。

  • 解決した問題 2273242:確立されたセッションで SYN を受信したときに、NetX フィルタが有効になっていると、この接続で ACK が送信されない

    NetX が有効になっていると、確立されたセッションで SYN パケットがサービス インスタンスに転送されます。TCP セッションがハングすることがあります。

  • 解決した問題 2285624:Linux から実行すると、proxy_set が失敗する

    Linux SSL VPN クライアントにプロキシ サポートがありません。

  • 解決した問題 2287017:宛先不明の ARP ストームにより、ESX で PSOD が表示されることがある

    ネットワーク内の多くの仮想マシンにブロードキャスト ARP をレプリケートしている間に、宛先不明の ARP ストームにより、ESX で PSOD が表示されます。

  • 解決した問題 2287578:ルールの統計情報の収集で、分散ファイアウォール (DFW) データパスの速度が低下する

    ルールの公開またはルールの統計情報の収集が発生すると、DFW によって保護された仮想マシンで、仮想マシン ネットワークのパフォーマンスが低下することがあります。

  • 解決した問題 2315879:ローカル エンドポイント、ピア エンドポイント、ピア サブネットが同じで、ローカル サブネットが異なる複数の IPsec サイトが存在すると、Edge がトラフィックをルーティングしない

    ルートが見つからないか、ルートがインストールされていません。Edge はトラフィックをルーティングしません。

  • 解決した問題 2329851:SSL VPN Plus クライアントで、Radius を使用した RSA SecurID 認証が失敗し、内部サーバ エラーが表示される

    SSL VPN ポータルにログインすると、「ページが見つかりません」というエラーが表示されます。Radius サーバで RSA が失敗します。

  • 解決した問題 2331796:スタンドアローン Edge の展開中に指定した HA デットタイム値が HA 設定で指定されていない

    スタンドアローン Edge の展開後、HA 設定の [HA ハートビート間隔] フィールドに誤って HA デッドタイムの値が表示されます。CLI を使用しても、HA デッドタイム値を再設定できず、代わりに、HA ハートビート間隔が設定されます。

  • 解決した問題 2332763:sysctl.net.ipv4.tcp_tw_recycle システム制御プロパティが設定されていると、Edge を NSX 6.4.2 以降にアップグレードできない

    Edge アプライアンスの公開に失敗し、次のようなエラー メッセージが表示されます。
    ERROR :: VseCommandHandler :: Command failed eventually.Error: [C_UTILS][73001][65280] sysctl net.ipv4.tcp_tw_recycle="0" failed : sysctl: cannot stat /proc/sys/net/ipv4/tcp_tw_recycle: No such file or directory.

  • 解決した問題 2342497:IP ハッシュ チーミング ポリシーが使用されていると、VTEP が正しく動作しない

    NSX VTEP は相互に通信できません。

  • 解決した問題 2350465:メモリ不足でパケット ロスが発生し、Edge が再起動する

    IPsec を有効にすると、トラフィックが大量に発生し、メモリが不足します。

  • 解決した問題 2351224:Linux マシンに SSL VPN-Plus Client が正常にインストールされているにもかかわらず、クライアントが動作しない

    Linux マシンに Net-tools パッケージがありません。

  • 解決した問題 2367084:ブリッジで、VLAN によってバッキングされた仮想マシンからオーバーレイ仮想マシンにアクセスできない

    分散論理ルーター制御仮想マシンとオーバーレイ仮想マシンが同じ ESXi ホストに配置されている場合、VLAN 上の仮想マシンは、オーバーレイ ネットワークの仮想マシンから受信した ARP 要求を解決できません。

  • 解決した問題:SynFloodProtection が原因で、ファイアウォール ルールが回避される

    NSX Edge で SynFloodProtection が有効になっているときに、トラフィックが Edge 自体に送信されると、ファイアウォール ルールのチェックが回避されます。

  • 解決した問題 2381632:Edge アプライアンス仮想マシンが展開されていない分散論理ルーターにスタティック ルートを追加できない

    Edge アプライアンス仮想マシンが展開されていない分散論理ルーターの管理ディスタンスの値が vSphere Web Client に表示されます。

  • 解決した問題 2385541:clear ForceStandby フラグが無効な仮想マシンに送信されると、NSX Edge がスプリット ブレイン状態になる

    強制同期が試行され、仮想マシンが再起動すると、clear ForceStandby が無効な仮想マシンに送信されます。ピアで ForceStandby が設定されます。
    ForceStandby フラグのクリアに失敗すると、強制同期タスクが呼び出されます。Edge がシステム状態の不整合を報告しているため、強制同期中に仮想マシンが再起動します。

  • 解決した問題 2385739:NSX Manager でデッドロックが発生する

    Zookeeper でエラーが発生し、NSX Manager が応答不能になります。レプリケータが、セカンダリ NSX Manager で NSX Controller を削除して再作成します。最後の処理でデッドロックが発生します。

  • 解決した問題 2387720:IPsec VPN 設定の Suite-B-GMAC-128 と Suite-B-GMAC-256 のコンプライアンス スイートで、データが暗号化されない

    これらのスイートは null 暗号化を使用するため、非常に危険です。NSX 6.4.6 以降では、この 2 つのコンプライアンス スイートは廃止されました。

  • 解決した問題 2390308:FIPS が有効な Edge を展開中に、最初の起動後に再起動が要求され、その再起動に失敗することがある

    次のようなエラー メッセージが NSX ログに記録されます。
    Cannot complete operation because VMware Tools is not running in this virtual machine.

  • 解決した問題 2406853:Edge でトランク インターフェイスを追加するときに、ユーザー インターフェイス でデフォルトの MTU サイズが誤って 1500 に設定される

    デフォルトの MTU サイズを小さくすると、Edge インターフェイスを通過するデータ プレーン トラフィックが影響を受けます。

  • dvportgroup が分散論理ルーターの論理インターフェイスで使用されている、ブリッジが vCenter Server から削除されている、分散仮想スイッチが移行または削除されているなどの場合に、分散論理ルーターのルーティング テーブルに古いエントリが残る

    分散論理ルーターのアップグレードに失敗します。Edge のアップグレードが可能な場合、Edge の再展開に失敗します。Edge 構成の更新に失敗する場合があります。

  • 解決した問題 2412632:サーバの SSL 設定でサービス証明書を選択しないと、HTTPS End-to-End タイプのロード バランサ アプリケーション プロファイルを保存できない

    この問題は、NSX Edge を 6.4.4 から 6.4.5 にアップデートした後に発生します。NSX 6.4.5 では、サーバの SSL 設定を指定するときに、サービス証明書の選択が必須になりました。

  • 解決した問題 2314438:プライマリ NSX Manager の同期で問題が発生し、「REST API が失敗しました。instance_uuid の uuid 形式が無効です」というエラーが表示される

    マルチ vCenter Server 環境で、プライマリでユニバーサル タグが設定されていても、特定の仮想マシンがセカンダリにはレプリケートされません。

  • 解決した問題 VMSA-2019-0010:Linux カーネルに存在する TCP Selective Acknowledgement (SACK) の脆弱性(CVE-2019-11477、CVE-2019-11478)

    すべての NSX-v 6.4.6 コンポーネントに、Linux カーネルに存在する TCP Selective Acknowledgement (SACK) の脆弱性(CVE-2019-11477、CVE-2019-11478)の修正が含まれています。6.4.6 以降のバージョンにアップグレードすることで、前述の CVE の脆弱性を解決できます。この問題の追加情報については、ナレッジベースの記事 KB71311 を参照してください。

  • 解決した問題 2324338:分散ファイアウォール ルールに IPv4 アドレスと IPv6 アドレスを持つ有効な vNIC が設定されているときに、いずれかのアドレス タイプで更新が発生すると、他の IP アドレスも削除され、対応する分散ファイアウォール ルールが予期したとおり機能しない

    1 つの IP アドレス タイプが変更されると、両方の IP アドレス タイプが上書きされます。IPv6 アドレスのみが更新された場合は、DB レコードが更新され、既存の IPv4 と IPv6 の両方が新しい IPv6 アドレスで置換されます。

既知の問題

既知の問題には次の項目が含まれます。

インストールとアップグレードに関する既知の問題

アップグレードの前に、このドキュメントの前半の「アップグレードに関する注意事項」を参照してください。

  • 問題 1859572:vCenter Server バージョン 6.0.0 で管理している ESXi ホストから NSX バージョン 6.3.x の NSX VIB をアンインストールすると、ホストがメンテナンス モードのままになる
    クラスタで NSX 6.3.x の NSX VIB をアンインストールする場合、vSphere ESX Agent Manager (EAM) サービスがホストをメンテナンス モードに切り替え、VIB をアンインストールし、ホストのメンテナンス モードを解除します。ただし、ホストを vCenter Server 6.0.0 で管理している場合、VIB のアンインストール後にホストがメンテナンス モードのままになります。VIB をアンインストールする EAM サービスは、ホストをメンテナンス モードに切り替えることはできますが、メンテナンス モードの解除に失敗します。

    回避策:ホストのメンテナンス モードを手動で解除します。vCenter Server バージョン 6.5a 以降でホストを管理している場合、この問題は発生しません。

  • 問題 1263858:SSL VPN がアップグレード通知をリモート クライアントに送信しない

    SSL VPN ゲートウェイはアップグレード通知をユーザーに送信しません。管理者は、SSL VPN ゲートウェイ(サーバ)が更新されたことと、リモート ユーザーが自分のクライアントを更新しなければならないことを、リモート ユーザーに手動で通知する必要があります。

    回避策:ユーザーは旧バージョンのクライアントをアンインストールして、最新バージョンを手動でインストールする必要があります。

  • 問題 2006028:アップグレード中に vCenter Server システムが再起動すると、ホストのアップグレードに失敗する場合がある

    ホストのアップグレード中に関連する vCenter Server システムが再起動すると、ホストのアップグレードに失敗し、ホストがメンテナンス モードになる場合があります。[解決] をクリックしても、ホストがメンテナンス モードから切り替わりません。クラスタのステータスは「準備ができていません」になります。

    回避策:ホストのメンテナンス モードを手動で終了します。クラスタで [準備ができていません] をクリックして、[すべて解決] をクリックします。

  • 問題 2429861:NSX 6.4.6 へのアップグレード後、vRNI ユーザー インターフェイスにエンドツーエンドの遅延が表示されない

    vRNI 4.2 と vRNI 5.0 の vRNI 相互運用で、エンドツーエンドの遅延が表示されません。

    回避策:vRNI を 5.0.0-P2 にアップデートします。

  • 問題 2449643:NSX を 6.4.1 から 6.4.6 にアップデートした後、vSphere Web Client に「使用可能な NSX Manager はありません」というエラーが表示される

    vSphere Web Client で、[ファイアウォール] 画面と [論理スイッチ] 画面に次のエラー メッセージが表示されます。
    「使用可能な NSX Manager はありません。現在のユーザーが NSX Manager に割り当てられたロールを所有していることを確認してください。」

    [ファイアウォール] 画面と [論理スイッチ] 画面は UI で使用できないため、ファイアウォール ルールの設定や論理スイッチの作成ができない可能性があります。また、NSX API の応答時間が長くなります。

    /usr/nsx-webserver/logs/localhost_access_log ファイルに、次のようなエントリが記録されます。
    127.0.0.1 - - [27/Oct/2019:08:38:22 +0100] "GET /api/4.0/firewall/globalroot-0/config HTTP/1.1" 200 1514314 91262
    127.0.0.1 - - [27/Oct/2019:08:43:21 +0100] "GET /api/4.0/firewall/globalroot-0/config HTTP/1.1" 200 1514314 90832

    127.0.0.1 - - [27/Oct/2019:11:07:39 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 264142
    127.0.0.1 - - [27/Oct/2019:11:07:40 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 265023
    127.0.0.1 - - [27/Oct/2019:11:07:40 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 265265

    回避策:

    log4j-1.2.14.jar ファイルと log4j-1.2.17.jar ファイルの名前を手動で変更し、bluelane-manager サービスを再起動します。

    1.root ユーザーとして NSX Manager CLI にログインします。

    2.次のコマンドを実行して、.jar ファイルの名前を変更します。

    /home/secureall/secureall/sem/WEB-INF/lib]# mv log4j-1.2.17.jar log4j-1.2.17.jar.old
    /home/secureall/secureall/sem/WEB-INF/lib]# mv log4j-1.2.14.jar log4j-1.2.14.jar.old

    3.次のコマンドを実行して、bluelane-manager サービスを再起動します。

    /etc/init.d/bluelane-manager restart

NSX Manager に関する既知の問題
  • 問題 2233029:ESX が 10K ルートをサポートしていない

    ESX で 10K ルートをサポートする必要はありません。設計上、ESX の上限は 2K ルートに設定されています。

    回避策:なし。

  • 問題 2391153:vmknic dvportgroup に対する vCenter Server の処理が完了した後に、NSX Manager が、vdn_vmknic_portgroup と vdn_cluster テーブルを更新しない

    PUT https://nsx_manager_ip/api/2.0/nwfabric/configure API 要求を実行して、vmknic 分散仮想ポートグループに対する vCenter Server の処理が完了した後に、NSX Manager が vdn_vmknic_portgroup と vdn_cluster テーブルを更新しません。vCenter Server ユーザー インターフェイスには古い VLAN ID が表示されます。 

    回避策:なし。

  • 問題 2445396:ロード バランサ プールを編集してから保存を実行すると、ロード バランサ プールのポートが削除される

    ロード バランサ プールを編集して設定を保存すると、すべてのメンバーのポート番号が削除されます。

一般的な既知の問題
  • vSphere Web Client で、Flex コンポーネントを開いて HTML の画面に重ねると、画面が表示されなくなる

    メニューやダイアログなどの Flex コンポーネントを開き、HTML 画面に重ねると、画面が一時的に非表示になります。
    (参照:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)

    回避策:なし。 

  • 問題 2367906:ロード バランサで HTTP サービス モニターに no-body 拡張機能が設定されていると、NSX Edge の CPU 使用率が 100% になる

    ロード バランサで nagios プラグインを使用しているときに、HTTP サービス モニターに no-body 拡張機能を設定すると、この問題が発生します。ロード バランサがバックエンド サーバとのすべての接続を失うため、ユーザーの要求は処理されません。

    回避策:詳細については、ナレッジベースの記事 KB71168 を参照してください。

  • 問題 2551523:NSX-v 6.3.x から NSX-v 6.4.6 にアップグレードした後、ルールにすべてゼロの IP アドレス(0.0.0.0/0)が含まれていると、新しいルールの発行に失敗することがある

    NSX-v 6.3.x から NSX-v 6.4.6 にアップグレードした後、ルールにすべてゼロの IP アドレス(0.0.0.0/0)が含まれていると、新しいルールの発行に失敗することがあります。

    回避策:送信元または宛先の「0.0.0.0/0」を「any」に変更します。

  • 問題 2536058:NSX Manager で get flowstats API を使用すると、API の応答時間が長くなる

    ファイアウォールの設定と IPset のクエリを実行すると、これらの API の応答時間が長くなります。

  • 問題 2513773:セッションの途中でセキュリティ グループが削除されると、IDFW ルールが VDI に適用されない

    IDFW ルールのセキュリティ グループが削除されると、VDI セッションがランダムに切断されます。

    回避策:別の同期を手動でトリガします。

  • 問題 2509224:HA の NSX Edge でフロー テーブルが大きすぎると接続が切断される

    スタンバイ NSX Edge からアクティブ NSX Edge への接続追跡テーブルの同期が過剰に行われると、新しい接続が切断されます。

    回避策:なし。

  • 問題 2502739:NSX Manager で FW と IPset API を使用すると、API の応答時間が長くなる

    ファイアウォールの設定と IPset のクエリを実行すると、これらの API の応答時間が長くなります。

    回避策:なし。

  • 問題 2498988:グループ化オブジェクトのクエリを実行すると、応答時間が長くなる

    グループ化オブジェクトのクエリを実行すると、これらの API の応答時間が長くなります。

  • 問題 2458746:サポートされていない LIF 構成のため、複数のホストで PSOD が発生する

    複数の分散論理ルーター間で LIF が重複しないように、ホストの検証が実装されています。

    回避策:2 つの異なる分散論理ルーターに仮想ワイヤーが存在しないように、いずれかの分散論理ルーターを削除します。

  • 問題 2452833:ブリッジで使用されている VXLAN が 2 つの異なる分散論理ルーターの LIF として使用されていると、分散論理ルーター制御仮想マシンを処理する ESXi ホストで PSOD が発生することがある

    ブリッジと LIF に同じ仮想ワイヤーが使用されていると、分散論理ルーター制御仮想マシンを処理する ESXi で PSOD が発生することがあります。

    回避策:現在のジョブが成功するまで待ち、保留中のジョブがないことを確認してから、別の Edge に移動して設定を行ってください。

  • 問題 2451586:NSX を 6.4.6 にアップグレードした後に LB アプリケーション ルールが機能しない

    HTTP(s) バックエンド サーバが NSX Edge の一部として NSX ロード バランサの背後に配置されている場合、クライアントはロード バランサを介してバックエンド サーバと通信を行います。ロード バランサはヘッダーを小文字で送信しますが、サーバはキャメル ケースで送信します。

  • 問題 2448449:NSX for vSphere 6.4.6 にアップグレードすると、req_ssl_sni が設定されたアプリケーション ルールで解析エラーが発生することがある

    NSX for vSphere 6.4.6 にアップグレードするときにロード バランサに SNI 関連のルールが設定されているか、このバージョンで新しい SNI 関連のルールを作成または設定すると、アップグレードが失敗したり、関連ルールを作成できないことがあります。

    回避策:VMware ナレッジベースの記事 KB75281 を参照してください。

  • 問題 2444275:仮想インフラストラクチャの遅延機能が有効になっていると、ホストで PSOD が発生する

    環境内にホストあたり 975 個を超える BFD トンネルが存在しているときに、VRNI で仮想インフラストラクチャ遅延機能を有効にすると、ESXi ホストで PSOD が発生します。スケーリング環境で遅延が有効になっていると、ESXi ホストで PSOD が発生します。

    回避策:スケーリング環境で遅延/ヒートマップ機能を無効にします。

  • 問題 2493095:UI とデータベースで、DFW にカンマ区切りの IP アドレス リストを使用できない

    以前のバージョンの NSX-v から NSX-v 6.4.6 にアップグレードすると、DFW でカンマ区切りの IP アドレスを使用できなくなります。

  • 問題 2459936:ネットワーク(0.0.0.0/1 と 128.0.0.0/1)のスタティック ルートを使用して、ネットワークを 2 つに分割できない

    ネットワーク 0.0.0.0/0 のスタティック ルートのみが許可されます。

    回避策:なし。

  • 問題 2448235:NSX-v 6.4.6 にアップグレードした後、[プロトコル]、[送信元ポート]、[宛先ポート] でファイアウォール ルールをフィルタリングできないことがある

    [プロトコル]、[送信元ポート]、[宛先ポート] フィルタでファイアウォール ルールをフィルタリングすることはできません。

  • 問題 2445183:NSX Manager の SSL 証明書を置き換えた後、NSX Manager が vSphere Web Client に表示されない

    NSX Manager の SSL 証明書を置き換えた後、NSX Manager が vSphere Web Client に表示されません。

    回避策:VMware ナレッジベースの記事 KB76129 を参照してください。

ソリューションの相互運用性に関する既知の問題
    check-circle-line exclamation-circle-line close-line
    Scroll to top icon