VMware NSX Data Center for vSphere 6.4.7 | 2020 年 7 月 9 日 | ビルド 16509800

このドキュメントの改訂履歴を参照してください。

リリース ノートの概要

本リリース ノートには、次のトピックが含まれています。

NSX Data Center for vSphere 6.4.7 の新機能

NSX for vSphere 6.4.7 に関する重要な情報

VMware は、VMware NSX for vSphere 6.4.7 に、同バージョンの新規のお客様とそれ以前のバージョンからアップグレードしたお客様の両方に影響する問題があることを確認しました。そのため、VMware は NSX 6.4.7 の提供を中止することを決定致しました。現在使用可能な NSX for vSphere バージョンは6.4.6 です。VMware は、NSX for vSphere 6.4.7 に代わるバージョンをリリースする予定です。

詳細については、VMware のナレッジベースの記事 80238 を参照してください。 

NSX Data Center for vSphere 6.4.7 では、操作性と保守容易性が向上しており、ユーザーから報告された複数のバグが修正されています。詳細については、解決した問題を参照してください。

NSX Data Center for vSphere 6.4.7 の変更点:

  • vSphere 7.0 のサポート
  • マルチキャストの機能強化:次のサポートが追加されました。
    • 1 つの GRE トンネルでの PIM。他のアップリンクでの PIM を同時に行うことはできません。
    • ユニキャスト接続で使用されるスタティック ルート。
    • アクティブ/スタンバイ モード。
    • マルチキャストの Edge ファイアウォール。
    • マルチキャストの分散ファイアウォール。
  • VMware NSX: vSphere Client (HTML) 向けの機能をアップデートサポートされる機能の一覧については、vSphere Client での VMware NSX for vSphere ユーザー インターフェイス プラグインの機能を参照してください。

バージョン、システム要件、インストール

注:

  • 次の表は、推奨される VMware ソフトウェアのバージョンです。ここで推奨されるバージョンは一般的なものであり、環境に固有の推奨に優先するものではありません。これは、本ドキュメントが公開された時点で最新の情報です。

  • NSX とその他の VMware 製品を併用する場合にサポートされる最小バージョンについては、VMware 製品の相互運用性マトリクスを参照してください。VMware はテスト結果に基づいて、サポートされる最小バージョンを定めています。

製品またはコンポーネント バージョン
NSX Data Center for vSphere

新たに導入する場合には、最新の NSX リリースをインストールすることをおすすめします。

既存の環境をアップグレードする場合は、アップグレードのプランニングを行う前に、NSX Data Center for vSphere のリリース ノートを参照して、特定の問題に関する情報を確認してください。あるいは、VMware テクニカル サポートの担当者に詳細をお問い合わせください。

vSphere

vSphere 6.5
推奨:6.5 Update 3
:vSphere 6.5 Update 1 では、メモリ不足により ESX Agent Manager が機能しないという問題が解決しています。詳細については、VMware のナレッジベースの記事 KB2135378 を参照してください。
重要:

  • vSphere 6.5 でマルチキャスト ルーティングを使用している場合は、vSphere 6.5 Update 2 以降を推奨します。
  • vSphere 6.5 で NSX ゲスト イントロスペクションを使用している場合は、vSphere 6.5 P03 以降を推奨します。

vSphere 6.7:
推奨:6.7 Update 2
重要: 

  • vSphere 6.7 で NSX ゲスト イントロスペクションを使用している場合は、NSX 6.4.6 をインストールする前にナレッジベースの記事 KB57248 を参照してください。詳細については、VMware サポートにお問い合わせください。

注:vSphere 5.5 は、NSX 6.4 でサポートされていません。

:vSphere 6.0 は、ジェネラル サポートが終了しているため、NSX 6.4.7 以降ではサポートされません。
ゲスト イントロスペクション (Windows)

NSX for vSphere をアップグレードする前に、VMware Tools を 10.3.10 にアップグレードすることをおすすめします。
ゲスト イントロスペクション (Linux)

ゲスト仮想マシンでサポートされているバージョンの Linux がインストールされていることを確認してください。サポートされる Linux バージョンの最新のリストについては、『VMware NSX 管理ガイド』を参照してください。

システム要件とインストール

NSX のインストールの前提条件については、『NSX インストール ガイド』の「NSX のシステム要件」のセクションを参照してください。

インストール手順については、『NSX インストール ガイド』または『Cross-vCenter NSX インストール ガイド』を参照してください。

廃止および提供を中止する機能

販売およびサポートの終了に関するご注意

ただちにアップグレードが必要な NSX およびその他の VMware 製品については、VMware Lifecycle Product Matrix(英語)を参照してください。

  • NSX for vSphere 6.1.x は、2017 年 1 月 15 日に提供終了日 (EOA) およびジェネラル サポートの終了日 (EOGS) を迎えました。(VMware ナレッジベースの記事 KB2144769 を参照してください)

  • vCNS Edge のサポートを終了:NSX 6.3.x 以降にアップグレードする前に、NSX Edge にアップグレードする必要があります。

  • NSX for vSphere 6.2.x は、2018 年 8 月 20 日にジェネラル サポートが終了 (EOGS) しました。

  • セキュリティに関する推奨に基づいて、NSX Edge IPsec VPN サービスの暗号化アルゴリズム 3DES のサポートを終了
    IPsec サービスで提供されるセキュアな暗号に切り替えることが推奨されています。この暗号化アルゴリズムの切り替えは、IKE SA (phase1) だけでなく、IPsec サイトの IPsec SA (phase2) ネゴシエーションにも適用されます。
     
    NSX Edge IPsec サービスで 3DES 暗号化アルゴリズムを使用している場合、サポートが終了しているリリースにアップグレードすると、推奨される別の暗号に置き換わります。このため、NSX Edge で使用する暗号化アルゴリズムに合わせてリモート ピアの設定を変更しない限り、3DES を使用する IPsec サイトに接続できなくなります。
     
    3DES 暗号を使用している場合は、IPsec サイトの設定で暗号化アルゴリズムを 3DES からサポート対象の AES (AES/AES256/AES-GCM) に変更します。たとえば、暗号化アルゴリズムが 3DES に設定されている 各 IPsec サイトで、3DES を AES に変更します。これに合わせて、ピアのエンドポイントで IPsec 設定を更新します。

全般的な動作変更

vSphere Distributed Switch が複数ある環境で、その 1 つに VXLAN が設定されている場合、vSphere Distributed Switch のポート グループにすべての分散論理ルーター インターフェイスを接続する必要があります。NSX 6.4.1 以降、ユーザー インターフェイスと API でこの構成の適用が実装されます。以前のリリースでは、正しくない設定が可能となっていました。  NSX 6.4.1 以降にアップグレードした後に、分散論理ルーター インターフェイスに誤って接続した場合は、この問題を解決するための操作を行う必要があります。詳細については、アップグレードに関する注意事項を参照してください。

ユーザー インターフェイスの削除と変更

  • NSX 6.4.1 では、Service Composer キャンバスが削除されました。
  • NSX 6.4.7 の vSphere Client 7.0 では、次の機能が終了しています。
    • NSX Edge:SSL VPN-Plus(KB79929 を参照)
    • ツール: エンドポイントの監視(すべての機能)
    • ツール: フロー モニタリング(フロー モニタリング ダッシュボード、サービス別の詳細、構成)
    • システム イベント:NSX チケット ロガー

インストールの動作変更

バージョン 6.4.2 以降で、ixgbe ドライバを使用する物理 NIC を搭載したホストに NSX Data Center for vSphere をインストールした場合、デフォルトでは Receive Side Scaling (RSS) が ixgbe ドライバで有効になりません。NSX Data Center をインストールする前に、ホスト上の RSS を手動で有効にする必要があります。RSS は、ixgbe ドライバを使用する NIC を搭載したホストでのみ有効にしてください。RSS を有効にする手順については、VMware ナレッジベースの記事 https://kb.vmware.com/s/article/2034676 を参照してください。この記事には、VXLAN パケット スループットを向上させる RSS の推奨設定が記載されています。

これは、ESXi ホストにカーネル モジュール (VIB ファイル) をフレッシュ インストールする場合のみ発生します。NSX の管理対象ホストを NSX 6.4.2 にアップグレードする場合、修正は必要はありません。

API の削除と動作の変更

NSX 6.4.2 で非推奨となった項目

次の項目の使用が非推奨となりました。今後のリリースで削除される可能性があります。

  • GET/POST/DELETE /api/2.0/vdn/controller/{controllerId}/syslog。代わりに GET/PUT /api/2.0/vdn/controller/cluster/syslog  を使用してください。

NSX 6.4.1 での動作変更

POST /api/2.0/services/ipam/pools/scope/globalroot-0 で新しい IP アドレス プールを作成するか、PUT /api/2.0/services/ipam/pools/ で既存の IP アドレス プールを変更するときに、プール内に複数の IP アドレス範囲が定義されていると、範囲が重複していないことが確認されます。以前のリリースでは、確認は実行されていませんでした。

NSX 6.4.0 で非推奨となった項目
次の項目の使用が非推奨となりました。今後のリリースで削除される可能性があります。

  • GET /api/4.0/edges/edgeID/statussystemStatus パラメータの使用は推奨されません。
  • GET /api/2.0/services/policy/serviceprovider/firewall/ の使用は推奨されません。GET /api/2.0/services/policy/serviceprovider/firewall/info を使用してください。
  • 分散ファイアウォールのグローバル構成セクションでの TCP Strict の設定は非推奨となりました。NSX 6.4.0 以降では、TCP Strict はセクション レベルで定義されます。:NSX 6.4.0 以降にアップグレードした場合、TCP Strict のグローバル構成は、既存のレイヤー 3 セクションの TCP Strict の設定に使用されます。レイヤー 2 セクションとレイヤー 3 リダイレクト セクションの設定では、TCP Strict は false になります。詳細については、『NSX API ガイド』の「分散ファイアウォール構成の操作」を参照してください。

NSX 6.4.0 での動作変更
NSX 6.4.0 では、POST /api/2.0/vdn/controller でコントローラを作成するときに、<name> パラメータの使用が必須となりました。

NSX 6.4.0 では、エラー処理が次のように変更されます。

  • 以前のリリースでは、POST /api/2.0/vdn/controller は、コントローラの作成ジョブが作成されたことを示す「201 Created」を返しました。 しかし、コントローラの作成に失敗している可能性がありました。NSX 6.4.0 以降では、応答が「202 Accepted」になります。
  • 以前のリリースでは、移行モードまたはスタンドアローン モードで許可されていない API 要求を送信した場合、応答ステータスは「400 Bad Request」でした。 NSX 6.4.0 以降では、応答が「403 Forbidden」となります。

CLI の削除と動作の変更

NSX Controller ノードで、サポートされていないコマンドを使用しないでください。
NSX Controller ノードで NTP と DNS を設定する場合に、ドキュメントに記載されていないコマンドが使用できてしまう場合があります。ただし、これらのコマンドはサポートされていないため、NSX Controller ノードでは使用しないでください。『NSX CLI ガイド』に記載されているコマンドのみを使用してください。

アップグレードに関する注意事項

注:インストールとアップグレードに影響する既知の問題については、「インストールとアップグレードに関する既知の問題」を参照してください。

アップグレードに関する注意事項

  • NSX をアップグレードするには、ホスト クラスタのアップグレード(ホストの VIB のアップグレード)を含む、完全な NSX アップグレードを実行する必要があります。手順については、『NSX アップグレード ガイド』の「ホスト クラスタのアップグレード」セクションを参照してください。

  • VUM を使用したホスト クラスタの NSX VIB のアップグレードはサポートされていせん。ホスト クラスタの NSX VIB をアップグレードするには、アップグレード コーディネータ、ホストの準備、または関連する REST API を使用してください。

  • システム要件:NSX のインストールとアップグレードのシステム要件については、NSX ドキュメントの「NSX のシステム要件」セクションを参照してください。

  • NSX のアップグレード パス:VMware NSX のアップグレードの詳細については、VMware 製品の相互運用性マトリクスを参照してください。

  • Cross-vCenter NSX のアップグレードについては、NSX アップグレード ガイドを参照してください。

  • ダウングレードはサポートされない:

    • アップグレードの前に、必ず NSX Manager をバックアップしてください。

    • NSX を正常にアップグレードしたあとは、ダウングレードすることはできません。

  • NSX 6.4.x へのアップデートが成功したことを確認するには、ナレッジベースの記事 KB2134525 を参照してください。

  • vCloud Networking and Security から NSX 6.4.x へのアップグレードはサポートされません。まず、サポート対象の 6.2.x リリースにアップグレードする必要があります。

  • 相互運用性:アップグレードを行う前に、関連する VMware 製品をVMware 製品の相互運用性マトリックスで確認してください。
    • NSX Data Center for vSphere 6.4.7 へのアップグレード:スケールに関する問題がいくつかあるため、VIO は NSX 6.4.7 と互換性がありません。
    • NSX Data Center for vSphere 6.4 へのアップグレード:NSX 6.4 には、vSphere 5.5 との互換性がありません。
    • NSX Data Center for vSphere 6.4.5 へのアップグレード:NSX が VMware Integrated OpenStack (VIO) で展開されている場合は、VIO を 4.1.2.2 または 5.1.0.1 にアップグレードしてください。バージョン 5.0 への spring パッケージ アップデートのため、NSX 6.4.5 は以前のリリースと互換性がありません。
    • vSphere 6.5 へのアップグレード:vSphere 6.5a 以降または 6.5 バージョンにアップグレードする場合は、最初に NSX 6.3.0 以降にアップグレードする必要があります。NSX 6.2.x には、vSphere 6.5 との互換性がありません。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」を参照してください。
    • vSphere 6.7 へのアップグレード:vSphere 6.7 にアップグレードする場合は、最初に NSX 6.4.1 以降にアップグレードする必要があります。これより前の NSX バージョンは、vSphere 6.7 と互換性がありません。『NSX アップグレード ガイド』の「NSX 環境での vSphere のアップグレード」を参照してください。 
  • パートナー サービスとの互換性:ゲスト イントロスペクションまたはネットワーク イントロスペクション用に VMware のパートナー サービスをサイトで使用している場合、アップグレード前にVMware 互換性ガイドを参照して、アップグレードする NSX のバージョンとベンダーのサービスに互換性があることを確認してください。
  • Networking and Security プラグイン:NSX Manager をアップグレードした後は、vSphere Web Client からログアウトし、再度ログインする必要があります。NSX プラグインが正しく表示されない場合には、ブラウザのキャッシュと履歴を消去してください。Networking and Security プラグインが vSphere Web Client に表示されない場合には、NSX アップグレード ガイドの説明に従って、vSphere Web Client サーバをリセットしてください。
  • ステートレス環境:ステートレス ホスト環境では、NSX アップグレード プロセスで、新しい VIB がホスト イメージ プロファイルに事前追加されます。ステートレス ホストで NSX のアップグレードを行う場合は、次の手順を実行してください。

    NSX 6.2.0 より前のバージョンでは、NSX Manager 上に 1 つの URL があり、そこから特定バージョンの ESX ホストの VIB を見つけることができました。つまり、管理者は NSX バージョンに関係なく、1 つの URL を知っておくだけで済みました。NSX 6.2.0 以降では、新しい NSX VIB を異なる URL で利用できます。正しい VIB を見つけるには、以下の手順を実行する必要があります。

    1. 新しい VIB URL を https://<nsxmanager>/bin/vdn/nwfabric.properties から見つけます。
    2. 必要な ESX ホスト バージョンの VIB を、対応する URL から取得します。
    3. 取得した VIB をホスト イメージ プロファイルに追加します。
  • サービス定義機能は、vSphere Client 7.0 の NSX 6.4.7 UI でサポートされていません。
    たとえば、vSphere 6.5 または 6.7 で古い Trend Micro サービス定義が登録されている場合は、次のいずれかを行います。
    • オプション 1:vSphere 7.0 にアップグレードする前に、vSphere Web Client の [サービス定義] タブに移動し、サービス定義を 7.0 に設定してから vSphere 7.0 にアップグレードします。
    • オプション 2:vSphere 7.0 にアップグレードした後、次の NSX API を実行して、サービス定義を 7.0 にします。

                      POST https://<nsmanager>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec

NSX コンポーネントのアップグレードに関する注意事項

NSX コンポーネントでの仮想マシン ハードウェア バージョン 11 のサポート

  • NSX Data Center for vSphere 6.4.2 の新規インストールの場合、NSX コンポーネント(Manager、Controller、Edge、ゲスト イントロスペクション)は仮想マシン ハードウェア バージョン 11 にインストールされます。
  • NSX Data Center for vSphere 6.4.2 へアップグレードする場合、NSX Edge と ゲスト イントロスペクションは自動的に仮想マシン ハードウェア バージョン 11 にアップグレードされます。NSX Manager と NSX Controller は、アップグレード後も引き続き仮想マシン ハードウェア バージョン 8 で実行されます。仮想マシン ハードウェア バージョン 11 にアップグレードすることも可能です。仮想マシン ハードウェアのバージョンをアップグレードする手順については、ナレッジベース (https://kb.vmware.com/s/article/1010675) を参照してください。
  • NSX 6.3.x、6.4.0、6.4.1 の新規インストールの場合、NSX コンポーネント(Manager、Controller、Edge、ゲスト イントロスペクション)は仮想マシン ハードウェア バージョン 8 にインストールされます。

NSX Manager のアップグレード

  • 重要:NSX 6.2.0、6.2.1 または 6.2.2 から NSX 6.3.5 以降にアップグレードする場合は、アップグレードを開始する前に、既知の問題への回避策を実行しておく必要があります。詳細については、VMware のナレッジベースの記事 KB000051624 を参照してください。

  • NSX 6.3.3 から NSX 6.3.4 以降にアップデートする場合は、VMware のナレッジベースの記事 KB2151719の回避策を行ってからアップデートしてください。

  • NSX のバックアップに SFTP を使用する場合は、hmac-sha1 はサポートされていないため、NSX 6.3.0 以降にアップグレードした後で hmac-sha2-256 に変更してください。サポートされるセキュリティ アルゴリズムについては、VMware のナレッジベースの記事 KB2149282 を参照してください。

  • NSX Manager を NSX 6.4.1 にアップグレードすると、アップグレード中にバックアップが自動的に作成され、ローカルに保存されます。詳細については、NSX Manager のアップグレードを参照してください。

  • NSX 6.4.0 へのアップグレードでは、TLS の設定が維持されます。TLS 1.0 のみを有効にする場合、vSphere Web Client に NSX プラグインが表示されますが、NSX Manager は表示されません。データパスに影響はありませんが、NSX Manager の設定を変更することはできません。https://nsx-mgr-ip/ で NSX アプライアンスの管理 Web ユーザー インターフェイスにログインし、TLS 1.1 と TLS 1.2 を有効にします。これにより、NSX Manager アプライアンスが再起動します。

コントローラのアップグレード

  • NSX Controller クラスタには、3 台のコントローラ ノードが必要です。コントローラが 3 台未満の場合は、アップグレードを開始する前にコントローラを追加する必要があります。詳細については、NSX Controller クラスタのデプロイを参照してください。

  • NSX 6.3.3 では、NSX Controller の基盤となるオペレーティング システムが変わりました。NSX 6.3.2 以前から NSX 6.3.3 以降にアップデートする場合、インプレース アップグレードは実行されません。既存のコントローラが 1 度に 1 つずつ削除され、同じ IP アドレスを使用して新しい Photon OS ベースのコントローラが展開されます。

    コントローラを削除すると、関連する DRS の非アフィニティ ルールも削除されます。vCenter Server で新しい非アフィニティ ルールを作成して、新しいコントローラ仮想マシンが同じホストに配置されないようにする必要があります。

    コントローラのアップグレードの詳細については、NSX Controller クラスタのアップグレードを参照してください。

ホスト クラスタのアップグレード

  • NSX 6.3.2 以前のバージョンから NSX 6.3.3 以降にアップグレードすると NSX VIB 名が変更されます。
    ESXi 6.0 以降に NSX 6.3.3 以降をインストールすると、esx-vxlan と esx-vsip VIB が esx-nsxv に変更されます。

  • アップグレードおよびアンインストールでホストの再起動が不要:vSphere 6.0 以降で、NSX 6.2.x から NSX 6.3.x 以降にアップグレードする場合、以降の NSX VIB の変更でホストの再起動が不要になります。代わりに、VIB 変更を完了するには、ホストをメンテナンス モードにする必要があります。これは、NSX ホスト クラスタのアップグレードと ESXi のアップグレードの両方に影響します。詳細については、『NSX アップグレード ガイド』を参照してください。

NSX Edge のアップグレード

  • NSX 6.4.1 で、無効な分散論理ルーターの設定を許可しない検証機能を追加:VXLAN と複数の vSphere Distributed Switch を持つ環境では、分散論理ルーターのインターフェイスを VXLAN が設定された vSphere Distributed Switch にのみ接続する必要があります。VXLAN が設定されていない vSphere Distributed Switch に分散論理ルーターのインターフェイスが接続していると、分散論理ルーターを NSX 6.4.1 以降にアップグレードできません。正しく設定されていないインターフェイスを VXLAN が設定されている vSphere Distributed Switch のポート グループに接続するには、API を使用します。有効な設定に変更してから、アップグレードを再試行します。インターフェイスの設定を変更するには、PUT /api/4.0/edges/{edgeId} または PUT /api/4.0/edges/{edgeId}/interfaces/{index} を使用します。詳細については、『NSX API ガイド』を参照してください。

  • ユニバーサル分散論理ルーター (UDLR) を 6.2.7 から 6.4.5 にアップグレードする前に、セカンダリ NSX Manager に関連付けられた UDLR 制御仮想マシンを vCenter Server から削除してください。
    マルチ vCenter Server 環境で NSX UDLR を 6.2.7 から 6.4.5 にアップグレードするときに、UDLR 制御仮想マシンで HA が有効になっていると、セカンダリ NSX Manager で UDLR 仮想アプライアンス(UDLR 制御仮想マシン)のアップグレードに失敗します。アップグレード中に、HA ペアで HA インデックス #0 の仮想マシンが NSX データベースから削除されますが、この仮想マシンは vCenter Server に存在し続けます。このため、セカンダリ NSX Manager で UDLR 制御仮想マシンをアップグレードすると、仮想マシンの名前が vCenter Server 上の既存の仮想マシンと競合するため、アップグレードに失敗します。この問題を解決するには、セカンダリ NSX Manager の UDLR に関連付けられている vCenter Server から制御仮想マシンを削除し、UDLR を 6.2.7 から 6.4.5 にアップグレードします。

  • NSX Edge アプライアンスをアップグレードする前に NSX 用ホスト クラスタを準備する必要がある:NSX 6.3.0 以降では、NSX Manager と Edge 間で、VIX チャネルを経由した管理プレーン通信はサポートされません。メッセージ バス チャネル経由のみがサポートされます。NSX 6.2.x 以前から NSX 6.3.0 以降にアップグレードする場合、NSX Edge アプライアンスのデプロイ先のホスト クラスタが準備されていることと、メッセージング インフラストラクチャのステータスが正常であることを確認する必要があります。NSX 用ホスト クラスタが準備されていない場合、NSX Edge アプライアンスのアップグレードに失敗します。詳細については、『NSX アップグレード ガイド』の NSX Edge のアップグレードを参照してください。

  • Edge Services Gateway (ESG) のアップグレード:
    NSX 6.2.5 以降、リソース予約は NSX Edge のアップグレード時に実行されるようになりました。十分なリソースのないクラスタで vSphere HA が有効になっている場合、vSphere HA の制約に違反するためアップグレードに失敗することがあります。

    そのようなアップグレードの失敗を回避するには、ESG をアップグレードする前に次の手順を実行します。

    インストール時またはアップグレード時に値を明示的に設定していない場合は、次のリソース予約が NSX Manager で使用されます。

    NSX Edge
    フォーム ファクタ    		 CPU 予約 メモリの予約
    Compact 1000 MHz 512 MB
    Large 2000 MHz 1024 MB
    Quad Large 4000 MHz 2048 MB
    X-Large 6000 MHz 8192 MB

    1. インストール環境が vSphere HA 向けのベスト プラクティスに従っていることを常に確認します。ナレッジベースの記事 KB1002080 を参照してください。

    2. NSX チューニング設定 API を使用します。
      PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
      edgeVCpuReservationPercentageedgeMemoryReservationPercentage の値が、フォーム ファクタで使用可能なリソースを超えていないことを確認します(デフォルト値は上の表を参照)。

  • vSphere HA が有効で Edge を展開している環境では、vSphere の [仮想マシンの起動] オプションを無効にする:vSphere HA が有効で Edge が展開されているクラスタでは、NSX Edge の 6.2.4 以前のバージョンを 6.2.5 以降にアップグレードした後、vSphere の [仮想マシンの起動] オプションを無効にする必要があります。それには、vSphere Web Client を開き、NSX Edge 仮想マシンが常駐する ESXi ホストを見つけ、[管理] > [設定] の順にクリックし、[仮想マシン] で [仮想マシンの起動/シャットダウン] を選択して、[編集] をクリックします。次に、仮想マシンが手動モードにあることを確認します。[自動起動/シャットダウン] リストに追加されていないことを確認してください。

  • NSX 6.2.5 以降にアップグレードする前に、ロード バランサの暗号化リストがコロン区切りであることを確認します。暗号化リストにコンマなど別の区切り文字が使用されている場合は、https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles への PUT 呼び出しを実行し、<clientssl> </clientssl> および <serverssl> </serverssl> の各 <ciphers> </ciphers> リストをコロン区切りのリストに置換します。たとえば、要求本文の関連セグメントは次のようになります。すべてのアプリケーション プロファイルに対して次の手順を繰り返します。

    <applicationProfile>
  <name>https-profile</name>
  <insertXForwardedFor>false</insertXForwardedFor>
  <sslPassthrough>false</sslPassthrough>
  <template>HTTPS</template>
  <serverSslEnabled>true</serverSslEnabled>
  <clientSsl>
    <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
    <clientAuth>ignore</clientAuth>
    <serviceCertificate>certificate-4</serviceCertificate>
  </clientSsl>
  <serverSsl>
    <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers>
    <serviceCertificate>certificate-4</serviceCertificate>
  </serverSsl>
  ...
</applicationProfile>
  • vRealize Operations Manager (vROPs) 6.2.0 より前のバージョンでロード バランシングされたクライアントに正しい暗号バージョンを設定する:vROPs 6.2.0 より前のバージョンの vROPs プール メンバーは TLS バージョン 1.0 を使用しています。このため、NSX のロード バランサの設定で監視の拡張機能を編集し、"ssl-version=10" と明示的に指定する必要があります。手順については、『NSX 管理ガイド』の「サービス モニターの作成」を参照してください。
    {
                              "expected" : null,
                              "extension" : "ssl-version=10",
                              "send" : null,
                              "maxRetries" : 2,
              "name" : "sm_vrops",
              "url" : "/suite-api/api/deployment/node/status",
              "timeout" : 5,
              "type" : "https",
              "receive" : null,
              "interval" : 60,
              "method" : "GET"
}

  • NSX 6.4.6 にアップデートした後、分散論理ルーター上の L2 ブリッジとインターフェイスが、異なるトランスポート ゾーンに属する論理スイッチに接続できなくなる:  NSX 6.4.5 以前では、分散論理ルーター (DLR) 上の L2 ブリッジ インスタンスとインターフェイスは、異なるトランスポート ゾーンに属する論理スイッチの使用をサポートしていました。NSX 6.4.6 以降では、この構成はサポートされません。分散論理ルーター上の L2 ブリッジ インスタンスとインターフェイスは、同じトランスポート ゾーンに属する論理スイッチに接続する必要があります。複数のトランスポート ゾーンの論理スイッチが使用されている場合、NSX を 6.4.6 にアップデートすると、アップデート前の検証チェックで Edge のアップグレードがブロックされます。この Edge アップグレードの問題を解決するには、分散論理ルーターのブリッジ インスタンスとインターフェイスを単一のトランスポート ゾーンの論理スイッチに接続してください。

  • NSX 6.4.7 にアップグレードした後、DLR 上のブリッジとインターフェイスが、異なる VDS に属する dvPortGroup に接続できなくなる:このような設定が存在する場合、NSX Manager 6.4.7 へのアップグレードは、アップグレード前の検証チェックでブロックされます。この問題を解決するには、DLR のインターフェイスと L2 ブリッジを単一の VDS に接続します。

  • NSX 6.4.7 にアップグレードした後、接続している論理スイッチのトランスポート ゾーンが複数の VDS にまたがる場合、VLAN でバッキングされたポートグループに DLR を接続できない:これは、ホスト間で DLR インスタンスを論理スイッチ dvPortGroup に正しく関連付けるために行われます。このような設定が存在する場合、NSX Manager 6.4.7 へのアップグレードは、アップグレード前の検証チェックでブロックされます。論理インターフェイスが存在する論理スイッチのトランスポート ゾーンが複数の VDS にまたがっている場合、この問題を解決するには、VLAN でバッキングされたポート グループに論理インターフェイスを接続しないようにします。 

  • NSX 6.4.7 にアップグレードした後、複数の DLR のインターフェイスと L2 ブリッジを同じネットワーク上に配置することはできません。このような設定が存在する場合、NSX Manager 6.4.7 へのアップグレードは、アップグレード前の検証チェックでブロックされます。この問題を解決するには、ネットワークが 1 つの DLR のみで使用されるようにします。

FIPS のアップグレードに関する注意事項

NSX 6.3.0 より前のバージョンから NSX 6.3.0 以降のバージョンにアップグレードする場合は、アップグレードが完了するまで FIPS モードを有効にしないでください。アップグレードが完了する前に FIPS モードを有効にすると、アップグレード済みのコンポーネントとアップグレードされていないコンポーネント間の通信が中断されます。詳細については、『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードの理解」を参照してください。

  • OS X Yosemite および OS X El Capitan でサポートされる暗号:OS X 10.11 (EL Capitan) で SSL VPN クライアントを使用している場合は、AES128-GCM-SHA256ECDHE-RSA-AES128-GCM-SHA256ECDHE-RSA-AES256-GCM-SHA38AES256-SHA、および AES128-SHA 暗号を使用して接続することができ、OS X 10.10 (Yosemite) を使用している場合は AES256-SHA および AES128-SHA 暗号のみを使用して接続することができます。

  • NSX 6.3.x へのアップグレードが完了するまでは FIPS を有効にしないでください。詳細については、『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードの理解」を参照してください。

  • FIPS モードを有効にする前に、パートナーのソリューションが FIPS モードの認定を受けていることを確認してください。『VMware 互換性ガイド』と、関連するパートナーのドキュメントを参照してください。

FIPS コンプライアンス

NSX 6.4 を正しく設定すると、すべてのセキュリティ関連の暗号化に、FIPS 140-2 認証を受けている暗号モジュールが使用されます。

注:

  • コントローラと VPN のクラスタリング:NSX Controller は、IPsec VPN を使用してコントローラ クラスタに接続します。IPsec VPN では、VMware Linux カーネル暗号モジュール(VMware Photon OS 1.0 環境)を使用しています。このモジュールは現在 CMVP 認証を申請中です。
  • Edge IPsec VPN:NSX Edge IPsec VPN では、VMware Linux カーネル暗号モジュール(VMware NSX OS 4.4 環境)を使用しています。このモジュールは現在 CMVP 認証を申請中です。

ドキュメントの改訂履歴

2020 年 7 月 9 日:初版。
2020 年 8 月 4 日:第 2 版。既知の問題 2614777 を追加しました。
2020 年 8 月 17 日:第 3 版。解決した問題 2306230 について記載しました。

解決した問題

  • 解決した問題 2445396:ロード バランサ プールを編集してから保存を実行すると、ロード バランサ プールのポートが削除される

    ロード バランサ プールを編集して設定を保存すると、すべてのメンバーのポート番号が削除されます。

  • 解決した問題 2448235:NSX-v 6.4.6 にアップグレードした後、[プロトコル]、[送信元ポート]、[宛先ポート] でファイアウォール ルールをフィルタリングできないことがある

    [プロトコル]、[送信元ポート]、[宛先ポート] フィルタでファイアウォール ルールをフィルタリングすることはできません。

  • 解決した問題 2306230:ハートビートの遅延が原因で、ホストのメッセージング インフラストラクチャが停止する

    ホストのパスワードがリセットされます。切断時に、ホストでユーザーを設定できない場合があります。

  • 解決した問題 1859572:vCenter Server バージョン 6.0.0 で管理している ESXi ホストから NSX バージョン 6.3.x の NSX VIB をアンインストールすると、ホストがメンテナンス モードのままになる

    クラスタで NSX 6.3.x の NSX VIB をアンインストールする場合、vSphere ESX Agent Manager (EAM) サービスがホストをメンテナンス モードに切り替え、VIB をアンインストールし、ホストのメンテナンス モードを解除します。ただし、ホストを vCenter Server 6.0.0 で管理している場合、VIB のアンインストール後にホストがメンテナンス モードのままになります。VIB をアンインストールする EAM サービスは、ホストをメンテナンス モードに切り替えることはできますが、メンテナンス モードの解除に失敗します。

  • 解決した問題 2006028:アップグレード中に vCenter Server システムが再起動すると、ホストのアップグレードに失敗する場合がある

    ホストのアップグレード中に関連する vCenter Server システムが再起動すると、ホストのアップグレードに失敗し、ホストがメンテナンス モードになる場合があります。[解決] をクリックしても、ホストがメンテナンス モードから切り替わりません。クラスタのステータスは「準備ができていません」になります。

  • 解決した問題 2233029:ESX が 10K ルートをサポートしていない

    ESX で 10K ルートをサポートする必要はありません。設計上、ESX の上限は 2K ルートに設定されています。

  • 解決した問題 2391153:vmknic dvportgroup に対する vCenter Server の処理が完了した後に、NSX Manager が、vdn_vmknic_portgroup と vdn_cluster テーブルを更新しない

    PUT https://nsx_manager_ip/api/2.0/nwfabric/configure API 要求を実行して、vmknic 分散仮想ポートグループに対する vCenter Server の処理が完了した後に、NSX Manager が vdn_vmknic_portgroup と vdn_cluster テーブルを更新しません。vCenter Server UI には古い VLAN ID が表示されます。 

  • 解決した問題 2367906:ロード バランサで HTTP サービス モニターに no-body 拡張機能が設定されていると、NSX Edge の CPU 使用率が 100% になる

    ロード バランサで nagios プラグインを使用しているときに、HTTP サービス モニターに no-body 拡張機能を設定すると、この問題が発生します。ロード バランサがバックエンド サーバとのすべての接続を失うため、ユーザーの要求は処理されません。

  • 解決した問題 2449643:NSX を 6.4.1 から 6.4.6 にアップデートした後、vSphere Web Client に「使用可能な NSX Manager はありません」というエラーが表示される

    vSphere Web Client で、[ファイアウォール] 画面と [論理スイッチ] 画面に次のエラー メッセージが表示されます。
    「使用可能な NSX Manager はありません。現在のユーザーが NSX Manager に割り当てられたロールを所有していることを確認してください。」

    [ファイアウォール] 画面と [論理スイッチ] 画面は UI で使用できないため、ファイアウォール ルールの設定や論理スイッチの作成ができない可能性があります。また、NSX API の応答時間が長くなります。

    /usr/nsx-webserver/logs/localhost_access_log ファイルに、次のようなエントリが記録されます。
    127.0.0.1 - - [27/Oct/2019:08:38:22 +0100] "GET /api/4.0/firewall/globalroot-0/config HTTP/1.1" 200 1514314 91262
    127.0.0.1 - - [27/Oct/2019:08:43:21 +0100] "GET /api/4.0/firewall/globalroot-0/config HTTP/1.1" 200 1514314 90832

    127.0.0.1 - - [27/Oct/2019:11:07:39 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 264142
    127.0.0.1 - - [27/Oct/2019:11:07:40 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 265023
    127.0.0.1 - - [27/Oct/2019:11:07:40 +0100] "POST /remote/api/VdnInventoryFacade HTTP/1.1" 200 62817 265265

  • 解決した問題 2551523:NSX 6.3.6 から NSX 6.4.6 にアップグレードした後、ルールにすべてゼロの IP アドレス(0.0.0.0/0)が含まれていると、新しいルールの発行に失敗することがある

    送信元または宛先に IP アドレス 0.0.0.0/0 が設定されたファイアウォール ルールを発行すると、エラーが発生します。

  • 解決した問題 2536058:NSX Manager で get flowstats API を使用すると、API の応答時間が長くなる

    ファイアウォールの設定と IPset のクエリを実行すると、これらの API の応答時間が長くなります。

  • 解決した問題 2513773:セッションの途中でセキュリティ グループが削除されると、IDFW ルールが VDI に適用されない

    IDFW ルールのセキュリティ グループが削除されると、VDI セッションがランダムに切断されます。

  • 解決した問題 2509224:HA の NSX Edge でフロー テーブルが大きすぎると接続が切断される

    スタンバイ NSX Edge からアクティブ NSX Edge への接続追跡テーブルの同期が過剰に行われると、新しい接続が切断されます。

  • 解決した問題 2502739:NSX Manager で FW と IPset API を使用すると、API の応答時間が長くなる

    ファイアウォールの設定と IPset のクエリを実行すると、これらの API の応答時間が長くなります。

  • 解決した問題 2498988:グループ化オブジェクトのクエリを実行すると、応答時間が長くなる

    グループ化オブジェクトのクエリを実行すると、これらの API の応答時間が長くなります。

  • 解決した問題 2458746:サポートされていない LIF 構成のため、複数のホストで PSOD が発生する

    複数の分散論理ルーター間で LIF が重複しないように、ホストの検証が実装されています。

  • 解決した問題 2452833:ブリッジで使用されている VXLAN が 2 つの異なる DLR の LIF として使用されていると、DLR 制御仮想マシンを処理する ESXi ホストで PSOD が発生することがある

    ブリッジと LIF に同じ仮想ワイヤーが使用されていると、分散論理ルーター制御仮想マシンを処理する ESXi で PSOD が発生することがあります。

  • 解決した問題 2451586:NSX を 6.4.6 にアップグレードした後に LB アプリケーション ルールが機能しない

    HTTP(s) バックエンド サーバが NSX Edge の一部として NSX ロード バランサの背後に配置されている場合、クライアントはロード バランサを介してバックエンド サーバと通信を行います。ロード バランサはヘッダーを小文字で送信しますが、サーバはキャメル ケースで送信します。

  • 解決した問題 2448449:NSX for vSphere 6.4.6 にアップグレードすると、req_ssl_sni が設定されたアプリケーション ルールで解析エラーが発生することがある

    NSX for vSphere 6.4.6 にアップグレードするときにロード バランサに SNI 関連のルールが設定されているか、このバージョンで新しい SNI 関連のルールを作成または設定すると、アップグレードが失敗したり、関連ルールを作成できないことがあります。

  • 解決した問題 2444275:仮想インフラストラクチャの遅延機能が有効になっていると、ホストで PSOD が発生する

    環境内にホストあたり 975 個を超える BFD トンネルが存在しているときに、VRNI で仮想インフラストラクチャ遅延機能を有効にすると、ESXi ホストで PSOD が発生します。スケーリング環境で遅延が有効になっていると、ESXi ホストで PSOD が発生します。

  • 解決した問題 2493095:UI とデータベースで、DFW にカンマ区切りの IP アドレス リストを使用できない

    以前のバージョンの NSX-v から NSX-v 6.4.6 にアップグレードすると、DFW でカンマ区切りの IP アドレスを使用できなくなります。以前のリリースでは、カンマ区切りの IP アドレスを含むファイアウォールの設定を更新できませんでした。

  • 解決した問題 2459936:ネットワーク(0.0.0.0/1 と 128.0.0.0/1)のスタティック ルートを使用して、ネットワークを 2 つに分割できない

    NSX 6.4.0 から 6.4.6 では、0.0.0.0/0 ネットワークのみを含むスタティック ルートが許可されました。NSX 6.4.7 以降では、0.0.0.0/x ネットワークを含むスタティック ルートを追加できます(x は 0 から 32 までの値になります)。

  • 解決した問題 2430886:NSX Manager データベースで、無効になっているクラスタのホストのステータスが正しく表示されない

    クラスタでファイアウォールが有効になっていても、[ホストの準備] 画面でファイアウォールのステータスがエラーと表示されます。

  • 解決した問題 2383382:NSX Manager CLI のデフォルト コマンドのリストで、delete コマンドに誤ったヘルプ情報が表示される

    delete コマンドのヘルプ情報が「Show running system information」と表示されます。

  • 解決した問題:2407662:ESXi ホストと vCenter Server を同時に再起動すると、ゲスト イントロスペクション サービスが機能しなくなる

    ESXi ホストを再起動した後、または vCenter Server が実行されていないときに GI 仮想マシンを手動でパワーオンした後、ゲスト イントロスペクション サービスのステータスが緑色で表示されません。

    次のエラー メッセージが /usr/local/usvmmgmt/logs/eventmanager.log に記録されます。

    ERROR taskScheduler-4 PasswordChangeHelper:139 - Cmd does not exit normally, exit value = 1
  • 解決した問題 2410743:DLR の論理インターフェイスを複数の vSphere Distributed Switch の dvPorGgroup に接続すると、一部の論理インターフェイスでトラフィックが中断する

    一部の論理インターフェイスでトラフィックが正しく処理されません。論理インターフェイスが間違った vSphere Distributed Switch に接続していることがホストに表示されます。

  • 解決した問題 2413213:ハウスキーピング タスクがスケジューリングされず、ai_useripmap テーブルのサイズが増加する

    ai_useripmap テーブルがクリーンアップされません。

  • 解決した問題 2430753:IP アドレス プールを作成するときに、ゲートウェイ IP アドレスに余分なスペースが含まれていると、ESXi ホストが VTEP にゲートウェイ IP アドレスを作成しない

    IP アドレス プール構成にゲートウェイがないため、VTEP から VTEP への接続が切断されます。

  • 解決した問題 2438649:ホストの一部の分散論理ルーターですべての論理インターフェイスが失われる

    DLR の論理インターフェイスがないため、仮想マシンと DLR の接続が切断されます。

  • 解決した問題 2439627:NSX Manager のアップグレード後に、ESXi ホストに muxconfig.xml ファイルが提供されない

    ゲスト イントロスペクション サービスが使用できません。GI サービス ステータスで、すべてのホストに対して次の警告メッセージが表示されます。

    ゲスト イントロスペクションの準備ができていません。
  • 解決した問題 2440903:NSX Edge の NSX 統合 CLI を使用すると、パッシブ Edge のデータが表示される

    NSX Edge の NSX 統合 CLI の出力に、間違った Edge 仮想マシンからの出力が表示される可能性があります。

  • 解決された問題 2445183/2454653:NSX Manager アプライアンスの SSL 証明書を置き換えた後、vSphere インベントリに使用可能な NSX Manager が表示されない

    vSphere Client に次のようなエラー メッセージが表示されます。

    使用可能な NSX Manager はありません。現在のユーザーが NSX Manager に割り当てられたロールを所有していることを確認してください。
  • 解決した問題 2446265:vSphere Web Client が、除外された仮想マシンのリストを取得するときに、API 呼び出しで vCenter Server GUID を NULL として送信する

    vSphere Web Client で [追加] ボタンをクリックして、除外リストに新しいメンバー(仮想マシン)を追加すると、UI に完全なデータが読み込まれる前に、次のエラー メッセージが表示されます。 

    vCenter Server との通信に失敗しました。

    [除外されたメンバーを追加] ダイアログ ボックスが正しく表示されません。

  • 解決した問題 2447697:構成とロールバックの失敗で NSX Edge が不良な状態になる

    構成エラーが発生した後も Edge が管理可能な状態になります。

  • 解決した問題 2453083:vnvp_vdr_instance テーブルのエントリが古くなると、DLR 構成の更新に失敗し、ホスト上に論理インターフェイスがなくなる

    トラフィック フローが中断します。DLR の再展開、同期、またはアップグレードを試みると、エラーが発生します。

  • 解決した問題 2460987:サービス仮想マシンが、優先順位タグの付いたフレームを取得する

    dot1p ビットが設定されたアップリンクで VXLAN がフレームをカプセル化すると、サービス仮想マシンは優先順位タグの付いたフレームを受信します。パケットがサービス仮想マシンのポートでドロップされます。

  • 解決した問題 2461125:NSX システム ダッシュボード画面で、UDLR に誤った BGP ネイバー数が表示される

    この問題は、edge_service_config テーブルのルーティング機能に複数のエントリが存在していると発生します。

  • 解決した問題 2465697:NSX Manager が 6.4.x で、NSX Controller が 6.3.x の場合、コントローラの展開に失敗する

    NSX Manager を 6.3.x から 6.4.x にアップグレードした後、NSX Controller を 6.4.x にアップグレードする前に、NSX Controller 6.3.x を展開すると、Syslog サーバが 6.3.x でサポートされていないため、展開が失敗します。

  • 解決した問題 2465720:edge-A の Edge 仮想アプライアンスを誤って更新すると、edge-B の仮想アプライアンスも更新される

    edge-A と edge-B の両方が再展開状態になります。不要な変更や意図しない変更を他の Edge アプライアンスに行うと、ネットワークの遅延、ビジネス サービスへの影響など、複数の問題が発生する可能性があります。

  • 解決した問題 2467360:NSX インベントリに仮想マシンが存在しないため、ゲスト イントロスペクション サービスが警告状態のままになる

    エンドポイントの健全性ステータスの監視中に仮想マシンが見つからないため、ゲスト イントロスペクション サービスが警告状態のままになります。MUX によって送信された健全性ステータス XML に、NSX インベントリに存在しない仮想マシンが含まれています。

  • 解決した問題 2468786:Active Directory の同期が行われる前の破損が原因でデータベースの整合性が失われ(ai_group の primary_id が null になり)、以降の Active Directory の同期がすべて実行されず、NSX にアップデートが表示されない

    Active Directory の同期が繰り返し失敗し、以降の Active Directory の変更が NSX に表示されません。既存のファイアウォール ルールは、既存のユーザーとグループに対して機能しますが、Active Directory の変更は NSX に認識されません。ユーザーは、新しく作成された Active Directory グループや Active Directory に対する他の変更(ユーザーの新規作成、ユーザーの削除、Active Directory グループへのユーザーの追加や削除など)を確認できません。

  • 解決した問題 2470918:show ip bgp * に関連する CLI コマンドを実行するとコアダンプが生成される

    ルーティング デーモンが再起動するまで、ルートが削除されます。このため、ルートを再度追加するまでサービスが停止します。

  • 解決した問題 2475392:同じ論理スイッチが、ブリッジと論理インターフェイスとして 2 つの異なる DLR で使用されているときに、ブリッジの DLR の制御仮想マシンが存在するホストで PSOD が発生することがある

    このような構成では、最初の DLR で保留中のジョブが完了する前に 2 番目の DLR で構成が完了する場合があります。PSOD(パープル スクリーン)が表示される前に、次のエラー メッセージが vsm.log ファイルに記録されます。

    2 つの Edge 分散論理ルーター edge-A および edge-B を同じネットワーク virtualwire-x に接続できません。
  • 解決した問題 2478262:show host <host-id> health-status コマンドを実行すると、コントローラの通信が良好な状態でも、重大ステータスが表示される

    このコマンドで表示される健全性ステータスは誤検知です。機能に影響はありません。

  • 解決した問題 2479599:vserrdd プロセスによって CPU 使用率が飽和状態になる

    CPU が飽和状態になっているため、他のプロセスに影響を与える可能性があります。

  • 解決した問題 2480450:ESXi ホストでヒープ メモリが不足したときのエラー パスのバグ。

    不適切なときに ESXi でヒープ メモリが不足し、PSOD が発生する可能性があります。

  • 解決した問題 2488759:Storage vMotion で使用される NSX Manager データベースのデータストア パスが間違っている

    MUX が繰り返しクラッシュし、ゲスト OS が頻繁に停止します。

  • 解決した問題 2491042:Postgres プロセスが原因で NSX Manager の CPU 使用率が高くなる

    top コマンドで確認すると、Postgres プロセスが CPU リソースのほとんどを使用しています。

  • 解決した問題 2491749:TCP 状態マシンの追跡コードで、再転送された SYN パケットが正常に処理されない場合がある

    シーケンス番号によっては、SYN パケットの再転送でパケット ロスが発生することがあります。

  • 解決した問題 2491914:ネットワーク拡張性 (NetX) を使用しているときに vMotion を実行すると、TCP で確立されたセッションで状態のタイムアウトが考慮されない

    NetX を使用して状態を vMotion した後、TCP セッションが継続していても、アイドル タイマーが起動し、12 時間後に終了します。TCP セッションが予期せず終了し、フローが中断します。

  • 解決した問題 2499225:分散論理ルーターの DHCP リレーがブロードキャストを正しく送信しない

    クライアント マシンからブロードキャスト ビットが設定された DHCP 検出または要求メッセージが送信された場合、DLR の DHCP リレーは応答パケットをブロードキャストとして送信しません。このため、一部のクライアント マシンで応答パケットが受信されない場合があります。

  • 解決した問題 2503002:DFW 公開操作がタイムアウトしても、ルールは公開されたままになる

    この問題は、非常に多くの DFW ルールが存在する大規模環境で発生します。UI で DFW 画面の読み込みに時間がかかります。localhost_access_log.txt ファイルには、ファイアウォールの公開 API の処理が 2 分以上かかっていることが記録されます。DFW ルールの設定は、API によって発行されます。ただし、UI にはタイムアウト メッセージが表示されます。

  • 解決した問題 2506402:仮想マシンの Edge UI と CLI で同時接続の数が一致しない

    NSX 6.4.0 から HA の切り替え機能が強化され、アクティブ Edge ノードからスタンバイ Edge ノードへのフローが同期されるようになりました。これにより、Edge インターフェイスの統計情報に 2 倍のデータが表示されます。

  • 解決した問題 2510798:展開後に NSX Edge の説明フィールドを編集できない

    Edge の展開後、UI でも API でも [説明] フィールドを編集することができません。

  • 解決した問題 2524239:Syslog サーバで BFD の状態変更ログを出力できない

    BFD の状態変更ログが不完全なメッセージとして出力されるため、Syslog サーバがそのメッセージを受信できません。

  • 解決した問題 2531966:ファイアウォール ルールの公開操作が vCenter Server でタイムアウトする

    ファイアウォールの設定でルール数が 7,000 を超えているときに、ファイアウォール ルール セクションを追加または削除すると、vCenter Server と NSX Manager の通信がタイムアウトします。

  • 解決した問題 2541643:消去タスクで、スケジュール タイプが FIXED_DATE のジョブが処理されない

    ディスク容量が少ないか、メモリ使用量が多いため、システムが遅くなることがあります。ジョブ関連テーブルに、多くのレコードが含まれています。

  • 解決した問題 2544344:管理者以外で管理者権限が割り当てられているユーザーで GRE トンネルを作成できない

    管理者以外で完全なエンタープライズ管理者権限が割り当てられたユーザーは、GRE トンネルを作成できません。ただし、管理者は GRE トンネルを作成できます。

  • 解決した問題 2554069:NSX 6.4.6 で NSX Edge のロード バランサがクラッシュする

    HAProxy サービスが頻繁に再起動し、セグメンテーション エラーが発生します。

  • 解決した問題 2556706:NSX Controller の一部の構成でローカル FQDN を指定できない

    NSX Controller の Syslog API で、ローカル アドレスを FQDN として指定すると、構成に失敗します。

  • 解決した問題 2560152:NSX 準備済みのクラスタでホストのログ バンドルをエクスポートすると、ESXi ホストで PSOD が発生する

    この問題は、論理スイッチに 100 個を超える VTEP がある場合に発生します。Vmkernel zdump が /var/core に生成されます。

  • 問題 2560422: UI で、仮想マシンの [除外リスト] 画面に正しいデータが表示されない

    除外リストを取得するときに、UI は複数の API 呼び出しを行います。UI の [除外リスト] 画面で、データの読み込みが遅くなります。この画面に、除外リストの一部がグリッドで表示される場合があります。

  • 解決した問題 2561009:非常に多くのユーザーが同じユーザー認証情報でログインしようとすると、SSL VPN サーバ デーモンがクラッシュする

    SSL VPN デーモンがクラッシュし、再起動します。

  • 解決した問題 2566512:NSX Edge ファイアウォールで、IGMP メンバーシップのクエリ、レポート、離脱で構成されたファイアウォール ルールを使用できない

    NSX Edge アプライアンスで、IGMP Leave サービスと IGMP Membership サービスはサポートされていません。

  • 解決した問題 2567085:ルール ヒット数の処理で VSFWD プロセスがクラッシュすることがある

    バックトレースがルール ヒットの処理を参照している場合、ホストに VSFWD コア ファイルが生成されます。クラッシュ後、VSFWD ウォッチドッグはプロセスを自動的に再起動します。

  • 解決された問題 2444941/2574374:大規模な NSX 環境で遅延が有効になっている場合、ESXi ホストで PSOD が発生する

    BFD が有効になっている場合、ネットワーク遅延の測定が有効になります。BFD セッションの数が 975 を超えると、PSOD が発生する可能性があります。

  • 解決した問題 2586872:ユーザーが SSL VPN クライアントからパスワードの変更を試みると、SSL VPN サーバ デーモンがクラッシュし、セッションが見つからない

    SSL VPN デーモンがクラッシュし、再起動します。既存の SSL VPN セッションがすべて終了し、再起動が必要になります。すべての SSL VPN クライアントをセッションから切断し、SSL VPN サーバに再度ログインする必要があります。

  • 解決した問題 2358130:グローバル アドレス セットを有効にして vMotion エクスポートを実行すると、テーブルがターゲット ホストに移行されない

    vMotion が正常に完了することもありますが、管理プレーンから構成が公開されるまで、ターゲット ホストにテーブルが存在しません。

    ソース ホストの vmkernel.log ファイルに、次のメッセージが記録されます。

    tbl の作成に失敗しました:-1
  • 解決した問題 2382346:UI を使用して WIN2K8 イベント ログ サーバを追加すると、イベント ログ サーバが誤って WIN2K3 として検出される

    Identify Firewall (IDFW) の機能が停止します。

  • 解決した問題 2397810:NSX Manager UI のロケールを米国英語 (en_US) に設定し、ブラウザのロケールをフランス語に設定すると、Syslog の一部のフィールドが間違ってフランス語で記録される

    Syslog サーバで、ファイアウォール ルールに行われた変更が英語ではなく、フランス語で記録されます。

  • 解決した問題 2417536:システム内の仮想マシンごとに複数の vNIC がある場合、メンバーとしてリソース プールを持つセキュリティ グループの IP 変換で大量のメモリと CPU が使用される

    CPU 使用率が高くなり、NSX Manager が頻繁に再起動されます。

  • 解決した問題 2449644:NSX Manager のジョブ キューが過負荷状態になる

    ハイパーバイザーで管理プレーンのアクションが認識されません。

  • 解決した問題 2459817:NSX インベントリの同期に繰り返し失敗する

    vCenter Server で、異なる仮想マシンに対して類似したインスタンス UUID が検出される異なる vNIC に同じ vNIC ID が生成されます。この問題は、vsm.log ファイルで確認できます。

    たとえば、次の情報メッセージが vsm.log ファイルに記録されます。

    INFO ViInventoryThread VimVnic:159 - - [nsxv@6876 comp="nsx-manager" level="INFO" subcomp="manager"] Existing portgroupId : null , New portgroupId : dvportgroup-40  << indicate network change INFO ViInventoryThread VimVnic:217 - - [nsxv@6876 comp="nsx-manager" level="INFO" subcomp="manager"] network id : dvportgroup-40 , vnic id : 501c0ab1-e03c-b3ee-b662-9fd4649005d4.000 <= vnic id derived from instance uuid 501c0ab1-e03c-b3ee-b662-9fd4649005d4.
  • 解決した問題 2462523:仮想マシンのトラフィックで遅延が大きい

    NSX 構成のチャーンが多いと、仮想マシンで遅延が発生します。非常に多くの構成がハイパーバイザーに送信されると、ローカル制御プレーンがデータ パスを構成しようとします。これにより、トラフィックが一時的にブロックされ、遅延が発生します。構成のチャーンは、グループ内で仮想マシンが使用されているデータセンターで、仮想マシンのパワーオンとパワーオフを繰り返し行うと発生する場合があります。

    この問題を回避するには、グローバル アドレス セットを有効にし、ハイパーバイザー上のフィルタごとに 1 つのインスタンスではなく、1 つのインスタンスに構成を限定します。または、フィルタの数を 25 ~ 40 にします。

  • 解決した問題 2535292:管理プレーンの検証で、/64 を超える IPv6 CIDR が拒否される

    ルール定義の送信元または宛先に、/64 より大きいプリフィックスの IPv6 CIDR が含まれていると、ファイアウォール ルールが失敗します。

  • 解決した問題 2214872:vSphere Update Manager と ESX Agent Manager を統合すると、EAM が http URL で VUM ImportFile API を呼び出し、VUM がその URL からバンドルをダウンロードする

    VUM FileUploadManagerImpl::ImportFile() API は、URL でのみ機能するように設計されています。URL には拡張子または「.」が含まれています。この条件を満たしていないと、GetUrlFileNameExtension() メソッドが例外をスローします。NSX-V の [ホストの準備] タブで、クラスタに対応する vSphere EAM エージェンシーが「失敗」と表示されます。

既知の問題

既知の問題には次の項目が含まれます。

インストールとアップグレードに関する既知の問題

アップグレードの前に、このドキュメントの前半の「アップグレードに関する注意事項」を参照してください。

  • 問題 1263858:SSL VPN がアップグレード通知をリモート クライアントに送信しない

    SSL VPN ゲートウェイはアップグレード通知をユーザーに送信しません。管理者は、SSL VPN ゲートウェイ(サーバ)が更新されたことと、リモート ユーザーが自分のクライアントを更新しなければならないことを、リモート ユーザーに手動で通知する必要があります。

    回避策:ユーザーは旧バージョンのクライアントをアンインストールして、最新バージョンを手動でインストールする必要があります。

  • 問題 2429861:NSX 6.4.6 へのアップグレード後、vRNI ユーザー インターフェイスにエンドツーエンドの遅延が表示されない

    vRNI 4.2 と vRNI 5.0 の vRNI 相互運用で、エンドツーエンドの遅延が表示されません。

    回避策:vRNI を 5.0.0-P2 にアップデートします。

  • 問題 2417029: NSX Manager データベースでドメイン オブジェクトのパスが正しくない
    • NSX Edge のアップグレードまたは再デプロイが失敗し、次のエラー メッセージが表示されます。
    Edge edge-XX をアップグレードするには、ネットワーク ファブリックのクラスタ/リソース プール resgroup-XXX を準備する必要があります。
    • [コントローラの追加] ダイアログ ボックスの [フォルダ] ドロップダウン リストに、一部の仮想マシン フォルダしか表示されません。
    • 1 つ以上のクラスタの状態が「準備ができていません」と表示されます。

    回避策:この問題の回避策については、VMware のサポートに問い合わせください。

  • 問題 2238989: ESXi ホストの vSphere Distributed Switch のアップグレード後、VDS の Software RSS 機能が有効にならない

    VDS のアップグレード後に、Software Receive Side Scaling (SoftRSS) が有効になっているホストで com.vmware.net.vdr.softrss VDS プロパティがリストアされません。このため、SoftRSS が無効になります。/var/run/log/vmkernel.log ファイルに、softrss プロパティの設定に関連するエラーが記録されます。

    回避策:

    VDS をアップグレードする前に、softrss プロパティを削除し、VDS のアップグレード後に再設定します。

  • 問題 2107188: VDS スイッチの名前に ASCII 以外の文字が含まれていると、ESXi ホストで NSX VIB のアップグレードに失敗する

    /var/run/log/esxupdate.log ファイルに、アップグレードのステータスが記録されます。

    回避策:

    ASCII 文字を使用するように VDS 名を変更してから、再度アップグレードします。

  • 問題 2590902: NSX 6.4.7 にアップグレードした後、IPv6 ネットワーク上のワークロード仮想マシンに固定 IPv6 アドレスが割り当てられると、仮想マシンから Edge の IPv6 ゲートウェイ インターフェイスに ping を送信できなくなる

    この問題は、vSphere Distributed Switch を 6.x から 7.0 にアップグレードした後に発生します。

    回避策 1:

    すべてのホストが接続されている VDS を選択し、編集設定に移動して、マルチキャスト オプションで「基本」に切り替えます。

    回避策 2:

    次のルールを Edge ファイアウォールに追加します。

    • Ping の許可ルール。
    • マルチキャスト リスナー検出 (MLD) の許可ルール:icmp6、type 130 (v1)、type 143 (v2)。
一般的な既知の問題
  • vSphere Web Client で、Flex コンポーネントを開いて HTML の画面に重ねると、画面が表示されなくなる

    メニューやダイアログなどの Flex コンポーネントを開き、HTML 画面に重ねると、画面が一時的に非表示になります。
    (参照:http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues

    回避策:なし。 

  • 問題 2543977: 分散ファイアウォールの IPFIX コレクタが、UDP ポート 137 または 138 からのフローを検出できない

    DFW で IPFIX が有効になっている場合、ポート 137 または 138 の NetBIOS フローがホストから送信されません。

    回避策:

    vSphere Client または NSX REST API を使用して、除外されたポート 137 または 138 をフロー除外から削除します。

  • 問題 2302171/2590010:サンプリング レートが 100% の vSphere Distributed Switch で IPFIX を有効にすると、スループットが低下する

    データ パスのパフォーマンスが低下します。データ パスのスループットが、ネットワーク チャネルの帯域幅制限の半分まで減少します。

    回避策:サンプリング レートを 10% 未満に設定します。

  • 問題 2574333: NAT に 8,000 個のルールが設定されている場合、Edge vNIC の構成に 2 分以上かかる

    vSphere Client に、NSX Manager が使用不能と表示されます。2 分後に UI がタイムアウトします。2 ~ 3 分後に vNIC 構成が正常に完了します。

    回避策:なし。

  • 問題 2443830: ixgben NIC ドライバを使用している場合、VXLAN ネットワーク上でデータ パスのパフォーマンスが低下する

    VXLAN ネットワークのスループットが低下します。

    回避策:

    • ESXi ホストで次のコマンドを実行します。
    esxcli system module parameters set -p "RSS=1,1" -m ixgben
    • ホストを再起動します。 
  • 問題 2547022: 子 Active Directory グループに新しい Active Directory ユーザーを追加したときに、そのユーザーが親 Active Directory グループのセキュリティ グループに追加されない

    親 Active Directory グループのセキュリティ グループに、ユーザーが存在しません。

    回避策:

    子 Active Directory グループのセキュリティ グループを追加します。

  • 問題 2614777:サービス ポート/サービス ポートの範囲が重複する2つのサービスでルールが構成されている場合、DFW ルールの発行に失敗する

    DFW ルールの発行に失敗します。

    回避策:詳細については、VMware のナレッジベースの記事 KB52980 を参照してください。

論理ネットワークと NSX Edge に関する既知の問題
  • 問題 1993241: 固定ルーティングを使用した IPsec トンネルの冗長設定がサポートされない

    プライマリ トンネルが停止すると、IPsec トラフィックの配信に失敗し、トラフィックが中断します。この問題は、NSX 6.4.2 以降で発生します。

    回避策:サービスを無効にして、再度有効にします。

  • 問題 2430805/2576416:VDS に接続しているすべての NSX 準備済みのホストに DLR インスタンスが送信される

    VLAN 代表インスタンスに関連する問題が発生します。VLAN 代表インスタンスが無効なホストに接続すると、VLAN トラフィックが中断します。

    回避策:

    • NSX 準備済みのホストで、同じ VDS を使用して VXLAN を構成します。
    • ホストを再起動し、新しい構成を取得します。  
  • 問題 2576294: DLR の論理インターフェイスが複数の VDS に接続し、ホストが 2 つの VXLAN VDS の一部になっている場合、論理インターフェイスがホスト上の誤った VDS に接続される

    正しく構成されていない状態で DLR が強制的に同期または再展開されると、すべての DLR の論理インターフェイスが誤った VDS に接続されます。また、新しい DLR の論理インターフェイスは、ホスト上の誤った VDS に接続されます。データ パスのトラフィックが中断します。

    回避策:

    • クラスタの VXLAN 準備で使用されていない 2 つ目の VDS を削除します。
    • ホスト構成の現在の状態に応じて、再展開または強制同期のいずれかを選択するか、ルート サービスを同期してホストの構成を修正します。 
  • 問題 2582197: NSX Edge インターフェイスに /32 サブネット マスクが設定されている場合、接続されたルートがルーティング テーブルまたはフォワーディング テーブルに表示されない

    インターフェイスへのトラフィックは正常に処理される可能性もありますが、すべてのピアにアクセスするには、スタティック ルートが必要になります。ユーザーは、サブネット マスク /32 のインターフェイスを使用できません。他のサブネット マスクが使用されている場合は問題ありません。

    回避策:/32 サブネット マスクを除く他のサブネット マスクを使用します。

  • 問題 2594802: Service Composer で、[優先順位の管理] ダイアログ ボックスを使用して、200 個目より後にセキュリティ ポリシーを移動できない

    この問題は NSX 6.4.3 以降で発生します。これは、200 以上のセキュリティ ポリシーがある場合にのみ発生します。[優先順位の管理] ダイアログには、最初の 200 個のポリシーのみが表示されます。このため、200 個目より後にセキュリティ ポリシーを移動することはできません。

    回避策:

    セキュリティ ポリシーの重みを特定して、そのランクにセキュリティ ポリシーを移動します。たとえば、ランク 300 の重みが 1000、ランク 301 の重みが 1200 とします。セキュリティ ポリシーを 301 に移動する場合は、重みに 1100(つまり、1100 ~ 1200 の値)を指定します。

    次の操作を行います。

    1. [セキュリティ ポリシーの編集] ダイアログ ボックスを開きます。
    2. セキュリティ ポリシーの重みを 1100 に変更し、301 に移動できるようにします。
    3. 終了 をクリックします。 
    4. ポリシーが 301 に移動したことを確認します。 
  • 問題 2395158: エンタープライズ管理者ロールが Active Directory グループに割り当てられていると、ファイアウォール セクションがグレーアウトされる

    エンタープライズ管理者ロールが Active Directory グループに割り当てられています(割り当ては、[ユーザーとドメイン] > [ユーザー] > [ユーザーの識別] > [vCenter Server グループを指定する] で行います)。Active Directory グループに属するユーザーがログインし、ファイアウォール セクションをロックしている場合、ページを更新した後に、これらのユーザーがロックしているセクションはグレーアウトされます。

    回避策:

    [ユーザーとドメイン] > [ユーザー] > [ユーザーの識別] > [vCenter Server ユーザーを指定する] の順に移動して、エンタープライズ管理者ロールを Active Directory グループではなく、ユーザーに直接割り当てます。

  • 問題 2444677: IPSec VPN トンネルを介して L2 VPN 経由で大量のファイルを転送すると、NSX Edge でカーネル パニック エラーが発生する

    このエラーは、MTU が 1,500 バイトに設定されている場合に発生します。

    回避策:

    MTU を 1,600 バイトに設定します。

  • 問題 2574260: ゲスト VLAN の使用(仮想ゲストのタグ付けまたは 802.1q VLAN のタグ付け)を有効にするために既存の論理スイッチの構成を更新すると、予期した結果にならない

    この更新に合わせて、論理スイッチに関連付けられている VDS ポート グループは更新されません。

    回避策:なし。

  • 問題 2562965: DFW ルールの設定を保存すると、[保存] ボタンが数分間回転を続け、最終的に UI にエラーが表示される

    vSphere Client に次のようなエラー メッセージが表示されます。

    使用可能な NSX Manager はありません。現在のユーザーが NSX Manager に割り当てられたロールを所有していることを確認してください。

    この問題は、DFW ルールの設定を保存している場合にのみ発生します。DFW ルールの発行に影響はありません。

    回避策:なし。

  • 問題 2595144: NSX 6.4.6 で、アクティブ インターフェイスの数が 6 以上の場合、Quad Large Edge のメモリ使用率が 90% を超える

    この問題は NSX 6.4.6 以降で発生します。Quad Large Edge で Rx リング バッファ サイズが 4096 に変更されたことが原因です。

    • インターフェイス数が 6 以上になると、NSX Edge はメモリ使用率が高いことを通知します。
    • NSX Edge 仮想マシンで top -H コマンドを実行すると、通常のユーザー領域の使用率が表示されます。
    • slabtop -o コマンドの出力には、 skbuff_head_cache のオブジェクト数が 10 万を超えていることが示されます。 

    回避策:この問題の回避策については、VMware のサポートに問い合わせください。

相互運用性の問題
  • 問題 2586381: スケールに関する複数の問題があるため、VMware Integrated Openstack (VIO) は NSX 6.4.7 と互換性がありません。

    NSX 6.4.7 は、VIO との相互運用性をサポートしていません。

    回避策:なし。

check-circle-line exclamation-circle-line close-line
Scroll to top icon