VMware NSX Intelligence 1.1.0 | 2020 年 4 月 7 日 | ビルド 15918914 本リリース ノートの追加情報およびアップデート情報を定期的に確認してください。 |
VMware NSX® Intelligence™ は分散型の分析エンジンで、固有のきめ細かいワークロードと NSX に固有のネットワーク コンテキストを利用し、統合されたセキュリティ ポリシーの管理、分析、コンプライアンスを提供し、データセンター全体の可視化を実現します。NSX Manager の 1 つの管理ペインから NSX Intelligence のユーザー インターフェイスにアクセスし、次の機能を使用できます。
- 環境内のワークロードのフローがほぼリアルタイムで可視化されます。
- NSX Intelligence は、ライブ フローまたは履歴フロー、ユーザー構成、ワークロード インベントリを関連付けて分析します。
- フロー、ユーザー構成、ワークロード インベントリに関する過去の情報を表示できます。
- ファイアウォール ルール、グループ、サービスを推奨し、マイクロセグメンテーションのプランニングを自動化します。
リリース ノートの概要
このリリース ノートには、次のトピックが含まれています。
新機能
NSX Intelligence 1.1.0 には、リアルタイムでフローを可視化し、ファイアウォール ルールを計画するために、以下の新機能が導入されています。
NSX Intelligence 可視化機能
- 検索機能の強化:グループ、仮想マシン、フロー情報でより多くの検索フィルタが使用できるようになりました。NSX グローバル検索の結果に NSX Intelligence の分析情報が含まれるようになりました。この情報には「フロー」と「推奨事項」というキーワードが付いています。
- UI のパフォーマンス向上とレイアウトの改善:UI の初期ロード時間を短縮しました。また、変更に合わせてすぐに更新されるようになりました。
- パブリック/プライベート IP 範囲の設定:IP アドレスがプライベートまたはパブリック IP アドレスの場合、NSX Intelligence で使用される CIDR 表記を指定できます。この CIDR 表記のいずれにも属していない IP アドレスは、パブリック IP アドレスとして分類されます。
- フローの可視化:フロー行に L4 ポート/プロトコルが表示され、IP と仮想マシンのマッピングがわかりやすくなりました。
NSX Intelligence 推奨機能
- 推奨の入力としてのグループの使用:仮想マシンのサポートに加えて、グループに対する推奨を開始できるようになりました。有効な仮想マシン メンバーのグループに対する推奨も開始することができます。推奨の入力としてグループを使用するには NSX-T Data Center 3.0.0 が必要です。
- マイクロセグメンテーションの推奨を出力:仮想マシンのグループのサポートに加えて、IP アドレスのグループを選択できるようになりました。
- 継続的な推奨:推奨セッションのオンデマンド モニタリングまたは継続モニタリングを選択できます。グループで継続モニタリングが有効になっている場合、グループ内の仮想マシン メンバーシップの変更を検出するたびに NSX Intelligence は新しい推奨事項を生成します。
NSX Intelligence プラットフォーム
- ローカル ファイル システムからの NSX Intelligence のインストール:ローカル ファイル システムまたは Web サーバから NSX Intelligence アプライアンスをインストールすることができます。ローカル ファイル システムからインストールする場合は、NSX-T Data Center 3.0.0 が必要です。
- NSX Intelligence のアラーム:NSX Intelligence のシステム健全性(CPU、メモリ、ディスク、ノードの健全性)に対するアラームを設定し、NSX Manager コンポーネントに通知することができます。この機能を利用するには NSX-T Data Center 3.0.0 が必要です。
- NSX Intelligence のサポート バンドル:UI サポートにより、ユーザーは NSX サポート バンドルに NSX Intelligence ログに追加できます。
- NSX Intelligence のアップグレードの改善:NSX Intelligence のアップグレード前とアップグレード後のチェックが強化されました。Upgrade Coordinator で UI サポートが利用できるようになりました。
- 認証と承認:NSX Intelligence の機能で RBAC マルチロールを使用できます。また、vIDM と LDAP の両方がサポートされます。LDAP による認証を行うには、NSX-T 3.0.0 が必要です。
システム要件
- システム要件については、『VMware NSX Intelligence のインストールとアップグレード』を参照してください。
- NSX Intelligence に必要なポートとプロトコルの詳細については、https://ports.vmware.com/home/NSX-Intelligence の「VMware Ports and Protocols」を参照してください。
互換性に関する注意
- NSX Intelligence と NSX-T Data Center の相互運用性については、VMware 製品の相互運用性マトリクスを参照してください。
- NSX Intelligence は、Kubernetes ポッド、ネームスペースまたはクラスタの可視化をサポートしていません。
- NSX Intelligence は NSX フェデレーション展開をサポートしていません。NSX フェデレーションを使用する環境の場合、NSX Intelligence インスタンスが特定のサイトのローカル マネージャで展開されていれば、グローバル マネージャのグループとフローが表示されます。 ただし、他のサイトの詳細情報は反映されません。NSX Intelligence は NSX-T Data Center のグローバル マネージャと統合されていないため、さまざまなサイトで NSX Intelligence の推奨機能は機能しません。
- NSX-T Data Center 2.5. x を使用して NSX Intelligence 1.1.0 アプライアンスをインストールする場合は、NSX-T Data Center 2.5.x と一緒にリリースされた NSX Intelligence 1.0.x リリースの手順に従う必要があります。「NSX Intelligence インストーラ バンドルのダウンロードと解凍」と「NSX Intelligence アプライアンスのインストール」を参照してください。同じコマンドを使用して、VMware 製品ダウンロード ポータルからダウンロードした NSX Intelligence 1.1.0 インストーラの OVA ファイルを解凍できます。
API および CLI リソース
NSX Intelligence REST API および CLI リソースに関する情報については、code.vmware.com で NSX-T Data Center REST API または NSX-T Data Center CLI を参照してください。
使用可能な言語
NSX Intelligence は英語、ドイツ語、フランス語、日本語、簡体字中国語、韓国語、繁体字中国語、スペイン語でご利用いただけます。NSX Intelligence のローカライズではブラウザの言語設定が使用されるため、設定が目的の言語と一致することを確認してください。
ドキュメントの改訂履歴
2020 年 4 月 7 日。初版。
2020 年 4 月 09 日。既知の問題 2543655 について記載しました。
2021 年 4 月 20 日。重大な影響を及ぼすことのない既知の問題を削除しました。これらの問題には回避策がなく、まれにしか発生しません。
2021 年 4 月 28 日。既知の問題 2748505 を追加しました。
解決した問題
- 解決した問題 2346545:NSX Intelligence アプライアンスの証明書を置換すると、新しいフロー情報のレポートに影響する
NSX Intelligence アプライアンスのプリンシパル ID 証明書を自己署名証明書に置き換えると、新しいフローの処理が影響を受け、アプライアンスにそれ以降の更新情報が表示されなくなります。
- 解決した問題 2508429:NSX Intelligence 1.0.1 では、Base64 エンコードの証明書ファイルのみをサポートし、PEM エンコードの証明書に含まれる追加属性はサポートされない
NSX Intelligence 1.0.1 で、証明書ファイルの Bag 属性が受け入れられません。NSX Intelligence 1.0.1 では、Base64 エンコードのみがサポートされます。
- 解決した問題 2372657:VM-GROUP 関係と GROUP-GROUP フロー相関の一時的に正しく表示されない
データセンターで処理中のフローがあるときに NSX Intelligence アプライアンスを展開すると、VM-GROUP 関係と GROUP-GROUP フロー相関の一時的に正しく表示されないことがあります。たとえば、次のような状況が一時的に起きることがあります。
- 仮想マシンが誤って未分類グループに表示される
- 仮想マシンが誤って不明グループに表示される
- 2 つのグループ間の相関フローが誤って表示される
NSX Intelligence アプライアンスの展開後、ユーザーが選択した表示期間が経過すると、このエラーは解消されます。
- 解決した問題 2407198:NSX intelligence のセキュリティ状態で、仮想マシンが未分類の仮想マシン グループに誤って表示される
ESXi ホストが vCenter Server から切断されていると、実際には他のグループに属していても、そのホストの仮想マシンは「未分類の仮想マシン」グループに表示されることがあります。ESXi ホストが vCenter Server に再接続すると、仮想マシンは正しいグループに表示されます。
- 解決した問題 2436302:NSX-T 統合アプライアンス クラスタ証明書を置き換えた後、API またはマネージャ インターフェイスから を介して NSX Intelligence にアクセスできない
NSX-T Manager インターフェイスで [プランとトラブルシューティング] タブに移動し、[検出とアクションの実行] または [推奨] をクリックすると、インターフェイスがロードされず、最終的に次のようなエラーが返されます。「要求されたアプリケーションのロードに失敗しました。再試行してください。問題が解決しない場合は、サポートにお問い合わせください。」
- 解決した問題 2393142:vIDM 認証情報を使用して NSX Manager にログインすると、「403 unauthorized user」エラーが返されることがある
これは、ローカル ユーザーではなく、NSX Manager で vIDM ユーザーとしてログインしているユーザーにのみ影響します。NSX-T 2.5 では、NSX Intelligence アプライアンスとのやり取りで vIDM ログインと統合がサポートされていません。
- 解決した問題 2357296:特定のスケールおよび負荷条件で、一部の ESX ホストから NSX Intelligence にフローが報告されないことがある
NSX Intelligence インターフェイスに、特定のホストの仮想マシンからのフローが表示されず、それらの仮想マシンに対するファイアウォール ルールの推奨が提供されないことがあります。その結果、一部のホストでファイアウォール セキュリティが適用されない可能性があります。これは、6.7U2 および 6.5U3 より前の vSphere バージョンの環境で発生します。この問題は、コア ESX ハイパーバイザー仮想マシンでフィルタの作成と削除の順序が正しくないことが原因で発生します。
- 問題 2456118:NSX Intelligence にアクセスするとエラーが発生する
NSX-T Data Center で [プランとトラブルシューティング] ページを読み込むと、次のいずれかが発生することがあります。
- アプリケーション サーバが要求の処理に失敗する。
- NSX-T Intelligence エージェントが管理者ユーザーの試行をすべて拒否する。
- 次のエラーが発生します。「要求されたアプリケーションのロードに失敗しました。ブラウザの画面を更新してください。問題が解決しない場合は、サポートにお問い合わせください。」
- 解決した問題 2362865:デフォルト ルールでルール名によるフィルタを使用できない
この問題は、[プランとトラブルシューティング] > [検出とアクションの実行] ページで発生します。接続方法で作成されたルールにのみに影響します。この問題は、指定された接続方法に基づくデフォルト ポリシーが存在しないために発生します。デフォルト ルールが管理プレーンに作成されている場合がありますが、対応するデフォルト ポリシーがないと、デフォルト ルールでフィルタリングすることはできません。フロー表示フィルタで、ルール名を使用して、ルールに一致するフローをフィルタリングします。
- 解決した問題 2376389:中規模環境の直近 24 時間のビューで、仮想マシンが誤って「削除済み」とマークされる
コンピュート マネージャからホストが切断されると、NSX Intelligence でそのホストの前の仮想マシンが「削除済み」となり、その場所に新しい仮想マシンが表示されます。この問題は、NSX Intelligence が NSX データベースでインベントリの更新を追跡することが原因であり、これにより、インベントリでのコンピュート マネージャからホストの切断方法に影響します。NSX Intelligence が報告するライブ仮想マシンの合計数には影響しませんが、NSX Intelligence に、重複した仮想マシンが表示される場合があります。
既知の問題
- 問題 2748505:HDFS ディスクに空き容量がないため、新しい構成またはフロー データが NSX Intelligence 可視化機能または推奨分析に含まれていない
Druid サービスは、HDFS ディスクの空き容量がない状態を認識できません。Druid タスクが失敗し、データは取り込まれません。NSX Intelligence 可視化機能と推奨にも含まれません。
回避策:回避策の詳細については、VMware ナレッジベースの記事 KB83389 を参照してください。
- 問題 2389691:「要求のペイロード サイズが上限を超えています。1 回の要求で許可されるオブジェクトの最大値は 2,000 です」というエラーが発生し、推奨ジョブの発行に失敗する
2,000 個を超えるオブジェクトを含む単一の推奨ジョブを発行しようとすると、「要求のペイロード サイズが上限を超えています。1 回の要求で許可されるオブジェクトの最大値は 2,000 です」というエラーが発生し、失敗します。
回避策:推奨ジョブのオブジェクト数を 2,000 個より少なくして、発行を再試行します。
- 問題 2396630/2533563:NSX intelligence アプライアンスの展開中に、トランスポート ノードの削除操作が失敗することがある
NSX Intelligence アプライアンスの展開中にトランスポート ノードを削除しようとすると、トランスポート ノードが NSX-INTELLIGENCE-GROUP NSGroup から参照されているため、削除に失敗することがあります。トランスポート ノードを削除するには、NSX Intelligence アプライアンスを展開するときに強制削除オプションを指定する必要があります。
回避策:強制オプションを使用して、トランスポート ノードを削除します。
- 問題 2393240:仮想マシンから IP アドレスへの追加フローが表示される
仮想マシンから IP-xxxx への追加フローが表示されます。これは、フローが作成された後に、NSX Policy Manager の構成データ(グループ、仮想マシンおよびサービス)が NSX Intelligence アプライアンスに送信されるために発生します。フローの観点から見ると、以前のフローは存在しないため、この構成と関連付けることはできません。フローが関連付けられていないため、フロー検索のデフォルトでこの仮想マシンに IP-xxxx が表示されます。構成が同期されると、実際の仮想マシン フローが表示されます。
回避策:このフローが表示されないように、期間を変更します。
- 問題 2410224:NSX Intelligence アプライアンスの登録が完了した後、ビューを更新すると、「403 Forbidden」エラーが返されることがある
NSX Intelligence アプライアンスの登録が完了した後に、[表示を更新] をクリックすると、「403 Forbidden」エラーが返されることがあります。NSX Intelligence アプライアンスがインターフェイスにアクセスするまでに時間がかかる場合があります。これは一時的な状態です。
回避策:このエラーが表示された場合は、しばらく待ってから再試行してください。
- 問題 2374229:NSX Intelligence アプライアンスのディスク容量が不足する
NSX Intelligence アプライアンスには、デフォルトで 30 日間のデータ保持期間が設定されています。30 日以内にフロー データの量が想定量を超えると、アプライアンスのディスク容量が不足し、部分的または完全に動作しなくなる可能性があります。
回避策:詳細と回避策については、ナレッジベースの記事 KB76523 を参照してください。
- 問題 2385599:NSX-T Intelligence の推奨で、静的 IP のグループがサポートされない
NSX-T インベントリで認識されていない仮想マシンとワークロードにイントラネット IP アドレスが設定されている場合、これらの仮想マシンとワークロードは、静的 IP のグループとして推奨される可能性があります(これらのグループを含む推奨定義ルールを含む)。ただし、NSX Intelligence はこのようなグループをサポートしていないため、これらのグループに送信されたトラフィックが推奨グループではなく、「不明」として表示されます。
回避策:なし。ただし、推奨は正しく機能しています。これは表示の問題です。
- 問題 2366599:IPv6 アドレスが設定された仮想マシンにルールを適用できない
仮想マシンが IPv6 アドレスを使用していても、IP アドレス検出プロファイルでその VIF に IPv6 スヌーピングが有効になっていない場合、データパスでその仮想マシンのルールに IPv6 アドレスが設定されません。このため、ルールが適用されません。
回避策:IPv6 アドレスを使用する場合は常に、VIF または論理スイッチのいずれかで、IPv6 検出プロファイルが有効になっていることを確認します。
- 問題 2538573:ロードが持続し、推奨が長時間待機状態になったり、仮想マシン/グループ ビューが機能しない場合がある
NSX Intelligence アプライアンスで負荷の高い状態が持続すると、1 つ以上の推奨が長時間待機状態になったり、仮想マシン/グループ ビューが予期したとおり機能しないことがあります。
回避策:pace-server サービスを再起動します。
- NSX Intelligence アプライアンスに root ユーザーとしてログインします。
- コマンド プロンプトで、次のコマンドを入力します。
systemctl restart pace-server.service
- 問題 2521825:NSX Intelligence でフェデレーションがサポートされない
ローカル マネージャを使用して NSX Intelligence を展開した場合、グローバル マネージャからプッシュされた構成が正しく表示されないことがあります。グローバル マネージャからプッシュされた構成の推奨は正確ではありません。推奨機能はローカルで管理されているオブジェクトのみを入力として使用し、グローバル マネージャにルールを適用または公開しません。
回避策:なし。
- 問題 2531845:NSX Intelligence アプライアンスをアップグレードした直後に、グループの可視化が正しく行われない
NSX Intelligence をバージョン 1.0.x からバージョン 1.1 にアップグレードした後、グループ ビューの未分類グループに正しい数の仮想マシン メンバーが表示されません(実際より多い数が表示されます)。
回避策:NSX Intelligence をバージョン 1.0.x からバージョン 1.1 にアップグレードしてから少なくとも 1 時間が過ぎてから NSX Intelligence の機能を使用してください。
- 問題 2539217:LDAP グループに属していない LDAP ユーザーが NSX Intelligence の UI にアクセスできない
NSX-T Data Center でロールが割り当てられている場合でも、LDAP グループに属していない LDAP ユーザーが NSX Intelligence のユーザー インターフェイスにアクセスできません。
回避策:ユーザーは、LDAP グループにロールを割り当てたり、LDAP グループに属するユーザーにロールを割り当てたりできます。
- 問題 2529161:NSX-T クラスタ、NSX Intelligence ノード、グローバル マネージャ クラスタのバックアップに同じ SFTP フォルダを使用すると、バックアップの混合リストが生成される
SFTP フォルダが NSX-T クラスタ、NSX Intelligence ノード、グローバル マネージャ クラスタで共有されている場合、これらのクラスタを使用して生成されたすべてのバックアップの混合リストが NSX Intelligence バックアップのユーザー インターフェイスに表示されます。NSX Intelligence によって生成されたバックアップのみが表示されなければなりません。
回避策:各 NSX-T クラスタ、NSX Intelligence アプライアンス、またはグローバル マネージャ クラスタをバックアップするときに、一意の SFTP フォルダを使用します。
- 問題 2537740:NSX Intelligence 1.0.0 からバージョン 1.0.1 にアップグレードすると、構成の同期とデータ収集で問題が発生する
NSX Intelligence 1.0.0 をバージョン 1.0.1 にアップデートしてからバージョン 1.1.0 にアップデートすると、NSX Manager 統合アプライアンスの構成情報が NSX Intelligence アプライアンスで更新されません。また、データ収集が中断することもあります。たとえば、NSX Intelligence のアップデート後に作成された新しいグループまたは仮想マシンが、NSX Intelligence の UI に反映されないことがあります。
回避策:NSX Intelligence 1.0.0 からバージョン 1.0.1 へのアップグレードが完了したら、次の操作を行ってから NSX Intelligence 1.1 にアップグレードします。
- NSX Intelligence アプライアンスに root ユーザーとしてログインします。
- NSX Intelligence アプライアンスのコマンド プロンプトで次のコマンドを実行します。
export TRUSTLINK="/home/secureall/secureall/.store/.kafka_broker_truststore" export TRUSTFILE=$(ls -t /home/secureall/secureall/.store/.kafka_broker_truststore.*| head -1) rm $TRUSTLINK ln -s $TRUSTFILE $TRUSTLINK chown unsxconfig:gproxycert $TRUSTLINK chown --no-dereference unsxconfig:gproxycert $TRUSTLINK chmod 660 $TRUSTLINK
- kafka および nsx-config サービスを再起動します。
systemctl restart kafka systemctl restart nsx-config
NSX Intelligence 1.1.0 へのアップグレードを続行します。
- 問題 2523316:NSX Intelligence のリストア操作で NSX Intelligence サービスが再起動すると、NSX Manager ユーザー セッションが失われる
NSX Intelligence のリストア操作の最後に NSX Intelligence サービスが再起動すると、現在の NSX Manager ユーザー セッションが終了します。
回避策:NSX Manager に再度ログインします。
- 問題 2536593:証明書の期限切れアラーム イベントに対する推奨アクション情報が、NSX Intelligence に対して正確ではない
証明書の期限切れアラーム イベントが発生し、推奨アクションの情報を使用しても NSX Intelligence アプライアンスのアラームが解決されません。
回避策:なし。
- 問題 2543655:トランスポート ノードと NSX Intelligence の Kafka Broker 間で SSL ハンドシェイク エラーが発生することがある
トランスポート ノードにフローとコンテキストの情報が含まれていない場合、NSX Manager ユーザー インターフェイスに表示される NSX Intelligence の可視化に誤った情報が表示されることがあります。/var/log/kafka/server.log ファイルに、「SSL handshake failed」というエラー メッセージが連続して記録されている場合があります。
回避策:次の手順で Kafka Broker サービスを再起動します。
- CLI 管理者認証情報を使用して、NSX Intelligence アプライアンスにログインします。
- NSX Intelligence コマンドラインから次のコマンドを実行します。
restart service kafka