VMware NSX-T Data Center 3.0.1 リリースノート

VMware NSX-T Data Center 3.0.1 | 2020 年 6 月 23 日 | ビルド 16404613

本リリースノートの追加情報およびアップデート情報を定期的に確認してください。

リリースノートの概要

このリリースノートには、次のトピックが含まれています。

新機能
互換性とシステム要件
全般的な動作変更
使用可能な言語
API および CLI リソース
改訂履歴
解決した問題
既知の問題

新機能

NSX-T Data Center 3.0.1 は、新機能とバグ修正を含むメンテナンスリリースです。今回のリリースで解決された問題については、「解決した問題」セクションを参照してください。

NSX-T Data Center 3.0.1 リリースでは、次の新機能および機能拡張が提供されます。

制御プレーンとデータプレーンの両方の Edge ノードについて、メモリ使用量の詳細情報が NSX Manager ユーザーインターフェイス (UI) に表示されます。CPU 使用率の詳細情報も UI に表示されます。
CLI コマンドで ESXi ホストから NSX を削除できます。ESX ホストの NSX VIB が古い状態で、そのホストから NSX をアンインストールできない場合は、ホストにログインして CLI コマンド del nsx を使用します。ガイドに従ってホストから NSX を削除し、クリーンな状態に戻すことができます。これにより、NSX を新規にインストールすることができます。
アクティブグローバルマネージャのクラスタリング：グローバルマネージャ仮想マシンをクラスタリングし、ローカルの回復力を強化できるようになりました。
ローカルマネージャのオーバーライドワークフロー：ローカルマネージャからグローバルマネージャにアクセスできない場合、ローカルマネージャでグローバルオブジェクトのパラメータの一部がオーバーライドされることがあります。
ネストされたグループ：グローバルマネージャで、グループをネストできるようになりました（グループ内にグループを作成できます）。
リージョン間のファイアウォールルール：グローバルマネージャのファイアウォールルールで、ルールが属するファイアウォールポリシーと異なるリージョンの 1 つのグループを使用できるようになりました。
Tier-0 のアクティブ/スタンバイトポロジ：グローバルマネージャで、場所をプライマリ/セカンダリに設定し、Tier-0 をアクティブ/スタンバイに設定できるようになりました。
フェデレーションのスケール：最大で 4 つの場所、合計 128 台までのホストをサポートします。
スケールとアップグレードの制限のため、フェデレーションは NSX-T 3.0.x の本番環境の展開には適していません。制限の詳細については、以下の「フェデレーションの既知の問題」を参照してください。

互換性とシステム要件

互換性とシステム要件の詳細については、『NSX-T Data Center インストールガイド』を参照してください。

API の廃止と動作の変更

アプリケーション検出の削除：この機能は廃止され、削除されています。
NSX-T 2.4 および 2.5 からアップグレードした場合の [ネットワークとセキュリティの詳細設定] の変更：NSX-T Data Center 2.4 または 2.5 からアップグレードした場合、NSX-T Data Center 3.0 では、[ネットワークとセキュリティの詳細設定] タブにあったメニューオプションを使用するときに [マネージャ] モードをクリックする必要があります。
スナップショットは自動的に無効に：NSX-T Data Center 3.0.1 以降では、アプライアンスが展開されると、スナップショットが自動的に無効になります。この設定を手動で行う必要はありません。
API 廃止ポリシー：NSX の自動化を行うユーザーがすでに廃止された API と今後の製品から削除される時期を確認できるように、『NSX API ガイド』に API の廃止ポリシーが追加されました。

API および CLI リソース

NSX-T Data Center の API または CLI を自動化に使用する場合には、code.vmware.com を参照してください。

API ドキュメントは、[API Reference（API リファレンス）] タブから利用できます。CLI ドキュメントは、ドキュメント タブから利用できます。

使用可能な言語

NSX-T Data Center は英語、ドイツ語、フランス語、日本語、簡体字中国語、韓国語、繁体字中国語、スペイン語でご利用いただけます。NSX-T Data Center のローカライズではブラウザの言語設定が使用されるため、設定が目的の言語と一致することを確認してください。

ドキュメントの改訂履歴

2020 年 6 月 23 日。初版。
2020 年 8 月 24 日。第 2 版。既知の問題 2577452 について記載しました。
2020 年 8 月 28 日。第 3 版。既知の問題に 2622672、2630808、2630813 および 2630819 を追加しました。
2021 年 3 月 15 日。第 4 版。既知の問題 2730634 について記載しました。
2021 年 9 月 17 日。第 5 版。既知の問題 2761589 について記載しました。

解決した問題

解決した問題 2513231：論理ルーターあたりの ARP の最大数（デフォルト）が 20,000 になっている
Edge では、Edge ノードあたりの arp/neigh エントリの合計が 100K に制限され、論理ルーターあたりの制限が 20,000 に設定されています。これらの数値に達すると、Edge は ARP キャッシュテーブルに arp/neigh エントリを追加できなくなります。これにより、ARP の解決に失敗します。ARP が解決されないため、パケットがドロップされます。
解決した問題 2515006：NSX-v から NSX-T への移行のロールバックが断続的に失敗する
NSX-v から NSX-T への移行中に、ロールバックが失敗し、次のメッセージが表示されます。"Entity Edge Cluster<edge-cluster-id> can not be deleted as it is being referenced by entity(s): <logical-router-id>"
解決した問題 2515489：NSX-T 3.0 にアップグレードした後、最初の証明書ベースの IPSec VPN セッションが起動に失敗し、「設定に失敗しました」というエラーが表示される
1 つの証明書ベースの IPsec VPN セッションのトンネルでトラフィックの損失が発生します。
解決した問題 2532343：フェデレーション展開で、RTEP MTU サイズが VTEP MTU サイズよりも小さい場合、IP の断片化が発生して物理ルーターが IP フラグメントをドロップし、サイト間のトラフィックが停止する
RTEP MTU サイズ (1500) が VTEP MTU (1600) より小さい場合、tracepath ツールが完了しません。値の大きい ping（たとえば、ping -s 2000）も失敗します。サイズの小さい RTEP MTU は使用できません。
解決した問題 2536980：再起動のステップで PCG のアップグレードが失敗する
CSM アップグレード UI から PCG をアップグレードできません。PCG CLI の get upgrade progress-status を実行すると、再起動タスクの状態が「成功」と表示されます。PCG は NSX-T 3.0 へのアップグレードに失敗し、動作していません。
解決した問題 2533617：サービスの作成、更新または削除中に、API 呼び出しに成功しても、サービスエンティティの更新が認識されない
サービス（NatRule、LB VIP など）を作成、更新または削除しているときに、API 呼び出しは成功しますが、バックグラウンドでアクティビティの送信が失敗しているため、サービスエンティティの更新が処理されません。サービスがアクセス不能になります。
解決した問題 2535234：別の vCenter Server に vMotion で移行する場合、仮想マシンのタグがリセットされる
フェデレーション設定でサイト 1 からサイト 2 に vMotion を実行し、30 分以内にサイト 1 に戻ると、サイト 1 に適用されたタグがリセットされます。仮想マシンタグベースのグローバルポリシーを使用している場合、ポリシーが適用されません。
解決した問題 2532796：最新の Windows KB のアップデートで HNSEndpoint の削除に失敗する
Windows を最新の KB アップデート（2020 年 3 月までのアップデート）に更新すると、HNSEndpoint の削除がハングするWindows コンテナインスタンスを削除できません。同じ HNSEndpoint 名を使用して新しいコンテナを作成すると、競合が発生する可能性があります。
解決した問題 2536877：トランスポートフェーズでロードバランサルールが設定されていると、X-Forwarded-For (XFF) に誤ったデータ（HTTPS トラフィック）が示される
トランスポートフェーズにロードバランサルールを使用して、XFF (INSERT/REPLACE) を含む HTTP プロファイルを設定すると、XFF ヘッダーに誤った値が含まれることがあります。
解決した問題 2541232：NSX-T 3.0.0 へのアップグレード時に、CORFU/config ディスク容量が 100% に達することがある
この問題は、AppDiscovery 機能が有効になっている以前のバージョンの NSX-T からアップグレードする場合にのみ発生します。/config パーティションが 100% に達すると、その後 NSX 管理クラスタが不安定になります。
解決した問題 2538557：IP 検出プロファイルで ARP スヌーピングが有効になっていると、ARP パケットの Spoofguard が機能しないことがある
IP 検出プロファイルで Spoofguard と ARP スヌーピングが有効になっていても、ゲスト仮想マシンの ARP キャッシュに正しいエントリが存在しない場合があります。ARP パケットで Spoofguard が機能しません。
解決した問題 2550327：グローバルマネージャでドラフト機能がサポートされていないが、ドラフト API を使用できる
ドラフト機能は、グローバルマネージャ UI で無効になっています。ドラフトの公開は予期したとおり動作しないことがあります。また、グローバルマネージャとローカルマネージャでファイアウォール設定の不一致が生じることがあります。
解決した問題 2546509：ESXi を vSphere 6.7 から vSphere 7.0 にアップグレードした後に、ESXi 7.0 NSX カーネルモジュールがインストールされない
ESXi を 6.7 から 7.0 にアップグレードすると、トランスポートノードの状態が「停止」になります。
解決した問題 2543239：NSX-T Data Center 3.0.0 にアップグレードした後、NAT トラフィックフローに特定の NAT ルールのファイアウォール処理が適用されない
この問題は、NSX-T Data Center 3.0.0 でファイアウォールパラメータ「None」が廃止されたために発生します。ユーザーインターフェイスでファイアウォールパラメータが「なし」に設定されている NAT ルールと、「Firewall_Match」パラメータを指定せずに API を使用して設定されている NAT ルールは、必要なファイアウォールルールがゲートウェイファイアウォールで設定されていても、アップグレード後にファイアウォール処理の対象となりません。
解決した問題 2526083：NSX Manager が NSX Intelligence アプライアンスから切断されると、一部の NSX サービスが正しく機能しない場合がある
NSX Manager UI の [システム] > [アプライアンス] 画面で、NSX Intelligence アプライアンスカードにエラーが表示されるか、アプライアンスがデータ取得状態で停止していることが表示されます。

既知の問題

既知の問題には次の項目が含まれます。

一般的な既知の問題
インストールに関する既知の問題
アップグレードに関する既知の問題
NSX Edge に関する既知の問題
NSX Cloud に関する既知の問題
セキュリティに関する既知の問題
フェデレーションに関する既知の問題

一般的な既知の問題

問題 2320529：新しく追加されたデータストアにサードパーティの仮想マシンを追加した後に「サービス展開用のストレージにアクセスできません」というエラーが発生する
クラスタ内のすべてのホストからストレージにアクセスできる場合でも、新しく追加されたデータストアにサードパーティの仮想マシンを追加した後に「サービス展開用のストレージにアクセスできません」というエラーが発生します。このエラー状態は最大 30 分間続きます。

30 分後に再試行します。あるいは、次の API 呼び出しを行い、データストアのキャッシュエントリを更新します。

https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime

ここで： <nsx-manager> は、サービス展開 API が失敗した NSX Manager の IP アドレス、< CC Ext ID> は、展開が試行されているクラスタの NSX の ID です。
問題 2328126：ベアメタルの問題：NSX アップリンクプロファイルで Linux OS のボンディングインターフェイスを使用するとエラーが返される
Linux OS でボンディングインターフェイスを作成し、このインターフェイスを NSX アップリンクプロファイルで使用すると、「トランスポートノードの作成に失敗する可能性があります」というエラーメッセージが表示されます。VMware が Linux OS のボンディングをサポートしていないため、この問題が発生します。VMware では、ベアメタルサーバのトランスポートノードの Open vSwitch (OVS) ボンディングをサポートしています。

回避策：この問題が発生した場合は、ナレッジベースの記事 KB67835、「Bare Metal Server supports OVS bonding for Transport Node configuration in NSX-T」を参照してください。
問題 2390624：非アフィニティルールにより、ホストがメンテナンスモードのときにサービス仮想マシンの vMotion ができない
2 台のホストから設定されるクラスタにサービス仮想マシンが展開されている場合、HA ペアに非アフィニティルールが設定されていると、メンテナンスモードのタスクの実行中に仮想マシンを他のホストに vMotion できません。これにより、ホストでメンテナンスモードへの切り替えが自動的に行われない可能性があります。

回避策：vCenter Server でメンテナンスモードのタスクが開始する前に、ホストのサービス仮想マシンをパワーオフします。
問題 2389993：ポリシー画面または API で再配分ルールを変更した後、ルートマップが削除される
再配分ルールで管理プレーンの UI/API を使用してルートマップが追加されている場合、簡易（ポリシー）UI/API から同じ再配分ルールを変更すると、そのルートマップが削除されます。

回避策：ルートマップをリストアするには、管理プレーンのインターフェイスまたは API に戻り、同じルールに再度追加します。再配分ルールにルートマップを含める場合は、常に管理プレーンのインターフェイスまたは API を使用して、ルールの作成と変更を行うことをおすすめします。
問題 2329273：同じ Edge ノードで、同じセグメントにブリッジされている VLAN 間が接続されていない
同じ Edge ノードでセグメントを 2 回ブリッジすることはできません。2 つの異なる Edge ノードの場合、同じセグメントに 2 つの VLAN をブリッジできます。

回避策：なし
問題 2355113：Microsoft Azure でネットワークの高速化が有効になっている場合、RedHat および CentOS ワークロード仮想マシンに NSX Tools をインストールできない
Microsoft Azure で、RedHat（7.4 以降）または CentOS（7.4 以降）ベースのオペレーティングシステムを使用し、ネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネットインターフェイスが IP アドレスを取得しません。

回避策：Microsoft Azure で RedHat または CentOS ベースの仮想マシンを起動した後、NSX Tools をインストールする前に、https://www.microsoft.com/en-us/download/details.aspx?id=55106 にある最新の Linux Integration Services ドライバをインストールします。
問題 2370555：特定のオブジェクトを詳細インターフェイスで削除できるが、簡易インターフェイスに反映されない
たとえば、詳細インターフェイスの分散ファイアウォール除外リストの設定で、分散ファイアウォールの除外リストの一部として追加されたグループを削除できます。このため、インターフェイスでの動作に一貫性がなくなります。

回避策：この問題を解決するには、次の手順を実行します。
1. 簡易インターフェイスで、除外リストにオブジェクトを追加します。
2. 詳細インターフェイスの分散ファイアウォール除外リストに表示されていることを確認します。
3. 詳細インターフェイスの分散ファイアウォール除外リストからオブジェクトを削除します。
4. 簡易インターフェイスに戻り、2 番目のオブジェクトを除外リストに戻して適用します。
5. 新しいオブジェクトが詳細インターフェイスに表示されていることを確認します。
問題 2520803：EVPN 展開で手動設定するルート識別子とルートターゲットのエンコード形式
現在、ルート識別子を手動で設定する場合、Type-0 エンコードと Type-1 エンコードの両方を使用できます。ただし、EVPN 展開でルート識別子を手動で設定する場合は、Type-1 エンコードスキームの使用をおすすめします。また、ルートターゲットを手動で設定する場合は、Type-0 エンコードを使用する必要があります。

回避策：ルート識別子に Type-1 エンコードを使用します。
問題 2490064：外部 LB がオンになっている VMware Identity Manager を無効にできない
外部 LB を使用して NSX で VMware Identity Manager 統合を有効にした後、外部 LB をオフにして統合を無効にしようとすると、最初の設定が再表示され、ローカルの変更が上書きされます。

回避策：vIDM を無効にする場合は、外部 LB のフラグをオフにせず、vIDM 統合のみをオフにします。これにより、データベースに設定が保存され、他のノードと同期されます。
問題 2516481：「サーバがオーバーロードです」というメッセージが表示され、1 台の UA ノードが新しい API 呼び出しの受け入れを停止する
「サーバがオーバーロードです」というメッセージが表示され、1 台の UA ノードが新しい API 呼び出しの受け入れを停止します。CLOSE_WAIT 状態では約 200 の接続が停止しています。これらの接続はまだ終了していません。新しい API 呼び出しは拒否されます。

回避策：次のコマンドを使用して、proton サービスを再起動します。
```
service proton restart
```
問題 2529228：バックアップとリストアの後、システム内の証明書が不整合な状態になり、ユーザーがバックアップ時に設定した証明書が失われる
リバースプロキシと APH が、バックアップされたクラスタで使用されていた証明書と別の証明書を使用します。

回避策：
1. API POST /api/v1/node/services/http?action=apply_certificate&certificate_id=<証明書の ID> を使用して、3 つの新しいノードのすべてで Tomcat 証明書を元の状態（バックアップされたクラスタと同じ状態）に戻します。証明書の ID は、元のセットアップ（バックアップされたクラスタ）で使用されていた Tomcat 証明書の ID です。
2. API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<証明書の id> を使用して、プライマリノードにクラスタの証明書を適用します。証明書の ID は、元のセットアップ（バックアップされたクラスタ）で使用されていたクラスタ証明書の ID です。
3. API POST /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication を使用して、3 つの新しいノードのすべてで APH 証明書を更新し、元の状態（バックアップされたクラスタと同じ状態）に戻します。
4. GET /api/v1/trust-management/certificates の出力（特に used_by セクション）を調査します。root コマンドラインで次のコマンドを実行して、古いノード UUID（バックアップを実行したクラスタ内のノードの UUID）に関連付けられている証明書をすべて解放します。"curl -i -k -X POST -H 'Content-type: application/json' -H 'X-NSX-Username:admin' -H 'X-NSX-Groups:superuser' -T data.json "http://127.0.0.1:7440/nsxapi/api/v1/trust-management/certificates/cert-id?action=release".この API はローカル専用で、クラスタ内の 1 つのノードのコマンドラインで root として実行する必要があります。この手順は、古いノード UUID（バックアップを実行したクラスタ内のノードの UUID）に関連付けられているすべての証明書に対して実行する必要があります。
5. 使用されていない証明書をすべて削除し、/api/v1/trust-management/certificates とクラスタの安定性を確認します。
問題 2535793：マネージャノードで Central Node Config (CNC) の無効化フラグが認識されない
ユーザーが CNC プロファイル（UI で [システム]、[ファブリック]、[プロファイル] の順に移動）を変更すると、そのマネージャノードのローカルで CNC が無効になっていても（CLI で set node central-config disabled を実行）、マネージャノードのローカルで行った NTP、Syslog、SNMP 設定の変更が上書きされます。CNC プロファイルが変更されない限り、ローカルの NTP、Syslog、SNMP の設定は維持されます。

回避策：

2 つのオプションがあります。
- オプション 1：ローカルで変更を行わずに CNC を使用します（たとえば、get node central-config で有効にします）。
- オプション 2：CNC プロファイルをクリアして、マネージャごとに NTP、Syslog、SNMP の設定を行います。オプション 1 からオプション 2 に切り替える場合は、次の回避策を使用します。
1. CNC プロファイルからすべての設定を削除します。
2. しばらくしてから、すべてのマネージャノードと Edge ノードから設定が削除されていることを確認します（各ノードでノード API または CLI を使用します）。また、すべての KVM HV ノードから SNMP 設定が削除されていることを確認します。
3. 各マネージャノードと Edge ノードで、NTP、Syslog、SNMP を個別に設定します（NSX ノード API または CLI を使用します）。
4. VMware SNMP エージェントの設定コマンドを使用して、各 KVM HV ノードで VMware SNMP エージェントを個別に設定します。
問題 2537989：仮想 IP アドレス (VIP) をクリアしても、すべてのノードで vIDM 統合がクリアされない
仮想 IP を持つクラスタで VMware Identity Manager が設定されている場合、仮想 IP を無効にしても、クラスタ全体で VMware Identity Manager 統合はクリアされません。仮想 IP アドレスが無効になっている場合は、個々のノードで vIDM 統合を手動で修正する必要があります。

回避策：各ノードに移動して、それぞれの vIDM 設定を手動で修正します。
問題 2538956：セグメントでゲートウェイ DHCP を構成するときに、DHCP プロファイルに「未設定」のメッセージが表示され、[適用] ボタンが使用できない
接続されたゲートウェイに DHCP が設定されていない場合、セグメントにゲートウェイ DHCP を設定しようとすると、保存する有効な DHCP がないため、DHCP プロファイルが適用されません。

回避策：なし。
問題 2525205：特定の状況下で管理プレーンクラスタの操作が失敗する
マネージャ N2 で join コマンドを実行してマネージャ N2 をマネージャ N1 に参加させようとすると、join コマンドが失敗します。管理プレーンクラスタを形成できないため、可用性に影響する可能性があります。

回避策：
1. クラスタでマネージャ N1 を保持するには、マネージャ N1 で deactivate CLI コマンドを実行します。これにより、他のすべてのマネージャがクラスタから削除され、マネージャ N1 がクラスタの唯一のメンバーになります。
2. systemctl start corfu-nonconfig-server コマンドを実行して、マネージャ N1 で非設定の Corfu サーバが実行されていることを確認します。
3. join コマンドを実行して、他の新しいマネージャをクラスタに参加させます。
問題 2526769：マルチノードクラスタでリストアが失敗する
マルチノードクラスタでリストアを開始すると、リストアが失敗し、アプライアンスの再展開が必要になります。

回避策：新しい設定（1 ノードクラスタ）を展開し、リストアを開始します。
問題 2538041：グローバルマネージャでマネージャモードの IP セットを含むグループを作成できる
マネージャモードで作成された IP セットを含むグループをグローバルマネージャで作成できます。設定は受け入れられますが、グループはローカルマネージャで認識されません。

回避策：なし。
問題 2463947：プリエンプティブモードの HA が設定され、IPsec HA が有効になっているときに、二重にフェイルオーバーが発生すると、VPN 経由のパケットドロップが発生する
VPN 経由のトラフィックはピア側でドロップされます。IPsec 再生エラーが増加します。

回避策：次の IPsec 再キー化を待機します。または、特定の IPsec セッションを無効にして有効にします。
問題 2523212：nsx-policy-manager が応答不能になり、再起動する
nsx-policy-manager の API 呼び出しが失敗し、サービスが利用不能になります。再起動して使用可能になるまで、ポリシーマネージャにアクセスできなくなります。

回避策：2,000 個以下のオブジェクトで API を呼び出します。
問題 2482672：分離されたオーバーレイセグメントを L2VPN 経由で拡張しても、ピアサイトのデフォルトゲートウェイに到達できない
サイト 1 とサイト 2 の間で L2VPN トンネル設定され、T0/T1 オーバーレイセグメントがサイト 1 から L2VPN 経由で拡張され、分離されたオーバーレイセグメントがサイト 2 から L2VPN 経由で拡張されています。また、同じトランスポートゾーン内のサイト 2 に別の T0/T1 オーバーレイセグメントがあり、分離されたセグメントに接続しているワークロード仮想マシンが存在する ESXi ホストに DR のインスタンスがあります。

分離されたセグメント（サイト 2）上の仮想マシンがデフォルトゲートウェイ（サイト 1 の DR ダウンリンク）に接続しようとすると、デフォルトゲートウェイへのユニキャストパケットはサイト 2 の ESXi ホストによって受信され、リモートサイトには転送されません。ピアサイトのデフォルトゲートウェイに対する L3 接続が失敗します。

回避策：サイト 2 の分離されたオーバーレイセグメントを LR に接続し、サイト 1 と同じゲートウェイ IP アドレスを指定します。
問題 2521071：グローバルマネージャで作成されたセグメントで BridgeProfile 設定を使用していると、レイヤー 2 ブリッジ設定が個々の NSX サイトに適用されない
セグメントの統合状態が「エラー」のままになります。この状況は、特定の NSX サイトでブリッジエンドポイントを作成できないことが原因で発生しています。グローバルマネージャで作成されたセグメントに BridgeProfile を設定することができません。

回避策：NSX サイトにセグメントを作成し、ブリッジプロファイルを使用して設定します。
問題 2527671：DHCP サーバが設定されていない場合、Tier-0/Tier-1 ゲートウェイまたはセグメントで DHCP 統計/状態を取得すると、認識が成功していないことを示すエラーメッセージが表示される
これによる機能上の影響はありません。このエラーメッセージは正しくありません。この状況では、DHCP サーバが未設定であることを示すメッセージが表示されるはずです。

回避策：なし。
問題 2532127：LDAP ユーザーの Active Directory エントリに UPN (userPrincipalName) 属性がなく、samAccountName 属性のみが存在している場合、このユーザーは NSX にログインできない
ユーザーの認証に失敗し、ユーザーは NSX ユーザーインターフェイスにログインできません。

回避策：なし。
問題 2540733：クラスタに同じホストを再追加した後、サービスインスタンスが作成されない
クラスタ内に同じホストを再追加した後、ホストにサービス仮想マシンが存在していても、NSX にサービスインスタンスが作成されません。展開状態は「成功」と表示されますが、特定のホストの保護が停止します。

回避策：ホストからサービス仮想マシンを削除します。これで発生した問題が NSX のユーザーインターフェイスに表示されます。この問題を解決するために、NSX に新しいサービス仮想マシンとそれに対応するサービスインスタンスが作成されます。
問題 2530822：vCenter Server で NSX-T の拡張機能が作成されても、NSX Manager で vCenter Server の登録に失敗する
NSX で vCenter Server をコンピュートマネージャとして登録するときに、vCenter Server で com.vmware.nsx.management.nsxt 拡張機能が作成されても、NSX-T でコンピュートマネージャの登録状態が「未登録」のままになります。Edge の自動インストールなど、vCenter Server での操作は vCenter Server コンピュートマネージャで実行できません。

回避策：
1. NSX-T Manager からコンピュートマネージャを削除します。
2. vCenter Server 管理対象オブジェクトブラウザを使用して、vCenter Server から com.vmware.nsx.management.nsxt 拡張機能を削除します。
問題 2482580：vCenter Server から IDFW/IDS クラスタが削除されると、IDFW/IDS の設定が更新されない
IDFW/IDS が有効になっているクラスタが vCenter Server から削除されると、NSX 管理プレーンに必要な更新が通知されません。これにより、IDFW/IDS が有効になっているクラスタの数が誤って報告されます。これによる機能上の影響はありません。有効なクラスタの数のみが正しくありません。

回避策：なし。
問題 2533365：IDFW が有効なクラスタから新しいクラスタ（これまでに IDFW が有効/無効になっていないクラスタ）にホストを移動すると、移動したホストで IDFW が無効にならない
IDFW が有効なクラスタからクラスタ（これまでに IDFW が有効/無効になっていないクラスタ）にホストを移動した場合、移動したホストで IDFW が有効のままになります。これにより、移動したホストで予期しない IDFW ルールが適用されます。

回避策：クラスタ 2 で IDFW を有効にしてから無効にします。その後、これらのクラスタ間でホストを移動したり、これらのクラスタで IDFW を有効または無効にすると、予期したとおり機能します。
問題 2534855：簡易 UI またはポリシー API で作成された Tier-0 ゲートウェイのルートマップと再配分ルールが、詳細設定 UI（または MP API）で作成されたルートマップと再配布ルールと置き換わる
アップグレード中に、詳細設定 UI（または MP API）で直接作成された設定が簡易 UI（またはポリシー API）で作成された既存のルートマップとルールに置き換わります。

回避策：詳細設定 UI (MP UI) で作成された再配布ルール/ルートマップがアップグレード後に失われた場合は、詳細設定 UI (MP) または簡易 UI（ポリシー）からルールを作成できます。再配布ルールには常にポリシーまたは MP のいずれかを使用します。両方を同時に使用することはできません。NSX-T 3.0 では、再配布で完全にサポートされている機能が使用できます。
問題 2535355：特定の状況下で NSX-T 3.0 にアップグレードすると、セッションタイマーが有効にならないことがある
セッションタイマーの設定が有効になりません。接続セッション（tcp established、tcp fin wait など）は、カスタムセッションタイマーではなく、システムのデフォルトセッションタイマーを使用します。これにより、接続 (tcp/udp/icmp) セッションが予想より長いまたは短い時間で確立することがあります。

回避策：なし。
問題 2534933：LDAP ベースの CDP（CRL 配布ポイント）を含む証明書が Tomcat/クラスタ証明書として適用できない
LDAP CDP を含む CA 署名付き証明書をクラスタ/Tomcat 証明書として使用できません。

回避策：VMware のナレッジベースの記事 KB78794 を参照してください。
問題 2499819：vMotion のエラーのため、vCenter Server 6.5 または 6.7 で NSX for vSphere から NSX-T Data Center へのメンテナンスベースのホスト移行が失敗することがある
次のエラーメッセージがホストの移行画面に表示されます。
ホストを移行するときに、移行前のステージでエラーが発生しました [理由：[vMotion] 移行を続行できません。仮想マシン b'3-vm_Client_VM_Ubuntu_1404-shared-1410' に対する vMotion が最大試行回数に達しました]。

回避策：ホストの移行を再試行します。
問題 2518183：Manager UI の画面で、[アラーム] 列に最新のアラーム数が表示されないことがある
最近生成されたアラームが Manager のエンティティ画面に反映されません。

回避策：
1. NSX Manager のエンティティ画面を更新して、正しいアラーム数を確認します。
2. アラームの詳細が表示されない場合は、アラームのダッシュボードページで確認することもできます。
問題 2543353：NSX T0 Edge が、IPsec トンネルトラフィックの ESP カプセル化の後に誤った UDP チェックサムを計算する
UDP パケットのチェックサムが正しくないため、トラフィックがドロップされます。

回避策：なし。
問題 2561740：NSGroup で有効なメンバーが更新されないため、PAS 出力 DFW ルールが適用されない
ConcurrentUpdateException により、LogicalPort の作成が処理されず、対応する NSGroup の更新に失敗します。

回避策：なし。
問題 2556730：LDAP ID ソースを設定するときに、LDAP ドメイン名に大文字と小文字が混在していると、[LDAP グループ] の [NSX Role Mapping] で認証が機能しない
ユーザーがログインを試みると、NSX へのアクセスが拒否されます。

回避策：LDAP ID ソースの設定で [ドメイン名] フィールドに小文字のみを使用します。
問題 2557287：バックアップ後に実行した TNP の更新がリストアされない
リストアされたアプライアンスで、バックアップ後に行った TNP の更新が表示されません。

回避策：TNP の更新後にバックアップを作成します。
問題 2577452：グローバルマネージャで証明書を置き換えると、このグローバルマネージャに追加された場所が切断される
グローバルマネージャでリバースプロキシまたはアプライアンスプロキシハブ (APH) の証明書を置き換えると、このグローバルマネージャに追加された場所との接続が切断されます。これは、REST API と NSX RPC の接続が切断されることが原因で発生します。

回避策：
- 次の API を使用してローカルマネージャまたはグローバルマネージャの証明書を変更する場合は、この問題を回避するために、さらに設定を変更する必要があります。
  - ノード API 証明書の変更：POST https:// /api/v1/node/services/http?action=apply_certificate&certificate_id=
  - クラスタ API 証明書の変更：POST https:// /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=
  - アプライアンスプロキシ証明書の変更：POST https:// /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
- ローカルマネージャノードまたはクラスタの API 証明書を変更する場合は、この場所をグローバルマネージャから再度追加する必要があります。
- グローバルマネージャノードまたはクラスタの API 証明書を変更する場合は、以前に接続していた場所をすべてグローバルマネージャから再度追加する必要があります。
- ローカルマネージャでアプライアンスのプロキシ証明書を変更する場合は、クラスタ内のすべてのノードで restart service applianceproxy を実行してアプライアンスプロキシサービスを再起動し、場所をグローバルマネージャから再度追加する必要があります。
『NSX-T Data Center インストールガイド』の「場所の追加」を参照してください。
問題 2730634：ユニスケールアップグレードの後でネットワークコンポーネントのページに「インデックスが同期していません」というエラーが表示される
ユニスケールアップグレードの後でネットワークコンポーネントのページに「インデックスが同期していません」というエラーが表示されます。

回避策：管理者認証情報を使用して NSX Manager にログインし、start search resync policy コマンドを実行します。ネットワークコンポーネントのロードに数分かかります。
問題 2761589：NSX-T 2.x から NSX-T 3.x にアップグレードした後、管理プレーンのデフォルトレイヤー 3 ルールの設定が DENY_ALL から ALLOW_ALL に変更される
この問題は、ポリシーでルールが設定されず、管理プレーンのデフォルトレイヤー 3 ルールに DROP アクションが設定されている場合にのみ発生します。アップグレード後、管理プレーンのデフォルトレイヤー 3 ルールの設定が DENY_ALL から ALLOW_ALL に変更されます。

回避策：アップグレード後にポリシー UI を使用して、デフォルトのレイヤー 3 ルールのアクションを DROP に設定します。

インストールに関する既知の問題

問題 2522909：Invaildurl でアップグレードの展開に失敗した場合、URL を修正すると、サービス仮想マシンのアップグレードが機能しない
URL が間違っているため、アップグレードが失敗状態になり、アップグレードがブロックされます。

回避策：アップグレードをトリガする新しい deployment_spec を作成します。
問題 2530110：NSX-T Data Center 3.0.0 にアップグレードした後または NSX Manager ノードを再起動した後、クラスタの状態が「劣化」になる
再起動されたノードの監視アプリケーションが停止しているため、監視グループが「劣化」状態になります。リストアが失敗する可能性があります。監視アプリケーションが停止している Manager からのアラームは表示されないことがあります。

回避策：監視アプリケーションが停止し、影響を受けている NSX-T Manager ノードを再起動します。

アップグレードに関する既知の問題

問題 2475963：容量不足のため、NSX-T VIB のインストールに失敗する
ESXi ホストの bootbank に十分な容量がないため、NSX-T VIB のインストールに失敗し、BootBankInstaller.pyc: ERROR が返されます。サードパーティベンダーから提供される ESXi イメージに、未使用でサイズが比較的大きい VIB が含まれていることがあります。その場合、VIB のインストール/アップグレード時に bootbank/alt-bootbank の容量が不足することがあります。

回避策：ナレッジベースの記事 KB74864、「NSX-T VIBs fail to install, due to insufficient space in bootbank on ESXi host」を参照してください。
問題 2400379：[コンテキストプロファイル] 画面に、サポートされていない APP_ID エラーメッセージが表示される
[コンテキストプロファイル] 画面に、次のエラーメッセージが表示されます。「このコンテキストプロファイルは、サポートされていない APP_ID - [<APP_ID>] を使用しています。どのルールでも使用されていないことを確認してから、このコンテキストプロファイルを手動で削除してください。」この問題は、データパスで機能しなくなった 6 つの非推奨 APP_ID（AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC、SVN）がアップグレード後に存在するために発生します。

回避策：使用されていないことを確認してから、6 つの APP_ID コンテキストプロファイルを手動で削除します。
問題 2462079：ESXi ホストに古い DV フィルタが存在すると、アップグレード中に ESXi ホストの一部のバージョンが再起動する
ESXi 6.5-U2/U3 または 6.7-U1/U2 を実行しているホストの場合、メンテナンスモードで NSX-T 2.5.1 にアップグレードしている間にホストが再起動することがあります。この再起動は、仮想マシンの移動後にホストで古い DV フィルタが見つかると発生します。

回避策：NSX-T Data Center のアップグレード中にホストが再起動しないようにするには、NSX-T Data Center 2.5.1 にアップグレードする前に、ESXi 6.7 U3 または ESXi 6.5 P04 にアップグレードします。詳細については、ナレッジベースの記事 KB76607 を参照してください。

NSX Edge に関する既知の問題

問題 2283559：Edge に 65k 以上のルート（RIB の場合）または 100k 以上のルート（FIB の場合）が存在すると、https://<nsx-manager>/api/v1/routing-table と https://<nsx-manager>/api/v1/forwarding-table MP APIs でエラーが発生する
Edge で RIB に 65,000 以上のルート、FIB に 100,000 以上のルートがある場合、管理プレーンから Edge への要求に 10 秒以上かかり、この結果タイムアウトになります。これは読み取り専用 API であり、API/ユーザーインターフェイスを使用して、RIB の 65,000 以上のルートおよび FIB の 100,000 以上のルートをダウンロードする必要がある場合にのみ影響を受けます。

回避策：RIB/FIB を取得するには、2 つのオプションがあります。
- これらの API では、ネットワークプレフィックスまたはルートのタイプに基づくフィルタリングオプションをサポートしています。これらのオプションを使用して、目的とするルートをダウンロードします。
- RIB/FIB テーブル全体が必要な場合は CLI でサポートします。これによるタイムアウトはありません。
問題 2521230：get bgp neighbor summary で表示された BFD の状態に、最新の BFD セッションの状態が正しく反映されないことがある
BGP と BFD のセッションは個別に設定できます。get bgp neighbor summary を実行すると、BGP で BFD の状態も表示されます。BGP が停止している場合、BFD 通知は処理されず、最後に確認された状態が引き続き表示されます。このため、BFD の古い状態が表示される場合があります。

回避策：get bfd-sessions の出力で [State] フィールドを確認し、BFD の最新の状態を取得します。
問題 2532755：ルーティングテーブルの CLI 出力とポリシー出力が一致しない
UI からダウンロードしたルーティングテーブルに、CLI 出力より多くのルートが表示されます。ポリシーからダウンロードした出力には、追加のルート（デフォルトルート）が表示されます。これによる機能上の影響はありません。

回避策：なし。

NSX Cloud に関する既知の問題

問題 2289150：PCM から AWS への呼び出しが開始しない
CSM で AWS アカウントの PCG ロールを old-pcg-role から new-pcg-role に更新すると、CSM では、AWS の PCG インスタンスのロールを new-pcg-role に更新します。しかし、PCM では PCG のロールが更新されたことを認識していないため、この結果、引き続き old-pcg-role を使用して作成された、以前の AWS クライアントを使用します。これにより、AWS クラウドインベントリスキャンが発生し、他の AWS クラウドの呼び出しは失敗します。

回避策：この問題が発生した場合、新しいロールに変更してから 6.5 時間以上は、以前の PCG ロールを変更/削除しないでください。PCG を再起動すると、新しいロールの認証情報を使用してすべての AWS クライアントが再初期化されます。

セキュリティに関する既知の問題

問題 2491800：AR チャネル SSL 証明書の有効性が定期的に確認されないため、既存の接続に対して有効期限の切れた証明書または失効した証明書が使用される可能性がある
この接続では期限切れの SSL または失効した SSL が使用されます。

回避策：マネージャノードの APH を再起動して、再接続をトリガーします。

フェデレーションに関する既知の問題

問題 2622672：フェデレーションでベアメタル Edge ノードを使用できない
場所間の通信 (RTEP) にはベアメタル Edge ノードを設定できません。
問題 2630808：3.0.0/3.0.1 からそれ以降のリリースにアップグレードすると処理が中断する
グローバルマネージャまたはローカルマネージャを 3.0.0/3.0.1 からそれ以降のリリースにアップグレードした直後に、GM と LM 間の通信を行うことはできません。

回避策：LM と GM 間の通信を復元するには、すべての LM と GM を新しいリリースにアップグレードする必要があります。
問題 2630813：コンピューティング仮想マシンの SRM リカバリまたはコールド vMotion を実行すると、仮想マシンとセグメントポートに適用されたすべての NSX タグが消える
SRM リカバリのテストまたは実行を開始すると、ディザスタリカバリの場所にレプリケートされたコンピューティング仮想マシンに NSX タグが適用されません。別の LM で管理されている別の場所に仮想マシンのコールド vMotion を実行した場合にも、新しい場所の仮想マシンに NSX タグが適用されません。
問題 2630819：GM で LM を登録した後に LM 証明書が変更される
同じ LM でフェデレーションと PKS を使用する場合、GM で LM を登録する前に、外部 VIP の作成と LM 証明書の変更を行う PKS タスクを実行する必要があります。この順序が逆になると、LM 証明書を変更しても LM と GM 間の通信が行われず、LM の再登録が必要になります。

リリース ノートの概要

新機能