VMware NSX-T Data Center 3.0.1 | 2020 年 6 月 23 日 | ビルド 16404613

本リリース ノートの追加情報およびアップデート情報を定期的に確認してください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

NSX-T Data Center 3.0.1 は、新機能とバグ修正を含むメンテナンス リリースです。今回のリリースで解決された問題については、「解決した問題」セクションを参照してください。

NSX-T Data Center 3.0.1 リリースでは、次の新機能および機能拡張が提供されます。

  • 制御プレーンとデータ プレーンの両方の Edge ノードについて、メモリ使用量の詳細情報が NSX Manager ユーザー インターフェイス (UI) に表示されます。CPU 使用率の詳細情報も UI に表示されます。  

  • CLI コマンドで ESXi ホストから NSX を削除できます。ESX ホストの NSX VIB が古い状態で、そのホストから NSX をアンインストールできない場合は、ホストにログインして CLI コマンド del nsx を使用します。ガイドに従ってホストから NSX を削除し、クリーンな状態に戻すことができます。これにより、NSX を新規にインストールすることができます。

  • アクティブ グローバル マネージャのクラスタリング:グローバル マネージャ仮想マシンをクラスタリングし、ローカルの回復力を強化できるようになりました。

  • ローカル マネージャのオーバーライド ワークフロー:ローカル マネージャからグローバル マネージャにアクセスできない場合、ローカル マネージャでグローバル オブジェクトのパラメータの一部がオーバーライドされることがあります。

  • ネストされたグループ:グローバル マネージャで、グループをネストできるようになりました(グループ内にグループを作成できます)。

  • リージョン間のファイアウォール ルール:グローバル マネージャのファイアウォール ルールで、ルールが属するファイアウォール ポリシーと異なるリージョンの 1 つのグループを使用できるようになりました。

  • Tier-0 のアクティブ/スタンバイ トポロジ:グローバル マネージャで、場所をプライマリ/セカンダリに設定し、Tier-0 をアクティブ/スタンバイに設定できるようになりました。

  • フェデレーションのスケール:最大で 4 つの場所、合計 128 台までのホストをサポートします。

  • スケールとアップグレードの制限のため、フェデレーションは NSX-T 3.0.x の本番環境の展開には適していません。制限の詳細については、以下の「フェデレーションの既知の問題」を参照してください。

互換性とシステム要件

互換性とシステム要件の詳細については、『NSX-T Data Center インストール ガイド』を参照してください。

API の廃止と動作の変更

  • アプリケーション検出の削除:この機能は廃止され、削除されています。
  • NSX-T 2.4 および 2.5 からアップグレードした場合の [ネットワークとセキュリティの詳細設定] の変更:NSX-T Data Center 2.4 または 2.5 からアップグレードした場合、NSX-T Data Center 3.0 では、[ネットワークとセキュリティの詳細設定] タブにあったメニュー オプションを使用するときに [マネージャ] モードをクリックする必要があります。
  • スナップショットは自動的に無効に:NSX-T Data Center 3.0.1 以降では、アプライアンスが展開されると、スナップショットが自動的に無効になります。この設定を手動で行う必要はありません。
  • API 廃止ポリシー:NSX の自動化を行うユーザーがすでに廃止された API と今後の製品から削除される時期を確認できるように、『NSX API ガイド』に API の廃止ポリシーが追加されました。

API および CLI リソース

NSX-T Data Center の API または CLI を自動化に使用する場合には、code.vmware.com を参照してください。

API ドキュメントは、[API Reference(API リファレンス)] タブから利用できます。CLI ドキュメントは、ドキュメント タブから利用できます。

使用可能な言語

NSX-T Data Center は英語、ドイツ語、フランス語、日本語、簡体字中国語、韓国語、繁体字中国語、スペイン語でご利用いただけます。NSX-T Data Center のローカライズではブラウザの言語設定が使用されるため、設定が目的の言語と一致することを確認してください。

ドキュメントの改訂履歴

2020 年 6 月 23 日。初版。
2020 年 8 月 24 日。第 2 版。既知の問題 2577452 について記載しました。
2020 年 8 月 28 日。第 3 版。既知の問題に 2622672、2630808、2630813 および 2630819 を追加しました。
2021 年 3 月 15 日。第 4 版。既知の問題 2730634 について記載しました。
2021 年 9 月 17 日。第 5 版。既知の問題 2761589 について記載しました。

解決した問題

  • 解決した問題 2513231:論理ルーターあたりの ARP の最大数(デフォルト)が 20,000 になっている

    Edge では、Edge ノードあたりの arp/neigh エントリの合計が 100K に制限され、論理ルーターあたりの制限が 20,000 に設定されています。これらの数値に達すると、Edge は ARP キャッシュ テーブルに arp/neigh エントリを追加できなくなります。これにより、ARP の解決に失敗します。ARP が解決されないため、パケットがドロップされます。

  • 解決した問題 2515006:NSX-v から NSX-T への移行のロールバックが断続的に失敗する

    NSX-v から NSX-T への移行中に、ロールバックが失敗し、次のメッセージが表示されます。"Entity Edge Cluster<edge-cluster-id> can not be deleted as it is being referenced by entity(s): <logical-router-id>"

  • 解決した問題 2515489:NSX-T 3.0 にアップグレードした後、最初の証明書ベースの IPSec VPN セッションが起動に失敗し、「設定に失敗しました」というエラーが表示される

    1 つの証明書ベースの IPsec VPN セッションのトンネルでトラフィックの損失が発生します。

  • 解決した問題 2532343:フェデレーション展開で、RTEP MTU サイズが VTEP MTU サイズよりも小さい場合、IP の断片化が発生して物理ルーターが IP フラグメントをドロップし、サイト間のトラフィックが停止する

    RTEP MTU サイズ (1500) が VTEP MTU (1600) より小さい場合、tracepath ツールが完了しません。値の大きい ping(たとえば、ping -s 2000)も失敗します。サイズの小さい RTEP MTU は使用できません。

  • 解決した問題 2536980:再起動のステップで PCG のアップグレードが失敗する

    CSM アップグレード UI から PCG をアップグレードできません。PCG CLI の get upgrade progress-status を実行すると、再起動タスクの状態が「成功」と表示されます。PCG は NSX-T 3.0 へのアップグレードに失敗し、動作していません。

  • 解決した問題 2533617:サービスの作成、更新または削除中に、API 呼び出しに成功しても、サービス エンティティの更新が認識されない

    サービス(NatRule、LB VIP など)を作成、更新または削除しているときに、API 呼び出しは成功しますが、バックグラウンドでアクティビティの送信が失敗しているため、サービス エンティティの更新が処理されません。サービスがアクセス不能になります。

  • 解決した問題 2535234:別の vCenter Server に vMotion で移行する場合、仮想マシンのタグがリセットされる

    フェデレーション設定でサイト 1 からサイト 2 に vMotion を実行し、30 分以内にサイト 1 に戻ると、サイト 1 に適用されたタグがリセットされます。仮想マシン タグベースのグローバル ポリシーを使用している場合、ポリシーが適用されません。

  • 解決した問題 2532796:最新の Windows KB のアップデートで HNSEndpoint の削除に失敗する

    Windows を最新の KB アップデート(2020 年 3 月までのアップデート)に更新すると、HNSEndpoint の削除がハングするWindows コンテナ インスタンスを削除できません。同じ HNSEndpoint 名を使用して新しいコンテナを作成すると、競合が発生する可能性があります。

  • 解決した問題 2536877:トランスポート フェーズでロード バランサ ルールが設定されていると、X-Forwarded-For (XFF) に誤ったデータ(HTTPS トラフィック)が示される

    トランスポート フェーズにロード バランサ ルールを使用して、XFF (INSERT/REPLACE) を含む HTTP プロファイルを設定すると、XFF ヘッダーに誤った値が含まれることがあります。

  • 解決した問題 2541232:NSX-T 3.0.0 へのアップグレード時に、CORFU/config ディスク容量が 100% に達することがある

    この問題は、AppDiscovery 機能が有効になっている以前のバージョンの NSX-T からアップグレードする場合にのみ発生します。/config パーティションが 100% に達すると、その後 NSX 管理クラスタが不安定になります。

  • 解決した問題 2538557:IP 検出プロファイルで ARP スヌーピングが有効になっていると、ARP パケットの Spoofguard が機能しないことがある

    IP 検出プロファイルで Spoofguard と ARP スヌーピングが有効になっていても、ゲスト仮想マシンの ARP キャッシュに正しいエントリが存在しない場合があります。ARP パケットで Spoofguard が機能しません。

  • 解決した問題 2550327:グローバル マネージャでドラフト機能がサポートされていないが、ドラフト API を使用できる

    ドラフト機能は、グローバル マネージャ UI で無効になっています。ドラフトの公開は予期したとおり動作しないことがあります。また、グローバル マネージャとローカル マネージャでファイアウォール設定の不一致が生じることがあります。

  • 解決した問題 2546509:ESXi を vSphere 6.7 から vSphere 7.0 にアップグレードした後に、ESXi 7.0 NSX カーネル モジュールがインストールされない

    ESXi を 6.7 から 7.0 にアップグレードすると、トランスポート ノードの状態が「停止」になります。

  • 解決した問題 2543239:NSX-T Data Center 3.0.0 にアップグレードした後、NAT トラフィック フローに特定の NAT ルールのファイアウォール処理が適用されない

    この問題は、NSX-T Data Center 3.0.0 でファイアウォール パラメータ「None」が廃止されたために発生します。ユーザー インターフェイスでファイアウォール パラメータが「なし」に設定されている NAT ルールと、「Firewall_Match」パラメータを指定せずに API を使用して設定されている NAT ルールは、必要なファイアウォール ルールがゲートウェイ ファイアウォールで設定されていても、アップグレード後にファイアウォール処理の対象となりません。

  • 解決した問題 2526083:NSX Manager が NSX Intelligence アプライアンスから切断されると、一部の NSX サービスが正しく機能しない場合がある

    NSX Manager UI の [システム] > [アプライアンス] 画面で、NSX Intelligence アプライアンス カードにエラーが表示されるか、アプライアンスがデータ取得状態で停止していることが表示されます。

既知の問題

既知の問題には次の項目が含まれます。

一般的な既知の問題
  • 問題 2320529:新しく追加されたデータストアにサードパーティの仮想マシンを追加した後に「サービス展開用のストレージにアクセスできません」というエラーが発生する

    クラスタ内のすべてのホストからストレージにアクセスできる場合でも、新しく追加されたデータストアにサードパーティの仮想マシンを追加した後に「サービス展開用のストレージにアクセスできません」というエラーが発生します。このエラー状態は最大 30 分間続きます。

    30 分後に再試行します。あるいは、次の API 呼び出しを行い、データストアのキャッシュ エントリを更新します。

    https://<nsx-manager>/api/v1/fabric/compute-collections/<CC Ext ID>/storage-resources?uniform_cluster_access=true&source=realtime

    ここで:   <nsx-manager> は、サービス展開 API が失敗した NSX Manager の IP アドレス、< CC Ext ID> は、展開が試行されているクラスタの NSX の ID です。

  • 問題 2328126:ベアメタルの問題:NSX アップリンク プロファイルで Linux OS のボンディング インターフェイスを使用するとエラーが返される

    Linux OS でボンディング インターフェイスを作成し、このインターフェイスを NSX アップリンク プロファイルで使用すると、「トランスポート ノードの作成に失敗する可能性があります」というエラー メッセージが表示されます。VMware が Linux OS のボンディングをサポートしていないため、この問題が発生します。VMware では、ベアメタル サーバのトランスポート ノードの Open vSwitch (OVS) ボンディングをサポートしています。

    回避策:この問題が発生した場合は、ナレッジベースの記事 KB67835、「Bare Metal Server supports OVS bonding for Transport Node configuration in NSX-T」を参照してください。

  • 問題 2390624:非アフィニティ ルールにより、ホストがメンテナンス モードのときにサービス仮想マシンの vMotion ができない

    2 台のホストから設定されるクラスタにサービス仮想マシンが展開されている場合、HA ペアに非アフィニティ ルールが設定されていると、メンテナンス モードのタスクの実行中に仮想マシンを他のホストに vMotion できません。これにより、ホストでメンテナンス モードへの切り替えが自動的に行われない可能性があります。

    回避策:vCenter Server でメンテナンス モードのタスクが開始する前に、ホストのサービス仮想マシンをパワーオフします。

  • 問題 2389993:ポリシー画面または API で再配分ルールを変更した後、ルート マップが削除される

    再配分ルールで管理プレーンの UI/API を使用してルート マップが追加されている場合、簡易(ポリシー)UI/API から同じ再配分ルールを変更すると、そのルート マップが削除されます。

    回避策:ルート マップをリストアするには、管理プレーンのインターフェイスまたは API に戻り、同じルールに再度追加します。再配分ルールにルート マップを含める場合は、常に管理プレーンのインターフェイスまたは API を使用して、ルールの作成と変更を行うことをおすすめします。

  • 問題 2329273:同じ Edge ノードで、同じセグメントにブリッジされている VLAN 間が接続されていない

    同じ Edge ノードでセグメントを 2 回ブリッジすることはできません。2 つの異なる Edge ノードの場合、同じセグメントに 2 つの VLAN をブリッジできます。

    回避策:なし 

  • 問題 2355113:Microsoft Azure でネットワークの高速化が有効になっている場合、RedHat および CentOS ワークロード仮想マシンに NSX Tools をインストールできない

    Microsoft Azure で、RedHat(7.4 以降)または CentOS(7.4 以降)ベースのオペレーティング システムを使用し、ネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネット インターフェイスが IP アドレスを取得しません。

    回避策:Microsoft Azure で RedHat または CentOS ベースの仮想マシンを起動した後、NSX Tools をインストールする前に、https://www.microsoft.com/en-us/download/details.aspx?id=55106 にある最新の Linux Integration Services ドライバをインストールします。

  • 問題 2370555:特定のオブジェクトを詳細インターフェイスで削除できるが、簡易インターフェイスに反映されない

    たとえば、詳細インターフェイスの分散ファイアウォール除外リストの設定で、分散ファイアウォールの除外リストの一部として追加されたグループを削除できます。このため、インターフェイスでの動作に一貫性がなくなります。

    回避策:この問題を解決するには、次の手順を実行します。

    1. 簡易インターフェイスで、除外リストにオブジェクトを追加します。
    2. 詳細インターフェイスの分散ファイアウォール除外リストに表示されていることを確認します。
    3. 詳細インターフェイスの分散ファイアウォール除外リストからオブジェクトを削除します。
    4. 簡易インターフェイスに戻り、2 番目のオブジェクトを除外リストに戻して適用します。
    5. 新しいオブジェクトが詳細インターフェイスに表示されていることを確認します。
  • 問題 2520803:EVPN 展開で手動設定するルート識別子とルート ターゲットのエンコード形式

    現在、ルート識別子を手動で設定する場合、Type-0 エンコードと Type-1 エンコードの両方を使用できます。ただし、EVPN 展開でルート識別子を手動で設定する場合は、Type-1 エンコード スキームの使用をおすすめします。また、ルート ターゲットを手動で設定する場合は、Type-0 エンコードを使用する必要があります。

    回避策:ルート識別子に Type-1 エンコードを使用します。

  • 問題 2490064:外部 LB がオンになっている VMware Identity Manager を無効にできない

    外部 LB を使用して NSX で VMware Identity Manager 統合を有効にした後、外部 LB をオフにして統合を無効にしようとすると、最初の設定が再表示され、ローカルの変更が上書きされます。

    回避策:vIDM を無効にする場合は、外部 LB のフラグをオフにせず、vIDM 統合のみをオフにします。これにより、データベースに設定が保存され、他のノードと同期されます。

  • 問題 2516481:「サーバがオーバーロードです」というメッセージが表示され、1 台の UA ノードが新しい API 呼び出しの受け入れを停止する

    「サーバがオーバーロードです」というメッセージが表示され、1 台の UA ノードが新しい API 呼び出しの受け入れを停止します。CLOSE_WAIT 状態では 約 200 の接続が停止しています。これらの接続はまだ終了していません。新しい API 呼び出しは拒否されます。

    回避策:次のコマンドを使用して、proton サービスを再起動します。 

    service proton restart

     

  • 問題 2529228:バックアップとリストアの後、システム内の証明書が不整合な状態になり、ユーザーがバックアップ時に設定した証明書が失われる

    リバース プロキシと APH が、バックアップされたクラスタで使用されていた証明書と別の証明書を使用します。

    回避策:

    1. API POST /api/v1/node/services/http?action=apply_certificate&certificate_id=<証明書の ID> を使用して、3 つの新しいノードのすべてで Tomcat 証明書を元の状態(バックアップされたクラスタと同じ状態)に戻します。証明書の ID は、元のセットアップ(バックアップされたクラスタ)で使用されていた Tomcat 証明書の ID です。
    2. API POST /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=<証明書の id> を使用して、プライマリ ノードにクラスタの証明書を適用します。証明書の ID は、元のセットアップ(バックアップされたクラスタ)で使用されていたクラスタ証明書の ID です。
    3. API POST /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication を使用して、3 つの新しいノードのすべてで APH 証明書を更新し、元の状態(バックアップされたクラスタと同じ状態)に戻します。
    4. GET /api/v1/trust-management/certificates の出力(特に used_by セクション)を調査します。root コマンドラインで次のコマンドを実行して、古いノード UUID(バックアップを実行したクラスタ内のノードの UUID)に関連付けられている証明書をすべて解放します。"curl -i -k -X POST -H 'Content-type: application/json' -H 'X-NSX-Username:admin' -H 'X-NSX-Groups:superuser' -T data.json "http://127.0.0.1:7440/nsxapi/api/v1/trust-management/certificates/cert-id?action=release".この API はローカル専用で、クラスタ内の 1 つのノードのコマンド ラインで root として実行する必要があります。この手順は、古いノード UUID(バックアップを実行したクラスタ内のノードの UUID)に関連付けられているすべての証明書に対して実行する必要があります。 
    5. 使用されていない証明書をすべて削除し、/api/v1/trust-management/certificates とクラスタの安定性を確認します。
  • 問題 2535793:マネージャ ノードで Central Node Config (CNC) の無効化フラグが認識されない

    ユーザーが CNC プロファイル(UI で [システム]、[ファブリック]、[プロファイル] の順に移動)を変更すると、そのマネージャ ノードのローカルで CNC が無効になっていても(CLI で set node central-config disabled を実行)、マネージャ ノードのローカルで行った NTP、Syslog、SNMP 設定の変更が上書きされます。CNC プロファイルが変更されない限り、ローカルの NTP、Syslog、SNMP の設定は維持されます。

    回避策:

    2 つのオプションがあります。

    • オプション 1:ローカルで変更を行わずに CNC を使用します(たとえば、get node central-config で有効にします)。
    • オプション 2:CNC プロファイルをクリアして、マネージャごとに NTP、Syslog、SNMP の設定を行います。オプション 1 からオプション 2 に切り替える場合は、次の回避策を使用します。
    1. CNC プロファイルからすべての設定を削除します。
    2. しばらくしてから、すべてのマネージャ ノードと Edge ノードから設定が削除されていることを確認します(各ノードでノード API または CLI を使用します)。また、すべての KVM HV ノードから SNMP 設定が削除されていることを確認します。
    3. 各マネージャ ノードと Edge ノードで、NTP、Syslog、SNMP を個別に設定します(NSX ノード API または CLI を使用します)。
    4. VMware SNMP エージェントの設定コマンドを使用して、各 KVM HV ノードで VMware SNMP エージェントを個別に設定します。
  • 問題 2537989:仮想 IP アドレス (VIP) をクリアしても、すべてのノードで vIDM 統合がクリアされない

    仮想 IP を持つクラスタで VMware Identity Manager が設定されている場合、仮想 IP を無効にしても、クラスタ全体で VMware Identity Manager 統合はクリアされません。仮想 IP アドレスが無効になっている場合は、個々のノードで vIDM 統合を手動で修正する必要があります。

    回避策:各ノードに移動して、それぞれの vIDM 設定を手動で修正します。

  • 問題 2538956:セグメントでゲートウェイ DHCP を構成するときに、DHCP プロファイルに「未設定」のメッセージが表示され、[適用] ボタンが使用できない

    接続されたゲートウェイに DHCP が設定されていない場合、セグメントにゲートウェイ DHCP を設定しようとすると、保存する有効な DHCP がないため、DHCP プロファイルが適用されません。

    回避策:なし。

  • 問題 2525205:特定の状況下で管理プレーン クラスタの操作が失敗する

    マネージャ N2 で join コマンドを実行してマネージャ N2 をマネージャ N1 に参加させようとすると、join コマンドが失敗します。管理プレーン クラスタを形成できないため、可用性に影響する可能性があります。

    回避策:

    1. クラスタでマネージャ N1 を保持するには、マネージャ N1 で deactivate CLI コマンドを実行します。これにより、他のすべてのマネージャがクラスタから削除され、マネージャ N1 がクラスタの唯一のメンバーになります。
    2. systemctl start corfu-nonconfig-server コマンドを実行して、マネージャ N1 で非設定の Corfu サーバが実行されていることを確認します。
    3. join コマンドを実行して、他の新しいマネージャをクラスタに参加させます。
  • 問題 2526769:マルチノード クラスタでリストアが失敗する

    マルチノード クラスタでリストアを開始すると、リストアが失敗し、アプライアンスの再展開が必要になります。

    回避策:新しい設定(1 ノード クラスタ)を展開し、リストアを開始します。

  • 問題 2538041:グローバル マネージャでマネージャ モードの IP セットを含むグループを作成できる

    マネージャ モードで作成された IP セットを含むグループをグローバル マネージャで作成できます。設定は受け入れられますが、グループはローカル マネージャで認識されません。

    回避策:なし。

  • 問題 2463947:プリエンプティブ モードの HA が設定され、IPsec HA が有効になっているときに、二重にフェイルオーバーが発生すると、VPN 経由のパケット ドロップが発生する

    VPN 経由のトラフィックはピア側でドロップされます。IPsec 再生エラーが増加します。

    回避策:次の IPsec 再キー化を待機します。または、特定の IPsec セッションを無効にして有効にします。

  • 問題 2523212:nsx-policy-manager が応答不能になり、再起動する

    nsx-policy-manager の API 呼び出しが失敗し、サービスが利用不能になります。再起動して使用可能になるまで、ポリシー マネージャにアクセスできなくなります。

    回避策:2,000 個以下のオブジェクトで API を呼び出します。

  • 問題 2482672:分離されたオーバーレイ セグメントを L2VPN 経由で拡張しても、ピアサイトのデフォルト ゲートウェイに到達できない

    サイト 1 とサイト 2 の間で L2VPN トンネル設定され、T0/T1 オーバーレイ セグメントがサイト 1 から L2VPN 経由で拡張され、分離されたオーバーレイ セグメントがサイト 2 から L2VPN 経由で拡張されています。また、同じトランスポート ゾーン内のサイト 2 に別の T0/T1 オーバーレイ セグメントがあり、分離されたセグメントに接続しているワークロード仮想マシンが存在する ESXi ホストに DR のインスタンスがあります。

    分離されたセグメント(サイト 2)上の仮想マシンがデフォルト ゲートウェイ(サイト 1 の DR ダウンリンク)に接続しようとすると、デフォルト ゲートウェイへのユニキャスト パケットはサイト 2 の ESXi ホストによって受信され、リモート サイトには転送されません。ピアサイトのデフォルト ゲートウェイに対する L3 接続が失敗します。

    回避策:サイト 2 の分離されたオーバーレイ セグメントを LR に接続し、サイト 1 と同じゲートウェイ IP アドレスを指定します。

  • 問題 2521071:グローバル マネージャで作成されたセグメントで BridgeProfile 設定を使用していると、レイヤー 2 ブリッジ設定が個々の NSX サイトに適用されない

    セグメントの統合状態が「エラー」のままになります。この状況は、特定の NSX サイトでブリッジ エンドポイントを作成できないことが原因で発生しています。グローバル マネージャで作成されたセグメントに BridgeProfile を設定することができません。

    回避策:NSX サイトにセグメントを作成し、ブリッジ プロファイルを使用して設定します。

  • 問題 2527671:DHCP サーバが設定されていない場合、Tier-0/Tier-1 ゲートウェイまたはセグメントで DHCP 統計/状態を取得すると、認識が成功していないことを示すエラー メッセージが表示される

    これによる機能上の影響はありません。このエラー メッセージは正しくありません。この状況では、DHCP サーバが未設定であることを示すメッセージが表示されるはずです。

    回避策:なし。

  • 問題 2532127:LDAP ユーザーの Active Directory エントリに UPN (userPrincipalName) 属性がなく、samAccountName 属性のみが存在している場合、このユーザーは NSX にログインできない

    ユーザーの認証に失敗し、ユーザーは NSX ユーザー インターフェイスにログインできません。

    回避策:なし。

  • 問題 2540733:クラスタに同じホストを再追加した後、サービス インスタンスが作成されない

    クラスタ内に同じホストを再追加した後、ホストにサービス仮想マシンが存在していても、NSX にサービス インスタンスが作成されません。展開状態は「成功」と表示されますが、特定のホストの保護が停止します。

    回避策:ホストからサービス仮想マシンを削除します。これで発生した問題が NSX のユーザー インターフェイスに表示されます。この問題を解決するために、NSX に新しいサービス仮想マシンとそれに対応するサービス インスタンスが作成されます。

  • 問題 2530822:vCenter Server で NSX-T の拡張機能が作成されても、NSX Manager で vCenter Server の登録に失敗する

    NSX で vCenter Server をコンピュート マネージャとして登録するときに、vCenter Server で com.vmware.nsx.management.nsxt 拡張機能が作成されても、NSX-T でコンピュート マネージャの登録状態が「未登録」のままになります。Edge の自動インストールなど、vCenter Server での操作は vCenter Server コンピュート マネージャで実行できません。

    回避策:

    1. NSX-T Manager からコンピュート マネージャを削除します。
    2. vCenter Server 管理対象オブジェクト ブラウザを使用して、vCenter Server から com.vmware.nsx.management.nsxt 拡張機能を削除します。
  • 問題 2482580:vCenter Server から IDFW/IDS クラスタが削除されると、IDFW/IDS の設定が更新されない

    IDFW/IDS が有効になっているクラスタが vCenter Server から削除されると、NSX 管理プレーンに必要な更新が通知されません。これにより、IDFW/IDS が有効になっているクラスタの数が誤って報告されます。これによる機能上の影響はありません。有効なクラスタの数のみが正しくありません。

    回避策:なし。

  • 問題 2533365:IDFW が有効なクラスタから新しいクラスタ(これまでに IDFW が有効/無効になっていないクラスタ)にホストを移動すると、移動したホストで IDFW が無効にならない

    IDFW が有効なクラスタからクラスタ(これまでに IDFW が有効/無効になっていないクラスタ)にホストを移動した場合、移動したホストで IDFW が有効のままになります。これにより、移動したホストで予期しない IDFW ルールが適用されます。

    回避策:クラスタ 2 で IDFW を有効にしてから無効にします。その後、これらのクラスタ間でホストを移動したり、これらのクラスタで IDFW を有効または無効にすると、予期したとおり機能します。

  • 問題 2534855:簡易 UI またはポリシー API で作成された Tier-0 ゲートウェイのルート マップと再配分ルールが、詳細設定 UI(または MP API)で作成されたルート マップと再配布ルールと置き換わる

    アップグレード中に、詳細設定 UI(または MP API)で直接作成された設定が簡易 UI(またはポリシー API)で作成された既存のルート マップとルールに置き換わります。

    回避策:詳細設定 UI (MP UI) で作成された再配布ルール/ルート マップがアップグレード後に失われた場合は、詳細設定 UI (MP) または簡易 UI(ポリシー)からルールを作成できます。再配布ルールには常にポリシーまたは MP のいずれかを使用します。両方を同時に使用することはできません。NSX-T 3.0 では、再配布で完全にサポートされている機能が使用できます。

  • 問題 2535355:特定の状況下で NSX-T 3.0 にアップグレードすると、セッション タイマーが有効にならないことがある

    セッション タイマーの設定が有効になりません。接続セッション(tcp established、tcp fin wait など)は、カスタム セッションタ イマーではなく、システムのデフォルト セッション タイマーを使用します。これにより、接続 (tcp/udp/icmp) セッションが予想より長いまたは短い時間で確立することがあります。

    回避策:なし。

  • 問題 2534933:LDAP ベースの CDP(CRL 配布ポイント)を含む証明書が Tomcat/クラスタ証明書として適用できない

    LDAP CDP を含む CA 署名付き証明書をクラスタ/Tomcat 証明書として使用できません。

    回避策:VMware のナレッジベースの記事 KB78794 を参照してください。

  • 問題 2499819:vMotion のエラーのため、vCenter Server 6.5 または 6.7 で NSX for vSphere から NSX-T Data Center へのメンテナンス ベースのホスト移行が失敗することがある

    次のエラー メッセージがホストの移行画面に表示されます。
    ホストを移行するときに、移行前のステージでエラーが発生しました [理由:[vMotion] 移行を続行できません。仮想マシン b'3-vm_Client_VM_Ubuntu_1404-shared-1410' に対する vMotion が最大試行回数に達しました]。

    回避策:ホストの移行を再試行します。

  • 問題 2518183:Manager UI の画面で、[アラーム] 列に最新のアラーム数が表示されないことがある

    最近生成されたアラームが Manager のエンティティ画面に反映されません。

    回避策:

    1. NSX Manager のエンティティ画面を更新して、正しいアラーム数を確認します。
    2. アラームの詳細が表示されない場合は、アラームのダッシュボード ページで確認することもできます。
  • 問題 2543353:NSX T0 Edge が、IPsec トンネル トラフィックの ESP カプセル化の後に誤った UDP チェックサムを計算する

    UDP パケットのチェックサムが正しくないため、トラフィックがドロップされます。

    回避策:なし。

  • 問題 2561740:NSGroup で有効なメンバーが更新されないため、PAS 出力 DFW ルールが適用されない

    ConcurrentUpdateException により、LogicalPort の作成が処理されず、対応する NSGroup の更新に失敗します。

    回避策:なし。

  • 問題 2556730:LDAP ID ソースを設定するときに、LDAP ドメイン名に大文字と小文字が混在していると、[LDAP グループ] の [NSX Role Mapping] で認証が機能しない

    ユーザーがログインを試みると、NSX へのアクセスが拒否されます。

    回避策:LDAP ID ソースの設定で [ドメイン名] フィールドに小文字のみを使用します。

  • 問題 2557287:バックアップ後に実行した TNP の更新がリストアされない

    リストアされたアプライアンスで、バックアップ後に行った TNP の更新が表示されません。

    回避策:TNP の更新後にバックアップを作成します。

  • 問題 2577452:グローバル マネージャで証明書を置き換えると、このグローバル マネージャに追加された場所が切断される

    グローバル マネージャでリバース プロキシまたはアプライアンス プロキシ ハブ (APH) の証明書を置き換えると、このグローバル マネージャに追加された場所との接続が切断されます。これは、REST API と NSX RPC の接続が切断されることが原因で発生します。

    回避策:

    • 次の API を使用してローカル マネージャまたはグローバル マネージャの証明書を変更する場合は、この問題を回避するために、さらに設定を変更する必要があります。
      • ノード API 証明書の変更:POST https:// /api/v1/node/services/http?action=apply_certificate&certificate_id=
      • クラスタ API 証明書の変更:POST https:// /api/v1/cluster/api-certificate?action=set_cluster_certificate&certificate_id=
      • アプライアンス プロキシ証明書の変更:POST https:// /api/v1/trust-management/certificates?action=set_appliance_proxy_certificate_for_inter_site_communication
    • ローカル マネージャノードまたはクラスタの API 証明書を変更する場合は、この場所をグローバル マネージャから再度追加する必要があります。
    • グローバル マネージャノードまたはクラスタの API 証明書を変更する場合は、以前に接続していた場所をすべてグローバル マネージャから再度追加する必要があります。
    • ローカル マネージャでアプライアンスのプロキシ証明書を変更する場合は、クラスタ内のすべてのノードで restart service applianceproxy を実行してアプライアンス プロキシ サービスを再起動し、場所をグローバル マネージャから再度追加する必要があります。

    『NSX-T Data Center インストール ガイド』の「場所の追加」を参照してください。 

  • 問題 2730634:ユニスケール アップグレードの後でネットワーク コンポーネントのページに「インデックスが同期していません」というエラーが表示される

    ユニスケール アップグレードの後でネットワーク コンポーネントのページに「インデックスが同期していません」というエラーが表示されます。

    回避策:管理者認証情報を使用して NSX Manager にログインし、start search resync policy コマンドを実行します。ネットワーク コンポーネントのロードに数分かかります。

  • 問題 2761589:NSX-T 2.x から NSX-T 3.x にアップグレードした後、管理プレーンのデフォルト レイヤー 3 ルールの設定が DENY_ALL から ALLOW_ALL に変更される

    この問題は、ポリシーでルールが設定されず、管理プレーンのデフォルト レイヤー 3 ルールに DROP アクションが設定されている場合にのみ発生します。アップグレード後、管理プレーンのデフォルト レイヤー 3 ルールの設定が DENY_ALL から ALLOW_ALL に変更されます。

    回避策:アップグレード後にポリシー UI を使用して、デフォルトのレイヤー 3 ルールのアクションを DROP に設定します。

インストールに関する既知の問題
  • 問題 2522909:Invaildurl でアップグレードの展開に失敗した場合、URL を修正すると、サービス仮想マシンのアップグレードが機能しない

    URL が間違っているため、アップグレードが失敗状態になり、アップグレードがブロックされます。

    回避策:アップグレードをトリガする新しい deployment_spec を作成します。

  • 問題 2530110:NSX-T Data Center 3.0.0 にアップグレードした後または NSX Manager ノードを再起動した後、クラスタの状態が「劣化」になる

    再起動されたノードの監視アプリケーションが停止しているため、監視グループが「劣化」状態になります。リストアが失敗する可能性があります。監視アプリケーションが停止している Manager からのアラームは表示されないことがあります。

    回避策:監視アプリケーションが停止し、影響を受けている NSX-T Manager ノードを再起動します。

アップグレードに関する既知の問題
  • 問題 2475963:容量不足のため、NSX-T VIB のインストールに失敗する

    ESXi ホストの bootbank に十分な容量がないため、NSX-T VIB のインストールに失敗し、BootBankInstaller.pyc: ERROR が返されます。サードパーティ ベンダーから提供される ESXi イメージに、未使用でサイズが比較的大きい VIB が含まれていることがあります。その場合、VIB のインストール/アップグレード時に bootbank/alt-bootbank の容量が不足することがあります。

    回避策:ナレッジベースの記事 KB74864、「NSX-T VIBs fail to install, due to insufficient space in bootbank on ESXi host」を参照してください。

  • 問題 2400379:[コンテキスト プロファイル] 画面に、サポートされていない APP_ID エラー メッセージが表示される

    [コンテキスト プロファイル] 画面に、次のエラーメッセージが表示されます。「このコンテキスト プロファイルは、サポートされていない APP_ID - [<APP_ID>] を使用しています。どのルールでも使用されていないことを確認してから、このコンテキスト プロファイルを手動で削除してください。」この問題は、データパスで機能しなくなった 6 つの非推奨 APP_ID(AD_BKUP、SKIP、AD_NSP、SAP、SUNRPC、SVN)がアップグレード後に存在するために発生します。

    回避策:使用されていないことを確認してから、6 つの APP_ID コンテキスト プロファイルを手動で削除します。

  • 問題 2462079:ESXi ホストに古い DV フィルタが存在すると、アップグレード中に ESXi ホストの一部のバージョンが再起動する

    ESXi 6.5-U2/U3 または 6.7-U1/U2 を実行しているホストの場合、メンテナンス モードで NSX-T 2.5.1 にアップグレードしている間にホストが再起動することがあります。この再起動は、仮想マシンの移動後にホストで古い DV フィルタが見つかると発生します。

    回避策:NSX-T Data Center のアップグレード中にホストが再起動しないようにするには、NSX-T Data Center 2.5.1 にアップグレードする前に、ESXi 6.7 U3 または ESXi 6.5 P04 にアップグレードします。詳細については、ナレッジベースの記事 KB76607 を参照してください。

NSX Edge に関する既知の問題
  • 問題 2283559:Edge に 65k 以上のルート(RIB の場合)または 100k 以上のルート(FIB の場合)が存在すると、https://<nsx-manager>/api/v1/routing-table と https://<nsx-manager>/api/v1/forwarding-table MP APIs でエラーが発生する

    Edge で RIB に 65,000 以上のルート、FIB に 100,000 以上のルートがある場合、管理プレーンから Edge への要求に 10 秒以上かかり、この結果タイムアウトになります。これは読み取り専用 API であり、API/ユーザー インターフェイスを使用して、RIB の 65,000 以上のルートおよび FIB の 100,000 以上のルートをダウンロードする必要がある場合にのみ影響を受けます。

    回避策:RIB/FIB を取得するには、2 つのオプションがあります。

    • これらの API では、ネットワーク プレフィックスまたはルートのタイプに基づくフィルタリング オプションをサポートしています。これらのオプションを使用して、目的とするルートをダウンロードします。
    • RIB/FIB テーブル全体が必要な場合は CLI でサポートします。これによるタイムアウトはありません。
  • 問題 2521230:get bgp neighbor summary で表示された BFD の状態に、最新の BFD セッションの状態が正しく反映されないことがある

    BGP と BFD のセッションは個別に設定できます。get bgp neighbor summary を実行すると、BGP で BFD の状態も表示されます。BGP が停止している場合、BFD 通知は処理されず、最後に確認された状態が引き続き表示されます。このため、BFD の古い状態が表示される場合があります。

    回避策:get bfd-sessions の出力で [State] フィールドを確認し、BFD の最新の状態を取得します。

  • 問題 2532755:ルーティング テーブルの CLI 出力とポリシー出力が一致しない

    UI からダウンロードしたルーティング テーブルに、CLI 出力より多くのルートが表示されます。ポリシーからダウンロードした出力には、追加のルート(デフォルト ルート)が表示されます。これによる機能上の影響はありません。

    回避策:なし。

NSX Cloud に関する既知の問題
  • 問題 2289150:PCM から AWS への 呼び出しが開始しない

    CSM で AWS アカウントの PCG ロールを old-pcg-role から new-pcg-role に更新すると、CSM では、AWS の PCG インスタンスのロールを new-pcg-role に更新します。しかし、PCM では PCG のロールが更新されたことを認識していないため、この結果、引き続き old-pcg-role を使用して作成された、以前の AWS クライアントを使用します。これにより、AWS クラウド インベントリ スキャンが発生し、他の AWS クラウドの呼び出しは失敗します。

    回避策:この問題が発生した場合、新しいロールに変更してから 6.5 時間以上は、以前の PCG ロールを変更/削除しないでください。PCG を再起動すると、新しいロールの認証情報を使用してすべての AWS クライアントが再初期化されます。

セキュリティに関する既知の問題
  • 問題 2491800:AR チャネル SSL 証明書の有効性が定期的に確認されないため、既存の接続に対して有効期限の切れた証明書または失効した証明書が使用される可能性がある

    この接続では期限切れの SSL または失効した SSL が使用されます。

    回避策:マネージャ ノードの APH を再起動して、再接続をトリガーします。

フェデレーションに関する既知の問題
  • 問題 2622672:フェデレーションでベアメタル Edge ノードを使用できない

    場所間の通信 (RTEP) にはベアメタル Edge ノードを設定できません。

  • 問題 2630808:3.0.0/3.0.1 からそれ以降のリリースにアップグレードすると処理が中断する

    グローバル マネージャまたはローカル マネージャを 3.0.0/3.0.1 からそれ以降のリリースにアップグレードした直後に、GM と LM 間の通信を行うことはできません。

    回避策:LM と GM 間の通信を復元するには、すべての LM と GM を新しいリリースにアップグレードする必要があります。

  • 問題 2630813:コンピューティング仮想マシンの SRM リカバリまたはコールド vMotion を実行すると、仮想マシンとセグメント ポートに適用されたすべての NSX タグが消える

    SRM リカバリのテストまたは実行を開始すると、ディザスタ リカバリの場所にレプリケートされたコンピューティング仮想マシンに NSX タグが適用されません。別の LM で管理されている別の場所に仮想マシンのコールド vMotion を実行した場合にも、新しい場所の仮想マシンに NSX タグが適用されません。

  • 問題 2630819:GM で LM を登録した後に LM 証明書が変更される

    同じ LM でフェデレーションと PKS を使用する場合、GM で LM を登録する前に、外部 VIP の作成と LM 証明書の変更を行う PKS タスクを実行する必要があります。この順序が逆になると、LM 証明書を変更しても LM と GM 間の通信が行われず、LM の再登録が必要になります。

check-circle-line exclamation-circle-line close-line
Scroll to top icon