VMware NSX-T Data Center 3.1.1 | 2021 年 1 月 27 日 | ビルド 17483185

本リリース ノートの追加情報およびアップデート情報を定期的に確認してください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

NSX-T Data Center 3.1.1 では、プライベート、パブリック、マルチクラウドの仮想ネットワークとセキュリティに関連するさまざまな新機能が追加されています。強化された領域と新機能は次のとおりです。

L3 ネットワーク

  • Tier-0 ゲートウェイでの OSPFv2 のサポート
    • NSX-T Data Center で、Tier-0 ゲートウェイと物理ルーター間の動的ルーティング プロトコルとして OSPF バージョン 2 がサポートされるようになりました。OSPF は外部インターフェイスでのみ有効にできます。また、複数の Edge ノード間であっても、すべてを同じ OSPF エリア(標準エリアまたは NSSA)にすることができます。これにより、すでに OSPF を使用している NSX for vSphere 環境から NSX-T Data Center への移行が容易になります。

NSX Data Center for vSphere から NSX-T Data Center への移行

  • 単一サイトでのユニバーサル オブジェクトの移行をサポート
    • プライマリ モード(セカンダリではない)の NSX Manager が 1 つだけ存在する NSX Data Center for vSphere 環境を移行できます。これは単一の NSX 環境であるため、オブジェクト(ローカルおよびユニバーサル)はローカルの NSX-T 上のローカル オブジェクトに移行されます。この機能は、プライマリ NSX Manager とセカンダリ NSX Manager が存在する Cross-vCenter 環境には対応していません。
  • vRealize Automation フェーズ 2 での NSX-V 環境の移行
    • Migration Coordinator と vRealize Automation (vRA) の連携により、vRealize Automation を使用して、自動化機能を提供する環境を移行することができます。このリリースでは、NSX-T 3.1.0 ですでにサポートされているものに加えて、新しいトポロジとユースケースが追加されています。
  • ホストおよび分散ファイアウォールのモジュールごとの移行
    • NSX-T Migration Coordinator に、分散ファイアウォール設定とホストのみを移行し、ユーザーが論理トポロジ(L3 トポロジ、サービス)を設定できる新しいモードが追加されました。Migration Coordinator のインプレース移行(メンテナンス モードでの NSX-V から NSX-T へのホスト移行、ファイアウォールの状態とメンバーシップの維持、移行中の NSX for vSphere と NSX-T 間でのレイヤー 2 の拡張)を使用すると、自分(またはサードパーティの自動化)で Tier-0/Tier-1 のゲートウェイと関連サービスを展開できるので、より柔軟なトポロジの設定が可能です。この機能は、UI と API から使用できます。
  • UI を使用した分散ファイアウォールのモジュールごとの移行
    •  NSX-T ユーザー インターフェイスで、ファイアウォール ルールのモジュールごとの移行が可能になりました。これは 3.1.0(API のみ)で導入された機能で、ファイアウォール設定、メンバーシップ、状態を NSX Data Center for vSphere 環境から NSX-T Data Center 環境に移行できます。この機能を使用すると、リフトアンドシフト移行を効率的に行うことができます。ファイアウォール ルールを移行して状態とメンバーシップを維持しながら(古い環境と新しい環境間の仮想マシンのセキュリティを維持しながら)、NSX for vSphere のホストが存在する環境と NSX-T のホストが存在する環境の間で仮想マシンの vMotion を実行できます。
  • vMotion、分散ファイアウォールの移行、ブリッジによる L2 拡張を利用したリフトアンドシフトで完全に検証されたシナリオ
    • この機能は、2 つの並列環境間の移行(リフトアンドシフト)に完全に対応しています。NSX-T ブリッジを利用して NSX for vSphere と NSX-T 間の L2 を拡張しながら、モジュールごとに分散ファイアウォールを移行できます。

Identity Firewall

  • Identity Firewall 構成での NSX ポリシー API のサポート - Identity Firewall ルールで使用する Active Directory の設定を NSX ポリシー API (https://<nsx-mgr>/policy/api/v1/infra/firewall-identity-stores) で設定できるようになりました。これは、既存の NSX Manager API (https://<nsx-mgr>/api/v1/directory/domains) に相当します。

Advanced Load Balancer の統合

  •  Avi 設定のサポート ポリシー API
    • NSX ポリシー API を使用して、仮想サービスとその依存オブジェクトの NSX Advanced Load Balancer 設定を管理できます。一意のオブジェクト タイプが https://<nsx-mgr>/policy/api/v1/infra/alb-<objecttype> エンドポイントを介して公開されます。
       
  • サービス挿入フェーズ 2
    • この機能は、NSX-T Advanced Load Balancer (Avi) の透過的な LB をサポートします。Avi は、クライアントの IP アドレスを送信元の IP アドレスとして、ロード バランシングされたトラフィックをサーバに送信します。この機能は、サービス挿入を使用してリターン トラフィックをサービス エンジンにリダイレクトします。サーバ側の変更を行わずに、透過的なロード バランシングを実現できます。

Edge プラットフォームとサービス

  • サービス インターフェイスでの DHCPv4 リレー
    • Tier-0 および Tier-1 ゲートウェイは、サービス インターフェイスで DHCPv4 リレーをサポートします。これにより、サードパーティの DHCP サーバを物理ネットワーク上に配置できます。 

AAA とプラットフォームのセキュリティ

  • ゲスト ユーザー - ローカル ユーザー アカウント:NSX では、企業の ID ストアを連携し、NSX-T の通常の運用にユーザーをオンボーディングできますが、多くのシナリオでは、ID とアクセスの管理を容易にするため、ローカル ユーザーを限定する必要があります。たとえば、次のようなシナリオが考えられます。(1) 展開の初期段階で、ID ソースを非管理モードで設定する前に、NSX をブートストラップし、稼動させる。(2) 企業 ID リポジトリとの通信やアクセスに失敗する。このような場合、ローカル ユーザーの使用は NSX-T を正常な動作状態にするのに効果的です。また、次のような場合もあります。(3) 業界または政府の規制を遵守するために特定の状態を維持するように NSX を管理する。この場合も、ローカル ゲスト ユーザーの使用は効果的です。これらのユースケースに対応し、操作を容易にするため、3.1.1 では、既存の管理者と監査ローカル ユーザーに加えて、2 つのゲスト ローカル ユーザーが導入されています。この機能を使用すると、NSX 管理者はユーザーのライフサイクルの管理(パスワードのローテーションなど)に対する権限を拡張し、RBAC 権限のカスタマイズや割り当てが可能になります。ローカル ユーザー機能は、NSX-T ローカル マネージャ (LM) とグローバル マネージャ (GM) の両方で使用できますが、3.1.1 の Edge ノードでは API と UI を介して使用することはできません。ゲスト ユーザーはデフォルトで無効になっています。使用する場合は明示的に有効にする必要があります。この機能はいつでも無効にできます。 
     
  • FIPS 準拠の Bouncy Castle へのアップグレード:NSX-T 3.1.1 には、FIPS 準拠 Bouncy Castle (v1.0.2.1) の更新バージョンが含まれています。Bouncy Castle モジュールは、Java ベースの暗号化ライブラリ、機能、API のコレクションです。Bouncy Castle モジュールは NSX-T Manager で広く使用されています。アップグレードしたバージョンでは、重要なセキュリティ バグが解決され、NSX-T でコンプライアンスを維持したセキュアな運用を行うことができます。 

NSX Cloud

  • Azure での NSX マーケットプレイス アプライアンス:NSX-T 3.1.1 以降では、NSX 管理プレーンと制御プレーンをパブリック クラウドに完全に展開することができます(Azure、NSX-T 3.1.1 のみ。AWS は今後のリリースでサポートされる予定)。NSX 管理/制御プレーン コンポーネントと NSX Cloud Public Cloud Gateway (PCG) は、VHD としてパッケージ化され、Azure Marketplace で利用できます。パブリック クラウドに新規に展開する場合は、ワンクリックの terraform スクリプトを使用して、Azure に NSX を完全にインストールすることもできます。 
  • NSX Cloud Service Manager の HA:パブリック クラウドに NSX 管理/制御プレーンを展開する場合、NSX Cloud Service Manager (CSM) でも HA を有効にできます。PCG はすでにアクティブ/スタンバイ モードで展開されているため、HA を有効にできます。 
  • NSX-Cloud for Horizon Cloud VDI の機能強化:NSX-T 3.1.1 以降では、NSX Cloud を使用して Azure の Horizon VDI を保護する場合、NSX Agent を Horizon Agent と一緒に VDI にインストールできます。この機能を使用すると、複数のコンポーネント(VDI、PCG など)とそれぞれの OS バージョンに関する問題の 1 つが解決されます。任意のバージョンの PCG を仮想マシン上の任意のバージョンのエージェントと連携できます。互換性がない場合は、既存のフレームワークを利用して、互換性のないバージョンが NSX Cloud Service Manager (CSM) に表示されます。 

運用

  • NSX-T Data Center で UI ベースのアップグレード準備ツールを使用して NVDS を VDS に移行
    • NSX-T でトランスポート ノードを NVDS から VDS に移行するときに、アップグレード準備ツールを使用できます。このツールは、NSX Manager ユーザー インターフェイスの [はじめに] ウィザードに表示されます。このツールを使用して NSX 設定で推奨の VDS を取得し、NSX で推奨の VDS を作成または編集すると、ESX ホストを vSphere Hypervisor (ESXi) 7.0 U2 にアップグレードするときに、スイッチが NVDS から VDS に自動的に移行されます。

ライセンス

  • NSX-T Data Center ユーザーに対してすべての vSphere Edition で VDS を有効化:NSX-T 3.1.1 以降では、vSphere のすべてのバージョンで VDS を使用できます。VDS を使用するには、同等の数の CPU ライセンスの使用資格が必要です。この機能により、VDS をインスタンス化できます。

コンテナのネットワークとセキュリティ

  • このリリースでは、vSphere with Tanzu が有効なクラスタで、vCenter Server ごとに vLCM で有効にした最大 50 個のクラスタ(ESXi クラスタ)がサポートされます。詳細は、configmax.vmware.com を参照してください。

フェデレーション

互換性とシステム要件

互換性とシステム要件の詳細については、『NSX-T Data Center インストール ガイド』を参照してください。

API の廃止と動作の変更

未割り当てのタグの保持期間:NSX-T 3.0.x では、割り当てられた仮想マシンが 0 の NSX タグは 5 日後に自動的に削除されます。NSX-T 3.1.0 では、システム タスクが毎日実行されるように変更されました。1 日以上経過している未割り当てのタグはクリーンアップされます。未割り当てのタグを手動で強制的に削除する方法はありません。

証明書拡張機能の重複の禁止:NSX-T 3.1.1 以降では、安全な証明書管理を行うための RFC ガイドラインおよび業界のベスト プラクティスに従い、拡張機能(またはフィールド)が重複している x509 証明書が拒否されます。3.1.1 へのアップグレード前にすでに使用されている証明書に影響はありません。それ以外の場合は、NSX 管理者が既存の証明書を置換したり、NSX-T 3.1.1 の展開後に新しい証明書をインストールしようとすると、この制限が適用されます。

API および CLI リソース

NSX-T Data Center の API または CLI を自動化に使用する場合には、code.vmware.com を参照してください。

使用可能な言語

NSX-T Data Center は英語、ドイツ語、フランス語、日本語、簡体字中国語、韓国語、繁体字中国語、スペイン語でご利用いただけます。NSX-T Data Center のローカライズではブラウザの言語設定が使用されるため、設定が目的の言語と一致することを確認してください。

ドキュメントの改訂履歴

2021 年 1 月 27 日。初版。
2021 年 2 月 5 日。第 2 版。既知の問題に 2663483、2693576、2697537 および 2711497 を追加しました。
2021 年 3 月 4 日。第 3 版。「新機能」セクションに「フェデレーション」を追加しました。
2021 年 4 月 26 日。第 4 版。既知の問題に 2674759、2679344、2689867、2697116、2738345、2740587 を追加しました。
2021 年 6 月 16 日。第 5 版。解決した問題 2668561 を追加しました。
2021 年 9 月 17 日。第 6 版。既知の問題 2761589 について記載しました。

解決した問題

  • 解決した問題 2641824:UI で、BFD プロファイルの認識状態が「未初期化」と表示される

    この問題による影響はありません。この認識状態は無視できます。

  • 解決した問題 2643313:オンボーディングされたサイトで正常に認識されているグローバル T0 の認識状態が、サイト エッジのトランスポート ノードで論理ルーター ポート設定の認識エラーが起きていることを示している

    T0 論理ルーター ポートの認識で失敗し、認識エラーが通知されることがあります。ポリシー API を使用している場合、これは一時的なものであり、T0-T1 の配線が完了すると解決されます。

  • 解決した問題 2643632:ローカル マネージャで、ネストされたサービスとしてグローバル サービスを追加してもエラーが表示されない

    ポリシーのインテントは正常に作成されましたが、認識で失敗します。ローカル サービスが管理プレーンで認識されないため、分散ファイアウォール ルールで使用できません。

  • 解決した問題 2646814:適用ポイントごとの個々の統合状態は SUCCESS と表示されているが、全体の統合状態は IN_PROGRESS となっている

    統合状態が IN_PROGRESS になっていますが、IN_PROGRESS 状態のサイトについての情報は提供されません。

  • 解決した問題 2648349:管理プレーンがトレースフローの観測情報または LiveTrace のトレース アクションの結果を収集しているときに、ObjectNotFoundException ログと例外のバックトレースが繰り返し発生する

    LTA/トレースフロー セッションを作成すると、nsxapi.log に ObjectNotFoundException ログが繰り返し記録されます。

  • 解決した問題 2650292:フェデレーションで、子グループが 2 つの異なるグループで使用され、2 番目の親グループの範囲のほうが大きい場合、参照オブジェクトが作成されるため、子グループの範囲が最初のグループの範囲よりも大きくなる最初のグループの範囲は拡張可能ですが、元の範囲に戻すことはできません。

    グローバル マネージャのドメインの範囲を縮小することもできません。

  • 解決した問題 2654842:Windows 物理サーバのトランスポート ノードが作成される前にセグメント ポートが作成され、セグメント ポートが失敗状態になる

    トランスポート ノードの状態が「成功」になってから Windows 物理サーバのセグメント ポートの作成を続行するように指示する警告が UI に表示されません。トランスポート ノードが正常な状態になる前にセグメント ポートを作成しようとすると、作成に失敗します。

  • 解決した問題 2658484:vSphere Update Manager を使用して NVDS から CVDS への移行を行う場合、vSphere Update Manager の並行モードが完全にサポートされていない

    vSphere Update Manager の並行モードで ESX をアップグレードして移行がトリガされた場合、NVDS から CVDS への移行で問題が発生することがあります。スイッチが NVDS から CVDS に自動的に移行されません。システムが不整合な状態になることがあります。

  • 解決した問題 2649228:フェイルオーバーで IP を別の SR に移動しているときに、IPv6 重複 IP 検出 (DAD) の状態マシンにより、T0/T1 SR バックプレーン ポートと T1 SR アップリンク ポートで 3 秒の遅延が発生する 

    T0 A/A のフェイルオーバーで、N-S 接続の v6 トラフィックが最大で 6 秒間失われます。

  • 解決した問題 2661502:想定外の切り替えの後で UI からグローバル マネージャをスタンバイに設定できない。このグローバル マネージャは切断され、切り替え後にオンラインに戻る

    スタンバイ グローバル マネージャに切り替えて新しいアクティブなグローバル マネージャにした後、前のアクティブ グローバル マネージャがオンラインに戻ると、前のアクティブ グローバル マネージャの状態が「なし」になります。UI を使用して、これをスタンバイ グローバル マネージャとして設定しようとすると、操作が失敗します。

  • 解決した問題 2623704:管理プレーンの API を使用して L3 転送モードを設定すると、ポリシーによって管理プレーンの変更がデフォルト モード IPV4_ONLY に上書きされ、IPv6 接続が中断される

    L3 転送モードの設定は、NSX-T 3.0.0 リリースのポリシーで導入されました。この問題は、NSX-T 3.0.1 と 3.0.2 から NSX-T 3.1.0 にアップグレードした場合に発生します。NSX-T 2.5.x から NSX-T 3.1.0 へのアップグレードと NSX-T 3.0.0 から NSX-T 3.1.0 へのアップグレードには影響ありません。データパスで IPv6 転送が無効になり、IPv6 接続が失われます。

  • 解決した問題 2674146:NSX-T 3.1.0 にアップグレードするときに、ホストのアップグレード セクションに [ステージ] ボタンが表示され、すべてのクラスタ/ホスト グループに対してアクティブになる。このオプションは vSphere Lifecycle Management (vLCM) 対応のクラスタにのみ適用可能で、vLCM での NSX-T サポートが有効になるのは NSX-T 3.1.0 と vSphere 7.0 U1 バージョンの組み合わせ以降であるため、このシナリオには適用されない

    vSphere Lifecycle Management はどのクラスタでも有効になっていませんが、[ステージ] ボタンはすべてのクラスタでアクティブです。[ステージ] オプションをクリックすると、確認メッセージが表示されます。[はい] をクリックすると、クラスタはアップグレード用にステージングされているように表示されます。次に、[開始] をクリックしてアップグレードを開始すると、クラスタは、通常の NSX ホストのアップグレードによって開始された場合と同じようにアップグレードされます。

  • 解決した問題 2659168:非同期レプリケータ チャネルは、ノードの再起動中に停止したままになることがある

    同期の状態が停止します。グローバル マネージャへの変更がローカル マネージャに反映されません。

  • 解決した問題 2655295:アップグレード後、リポジトリ同期の状態が NSX Manager ユーザー インターフェイスで失敗とマークされる

    NSX Manager ユーザー インターフェイスでリポジトリ同期の状態が失敗と表示されます。ただし、すべてのインストールおよびアップグレード関連の操作を実行できます。

  • 解決した問題 2658950:ローカル マネージャがその仮想 IP アドレスを使用してグローバル マネージャに追加され、その後でローカル マネージャの FQDN が公開されると、ローカル マネージャのアップグレード ワークフローが中断される

    ローカル マネージャがその仮想 IP アドレスを使用してグローバル マネージャに追加され、その後でローカル マネージャの FQDN を公開した場合、グローバル マネージャはローカル マネージャにアクセスしてアップグレードを続行できません。

  • 解決した問題 2609681:レイヤー 7 APPID または FQDN コンテキスト プロファイルがあるルールでは、DFW jumpto ルール アクションがサポートされない

    トラフィックは、vMotion 後に意図したルールと一致しません。ルールの一致が正しくないため、ブロックされることが想定されるトラフィックの通過が許可されます。

  • 解決した問題 2657943:複数のディスクを持つベアメタル サーバに展開された Edge のアップグレードが失敗することがある

    更新の途中でシステムが再起動するときに、ファイル システムのマウントに関連するエラーで起動が失敗します。Edge のアップグレードが失敗します。

  • 解決した問題 2653227:NSX から物理サーバを削除すると、物理サーバへの接続が失われ、NSX のアンインストールに失敗する

    物理サーバ上のセグメント ポートの接続インターフェイスは、「既存の IP アドレスを使用」として設定されます。  最初にセグメント ポートを削除せずに NSX から物理サーバを削除すると、物理サーバへの接続が失われ、NSX のアンインストールに失敗します。

  • 解決した問題 2658199:  Windows ベアメタル サーバ 2016/2019 を追加すると、NSX スイッチの設定を適用する手順で「ホストが切断されました」というエラーが表示される

    エラー メッセージの内容が実際に問題になっているかどうかに関係なく、インストールが続行され、最終的には正常に終了したように見えます。

  • 解決した問題 2658713:Tier-0 セグメントに接続されたワークロードがグループ G の IGMP Leave を送信するときに、エントリは Tier-0 SR の IGMP スヌーピング テーブルから削除されない

    Tier-0 セグメントに接続されたワークロードがグループ G の IGMP Leave を送信するときに、エントリは Tier-0 SR の IGMP スヌーピング テーブルから削除されません。

  • 解決した問題 2652154:サイト間で多数のリソースが削除されるシナリオでは、グローバル マネージャの削除の処理が遅くなる可能性がある

    サイトでのクリーンアップが保留されている多くのリソースのスパンに影響を与えるため、特定のリソースを作成または削除できないというエラー メッセージが表示されます。これらのエラー メッセージは、グローバル マネージャがすべてのサイトからの多くのリソースのクリーンアップの確認応答を処理中であることを示しています。

  • 解決した問題 2659234:ライブ トラフィック分析 (LTA) 要求を並行してトリガした場合、LTA セッションが解放されない

    未確認の LTA セッションがある場合。

    1. ホストは LTA の結果を継続的に管理プレーン (MP) に報告するため、MP は常にリーク LTA セッションを受信し、nsxapi.log にログを出力します。
    2. 未確認の LTA セッションがあるホストから送信されたパケットには、LTA INT Geneve ヘッダーが埋め込まれます。
  • 解決した問題 2622846:プロキシ設定が有効になっている IDS が、シグネチャのダウンロードに使用される GitHub にアクセスできない

    シグネチャ バンドルの新しい更新のダウンロードに失敗します。

  • 解決した問題 2656929:Windows 2016/2019 物理サーバが完了していない場合、セグメント ポートを作成しようとすると、セグメント ポートが失敗する

    セグメント ポートの障害が表示されます。

  • 解決した問題 2645877:ベアメタル Edge で、VRF ゲートウェイを通過するトラフィックが宛先に到達できない場合がある

    リンク パートナーのパケット キャプチャで、IP ヘッダーにチェックサムがなく、断片化オフセットのあるパケットが受信されていることが示されています。パケットが破損しているため、VRF ゲートウェイを通過するトラフィックがドロップされます。

  • 解決した問題 2637241:ローカル マネージャの証明書の置き換え後、グローバル マネージャからローカル マネージャへの通信が切断される(パスワード/サムプリントに依存するワークフロー)

    グローバル マネージャとローカル マネージャ間の通信で、状態の更新や一部の機能を使用できません。

  • 解決した問題 2522909:無効な URL でアップグレードの展開に失敗したときに、URL を修正しても、サービス仮想マシンをアップグレードできない

    URL が間違っているため、アップグレードが失敗状態になり、アップグレードがブロックされます。

  • 解決した問題 2527671:DHCP サーバが設定されていない場合、Tier-0/Tier-1 ゲートウェイまたはセグメントで DHCP 統計/状態を取得すると、認識されていないことを示すエラー メッセージが表示される

    これによる機能上の影響はありません。このエラー メッセージは正しくありません。この状況では、DHCP サーバが未設定であることを示すメッセージが表示されるはずです。

  • 解決した問題 2549175:ポリシーの検索でエラーが発生し、次のメッセージが表示される。「Unable to resolve with start search resync policy.」というメッセージが表示される

    NSX Manager ノードに新しい IP が指定されている場合、検索が同期されていないため、ポリシーの検索が失敗します。

  • 解決した問題 2588072:NVDS から CVDS へのスイッチ移行ツールで、vmk のあるステートレス ESX がサポートされない

    NVDS スイッチに vmk が設定されている場合、NVDS から CVDS へのスイッチ移行ツールを使用して、ステートレス ESX ホストを移行できません。

  • 解決した問題 2627439:移行前にトランスポート ノード プロファイルがクラスタに適用されていると、移行後に、分離状態のトランスポート ノード プロファイルが 1 つ余分に作成される

    元のトランスポート ノード プロファイルごとに余分なトランスポート ノード プロファイルが 1 つずつ生成されます。

  • 解決した問題 2628428:グローバル マネージャの状態が、最初に「成功」と表示された後、IN_PROGRESS に変わる

    大規模な環境では、頻繁に変更されるセクションが多すぎると、グローバル マネージャに設定の正しい状態が反映されるまでに時間がかかります。このため、分散ファイアウォールの設定が完了してから UI/API に正しい状態が表示されまでに遅延が発生します。

  • 解決した問題 2634034/2656024:ストレッチ T1-LR(論理ルーター)のサイト ロールが変更されると、6 ~ 8 分ほど、その論理ルーターのすべてのトラフィックが影響を受ける

    スタティック ルートはプログラムされるまでに時間がかかるため、データパスが影響を受けます。サイト ロールが変更されると、6 ~ 8 分間ほどトラフィックが失われます。設定の規模によっては、さらに長い時間、影響を受ける可能性があります。

  • 解決した問題 2527344:Tier-0 VRF 論理ルーターのルート再配分でタイプを「TIER0_EVPN_TEP_IP」に選択すると、TIER0_EVPN_TEP_IP が親 Tier-0 LR に存在するため、BGP に再分散されず、データパスが停止する

    この設定を行うと、TIER0_EVPN_TEP_IP が DC ゲートウェイ (ピア BGP ルーター) にアドバタイズされません。Tier-0 VRF LR ルート再配分では、タイプとして「TIER0_EVPN_TEP_IP」を選択できますが、Tier-0 VRF LR に「TIER0_EVPN_TEP_IP」のルートはありません。

  • 解決した問題 2547524:サイト間の vMotion で、検出されたセグメント ポートがグローバル グループで使用されている場合、ファイアウォール ルールが適用されない

    ルールが予期したとおりプッシュされません。

  • 解決した問題 2573975:ANY to ANY SNAT ルールを設定するときに、source-network/destination-network/translated-network プロパティのアドレスに空の文字列 ("") を指定すると、管理プレーンで認識エラーが発生する

    このルールは Edge と管理プレーンで認識されません。

  • 解決した問題 2668561:ロード バランサ仮想サーバが 1000-2000 のような単一のポート範囲で設定されている場合、そのロード バランサが認識された Edge ノードでデータパス プロセスがクラッシュし、トラフィックが中断することがある

    Edge を通過するトラフィックが中断し、その Edge ノードとの BGP ピアリングが停止することがあります。

既知の問題

既知の問題には次の項目が含まれます。

一般的な既知の問題
  • 問題 2329273:同じ Edge ノードで、同じセグメントにブリッジされている VLAN 間が接続されていない

    同じ Edge ノードでセグメントを 2 回ブリッジすることはできません。2 つの異なる Edge ノードの場合、同じセグメントに 2 つの VLAN をブリッジできます。

    回避策:なし 

  • 問題 2355113:Microsoft Azure でネットワークの高速化が有効になっている場合、RedHat および CentOS ワークロード仮想マシンに NSX Tools をインストールできない

    Microsoft Azure で、RedHat(7.4 以降)または CentOS(7.4 以降)ベースのオペレーティング システムを使用し、ネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネット インターフェイスが IP アドレスを取得しません。

    回避策:Microsoft Azure で RedHat または CentOS ベースの仮想マシンを起動した後、NSX Tools をインストールする前に、https://www.microsoft.com/en-us/download/details.aspx?id=55106 にある最新の Linux Integration Services ドライバをインストールします。

  • 問題 2520803:EVPN 展開で手動設定するルート識別子とルート ターゲットのエンコード形式

    現在、ルート識別子を手動で設定する場合、Type-0 エンコードと Type-1 エンコードの両方を使用できます。ただし、EVPN 展開でルート識別子を手動で設定する場合は、Type-1 エンコード スキームの使用をおすすめします。また、ルート ターゲットを手動で設定する場合は、Type-0 エンコードを使用する必要があります。

    回避策:ルート識別子に Type-1 エンコードを使用します。

  • 問題 2490064:外部 LB がオンになっている VMware Identity Manager を無効にできない

    外部 LB を使用して NSX で VMware Identity Manager 統合を有効にした後、外部 LB をオフにして統合を無効にしようとすると、最初の設定が再表示され、ローカルの変更が上書きされます。

    回避策:vIDM を無効にする場合は、外部 LB のフラグをオフにせず、vIDM 統合のみをオフにします。これにより、データベースに設定が保存され、他のノードと同期されます。

  • 問題 2537989:仮想 IP アドレス (VIP) をクリアしても、すべてのノードで vIDM 統合がクリアされない

    仮想 IP を持つクラスタで VMware Identity Manager が設定されている場合、仮想 IP を無効にしても、クラスタ全体で VMware Identity Manager 統合はクリアされません。仮想 IP アドレスが無効になっている場合は、個々のノードで vIDM 統合を手動で修正する必要があります。

    回避策:各ノードに移動して、それぞれの vIDM 設定を手動で修正します。

  • 問題 2526769:マルチノード クラスタでリストアが失敗する

    マルチノード クラスタでリストアを開始すると、リストアが失敗し、アプライアンスの再展開が必要になります。

    回避策:新しい設定(1 ノード クラスタ)を展開し、リストアを開始します。

  • 問題 2523212:nsx-policy-manager が応答不能になり、再起動する

    nsx-policy-manager の API 呼び出しが失敗し、サービスが利用不能になります。再起動して使用可能になるまで、ポリシー マネージャにアクセスできなくなります。

    回避策:2,000 個以下のオブジェクトで API を呼び出します。

  • 問題 2521071:グローバル マネージャで作成されたセグメントで BridgeProfile 設定を使用していると、レイヤー 2 ブリッジ設定が個々の NSX サイトに適用されない

    セグメントの統合状態が「エラー」のままになります。この状況は、特定の NSX サイトでブリッジ エンドポイントを作成できないことが原因で発生しています。グローバル マネージャで作成されたセグメントに BridgeProfile を設定することができません。

    回避策:NSX サイトにセグメントを作成し、ブリッジ プロファイルを使用して設定します。

  • 問題 2532127:LDAP ユーザーの Active Directory エントリに UPN (userPrincipalName) 属性がなく、samAccountName 属性のみが存在している場合、このユーザーは NSX にログインできない

    ユーザーの認証に失敗し、ユーザーは NSX ユーザー インターフェイスにログインできません。

    回避策:なし。

  • 問題 2482580:vCenter Server から IDFW/IDS クラスタが削除されると、IDFW/IDS の設定が更新されない

    IDFW/IDS が有効になっているクラスタが vCenter Server から削除されると、NSX 管理プレーンに必要な更新が通知されません。これにより、IDFW/IDS が有効になっているクラスタの数が誤って報告されます。これによる機能上の影響はありません。有効なクラスタの数のみが正しくありません。

    回避策:なし。

  • 問題 2534933:LDAP ベースの CDP(CRL 配布ポイント)を含む証明書が Tomcat/クラスタ証明書として適用できない

    LDAP CDP を含む CA 署名付き証明書をクラスタ/Tomcat 証明書として使用できません。

    回避策:VMware のナレッジベースの記事 KB78794 を参照してください。

  • 問題 2499819:vMotion のエラーのため、vCenter Server 6.5 または 6.7 で NSX for vSphere から NSX-T Data Center へのメンテナンス ベースのホスト移行が失敗することがある

    次のエラー メッセージがホストの移行画面に表示されます。
    ホストを移行するときに、移行前のステージでエラーが発生しました [理由:[vMotion] 移行を続行できません。仮想マシン b'3-vm_Client_VM_Ubuntu_1404-shared-1410' に対する vMotion が最大試行回数に達しました]。

    回避策:ホストの移行を再試行します。

  • 問題 2557287:バックアップ後に実行した TNP の更新がリストアされない

    リストアされたアプライアンスで、バックアップ後に行った TNP の更新が表示されません。

    回避策:TNP の更新後にバックアップを作成します。

  • 問題 2392064:「Failed to fetch error list」エラーが発生し、Edge ステージの移行が失敗する

    移行は失敗しますが、失敗の原因(DHCP プラグイン例外)は表示されません。

    回避策:移行をロールバックして再試行してください。

  • 問題 2468774:[NSX 設定の変更を検出] オプションが有効になっていると、設定が変更されていなくてもバックアップが作成される

    設定が変更されていない場合でもバックアップが実行されるため、非常に多くのバックアップが作成されます。

    回避策:このオプションに関連付けられている時間を長くすることで、バックアップの作成頻度を低くします。

  • 問題 2523421:外部ロード バランサを設定すると(ラウンドロビン接続のパーシステンスが設定されていると)、LDAP 認証が正常に機能しない

    API LDAP 認証が正しく機能しません。ロード バランサが API 要求を特定の Manager に転送する場合にのみ機能します。

    回避策:なし。

  • 問題 2534921:PATCH API 呼び出しで inter_sr_ibgp プロパティを指定しないと、BgpRoutingConfig エンティティの他のフィールドが更新されない

    PATCH API 呼び出しで BGP ルーティング設定エンティティが更新されません。「サービス ルーター間のルーティングで使用される BGP は、グローバル BGP で、ECMP フラグが有効である必要があります」というエラー メッセージが表示されます。BgoRoutingConfig は更新されません。

    回避策:他のフィールドを変更するには、PATCH API 呼び出しで inter_sr_ibgp プロパティを指定します。

  • 問題 2566121:「一部のアプライアンス コンポーネントが正常に機能していません」というメッセージが表示され、1 台の UA ノードが新しい API 呼び出しの受け入れを停止する

    「一部のアプライアンス コンポーネントが正常に機能していません」というメッセージが表示され、1 台の UA ノードが新しい API 呼び出しの受け入れを停止します。CLOSE_WAIT 状態では 約 200 の接続が停止しています。これらの接続はまだ終了していません。新しい API 呼び出しが拒否されます。

    回避策:Proton サービスを再起動するか (service proton restart)、統合アプライアンス ノードを再起動します。

  • 問題 2574281:  ポリシーで 500 個までの VPN セッションしか許可されない

    NSX では Large フォーム ファクタに対して Edge ごとに 512 個の VPN セッションをサポートしていますが、セキュリティ ポリシーの自動組み込みが原因で、500 個までの VPN セッションしか許可されません。Tier-0 で 501 個目の VPN セッションを設定すると、次のエラー メッセージが表示されます。
    {'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}

    回避策:管理プレーンの API を使用して、追加の VPN セッションを作成します。

  • 問題 2596162:スイッチ名に一重引用符が含まれていると、スイッチの nsxaHealthStatus が更新されない

     スイッチの健全性状態が更新されないため、NSX 設定状態が部分的成功になります。 

    回避策:一重引用符を含まないホスト スイッチ名に変更します。

  • 問題 2596696:API から SegmentPort を作成するときに、ポリシー ログに NsxTRestException が記録される

    NsxTRestException がポリシー ログに記録されます。API を使用して SegmentPort を作成できません。

    回避策:PortAttachmentDto の ID フィールドを指定するか、API の入力で null として渡します。

  • 問題 2610718:  lb_enable フラグと vidm_enable のフラグを明示的に指定せずに、nsx-cli で vIDM を NSX に接続しようとするとエラーが発生する

    「An error occurred attempting to update the vidm properties」というエラーが表示されます。vIDM に接続するには、UI を使用するか、REST API から直接接続する必要があります。CLI 経由で接続するには、lb_enable フラグと vidm_enable フラグを明示的に定義する必要があります。

    回避策:nsx-cli を使用して vIDM に接続する場合は、vidm_enable フラグまたは lb_enable フラグを必ず指定します。

  • 問題 2628503:manager nsgroup を強制的に削除しても、DFW ルールが適用されたままになる

    nsgroup を強制的に削除した後、トラフィックが引き続きブロックされることがあります。

    回避策:DFW ルールで使用中の nsgroup を強制的に削除しないでください。代わりに、nsgroup を空にするか、DFW ルールを削除します。

  • 問題 2631703:vIDM 統合でアプライアンスのバックアップ/リストアを実行すると、vIDM の設定が壊れる

    通常、環境がアップグレードまたはリストアされた後に、vIDM 統合が稼動しているアプライアンスをリストアしようとすると、統合が切断され、再設定が必要になります。

    回避策:リストア後、vIDM を手動で再設定します。

  • 問題 2638673:インベントリに仮想マシンの SRIOV vNIC がない

    SRIOV vNIC が [Add new SPAN] セッション ダイアログに表示されません。新しい SPAN セッションを追加するときに、SRIOV vNIC が表示されません。

    回避策:なし。

  • 問題 2647620:ステートレス ホスト (TransportNodes) が非常に多い NSX 設定環境で、管理プレーン ノードを 3.0.0 以降にアップグレードすると、一部のステートレス ホストのワークロード仮想マシンが一時的に切断されることがある

    この問題は、NSX 3.0.0 以降用に設定されたステートレス ESX ホストでのみ発生します。

    回避策:なし。

  • 問題 2639424:ホストベースのサービス仮想マシンを展開した vLCM クラスタ内のホストの修正が 95% まで進行すると失敗する

    ホストの修正が 95% まで進行してスタックし、70 分のタイムアウト時間の後に失敗します。

    回避策:VMware のナレッジベースの記事 KB81447 を参照してください。

  • 問題 2636855:システム全体の論理スイッチ ポートが 25,000 を超えると最大キャパシティ アラームが発生する

    システム全体の論理スイッチ ポートが 25,000 を超えると最大キャパシティ アラームが発生します。実際には、PKS スケール環境でのコンテナ ポートの制限は 60,000 であり、PKS 環境で論理スイッチ ポートが 25,000 を超えるのは異常ではありません。

    回避策:なし。

  • 問題 2636771:リソースが複数のタグ ペアでタグ付けされ、そのタグと範囲が、タグと範囲にある値と一致する場合、検索はリソースを返すことがある

    これは、タグと範囲の条件を含む検索クエリに影響します。タグと範囲が任意のペアと一致する場合、フィルタは余分なデータを返すことがあります。

    回避策:なし。

  • 問題 2643610:ロード バランサの統計 API が統計情報を返さない

    API の統計情報が設定されていません。ロード バランサの統計情報を表示できません。

    回避策:設定されているロード バランサの数を減らします。

  • 問題 2555383:API の実行中に内部サーバ エラーが発生する

    API 呼び出しの実行中に内部サーバ エラーが発生します。API の結果 500 エラーが発生し、目的の出力が得られません。

    回避策:このエラーは、セッションが無効にされているために発生します。この場合は、セッション作成 API を再実行して、新しいセッションを作成します。

  • 問題 2662225:S-N トラフィック ストリームのフロー中にアクティブ Edge ノードが非アクティブ Edge ノードになると、トラフィック ロスが発生する

    現在の S->N ストリームは、マルチキャストのアクティブ ノードで実行されています。送信元への TOR の優先ルートは、マルチキャストのアクティブ Edge ノードのみを経由する必要があります。
    別の Edge を起動すると、マルチキャストのアクティブ ノードが引き継がれる場合があります(ランクの低い Edge がアクティブなマルチキャス トノードです)。現在の S->N トラフィックでは、最大 4 分間の損失が発生します。これは、新しいストリームに影響を与えたり、現在のストリームを停止して再開する場合に影響を与えたりすることはありません。

    回避策:現在の S->N トラフィックは、3.5 ~ 4 分以内に自動的に復元します。より早く復元させるには、マルチキャストを無効にし、設定によって有効にします。

  • 問題 2610851:ネームスペース、コンピュート コレクション、L2VPN サービス グリッドのフィルタリングは、リソース タイプ フィルタのいくつかの組み合わせに対してデータを返さない場合がある

    いくつかのタイプに同時に複数のフィルタを適用した場合、基準に一致するデータが利用可能であっても結果が返されません。これは一般的なシナリオではなく、フィルタは次の属性の組み合わせの場合のみ、これらのグリッドで失敗します。

    • ネームスペース グリッドの場合 ==> クラスタ名とポッド名フィルタ
    • ネットワーク トポロジ ページの場合 ==> リモート IP アドレスを適用する L2VPN サービス フィルタ
    • コンピュート コレクションの場合 ==> ComputeManager フィルタ

    回避策:これらのリソース タイプには、一度に 1 つのフィルタを適用します。

  • 問題 2587257:NSX-T Edge によって送信された PMTU パケットが、宛先での受信時に無視されることがある

    PMTU の検出に失敗すると、断片化と再構築、パケットのドロップが発生します。これにより、トラフィックのパフォーマンスが低下するか、トラフィックが停止します。

    回避策:なし。

  • 問題 2587513:ブリッジ プロファイルの割り当てで複数の VLAN 範囲が設定されている場合、ポリシーがエラーを示す

    「無効な VLAN ID」エラー メッセージが表示されます。

    回避策:1 つのブリッジ エンドポイントにセグメント上のすべての VLAN 範囲を指定するのではなく、複数のブリッジ エンドポイントを作成して VLAN 範囲を指定します。

  • 問題 2682480:NCP の健全性状態に対して誤ったアラームが発生することがある

    NCP システムが良好な状態でも NCP 健全性状態アラームが発生する場合があります。このため、NCP 健全性状態アラームが信頼できないことがあります。

    回避策:なし。

  • 問題 2690457:MP クラスタで publish_fqdns が設定され、外部 DNS サーバが適切に構成されていないときに、MP を MP クラスタに参加させると、参加するノードで proton サービスが適切に再起動されないことがある

    参加するマネージャが機能せず、ユーザー インターフェイスが使用できません。

    回避策:すべてのマネージャ ノードの正引き DNS 参照エントリと逆引き DNS 参照エントリを使用して、外部 DNS サーバを設定します。

  • 問題 2691432:リストアが失敗することがある

    リストアが機能しない場合があります。

    回避策:UI の [再試行] ボタンをクリックして、リストアを再試行します。

  • 問題 2685550:ブリッジされたセグメントに適用すると、ファイアウォール ルールの認識状態が常に「処理中」になる

    ブリッジされたセグメントを含む NSGroup のメンバーにファイアウォール ルールを適用すると、認識状態が常に「処理中」になります。ブリッジされたセグメントに適用したファイアウォール ルールの認識状態を確認できません。

    回避策:NSGroup メンバー リストから、ブリッジされたセグメントを手動で削除します。

  • 問題 2690996:システムに割り当てられた L2 フォワーダー vtep グループ ID がトランスポート ノードに割り当てられた VTEP ラベルと競合していると、KVM ノードでサイト間のパケット転送が失敗することがある

    拡張されたセグメントに接続している仮想マシンで、場所間の接続が失われる可能性があります。KVM 展開でセグメントが競合していると、サイト間のトラフィックは機能しません。

    回避策:新しいセグメントを定義し、ワークロードを新しいセグメントに切り替えます。

  • 問題 2694496:Webclient/UAG を介して VDI にアクセスするとエラーが発生する

    Horizon ポータルから VDI にアクセスすると、ポート 22443 でエラーが発生し、タイムアウトになります。

    回避策:VDI を再起動します。

  • 問題 2694707:Public Cloud Gateway の HA フェイルオーバーが発生すると、一部のルールで、クラウド仮想マシンのファイアウォール ルールの動作状態が「不明」になることがある

    NSX ポリシーのユーザー インターフェイスで、ファイアウォール ルールの動作状態が「不明」と表示されることがあります。これによる機能上の影響はありません。すべてのルールは正常に認識されています。両方の Public Cloud Gateway がオンラインになっている場合、状態はクリアされ、良好な状態になります。

    回避策:なし。

  • 問題 2684574:Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトする

    Edge に 6,000 個以上のルートが存在すると、OSPF データベースと OSPF ルートに対する次のポリシー API からエラーが返されます。
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database
    /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv

    Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトします。これは読み取り専用の API で、API/ユーザー インターフェイスを使用して OSPF ルートとデータベースの 6,000 個以上のルートをダウンロードする場合にのみ、この問題の影響を受けます。

    回避策:CLI コマンドを使用して、Edge から情報を取得します。

  • 問題 2674689:URT から移行が開始するまでの間にトランスポート ノードが更新されると、追加の設定プロファイルが失われる

    TN_Validate ステージでトランスポート ノードの移行に失敗します。

    回避策:URT を実行して、MigrateToCvdsTask を再度トリガします。次の API をクリーンアップに使用できます。POST https://<manager-ip>/api/v1/nvds-urt?action=cleanup

  • 問題 2697549:クラスタにゲスト イントロスペクション サービスが展開されている場合、URT がトランスポート ノードに展開された GI サービスに変更を行うことができないため、URT ApplyTopology が失敗する

    URT ApplyTopology が全体の状態として APPLY_TOPOLOGY_FAILED を返します。

    回避策:GI の展開を削除して、URT 事前チェックと ApplyTopology を再度実行します。

  • 問題 2687948:IP アドレスから FQDN への切り替え後、論理ルーターが機能しない

     ユーザー インターフェイスで「論理ルーターの状態を取得中にタイムアウトしました」というエラーが発生し、GM ログのレプリケーションが停止します。

    回避策:FQDN の設定を解除し、アクティブ サイトとスタンバイ サイトのすべての論理ルーター ノードを再起動します。

  • 問題 2603550:UA ノードのアップグレード中に、一部の仮想マシンに vMotion が実行され、ネットワーク接続が失われる

    NSX UA ノードのアップグレード中に、一部の仮想マシンが DRS によって移行され、移行後にネットワーク接続が失われることがあります。

    回避策:UA のアップグレードを実行する前に、DRS 自動化モードを手動に変更します。

  • 問題 2622240:NVDS から CVDS への移行が、7.0.2 (X.Y.Z-U.P) リリース間の ESX アップグレードでのみトリガされる

    U.P (update-patch) のアップグレードで移行はトリガされません。ESX のバージョンは X.Y.Z-U.P の形式で示されます。ここで、X はメジャー、Y はマイナー、Z はメンテナンス、U はアップデート、P はパッチを表します。

    回避策:API/ユーザー インターフェイスを使用して、NVDS から CVDS への移行を開始します。
    POST https://{{nsxmanager-ip}}/api/v1/transport-nodes/{{transportnode-id}}?action=migrate_to_vds

  • 問題 2702168:NSX-T 3.0 から NSX-T 3.1 にアップグレードした後、VRF LR に変更を行うことができない

    VRF LR 再配分ルールに TIER0_EVPN_TEP_IP が追加されている場合、VRF LR に変更を行うことはできません。検証エラーが発生し、VRF LR で TIER0_EVPN_TEP_IP がサポートされないことが示されます。

    回避策:

    1. ポリシー API を使用して、VRF ロケール サービスの TIER0_EVPN_TEP_IP を削除します。
    2. 必要に応じて名前を変更します。
  • 問題 2534089:トランスポート ノード(ホスト)で IDS サービスが有効になっているときに、IDS が有効なホストで仮想マシンのトラフィック フローが予期せずに停止する

    vSphere クラスタで NSX IDS/IPS(検出のみモード、または検出/ブロック モード)を有効にして、ワークロードに IDS/IPS を適用すると、IDPS エンジンを有効にするだけでロックアップ状態になることがあります。結果として、ハイパーバイザー上のすべてのワークロード間のトラフィックが IDS/IPS または Deep Packet Inspection サービス(L7 アプリケーション ID)で処理され、ドロップされます。IDS/IPS または Deep Packet Inspection の対象外のトラフィックに影響はありません。IDS/IPS を無効にするか、トラフィックへの適用が行われなくなると、トラフィック フローがリストアされます。

    回避策:VMware のナレッジベースの記事 KB82043 を参照してください。

  • 問題 2688584:1 つの LR ノードで TransactionAbortedException が発生し、そのスレッド プールがシャットダウンされたため、LR 同期状態の取得でタイムアウトが発生する

     切り替えができないため、LR が停止します。

    回避策:アクティブ サイトとスタンバイ サイトのすべての論理ルーター ノードを再起動します。

  • 問題 2692344:Avi 適用ポイントを削除すると、認識済みのオブジェクトがポリシーからすべて削除され、すべてのデフォルト オブジェクトの認識済みエンティティがポリシーから削除される。新しい適用ポイントを追加すると、Avi コントローラからのデフォルト オブジェクトの再同期が失敗する 

    AVIConnectionInfo の適用ポイントを削除して再作成すると、システムのデフォルト オブジェクトを使用できなくなります。

    回避策:適用ポイントを削除することはできません。変更がある場合、更新は可能ですが、削除はできません。

  • 問題 2636420:クラスタのバックアップ後に「NSX の削除」が実行されているときに、リストアを行うと、ホストが「NSX インストールをスキップ」状態になり、クラスタが「失敗」状態になる

    ホストに「NSX インストールをスキップ」状態が表示されます。

    回避策:バックアップ後の状態(未設定の状態)に戻すには、リストア後にクラスタで「NSX の削除」を再度実行する必要があります。

  • 問題 2679344:スケーリングされた Active Directory 設定で LDAP ユーザーとして NSX-T Manager ノードにログインすると、ログインに時間がかかるか、失敗することがある

    ログインに時間がかかったり、タイムアウトしてエラーが発生することがあります。

    回避策:VMware のナレッジベースの記事 KB82331 を参照してください。

  • 問題 2711497:NSX Cloud を古いバージョンから NSX-T 3.1.1 にアップグレードすると、agented 仮想マシンが一時的にエラー状態になることがある

    PCG がアップグレードされるまで仮想マシンがアクセス不能になり、アプリケーションのダウンタイムが発生する可能性があります。

    回避策:

    1. Cloud Service Manager (CSM) のアップグレード ページに移動します。
    2. アップグレード ページが読み込まれるまで待ちます(最大で 5 分ほどかかる場合があります)。
    3. [アップグレードの開始] をクリックします。同期が完了すると、VPC/インスタンスのリストが表示されます。
    4. [次へ] をクリックします。
    5. NSX Tools のアップグレードをスキップ をクリックします。
    6. アップグレードする PCG を選択します。
    7. [次へ] をクリックします。
    8. Cloud Service Manager (CSM) CLI で Upgrade Coordinator を再起動します。install-upgrade サービスが再起動します。
    9. Cloud Service Manager (CSM) のアップグレード ページに移動します。アップグレード ページが読み込まれるまで待ちます(最大で 5 分ほどかかる場合があります)。
    10. アップグレードの開始 をクリックします。同期が完了すると、VPC/インスタンスのリストが表示されます。
    11. アップグレードするエージェントを選択します。
    12. 次へ をクリックします。エージェントのアップグレード状態が表示されます。
  • 問題 2697537:ロックダウン モードを有効にした後、最初の論理スイッチを作成するときに最大で 4 分ほどの遅延が発生する

    ロックダウン モードを有効にした後、最初の論理スイッチの作成が 4 分ほど遅れます。

    回避策:なし。

  • 問題 2738345:設定で正規表現を使用すると、BGP 拡張ラージ コミュニティでエラーが発生する

    BGP 拡張ラージ コミュニティの設定で正規表現が使用されていると、BGP ルート フィルタリングが機能しないため、FRR-CLI でエラーが発生し、設定が有効になりません。

    回避策:なし。

  • 問題 2740587:BFD を無効にする前または BGP ネイバーを削除する前に Tier-0 アップリンクを削除すると、ルーティング モジュールで BFD 設定が有効になる

    影響はありませんが、最後のアップリンクが削除され、North バウンド接続がなくなるため、Tier-0-HA は停止状態になります。

    回避策:アップリンクを削除する前に、BFD を無効にするか、BGP ネイバーを削除します。

  • 問題 2674759:NSX-T 3.0 から NSX-T 3.1.1 にアップグレードした後、VRF LR が変更されず、VRF LR 再配分で設定されている TIER0_EVPN_TEP_IP の削除で検証エラーが発生する

    NSX-T 3.0 で VRF LR 再配分ルールに TIER0_EVPN_TEP_IP が追加されている場合、NSX-T 3.1.1 にアップグレードした後に VRF LR に変更を行うことはできません。

    回避策:

    1. VRF LR 再配分から TIER0_EVPN_TEP_IP を削除するには、API を使用する必要があります。
    2. VRF LR 名を変更します。
  • 問題 2697116:オンボーディング後に、ワンアーム ロード バランサ Tier-1 ゲートウェイに接続している CSP インターフェイスでエラーが発生する

    ワンアーム ロード バランサから送信されたトラフィックが失われます。

    回避策:正しいセグメントを使用して、ワンアーム ロード バランサ Tier-1 を再設定します。

  • 問題 2689867:セグメント ポートが削除保留状態で停止する

    セグメント ポートがグローバル マネージャから分離された後、これらのポートがローカル マネージャで削除保留状態のまま停止します。  

    回避策:

    1. 次の API を呼び出して、ローカル マネージャのすべてのセグメント ポートを削除します。削除するセグメント ポートのすべてのパスを一覧表示します。
      POST https://nsx-lm/policy/api/v1/troubleshooting/infra/tree/realization?action=cleanup
      {    
      "paths" : ["/global-infra/segments/ENT_TST_MISC/ports/default:32ea95e4-9fce-4891-a8ba-71781916d9bb"]
      }
    2. 次の API を呼び出して、ローカル マネージャでセグメント ポートが削除されていることを確認します。この API は、ローカル マネージャでセグメント ポートを検出しません。
      GET "https://10.152.3.31/policy/api/v1/global-infra/segments/ENT_TST_MISC/ports/default:32ea95e4-9fce-4891-a8ba-71781916d9bb
    3. ローカル マネージャで通知の完全同期を実行します(グローバル マネージャの状態を修正します)。
      POST https://nsx-lm/policy/api/v1/infra/full-sync-action?action=request_notifications_full_sync
    4. タスクが完了するまで待ちます。次の API を呼び出し、グローバル マネージャでこのタスクの状態を監視できます。
      GET https://nsx-GM/global-manager/api/v1/infra/full-sync-states
    5. 目的のローカル マネージャから完全同期の進行状況を確認します。
  • 問題 2761589:NSX-T 2.x から NSX-T 3.x にアップグレードした後、管理プレーンのデフォルト レイヤー 3 ルールの設定が DENY_ALL から ALLOW_ALL に変更される

    この問題は、ポリシーでルールが設定されず、管理プレーンのデフォルト レイヤー 3 ルールに DROP アクションが設定されている場合にのみ発生します。アップグレード後、管理プレーンのデフォルト レイヤー 3 ルールの設定が DENY_ALL から ALLOW_ALL に変更されます。

    回避策:アップグレード後にポリシー UI を使用して、デフォルトのレイヤー 3 ルールのアクションを DROP に設定します。

インストールに関する既知の問題
  • 問題 2562189:削除の操作中に NSX Manager がパワーオフされると、トランスポート ノードの削除が無期限に実行される

    トランスポート ノードの削除の進行中に NSX Manager がパワーオフされている場合、ユーザーが介入しなければ、トランスポート ノードの削除が無期限に実行されることがあります。

    回避策:マネージャが再びパワーオンしたら、ノードを再度準備して、削除のプロセスを再度開始します。

アップグレードに関する既知の問題
  • 問題 2693576:KVM RHEL 7.9 を RHEL 8.2 にアップグレードした後、トランスポート ノードに「NSX インストール失敗」と表示される

    RHEL 7.9 を 8.2 にアップグレードした後、依存関係 nsx-opsagent と nsx-cli が存在しません。ホストが「インストール失敗」とマークされます。UI から障害を解決できません。「ホストにソフトウェアをインストールできませんでした。未解決の依存関係:[PyYAML, python-mako, python-netaddr, python3]」というメッセージが表示されます。

    回避策:ホスト OS のアップグレード後に NSX RHEL 8.2 vib を手動でインストールし、UI から問題を解決します。

  • 問題 2560981:アップグレード時に、vIDM の設定が維持されない場合がある

    vIDM を使用している場合、アップグレードが正常に完了した後に再度ログインし、クラスタで vIDM を再度有効にする必要があります。

    回避策:アップグレード後に vIDM 設定を無効にして有効にします。

  • 問題 2550492:アップグレード中に、「認証情報が正しくないか、指定されたアカウントがロックされています」というメッセージが
    一時的に表示され、システムが自動的にリカバリされる

    アップグレード中に一時的なエラー メッセージが表示されます。

    回避策:なし。

NSX Edge に関する既知の問題
  • 問題 2283559:Edge に 65k 以上のルート(RIB の場合)または 100k 以上のルート(FIB の場合)が存在すると、https://<nsx-manager>/api/v1/routing-table と https://<nsx-manager>/api/v1/forwarding-table MP APIs でエラーが発生する

    Edge で RIB に 65,000 以上のルート、FIB に 100,000 以上のルートがある場合、管理プレーンから Edge への要求に 10 秒以上かかり、この結果タイムアウトになります。これは読み取り専用 API であり、API/ユーザー インターフェイスを使用して、RIB の 65,000 以上のルートおよび FIB の 100,000 以上のルートをダウンロードする必要がある場合にのみ影響を受けます。

    回避策:RIB/FIB を取得するには、2 つのオプションがあります。

    • これらの API では、ネットワーク プレフィックスまたはルートのタイプに基づくフィルタリング オプションをサポートしています。これらのオプションを使用して、目的とするルートをダウンロードします。
    • RIB/FIB テーブル全体が必要な場合は CLI でサポートします。これによるタイムアウトはありません。
  • 問題 2521230:get bgp neighbor summary で表示された BFD の状態に、最新の BFD セッションの状態が正しく反映されないことがある

    BGP と BFD のセッションは個別に設定できます。get bgp neighbor summary を実行すると、BGP で BFD の状態も表示されます。BGP が停止している場合、BFD 通知は処理されず、最後に確認された状態が引き続き表示されます。このため、BFD の古い状態が表示される場合があります。

    回避策:get bfd-sessions の出力で [State] フィールドを確認し、BFD の最新の状態を取得します。

  • 問題 2641990:Edge vMotion の実行中に、マルチキャストのトラフィックが最大で 30 秒間(デフォルトの PIM Hello 間隔)失われる場合がある

    Edge の vMotion が実行され、TOR で IGMP スヌーピングが有効になっている場合、TOR は新しい Edge の場所を認識している必要があります。これは、マルチキャストの制御トラフィックまたはデータ トラフィックを Edge から取得したときに、TOR によって学習されます。Edge の vMotion 中に、マルチキャスト トラフィックが最大で 30 秒間失われます。

    回避策:なし。TOR がマルチキャスト パケットを受信すると、トラフィックが復旧します。高速リカバリの場合は、TOR に接続しているアップリンク インターフェイスで PIM を無効または有効にします。

セキュリティに関する既知の問題
  • 問題 2491800:AR チャネル SSL 証明書の有効性が定期的に確認されないため、既存の接続に対して有効期限の切れた証明書または失効した証明書が使用される可能性がある

    この接続では期限切れの SSL または失効した SSL が使用されます。

    回避策:マネージャ ノードの APH を再起動して、再接続をトリガーします。

  • 問題 2689449:Public Cloud Gateway (PCG) の再起動中に、間違ったインベントリが表示されることがある

    管理対象インスタンスの管理状態が「不明」と表示されます。Cloud Service Manager で、管理対象状態、エラー、検疫状態など、一部のインベントリ情報を利用できません。

    回避策:PCG が稼動状態になるまで待ちます。定期的な同期を待機するか、アカウントの同期をトリガします。

フェデレーションに関する既知の問題
  • 問題 2630813:コンピューティング仮想マシンの SRM リカバリを実行すると、仮想マシンとセグメント ポートに適用されたすべての NSX タグが消える

    SRM リカバリのテストまたは実行を開始すると、ディザスタ リカバリの場所にレプリケートされたコンピューティング仮想マシンに NSX タグが適用されません。

  • 問題 2601493:負荷の増加を回避するため、グローバル マネージャで設定のオンボーディングの同時実行がサポートされていない

    設定のオンボーディングを並行して実行しても、相互に干渉することはありませんが、このような設定のオンボーディングを GM で複数回実行すると、GM の処理速度が低下し、他の操作が遅くなることがあります。

    回避策:設定のオンボーディングが同時に開始しないように、セキュリティ管理者またはユーザーはメンテナンス期間を調整する必要があります。

  • 問題 2613113:オンボーディングの進行中にローカル マネージャのリストアが完了しても、グローバル マネージャで、ローカル マネージャの状態が IN_PROGRESS のままになっている

    グローバル マネージャの UI で、ローカル マネージャの状態が IN_PROGRESS と表示されます。リストアされたサイトの設定を読み込むことができません。

    回避策:必要であれば、ローカル マネージャの API を使用して、ローカルマネージャ サイトのオンボーディングを開始します。

  • 問題 2625009:中間ルーターまたは物理 NIC の MTU が SR 間ポートと同等か、それより低い場合、SR 間の iBGP セッションでフラッピングが継続的に発生する

    これは、フェデレーション トポロジのサイト間接続に影響を与える可能性があります。

    回避策:物理 NIC の MTU と中間ルーターの MTU をグローバル MTU(SR 間ポートで使用される MTU)よりも大きくします。カプセル化のため、パケットのサイズが MTU より大きくなるため、パケットが経由されなくなります。

  • 問題 2606452:API でオンボーディングを試みるとブロックされる

    「Default transport zone not found at site」というエラー メッセージが表示され、API のオンボーディングに失敗します。 

    回避策:グローバル マネージャとローカル マネージャ間のファブリック同期が完了するまで待機します。

  • 問題 2643749:システムによって作成されたサイト固有リージョンのグループに、そのサイトに作成されたカスタム リージョンのグループをネストできない

    システムによって作成されたリージョンのグループ メンバーとして子グループを選択していると、同じ場所に作成されたサイト固有のカスタム リージョンのグループは表示されません。

  • 問題 2649240:個別の delete API で多くのエンティティを削除すると、削除に時間がかかる

    削除プロセスが完了するまでに、かなり時間がかかります。

    回避策:階層 API を使用して、一括で削除します。

  • 問題 2649499:個々のルールを 1 つずつ作成すると、ファイアウォール ルールの作成に時間がかかる

    遅い API を使用すると、ルールの作成にさらに時間がかかります。

    回避策:階層 API を使用して、複数のルールを作成します。

  • 問題 2652418:多くのエンティティを削除すると、削除に時間がかかる

    削除が低速になります。

    回避策:階層 API を使用して、一括で削除します。

  • 問題 2655539:CLI でホスト名を更新しているときに、グローバル マネージャ UI の [ロケーションマネージャ] ページでホスト名が更新されない

    古いホスト名が表示されます。

    回避策:なし。

  • 問題 2658656:アクティブなグローバル マネージャに追加されたコンピュート マネージャの状態が、スタンバイ グローバル マネージャに複製されません。

    スタンバイ グローバル マネージャがアクティブになると、アクティブなグローバル マネージャに追加されたコンピュート マネージャがグローバルマネージャに表示されません。フェイルオーバーが発生し、スタンバイ グローバル マネージャがアクティブになると、自動展開機能で新しいグローバル マネージャ ノードを展開できなくなります。

    回避策:現在アクティブなグローバル マネージャで、コンピュート マネージャとして vCenter Server を追加します。

  • 問題 2658687:トランザクションが失敗したときに、グローバル マネージャの切り替え API からエラーが報告されても、フェイルオーバーが行われる

    API は失敗しますが、グローバル マネージャの切り替えは完了します。

    回避策:なし。

  • 問題 2630819:GM で LM を登録した後に LM 証明書が変更される

    同じ LM でフェデレーションと PKS を使用する場合、GM で LM を登録する前に、外部 VIP の作成と LM 証明書の変更を行う PKS タスクを実行する必要があります。この順序が逆になると、LM 証明書を変更しても LM と GM 間の通信が行われず、LM の再登録が必要になります。

  • 問題 2658092:NSX Intelligence がローカル マネージャで設定されている場合、オンボーディングが失敗する

    オンボーディングがプリンシパル ID エラーで失敗し、プリンシパル ID ユーザーを使用してシステムをオンボーディングすることはできません。

    回避策:NSX Intelligence で使用されるのと同じプリンシパル ID 名を使用して一時的なプリンシパル ID ユーザーを作成します。

  • 問題 2622576:設定の重複による障害がユーザーに正しく伝播されない

    オンボーディングの進行中に「オンボーディングに失敗しました」というメッセージが表示されます。

    回避策:ローカル マネージャをリストアして、オンボーディングを再試行します。

  • 問題 2679614:ローカル マネージャで API 証明書が置き換えられると、グローバル マネージャの UI に「一般的なエラーが発生しました」というメッセージが表示される

    ローカル マネージャで API 証明書が置き換えられると、グローバル マネージャの UI に「一般的なエラーが発生しました」というメッセージが表示されます。

    回避策:

    1. グローバル マネージャのユーザー インターフェイスで [ロケーション マネージャ] を開きます。
    2. 影響を受けるローカル マネージャの下にある [アクション] タブをクリックし、新しいサムプリントを入力します。
    3. 問題が解決しない場合は、ローカル マネージャをオフボーディングにしてから再度オンボーディングします。
  • 問題 2681092:スタンバイ グローバル マネージャの証明書が期限切れになっていても、アクティブ グローバル マネージャからスタンバイ グローバル マネージャに切り替えることができる

    スタンバイ グローバル マネージャの証明書が期限切れになっていても、通信が許可されます。これは正常な状態ではありません。

    回避策:証明書の有効期限が切れていないことを確認します。証明書の期限切れが近いと、アラームが発生します。

  • 問題 2697111:グローバル マネージャのユーザー インターフェイスで「CRL をインポート」機能を使用できない

    CRL をインポートしようとすると、ユーザー インターフェイスで間違った URL が使用され、操作が失敗します。グローバル マネージャで CRL のインポート オプションを使用できません。

    回避策:次の API を使用します。

    PUT https://{{gm-ip}}/global-manager/api/v1/global-infra/crls/cr11

  • 問題 2680854:グローバル マネージャでロールバックに成功した後、サイトの設定をオンボーディングする 2 回目の試行が失敗する

    設定のオンボーディングの状態が「処理中」のままになります。最初の試行がロールバックされた後、2 回目以降はオンボーディング サイトを設定できなくなります。

    回避策:サイトをオフボーディングして再度オンボーディングします。この操作を実行すると、グローバル マネージャでサイト固有の設定のオンボーディング状態がクリアされ、設定のオンボーディングを新規に開始できるようになります。

  • 問題 2663483:単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断される

    この問題は、NSX フェデレーションと単一ノードの NSX Manager クラスタでのみ発生します。単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断されます。

    回避策:単一ノードの NSX Manager クラスタの展開は、サポートされている展開オプションではありません。3 ノードの NSX Manager クラスタを使用してください。

check-circle-line exclamation-circle-line close-line
Scroll to top icon