リリース ノートの概要

NSX-T Data Center 3.2.0 に関する重要な情報

新機能

• レイヤー 2 ネットワーク
• レイヤー 3 ネットワーク
• マルチキャスト
• Edge プラットフォーム
• 分散ファイアウォール
• 分散侵入検知/防止システム (D-IDPS)
• ゲートウェイ ファイアウォール
• 新しい NSX Application Platform
• ネットワークの検出と応答
• VPN
• ゲスト イントロスペクション
• フェデレーション
• コンテナのネットワークとセキュリティ
• ロード バランシング
• NSX Cloud
• 運用とモニタリング
• モニタリング
• 操作性とユーザー インターフェイス
• ポリシー
• AAA とプラットフォームのセキュリティ
• スケーリング
• ライセンス
• NSX Data Center for vSphere から NSX-T Data Center への移行

テクニカル プレビュー機能

多様性に配慮した用語

互換性とシステム要件

機能/API の廃止と動作の変更

• NSX Manager API および NSX Advanced ユーザー インターフェイスの廃止のお知らせ
• N-VDS NSX-T ホスト スイッチ廃止のお知らせ
• OpenStack と KVM
• NSX-T ロード バランサ API の廃止のお知らせ
• アラーム
• ライブ トラフィック分析 API の廃止と変更
• API の廃止と動作の変更

本リリースのアップグレードに関する注意点

API および CLI リソース

使用可能な言語

ドキュメントの改訂履歴

解決した問題

• 解決した問題 2692344：Avi 適用ポイントを削除すると、認識済みのオブジェクトがポリシーからすべて削除され、すべてのデフォルト オブジェクトの認識済みエンティティがポリシーから削除される。新しい適用ポイントを追加すると、Avi コントローラからのデフォルト オブジェクトの再同期が失敗する

  AVIConnectionInfo の適用ポイントを削除して再作成すると、システムのデフォルト オブジェクトを使用できなくなります。

• 解決した問題 2858893：クラスタベースの展開でサービス展開のクリーンアップが失敗する

  これによる機能上の影響はありません。未解決の ServiceDeployment またはインスタンスで ServiceDefinion を登録解除しようとすると、サービスのクリーンアップに失敗します。DB から手動または強制的にクリーンアップする必要があります。

• 解決した問題 2557287：バックアップ後に実行した TNP の更新がリストアされない

  リストアされたアプライアンスで、バックアップ後に行った TNP の更新が表示されません。

• 解決した問題 2679614：ローカル マネージャで API 証明書が置き換えられると、グローバル マネージャの UI に「一般的なエラーが発生しました」というメッセージが表示される

  ローカル マネージャで API 証明書が置き換えられると、グローバル マネージャの UI に「一般的なエラーが発生しました」というメッセージが表示されます。

• 解決した問題 2658687：トランザクションが失敗したときに、グローバル マネージャの切り替え API からエラーが報告されても、フェイルオーバーが行われる

  API は失敗しますが、グローバル マネージャの切り替えは完了します。

• 解決した問題 2652418：多くのエンティティを削除すると、削除に時間がかかる

  削除が低速になります。

• 解決した問題 2649499：個々のルールを 1 つずつ作成すると、ファイアウォール ルールの作成に時間がかかる

  遅い API を使用すると、ルールの作成にさらに時間がかかります。

• 解決した問題 2649240：個別の delete API で多くのエンティティを削除すると、削除に時間がかかる

  削除プロセスが完了するまでに、かなり時間がかかります。

• 解決した問題 2606452：API でオンボーディングを試みるとブロックされる

  「Default transport zone not found at site」というエラー メッセージが表示され、API のオンボーディングに失敗します。

• 解決した問題 2587513：ブリッジ プロファイルの割り当てで複数の VLAN 範囲が構成されている場合、ポリシーがエラーを示す

  「無効な VLAN ID」エラー メッセージが表示されます。

• 解決した問題 2662225：S-N トラフィック ストリームのフロー中にアクティブ Edge ノードが非アクティブ Edge ノードになると、トラフィック ロスが発生する

  現在の S->N ストリームは、マルチキャストのアクティブ ノードで実行されています。送信元への TOR の優先ルートは、マルチキャストのアクティブ Edge ノードのみを経由する必要があります。別の Edge を起動すると、マルチキャストのアクティブ ノードが引き継がれる場合があります（ランクの低い Edge がアクティブなマルチキャスト ノードです）。現在の S->N トラフィックでは、最大 4 分間の損失が発生します。これは、新しいストリームに影響を与えたり、現在のストリームを停止して再開する場合に影響を与えたりすることはありません。

• 解決した問題 2625009：中間ルーターまたは物理 NIC の MTU が SR 間ポートと同等か、それより低い場合、SR 間の iBGP セッションでフラッピングが継続的に発生する

  これは、フェデレーション トポロジのサイト間接続に影響を与える可能性があります。

• 解決した問題 2521230：get bgp neighbor summary で表示された BFD の状態に、最新の BFD セッションの状態が正しく反映されないことがある

  BGP と BFD のセッションは個別に設定できます。get bgp neighbor summary を実行すると、BGP で BFD の状態も表示されます。BGP が停止している場合、BFD 通知は処理されず、最後に確認された状態が引き続き表示されます。このため、BFD の古い状態が表示される場合があります。

• 解決した問題 2550492：アップグレード中に「認証情報が正しくないか、指定されたアカウントがロックされています」というメッセージが一時的に表示され、システムが自動的に復旧する

  アップグレード中に一時的なエラー メッセージが表示されます。

• 解決した問題 2682480：NCP の健全性状態に対して誤ったアラームが発生することがある

  NCP システムが良好な状態でも NCP 健全性状態アラームが発生する場合があります。このため、NCP 健全性状態アラームが信頼できないことがあります。

• 解決した問題 2655539：CLI でホスト名を更新しているときに、グローバル マネージャ UI の [ロケーションマネージャ] ページでホスト名が更新されない

  古いホスト名が表示されます。

• 解決した問題 2631703：vIDM 統合でアプライアンスのバックアップ/リストアを実行すると、vIDM の構成が壊れる

  通常、環境がアップグレードまたはリストアされた後に、vIDM 統合が稼動しているアプライアンスをリストアしようとすると、統合が切断され、再構成が必要になります。

• 解決した問題 2730109：ループ バックが存在していても、Edge のパワーオン中に、Edge がルーターリンク IP アドレスを OSPF ルーター ID として使用して、ピアとの OSPF ネイバーシップを確立しようとする

  Edge を再ロードした後、OSPF ルーター ID 構成を受信するまで、OSPF はダウンリンク IP アドレス（上位の IP アドレス）をルーター ID として選択します。これは構成の優先順位が原因です。新しいルーター ID の OSPF HELLO を受信すると、古いルーター ID を持つネイバー エントリは最終的に古いエントリになります。ピアで Dead タイマーが期限切れになると、これらのエントリが期限切れになります。

• 解決した問題 2610851：ネームスペース、コンピュート コレクション、L2VPN サービス グリッドのフィルタリングは、リソース タイプ フィルタのいくつかの組み合わせに対してデータを返さない場合がある

  いくつかのタイプに同時に複数のフィルタを適用した場合、基準に一致するデータが利用可能であっても結果が返されません。これは一般的なシナリオではなく、フィルタは次の属性の組み合わせグリッドでのみ失敗します。[ネームスペース] グリッドの場合、クラスタ名とポッド名のフィルタ。[ネットワーク トポロジ] ページの場合、リモート IP フィルタを適用した L2VPN サービス。[コンピュート コレクション] の場合、ComputeManager フィルタ。

• 解決した問題 2482580：vCenter Server から IDFW/IDS クラスタが削除されると、IDFW/IDS の構成が更新されない

  IDFW/IDS が有効になっているクラスタが vCenter Server から削除されると、NSX 管理プレーンに必要な更新が通知されません。このため、IDFW/IDS が有効になっているクラスタの正確な数が報告されません。これによる機能上の影響はありません。有効なクラスタの数のみが正しくありません。

• 解決した問題 2587257：NSX-T Edge によって送信された PMTU パケットが、宛先での受信時に無視されることがある

  PMTU の検出に失敗すると、断片化と再構築、パケットのドロップが発生します。これにより、トラフィックのパフォーマンスが低下するか、トラフィックが停止します。

• 解決した問題 2622576：構成の重複による障害がユーザーに正しく伝播されない

  オンボーディングの進行中に「オンボーディングに失敗しました」というメッセージが表示されます。

• 解決した問題 2638673：インベントリに仮想マシンの SRIOV vNIC がない

  SRIOV vNIC が [Add new SPAN] セッション ダイアログに表示されません。新しい SPAN セッションを追加するときに、SRIOV vNIC が表示されません。

• 解決した問題 2643749：システムによって作成されたサイト固有リージョンのグループに、そのサイトに作成されたカスタム リージョンのグループをネストできない

  システムによって作成されたリージョンのグループ メンバーとして子グループを選択していると、同じ場所に作成されたサイト固有のカスタム リージョンのグループは表示されません。

• 解決した問題 2805986：NSX-T 管理対象 Edge 仮想マシンを展開できない

  ESX UI で NSX-T Edge の展開に失敗します。

• 解決した問題 2685550：ブリッジされたセグメントに適用すると、ファイアウォール ルールの認識状態が常に「処理中」になる

  ブリッジされたセグメントを含む NSGroup のメンバーにファイアウォール ルールを適用すると、認識状態が常に「処理中」になります。ブリッジされたセグメントに適用したファイアウォール ルールの認識状態を確認できません。

既知の問題

• 問題 3025104：異なる IP アドレスと同じ FQDN でリストアを実行すると、ホストの状態が「失敗」と表示される

  同じ FQDN を使用する MP ノードの異なる IP アドレスを使用してリストアを実行すると、ホストは MP ノードに接続できません。

  回避策：ホストの DNS キャッシュを更新します。/etc/init.d/nscd restart コマンドを使用します。

• 問題 3012313：NSX マルウェア防止または NSX Network Detection and Response をバージョン 3.2.0 から NSX ATP 3.2.1 または 3.2.1.1 にアップグレードすると失敗する

  NSX Application Platform が NSX 3.2.0 から NSX ATP 3.2.1 または 3.2.1.1 にアップグレードされた後、NSX マルウェア防止 (MP) または NSX Network Detection and Response (NDR) のいずれかの機能をアップグレードすると、次のいずれかの症状で失敗します。

  1. アップグレード UI ウィンドウに、NSX NDR および cloud-connector ポッドのステータスが FAILED と表示される。

  2. NSX NDR のアップグレードの場合、プレフィックスが nsx-ndr のいくつかのポッドの状態が ImagePullBackOff になる。

  3. NSX MP のアップグレードの場合、プレフィックスが cloud-connector のいくつかのポッドの状態が ImagePullBackOff になる。

  4. UPGRADE をクリックするとアップグレードは失敗するが、以前の NSX MP および NSX NDR 機能はアップグレードを開始する前と同じように機能する。ただし、NSX Application Platform が不安定になることがある。

  回避策：VMware のナレッジベースの記事 KB89418 を参照してください。

• 問題 2989696：NSX Manager リストア操作を実行した後、スケジュール設定されたバックアップの開始に失敗する

  スケジュール設定されたバックアップでバックアップが生成されません。手動バックアップは引き続き機能します。

  回避策：ナレッジベースの記事 KB89059 を参照してください。

• 問題 3015843：NSX-T 3.2.0 で変更された DFW パケットのログ識別子がリリース ノートに記載されていない

  以前のリリースで使用されていたログ識別子を持つ DFW パケット ログが見つかりません。

  RFC に準拠するため、次の NSX-T Syslog フィールドが変更されました。

  • FIREWALL_PKTLOG 。変更後： FIREWALL-PKTLOG

  • DLB_PKTLOG 。変更後： DLB-PKTLOG

  • IDPS_EVT 。変更後： IDPS-EVT

  • nsx_logger 。変更後： nsx-logger

  これらの変更は RFC 準拠のために行われているため、NSX の今後のリリースで、以前のリリースのログ構造に戻る可能性はありません。

• 問題 2355113：Azure 高速ネットワーク インスタンスで、RedHat および CentOS を実行しているワークロード仮想マシンがサポートされない

  Azure で、RedHat または CentOS ベースの OS を使用し、ネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネット インターフェイスが IP アドレスを取得しません。

  回避策：RedHat および CentOS ベースの OS で高速ネットワークを無効にします。

• 問題 2283559：Edge で RIB に 65,000 以上のルート、FIB に 100,000 以上のルートがある場合、/routing-table および /forwarding-table MP API がエラーを返す

  Edge で RIB に 65,000 以上のルート、FIB に 100,000 以上のルートがある場合、管理プレーンから Edge への要求に 10 秒以上かかり、この結果タイムアウトになります。これは読み取り専用 API であり、API/ユーザー インターフェイスを使用して、RIB の 65,000 以上のルートおよび FIB の 100,000 以上のルートをダウンロードする必要がある場合にのみ影響を受けます。

  回避策：RIB/FIB を取得するには、2 つのオプションがあります。これらの API では、ネットワーク プレフィックスまたはルートのタイプに基づくフィルタリング オプションをサポートしています。これらのオプションを使用して、目的とするルートをダウンロードします。RIB/FIB テーブル全体が必要な場合は CLI でサポートします。これによるタイムアウトはありません。

• 問題 2693576：KVM RHEL 7.9 を RHEL 8.2 にアップグレードした後、トランスポート ノードに「NSX インストール失敗」と表示される

  RHEL 7.9 から 8.2 へのアップグレード後、依存関係 nsx-opsagent と nsx-cli が見つからず、ホストがインストール失敗としてマークされます。ユーザー インターフェイスからは障害を解決できません。「ホストにソフトウェアをインストールできませんでした。未解決の依存関係：[PyYAML, python-mako, python-netaddr, python3]」というメッセージが表示されます。

  回避策：ホスト OS のアップグレード後に NSX RHEL 8.2 vib を手動でインストールし、ユーザー インターフェイスから問題を解決します。

• 問題 2628503：manager nsgroup を強制的に削除しても、DFW ルールが適用されたままになる

  回避策：DFW ルールで使用中の nsgroup を強制的に削除しないでください。代わりに、nsgroup を空にするか、DFW ルールを削除します。

• 問題 2684574：Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトする

  Edge に 6,000 個以上のルートが存在すると、OSPF データベースと OSPF ルートに対する次のポリシー API からエラーが返されます。/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトします。これは読み取り専用の API で、API/ユーザー インターフェイスを使用して OSPF ルートとデータベースの 6,000 個以上のルートをダウンロードする場合にのみ、この問題の影響を受けます。

  回避策：CLI コマンドを使用して、Edge から情報を取得します。

• 問題 2663483：単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断される

  この問題は、NSX フェデレーションと単一ノードの NSX Manager クラスタでのみ発生します。単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断されます。

  回避策：単一ノードの NSX Manager クラスタの展開は、サポートされている展開オプションではありません。3 ノードの NSX Manager クラスタを使用してください。

• 問題 2636771：リソースが複数のタグ ペアでタグ付けされ、そのタグと範囲が、タグと範囲にある値と一致する場合、検索はリソースを返すことがある

  これは、タグと範囲の条件を含む検索クエリに影響します。タグと範囲が任意のペアと一致する場合、フィルタは余分なデータを返すことがあります。

  回避策：なし。

• 問題 2668717：vRA で作成され、Tier-1 を共有するセグメントに接続しているネットワーク間の E-W ルーティングで、トラフィックの損失が断続的に観測される場合がある

  vRA が複数のセグメントを作成し、共有 ESG に接続している場合、V2T はこのようなトポロジを共有 Tier-1 に変換し、NSX-T 側のすべてのセグメントに接続します。ホストの移行期間中に、Tier-1 を共有するセグメントに接続しているワークロード間で E-W トラフィックが断続的に失われる可能性があります。

  回避策：なし。

• 問題 2490064：外部 LB がオンになっている VMware Identity Manager を無効にできない

  外部 LB を使用して NSX で VMware Identity Manager 統合を有効にした後、外部 LB をオフにして統合を無効にしようとすると、最初の構成が再表示され、ローカルの変更が上書きされます。

  回避策：vIDM を無効にする場合は、外部 LB のフラグをオフにせず、vIDM 統合のみをオフにします。これにより、データベースに構成が保存され、他のノードと同期されます。

• 問題 2526769：マルチノード クラスタでリストアが失敗する

  マルチノード クラスタでリストアを開始すると、リストアが失敗し、アプライアンスの再展開が必要になります。

  回避策：新しい設定（1 ノード クラスタ）を展開し、リストアを開始します。

• 問題 2534933：LDAP ベースの CDP（CRL 配布ポイント）を含む証明書が Tomcat/クラスタ証明書として適用できない

  LDAP CDP を含む CA 署名付き証明書をクラスタ/Tomcat 証明書として使用できません。

  回避策：2 つのオプションがあります。

  1. HTTP ベースの CDP を含む証明書を使用します。

  2. PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig API を使用して、CRL チェックを無効にします（PUT のペイロードで「crl_checking_enabled」が false になっていることを確認します）。

• 問題 2566121：サーバが過負荷状態のときに、「一部のアプライアンス コンポーネントが正常に機能していません」という誤ったエラー メッセージが表示される

  NSX に対する API 呼び出しが多すぎると、UI/API に「サーバがオーバーロードです」ではなく、「一部のアプライアンス コンポーネントが正常に機能していません」というエラーが表示されます。

  回避策：なし。

• 問題 2613113：オンボーディングの進行中にローカル マネージャのリストアが完了しても、グローバル マネージャで、ローカル マネージャの状態が IN_PROGRESS のままになっている

  グローバル マネージャの UI で、ローカル マネージャの状態が IN_PROGRESS と表示されます。リストアされたサイトの構成をインポートできません。

  回避策：グローバル マネージャ クラスタを一度に 1 ノードずつ再起動します。

• 問題 2690457：MP クラスタで publish_fqdns が設定され、外部 DNS サーバが適切に構成されていないときに、MP を MP クラスタに参加させると、参加するノードで proton サービスが適切に再起動されないことがある

  参加するマネージャが機能せず、ユーザー インターフェイスが使用できません。

  回避策：すべてのマネージャ ノードの正引き DNS 参照エントリと逆引き DNS 参照エントリを使用して、外部 DNS サーバを構成します。

• 問題 2574281： ポリシーで 500 個までの VPN セッションしか許可されない

  NSX では Large フォーム ファクタに対して Edge ごとに 512 個の VPN セッションをサポートしていますが、セキュリティ ポリシーの自動組み込みが原因で、500 個までの VPN セッションしか許可されません。Tier-0 で 501 個目の VPN セッションを設定すると、次のエラー メッセージが表示されます。{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}

  回避策：管理プレーンの API を使用して、追加の VPN セッションを作成します。

• 問題 2658092：NSX Intelligence がローカル マネージャで構成されている場合、オンボーディングが失敗する

  オンボーディングがプリンシパル ID エラーで失敗し、プリンシパル ID ユーザーを使用してシステムをオンボーディングすることはできません。

  回避策：NSX Intelligence で使用されるのと同じプリンシパル ID 名を使用して一時的なプリンシパル ID ユーザーを作成します。

• 問題 2639424：ホストベース展開の vLCM クラスタでホストの修正を行うと、95% まで進行して失敗する

  ホストの修正が 95% まで進行してスタックし、70 分のタイムアウト時間の後に失敗します。

  回避策：VMware のナレッジベースの記事 KB81447 を参照してください。

• 問題 2636420：クラスタのバックアップ後に「NSX の削除」が実行されているときに、リストアを行うと、ホストが「NSX インストールをスキップ」状態になり、クラスタが「失敗」状態になる

  ホストに「NSX インストールをスキップ」状態が表示されます。

  回避策：バックアップ後の状態（未構成の状態）に戻すには、リストア後にクラスタで「NSX の削除」を再度実行する必要があります。

• 問題 2558576：グローバル プロファイル定義でグローバル マネージャとローカル マネージャのバージョンが異なり、ローカル マネージャで予期しない動作が発生することがある

  グローバル マネージャで作成されたグローバル DNS、セッション、またはフラッド プロファイルを UI からローカル グループに適用することはできませんが、API では適用できます。このため、API ユーザーが誤ってプロファイル割り当てマップを作成し、ローカル マネージャでグローバル エンティティを変更する可能性があります。

  回避策：ユーザー インターフェイスを使用してシステムを構成します。

• 問題 2491800：AR チャネル SSL 証明書の有効性が定期的に確認されないため、既存の接続に対して有効期限の切れた証明書または失効した証明書が使用される可能性がある

  この接続では期限切れの SSL または失効した SSL が使用されます。

  回避策：マネージャ ノードの APH を再起動して、再接続をトリガーします。

• 問題 2561988：すべての IKE/IPsec セッションが一時的に中断する

  しばらくの間、トラフィックが停止しているように見えます。

  回避策：ローカル エンドポイントを同時に変更するのではなく、段階的に変更します。

• 問題 2584648：T0 / T1 ゲートウェイのプライマリの切り替えが North バウンド接続に影響する

  場所のフェイルオーバー時間で中断が数秒間発生し、場所のフェイルオーバーまたはフェイルバックのテストに影響することがあります。

  回避策：なし。

• 問題 2636420：バックアップ後に remove nsx が呼び出されるクラスタにトランスポート ノード プロファイルが適用される

  ホストが準備済み状態ではありませんが、トランスポート ノード プロファイルがクラスタで適用されたままになります。

  回避策：バックアップ後の状態（未構成の状態）に戻すには、リストア後にクラスタで「NSX の削除」を再度実行します。

• 問題 2687084：アップグレードまたは再起動後、検索 API がエラー コード 60508「インデックスを再作成しています。処理が完了するまでに時間がかかることがあります」を含む 400 エラーを返すことがある

  システムの規模によっては、インデックスの再作成が完了するまで検索 API と UI を使用できません。

  回避策：なし。

• 問題 2782010：ポリシー API で、allow_changing_vdr_mac_in_use が false でも、vdr_mac/vdr_mac_nested の変更が許可される

  allow_changing が false に設定されている場合でも、TN で VDR の MAC アドレスが更新されます。エラーはスローされません。

  回避策：フィールドを変更する予定がない場合は、VDR MAC を古い値に戻します。

• 問題 2791490：フェデレーション：スタンバイ グローバル マネージャ (GM) を変更した後、オブジェクトをスタンバイ GM に同期できない

  アクティブ GM からの更新で、スタンバイ GM のロケーション マネージャでアクティブ GM を確認できません。

  回避策：スタンバイ GM の ユーザー インターフェイスで強制同期を要求します。

• 問題 2799371：L2 VPN と IPsec セッションが実行中でも、L2 VPN の IPsec アラームがクリアされない

  不要な未解決アラームが表示される点を除き、これによる機能上の影響はありません。

  回避策：アラームを手動で解決します。

• 問題 2838613：ESX 7.0.3 より前のバージョンの場合、クラスタにセキュリティをインストールした後にバージョン 6.5 から上位バージョンにアップグレードされた VDS で、NSX セキュリティ機能が有効にならない

  バージョン 6.5 から新しいバージョン（6.6 以降）にアップグレードされた VDS に接続している仮想マシンで、vSphere DVPortgroups の NSX セキュリティ機能がサポートされていても、NSX セキュリティ機能が有効になりません。

  回避策：仮想マシンでセキュリティを有効にするには、VDS をアップグレードした後にホストを再起動して、仮想マシンをパワーオンします。

• 問題 2839782：CRL エンティティが大きいため、NSX-T 2.4.1 から 2.5.1 にアップグレードできない。また、Corfu が 2.4.1 でサイズ制限を課すため、アップグレード中に Corfu で CRL エンティティが作成されない

  アップグレードできません。

  回避策：証明書を別の CA によって署名された証明書に置き換えます。

• 問題 2851991：Active Directory グループを含むポリシー グループに空の送信元グループがネストされていると、IDFW が失敗する

  Active Directory グループを含むポリシー グループに空の送信元グループがネストされていると、IDFW が失敗します。

  回避策：空の子グループを削除します。

• 問題 2852419：複数の範囲値を持つリンクローカル以外の IPv4/v6 ネクストホップでスタティック ルートが構成されていると、エラー メッセージが表示される

  複数の範囲値を持つリンク ローカル以外のネクスト ホップ IP アドレスを使用するスタティック ルート API は拒否されます。

  回避策：複数の範囲値ではなく、複数のネクスト ホップを作成し、各ネクスト ホップに異なる IP アドレスを設定します。

• 問題 2853889：EVPN テナント構成を作成すると（vlan-vni マッピングを使用）、子セグメントが作成されるが、その認識状態が「失敗」状態になり、約 5 分後に自動的にリカバリされる

  EVPN テナント構成が認識されるまでに 5 分ほどかかります。

  回避策：なし。5 分間待機します。

• 問題 2854139：Edge の Tier-0 SR に複数の BGP ネイバーがあり、これらの BGP ネイバーが Tier-0 SR に ECMP プレフィックスを送信しているトポロジで、RIB への BGP ルートの追加/削除が継続的に行われる

  継続的に追加または削除されるプレフィックスのトラフィックがドロップされます。

  回避策：スタティック ルートのネクストホップと同じサブネットにある BGP プレフィックスをフィルタする受信ルートマップを追加します。

• 問題 2864250：トランスポート ノードの作成時にカスタム NIOC プロファイルを使用すると、トランスポート ノードの認識でエラーが発生する

  トランスポート ノードを使用する準備ができていません。

  回避策：デフォルトの NIOC プロファイルを使用してトランスポート ノードを作成し、カスタム NIOC プロファイルを適用して更新します。

• 問題 2866682：Microsoft Azure で、SUSE Linux Enterprise Server (SLES) 12 SP4 ワークロード仮想マシンでネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネット インターフェイスが IP アドレスを取得しない

  仮想マシン エージェントが起動せず、仮想マシンが管理対象外になります。

  回避策：高速ネットワークを無効にします。

• 問題 2867243：有効なメンバーのないポリシー グループまたは NSGroup に対する有効なメンバーシップ API が、API 応答で results および result_count フィールドを返さない

  これによる機能上の影響はありません。

  回避策：なし。

• 問題 2868235：同じ VDS に複数の物理 NIC が接続されている場合、可視化機能により、クイック スタートの [ネットワークとセキュリティ] ダイアログに重複する VDS が表示される

  可視化機能により、重複する VDS が表示されます。可視化グラフにフォーカスがある場合、[ホスト スイッチのカスタマイズ] セクションを見つけたり、スクロールするのが難しい場合があります。

  回避策：スクロールに問題がある場合は、Tab キーを押すか、マウス ポインタを表示領域外に移動し、スイッチ構成のカスタマイズ セクションまでスクロールします。

• 問題 2870085：すべてのルールのログを有効または無効にするセキュリティ ポリシー レベルのログが機能しない

  セキュリティ ポリシーで logging_enabled を変更しても、すべてのルールのログを変更することはできません。

  回避策：ルールごとにログを有効または無効にします。

• 問題 2870529：Active Directory ドメインを追加するときに、大文字と小文字が一致しない NetBIOS 名が使用されると、Identify Firewall (IDFW) のランタイム情報を取得できない

  IDFW の現在のランタイム情報/状態をすぐに取得することはできません。現在アクティブなログインを特定できません。

  回避策：問題のドメインの NetBIOS 名を修正します。変更が適用されると、以降のすべての IDFW イベントが正しく報告されます。

• 問題 2870645：/policy/api/v1/infra/realized-state/realized-entities API の応答で publish_status が「成功」になっていても（認識の成功を意味する）、publish_status_error_details にエラーの詳細が表示される

  これによる機能上の影響はありません。

  回避策：なし。

• 問題 2871585：バージョン 7.0.3 より前の VDS では、vSphere dvPortgroups の NSX セキュリティ機能を有効にした後、VDS からのホストの削除と VDS の削除が許可される

  VDS からのホストの削除または VDS の削除で発生するトランスポート ノードまたはクラスタ構成の問題を解決する必要がある場合があります。

  回避策：なし。

• 問題 2874236：アップグレード後、HA ペアに Public Cloud Gateway (PCG) を 1 つだけ再展開すると、古い HA AMI/VHD ビルドが再利用される

  これは、アップグレード後に PCG を初めて再展開したときにのみ発生します。

  回避策：API を使用して、アップグレード後に適切な AMI または VHD を提供します。

• 問題 2875385：新しいノードがクラスタに参加するときに、ローカル ユーザー（admin、audit、guestuser1、guestuser2）の名前が別の名前に変更されている場合、これらのローカル ユーザーでログインできないことがある

  ローカル ユーザーではログインできません。

  回避策：回避策は 2 つあります。

  • 回避策 1：ユーザー名を任意の名前に変更してから、目的の名前に戻します。

  • 回避策 2：ユーザー名を変更できない場合は、NSX Manager を再起動します。

• 問題 2848614：MP クラスタに publish_fqdns が設定され、参加するノードに対して外部 DNS サーバに正引き参照または逆引き参照エントリがないか、DNS エントリがない場合に、MP を MP クラスタに参加させると、参加するノードに正引きアラームまたは逆引きアラームが生成されない

  DNS サーバに正引き/逆引き参照エントリがないか、参加するノードの DNS エントリがない場合でも、参加するノードに対して正引き/逆引きアラームが生成されません。

  回避策：正引きと逆引きの DNS エントリを使用して、すべてのマネージャ ノードの外部 DNS サーバを構成します。

• 問題 2719682：Avi Controller の計算フィールドがポリシーのインテントに同期されないため、Avi UI と NSX-T UI に表示されるデータが一致しない

  NSX-T UI で、Avi Controller の計算フィールドが空白になります。

  回避策：アプリケーション スイッチャを使用して、Avi UI からのデータを確認します。

• 問題 2747735：リストア後、ネットワークの互換性の問題が原因で VIP の接続が切断される

  バックアップのリストア中に、AddNodeToCluster 手順の前に VIP を更新できます。

  [回避策がある場合はそれを入力。ない場合は「なし」と入力] 通常、リストアは AddNodeToCluster 手順で一時停止し、マネージャ ノードを追加するかどうかユーザーに確認します。手順 a. [システム/アプライアンス UI] ページから新しい IP アドレスを使用できるように、VIP を削除または更新します。手順 b. VIP が修正されたら、リストアされた 1 ノード クラスタにノードを追加します。

• 問題 2816781：物理サーバは、単一 VTEP をサポートしているため、ロード バランシング ベースのチーミング ポリシーを使用して構成できない

  ロード バランシング ベースのチーミング ポリシーを使用して物理サーバを構成することはできません。

  回避策：チーミング ポリシーをフェイルオーバー ベースのチーミング ポリシーに変更するか、単一の VTEP を持つ任意のポリシーに変更します。

• 問題 2856109：Avi Controller のバージョンが 21.1.2 の場合、2,000 個目のプールメンバーを追加するとエラーが発生する

  Avi Controller 21.1.2 で許可されるプール メンバー数は 2,000 個ではなく、1,999 個です。

  回避策：Avi Controller のバージョンを 20.1.7 または 21.1.3 にします。

• 問題 2862418：正確なパケット数を追跡するように LTA を構成すると、ライブ トラフィック分析 (LTA) で最初のパケットが失われることがある

  最初のパケット トレースを確認できません。

  回避策：なし。

• 問題 2864929：NSX-T Data Center で、NSX for vSphere から Avi ロード バランサに移行すると、プール メンバー数が多くなる

  プール メンバーの数が多くなります。健全性モニターでは、これらのプール メンバーが「停止」としてマークされますが、トラフィックは到達不能なプール メンバーに送信されません。

  回避策：なし。

• 問題 2865273：NSX for vSphere から NSX-T Data Center に移行する前に、ポート 22、443、8443、123 をブロックする DFW ルールが存在する場合、Advanced Load Balancer (Avi) 検索エンジンが Avi Controller に接続できない

  Avi 検索エンジンが Avi Controller に接続できません。

  回避策：SE 仮想マシンのポート 22、443、8443、123 を許可する DFW ルールを明示的に追加するか、SE 仮想マシンを DFW ルールから除外します。

• 問題 2866885：イベント ログ スクラッパー (ELS) では、Active Directory ドメインで構成された NetBIOS 名が Active Directory サーバと一致する必要がある

  ELS によってユーザー ログインが検出されない

  回避策：Active Directory サーバと一致するように NetBIOS 名を変更します。

• 問題 2868944：NSX for vSphere から NSX-T Data Center に 1,000 個を超える DFW ルールを移行すると、UI のフィードバックは表示されないが、1,000 個以下のルールを含む複数のセクションに分割される

  ユーザー インターフェイスのフィードバックが表示されません。

  回避策：ログを確認してください。

• 問題 2878030：ローカル マネージャ サイトの変更によるオーケストレータ ノードのアップグレードで通知が表示されない

  UC のアップグレード後にオーケストレータ ノードを変更し、アクション ボタン（事前チェック、開始など）をクリックして UI ワークフローを続行すると、アップグレード UI に進行状況が表示されません。この問題は、サイト マネージャを使用してグローバル マネージャの UI からローカル マネージャのアップグレード UI にアクセスした場合にのみ発生します。

  回避策：このサイトのローカル マネージャに移動してアップグレードを続行し、予期される通知を確認します。

• 問題 2878325：Manager のインベントリ キャパシティ ダッシュボード ビューで、[IP セットに基づくグループ] 属性の数に、ポリシーのユーザー インターフェイスから作成された IP アドレスのあるグループが含まれない

  IP アドレスを含むポリシー グループがある場合、Manager のインベントリ キャパシティ ダッシュボード ビューで [IP セットに基づくグループ] に正しい数が表示されません。

  回避策：なし。

• 問題 2879133：マルウェア防止機能が機能するまでに 15 分かかる場合がある

  マルウェア防止機能を初めて構成したときに、この機能の初期化が完了するまでに 15 分かかることがあります。この初期化が完了するまでマルウェアの分析は実行されませんが、初期化の発生を示す通知は表示されません。

  回避策：15 分間待機します。

• 問題 2879734：2 つの異なる IPsec ローカル エンドポイントで同じ自己署名証明書が使用されていると、構成が失敗する

  エラーが解決されるまで、失敗した IPsec セッションは確立されません。

  回避策：ローカル エンドポイントごとに一意の自己署名証明書を使用します。

• 問題 2879979：IPsec ピアにアクセスできないために、Dead Peer Detection が発生した後、IKE サービスが新しい IPsec ルート ベースのセッションを開始しないことがある

  特定の IPsec ルート ベースのセッションが停止する可能性があります。

  回避策：IPsec セッションで有効または無効にすると、問題を解決できます。

• 問題 2881281：複数の仮想サーバを同時に構成すると失敗する場合がある

  仮想サーバへのクライアント接続がタイムアウトになることがあります。

  回避策：次の API を実行して、論理ルーター ワークフローを再トリガします。

  https://{ip}/api/v1/logical-routers/<id>? action=reprocess

• 問題 2881471：展開状態が「失敗」から「成功」に変わっても、サービス展開の状態が更新されない

  発生したアラームが解決されず、サービス展開の状態が「停止」のままになることがあります。

  回避策：サービス展開状態の API を使用して、状態を確認します。

  API：https://{{nsx-mgr-ip}}/api/v1/serviceinsertion/services/{{service-id}}/service-deployments/{{service-deployment-id}}/status

• 問題 2882070：マネージャ API のリストに、グローバル グループの NSGroup メンバーと基準が表示されない

  これによる機能上の影響はありません。

  回避策：ローカル マネージャでポリシー API を使用してグローバル グループ定義を表示します。

• 問題 2882769：NSX-T 3.2 にアップグレードした後、NSService オブジェクトと NSServiceGroup オブジェクトのタグが引き継がれない

  NSService と NSServiceGroup のタグを使用しているワークフローがないため、これによる NSX の機能上の影響はありません。これらのオブジェクトのタグに依存するワークフローのある外部スクリプトには影響が生じる可能性があります。

  回避策：NSX-T 3.2 にアップグレードした後、エンティティを更新し、不足しているタグを NSService と NSServiceGroup に追加します。

• 問題 2884939：NSX for vSphere から NSX-T ALB に多くの仮想サービスを移行すると、NSX のレート制限（1 秒あたり 100 要求）に達し、すべての API がしばらくブロックされる

  NSX-T ポリシー API で次のエラーが発生する。クライアント「admin」が 1 秒あたり 100 の要求レートを上回っています（エラー コード：102）このエラーは構成の移行後、しばらくの間発生します。

  回避策：クライアント API のレート制限を 1 秒あたり 200 要求に更新します。

• 問題 2792485：vCenter Server に、インストールされたマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示される

  vCenter Server の統合 NSX-T UI に、インストールされているマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示されます。

  回避策：なし。

• 問題 2884518：NSX アプライアンスを NSX-T 3.2 にアップグレードした後、ネットワーク トポロジー UI で、セグメントに接続された仮想マシンの数が正確でない

  ネットワーク トポロジーで、セグメントに接続されている仮想マシンの数が間違っています。ただし、仮想マシンのノードを展開すると、セグメントに関連付けられている仮想マシンの実際の数が表示されます。

  回避策：

  1. エンジニアリング モードで NSX アプライアンスにログインします。

  2. 次のコマンドを実行します。curl -XDELETE http://localhost:9200/topology_manager

• 問題 2874995：未使用の場合でも LCore の優先順位が高いままになり、一部の仮想マシンで使用できない場合がある

  通常遅延の仮想マシンのパフォーマンスが低下します。

  回避策：2 つのオプションがあります。

  • システムを再起動します。

  • 優先順位の高い LCore を削除してから再作成します。その後、デフォルトで通常の優先順位の LCore に戻ります。

• 問題 2772500：ENS でネストされたオーバーレイを有効にすると、PSOD が発生する可能性がある

  PSOD が発生する可能性があります。

  回避策：ENS を無効にします。

• 問題 2832622：編集または変更後に IPv6 ND プロファイルが有効にならない

  ネットワークが引き続き古い NDRA プロファイルを参照します。

  回避策：ccp を再起動して、IPv6 ND プロファイルを更新します。

• 問題 2840599：MP 正規化 API で INVALID_ARGUMENT エラーが発生する

  ユーザー インターフェイスの操作性が良くありません。

  回避策：なし。

• 問題 2844756：セグメントの削除がエラーで失敗する

  セグメントを削除できません。

  回避策：セグメントに接続しているポートを強制的に削除します。

  1. 次の API を使用して、そのセグメントに接続されている論理ポートのリストを取得します。たとえば、PolicySegment01 の場合は、次のようになります。

     GET : https://<NSX MANAGER IP>/policy/api/v1/infra/segments/PolicySegment01/ports

  2. 上記の呼び出しで返されたリストにある論理ポートごとに、次の呼び出しを行います。

     DELETE : https://<NSX MANAGER IP>/api/v1/logical-ports/<LOGICAL PORT UUID>?detach=true

  接続されているポートがすべて削除されると、セグメントを削除できます。

• 問題 2866751：シャドウ グループに対する統合された有効なメンバーシップ API の応答で、静的 IP が表示されない

  これにより、機能上またはデータパスへの影響はありません。シャドウ グループに対する統合された有効なメンバーシップの GET API で、静的 IP が表示されません。これは、シャドウ グループ（参照グループ）にのみ該当します。

  回避策：元のサイトで、シャドウ グループの統合された有効なメンバーシップを確認します。

• 問題 2869356：IPSet メンバーのある NSGroup の [概要] タブをクリックすると、管理プレーンにエラーが表示される

  ユーザー エクスペリエンスが低下します。

  回避策：なし。

• 問題 2872658：サイト登録後、UI に次のエラーが表示されます。「インポートできません。次の機能はサポートされていません：IDS」

  これによる機能上の影響はありません。NSX-T 3.2 では、構成のインポートがサポートされていません。

  回避策：ローカル マネージャから IDS 構成を削除し、登録を再試行します。

• 問題 2877628：6.6 より前のバージョンの ESX ホスト スイッチ VDS にセキュリティ機能をインストールしようとすると、不明なエラー メッセージが表示される

  このエラー メッセージは、ユーザー インターフェイスと API で表示されます。

  回避策：ESX で 6.6 以降の VDS バージョンを使用して、NSX セキュリティをインストールします。

• 問題 2877776：get controllers の出力に、controller-info.xml ファイルと比べてマスター以外の古いコントローラに関する情報が表示されることがある

  この CLI 出力は混乱を招きます。

  回避策：この TN で nsx-proxy を再起動します。

• 問題 2879119：仮想ルーターを追加すると、対応するカーネル ネットワーク インターフェイスが起動しない

  VRF のルーティングが失敗します。VRF を介して接続された仮想マシンに対して接続が確立されていません。

  回避策：dataplane サービスを再起動します。

• 問題 2881168：LogicalPort GET API の出力が、前の形式 (fc00::1) と比べると、拡張形式 (fc00:0:0:0:0:0:0:1) になる

  NSX-T 3.2 の LogicalPort GET API の出力は、NSX-T 3.0 の形式 (fc00::1) と比べると、拡張形式 (fc00:0:0:0:0:0:0:1) になります。

  回避策：なし。

• 問題 2882822：NSX for vSphere から NSX-T への構成の移行で、Edge ファイアウォール ルール/LB プール メンバーで使用されるセキュリティ グループに一時 IPSet が追加されない

  移行中、NSX-T で仮想マシン/VIF が検出され、静的/動的メンバーシップを介して適用可能な SG の一部になるまで、ギャップが生じることがあります。これにより、移行が終了するまで、トラフィックがドロップまたは許可される可能性があります。これは、North/South のカットオーバー（NSX-T ゲートウェイを通過する N/S トラフィック）間の Edge ファイアウォール ルールとは異なります。

  回避策：送信元/宛先に Edge FW で使用されるすべてのセキュリティ グループが含まれる仮の DFW ルールを追加します。また、移行前に Edge ファイアウォール ルールの送信元と宛先を IPSet に移動する方法もあります。

• 問題 2884070：NSX-T Edge アップリンクとピアリング ルーターの間で MTU 設定が一致しないと、OSPF ネイバーシップが Exstart 状態で停止するNSX for vSphere から NSX-T への移行で MTU は自動的に移行されないため、この不一致が North/South Edge のカットオーバーでデータ プレーンに影響を及ぼす可能性があります。

  OSPF 隣接関係が Exstart 状態で停止します。

  回避策：Edge のカットオーバー前に、OSPF ネイバー インターフェイスで一致する MTU を手動で構成します。

• 問題 2884416：ロード バランサの状態をタイムリーに更新できない

  ロード バランサの状態が正しくありません。

  回避策：ロード バランサの統計情報の収集を停止します。

• 問題 2885009：アップグレード後、グローバル マネージャに追加のデフォルト スイッチング プロファイルが追加される

  これによる機能上の影響はありません。

  回避策：プレフィックス nsx-default で始まるデフォルトのスイッチング プロファイルの使用は想定されていません。

• 問題 2885248：InterVtep シナリオで、（Edge 仮想マシンと ESX ホストの VLAN に関係なく）EdgeVnic が NSX ポートグループに接続されている場合、Edge VTEP に送信されるパケットが ESX によってドロップされるため、ESX 上のワークロード仮想マシンと Edge 間の North-South トラフィックが停止する

  回避策：セグメントをインターフェイスから切断し、再接続して、Edge TN を更新します。

• 問題 2885330：Active Directory グループの有効なメンバーが表示されない

  Active Directory グループの有効なメンバーが表示されません。これにより、データパスに影響が及ぶことはありません。

  回避策：なし。

• 問題 2885552：OpenLDAP を使用する LDAP ID ソースを作成し、複数の LDAP サーバが定義されている場合、最初のサーバのみが使用される

  最初の LDAP サーバが使用できなくなると、構成済みの残りの OpenLDAP サーバを試行する代わりに、認証に失敗します。

  回避策：OpenLDAP サーバの前にロード バランサを配置し、ロード バランサの仮想 IP を使用して NSX を構成できる場合は、高可用性を実現できます。

• 問題 2886210：リストア中に vCenter Server が停止すると、[バックアップ/リストア] ダイアログが表示され、vCenter Server が起動して実行されていることを確認するように指示されるが、vCenter Server の IP アドレスが表示されない

  vCenter Server 接続のリストア中に vCenter Server の IP アドレスが表示されません。

  回避策：次のリストア手順に進む前に、登録されているすべての vCenter Server が実行されていることを確認します。

• 問題 2886971：グローバル マネージャで作成されたグループが削除後にクリーンアップされないこれは、そのグループがローカル マネージャ サイトのリファレンス グループの場合にのみ発生します。

  機能上の影響はありませんが、削除したグループと同じポリシーパスで別のグループを作成することはできません。

  回避策：なし。

• 問題 2887037：マネージャからポリシー オブジェクトへの昇格後、NAT ルールを更新または削除できない

  この問題は、昇格がトリガされる前に、マネージャで PI（プリンシパル ID）ユーザーによって NAT ルールが作成された場合に発生します。PI ユーザーが作成した NAT ルールは、マネージャからポリシー オブジェクトへの昇格後に更新または削除できません。

  回避策：マネージャからポリシー オブジェクトへの昇格の前に、admin などの保護されていないユーザーを使用して、同じ構成の NAT ルールを作成できます。

• 問題 2888207：vIDM が有効な場合、ローカル ユーザーの認証情報をリセットできない

  vIDM が有効になっている間、ローカル ユーザーのパスワードを変更できません。

  回避策：vIDM 構成を一時的に無効にして、その間にローカル認証情報をリセットし、統合を再度有効にする必要があります。

• 問題 2889748：再展開に失敗すると Edge ノードの削除に失敗する削除すると、システムに古いインテントが残り、ユーザー インターフェイスに表示される

  Edge 仮想マシンは削除されますが、古い Edge インテントと内部オブジェクトがシステムに残ります。削除操作は内部で再試行されます。Edge 仮想マシンが削除され、インテントにのみ古いエントリが含まれるため、これによる機能上の影響はありません。

  回避策：なし。

• 問題 2875962：クラウド ネイティブ セットアップのアップグレード ワークフローが NSX-T 3.1 と NSX-T 3.2 で異なる

  通常のワークフローに従うと、すべての CSM データが消去されます。

  回避策：アップグレードを行うには、VMware のサポートが必要です。VMware のサポートにお問い合わせください。

• 問題 2888658：マルウェア検出とサンドボックス機能が有効になっている場合、NSX-T ゲートウェイ ファイアウォールで確認される 1 秒あたりの接続数とスループットの点で、パフォーマンスに重大な影響が発生する

  マルウェア検出の対象となるトラフィックで大幅な遅延が発生し、接続が失敗する可能性があります。ゲートウェイでマルウェア検出が有効になっていると、L7FW トラフィックにも影響し、遅延と接続障害が発生します。

  回避策：トラフィックの小さなサブセクションにのみ一致する IDS ルールを作成して、マルウェア検出の対象となるトラフィックの量を制限します。

• 問題 2882574：NSX-T 3.2.0 リリースで「ブラウンフィールド構成オンボーディング」機能が完全にサポートされていないため、この API がブロックされる

  「ブラウンフィールド構成オンボーディング」機能を使用することはできません。

  回避策：なし。

• 問題 2890348：NSX-T 3.2 にアップグレードするときに、デフォルトの VNI プールの名前を変更すると、一貫性のない VNI プールが生成される

  VNI の割り当てとそれに関連する操作が失敗することがあります。

  回避策：NSX-T 3.2 にアップグレードする前に、API PUT https://{{url}}/api/v1/pools/vni-pools/<vni-pool-id> を使用して、デフォルトの VNI プールの名前を DefaultVniPool に変更します。

• 問題 2885820：0.0.0.0 で始まる IP 範囲の一部の IP アドレスが変換されない

  0.0.0.0 で始まる IP 範囲の NSGroup（0.0.0.0-255.255.255.0 など）に変換の問題があります（0.0.0.0/1 サブネットがありません）。

  IP 範囲が 1.0.0.0-255.255.255.0 の NSGroup は影響を受けません。

  回避策：0.0.0.0 で始まる IP 範囲のグループを構成する場合は、グループ構成に 0.0.0.0/1 を手動で追加します。

• 問題 2871440：vMotion で、ダウンしている NSX Manager に接続しているホストに、vSphere dvPortGroups の NSX セキュリティで保護されたワークロードを移動すると、セキュリティ設定が失われる

  vSphere dvPortGroups の NSX セキュリティ機能付きでインストールされたクラスタの場合、ダウンした NSX Manager に接続しているホストに vMotion で移動した仮想マシンには、DFW とセキュリティ ルールが適用されません。これらのセキュリティ設定は、NSX Manager への接続が再度確立されるときに再適用されます。

  回避策：NSX Manager がダウンしている場合は、影響を受けるホストへの vMotion を回避します。他の NSX Manager ノードが機能している場合は、vMotion で、良好な NSX Manager に接続している別のホストに仮想マシンを移動します。

• 問題 2945515：Azure での NSX Tools のアップグレードが Redhat Linux 仮想マシンで失敗する場合がある

  デフォルトでは、NSX Tools は /opt ディレクトリにインストールされます。ただし、NSX Tools のインストール中に、デフォルトのパスがインストール スクリプトの --chroot-path オプションで上書きされる場合があります。

  NSX Tools がインストールされているパーティションのディスク容量が不足していると、NSX Tools のアップグレードに失敗する可能性があります。

  回避策：なし。

• 問題 2875563：IN_PROGRESS LTA セッションを削除すると、PCAP ファイルがリークする可能性がある

  LTA セッションの状態が「IN_PROGRESS」のときに、PCAP アクションで LTA が削除されると、PCAP ファイルがリークします。これにより、ESXi の /tmp パーティションがいっぱいになる可能性があります。

  回避策：/tmp パーティションをクリアすると、問題が解決する場合があります。

• 問題 2875667：NSX /tmp パーティションがいっぱいになると、LTA PCAP ファイルのダウンロードでエラーが発生する

  /tmp パーティションがいっぱいのため、LTA PCAP ファイルをダウンロードできません。

  回避策：/tmp パーティションをクリアすると、問題が解決する場合があります。

• 問題 2883505：NSX V2T 移行中に ESXi ホストで PSOD が発生する

  V2T 移行中に、複数の ESXi ホストで PSOD (パープル スクリーン) が発生します。これにより、データパス障害が発生する可能性があります。

  回避策：なし。

• 問題 2914934：NSX-V を NSX-T に移行すると、dvPortGroup の DFW ルールが失われる

  NSX-V を NSX-T に移行した後、引き続き vSphere dvPortGroup に接続しているワークロードで DFW 構成が失われます。

  回避策：NSX-V から NSX-T に移行した後、同じ DFW 構成を持つ VLAN セグメントが構成されます。dvPortGroups ではなく、VLAN セグメントを使用します。

  もう 1 つの回避策として、NSX-V をアンインストールしてから、NSX-T をセキュリティ専用モードでインストールする方法もあります。これにより、既存の dvPortGroup でワークロードを使用できるようになります。

• 問題 2921704：L7 ロード バランサで ip-hash ロード バランシング アルゴリズムを使用すると、nginx プロセスのデッドロックが原因で Edge サービスの CPU 使用量が急増することがある

  ロード バランサの背後にあるバックエンド サーバに接続できません。

  回避策：問題を修正するには、L4 エンジンに切り替えます。引き続き L7 ロード バランサを使用する場合は、ロード バランシング アルゴリズムを ip-hash ではなく round-robin に変更します。

• 問題 2933905：NSX-T Manager を置き換えると、トランスポート ノードとコントローラの接続が失われる

  マネージャ クラスタでノードを追加または削除すると、一部のトランスポート ノードでコントローラとの接続が失われる可能性があります。

  回避策：管理クラスタでマネージャの追加または削除が行われた場合は、影響を受けたトランスポート ノードで nsx プロキシ サービスを再起動します。これにより、controller-info.xml が更新され、コントローラ接続が確立されます。

• 問題 2927442：NSX-T 3.2.0.1 へのアップグレード後、異なるホストおよびクラスタ間のトラフィックが、仮想マシンのデフォルトの拒否 DFW ルールに一致することがある

  一部の PSOD 問題は、NSX for vSphere を NSX-T 3.1.3 に移行した後に発生しました。このため、3.2.0.1 へのアップグレードが推奨されました。アップグレードの後、ホストが分散ファイアウォール ルールを一貫して適用しなくなりました。異なるホストは異なるルールに一致しますが、これは一貫性がなく、予期されたものではありません。

  回避策：

  - 特定のコントローラで上記の例外が発生した場合は、再起動して問題を一時的に解決できます。

  - また、問題が DFW に影響している場合は、ルール リストの上部に any/any 許可ルールを作成して、不要なブロック ルールがヒットするのを回避できます。

• 問題 2937810：データパス サービスの起動に失敗し、一部の Edge ブリッジ機能（Edge ブリッジ ポートなど）が動作しない

  Edge ノードで Edge ブリッジが有効になっている場合、中央制御プレーン (CCP) は Edge ノードに DFW ルールを送信します。このルールはホスト ノードにのみ送信されます。Edge ファイアウォールでサポートされていない機能が DFW ルールに含まれている場合、Edge ノードはサポートされていない DFW 構成を処理できないため、データパスの起動に失敗します。

  回避策：Edge ファイアウォールでサポートされていない DFW ルールを削除または無効にします。