VMware NSX 4.1.0 リリースノート

VMware NSX 4.1.0 \| 2023 年 2 月 28 日 \| ビルド 21332672 各リリースノートで、追加および更新された機能をご確認ください。

VMware NSX 4.1.0 | 2023 年 2 月 28 日 | ビルド 21332672

各リリースノートで、追加および更新された機能をご確認ください。

新機能

NSX 4.1.0 では、プライベート、パブリック、マルチクラウドの仮想ネットワークとセキュリティに関連するさまざまな新機能が追加されています。強化された領域と新機能は次のとおりです。

NSX の内部制御プレーンと管理プレーンの通信に対する IPv6 のサポート - このリリースでは、トランスポートノードと NSX Manager 間の制御プレーンおよび管理プレーンの通信で IPv6 がサポートされています。このリリースでは、IPv4 または IPv6 を介してトランスポートノード（ESXi ホストおよび Edge ノード）と通信できるように、NSX Manager クラスタをデュアルスタックモード（IPv4 と IPv6）で展開する必要があります。トランスポートノードがデュアルスタック（IPv4 と IPv6）で構成されている場合、IPv6 通信が常に優先されます。
ユーザーインターフェイス、API、アラームフレームワークでマルチテナントが使用可能 - このリリースでは、マルチテナントの導入で NSX の使用モデルを拡張しています。これにより、NSX の複数のユーザーが独自のオブジェクトを使用し、独自のアラームを確認し、トレースフローで自身の仮想マシンをモニタリングできます。これは、エンタープライズ管理者がプラットフォームをプロジェクトにセグメント化することで可能になります。これにより、可視性と制御を維持しながら、さまざまなユーザーに異なるスペースを提供することができます。
Antrea と NSX 統合の強化 - NSX 4.1 では、K8s オブジェクトと NSX オブジェクトの両方を含むファイアウォールルールを作成できます。また、NSX タグと K8s ラベルに基づいて動的グループを作成することもできます。これにより、NSX を使用して Antrea クラスタを管理する際の操作性と機能が向上します。
オンライン診断システム - 特定の問題をトラブルシューティングするためのデバッグ手順を含む、事前定義済みのランブックを提供します。これらのランブックは API で呼び出すことができます。ランブックは、CLI、API、スクリプトを使用してデバッグ手順をトリガします。デバッグ後に、問題を修正するための推奨アクションが提示されます。さらに、デバッグに関連して生成されたアーティファクトをダウンロードして、詳しい分析を行うことができます。オンライン診断システムにより、デバッグを自動化し、トラブルシューティングを簡素化することができます。

他にも、さまざまな機能が追加されています。追加された機能の詳細については、以下を参照してください。

レイヤー 2 ネットワーク

ESXi MultiTEP 高可用性 - ハイパーバイザーで複数の TEP が構成されている場合、NSX は TEP IP アドレスと BFD セッションの状態を追跡して、オーバーレイトラフィックを別のアップリンクにフェイルオーバーします。この機能を使用すると、物理スイッチの問題（物理スイッチポートが稼動しているが、転送が適切に機能しないなど）に対して高可用性を実現できます。

レイヤー 3 ネットワーク

BGP アドミニストレーティブディスタンス - このリリースでは、BGP アドミニストレーティブディスタンスのデフォルト値を変更できるようになりました。アドミニストレーティブディスタンスは、各ルーティングプロトコルに割り当てられ、ルートの選択に使用される任意の値です。BGP ルートのアドミニストレーティブディスタンスを操作する機能により、追加のルート選択制御が提供されます。
Tier-0 VRF ゲートウェイと BGP ネイバーごとの BGP 自律システム (AS) 番号 - このリリースでは、Tier-0 VRF ゲートウェイごとと BGP ネイバーごとに異なる BGP ASN（自律システム番号）を構成できます。VRF と BGP ピアごとに個別の ASN を定義することは、エンドユーザーが独自の BGP ASN をネットワークトポロジに組み込むサービスプロバイダとマルチテナントトポロジにとって重要な機能です。
VRF 間ルーティング - このリリースでは、より高度な VRF 相互接続とルートリークモデルが導入されています。この機能を使用すると、VRF 間のルートを動的にインポートおよびエクスポートすることで、より簡単なワークフローときめ細かい制御を使用して、VRF 間ルーティングを構成できます。
自律システム全体の一意の BGP 識別子 - RFC6286 - このリリースでは、BGP ルーター ID の定義で 4 オクテット、符号なし、ゼロ以外の整数を使用できます。RFC 6286 に従って eBGP ピアの「一意性」要件を緩和するためのサポートが導入されています。
NSX の内部制御プレーンと管理プレーンの通信に対する IPv6 のサポート - このリリースでは、トランスポートノードと NSX Manager 間の制御プレーンおよび管理プレーンの通信で IPv6 がサポートされています。このリリースでは、IPv4 または IPv6 を介してトランスポートノード（ESXi ホストおよび Edge ノード）と通信できるように、NSX Manager クラスタをデュアルスタックモード（IPv4 と IPv6）で展開する必要があります。トランスポートノードがデュアルスタック（IPv4 と IPv6）で構成されている場合、IPv6 通信が常に優先されます。

DPU-based Acceleration

UPT V2 は、NVIDIA Bluefield-2 の本番環境に対応しています。
セキュリティ
- NSX Distributed Firewall（ステートフル L2 および L3 ファイアウォール）は、DPU アクセラレーションを使用して本番環境に展開できます。
- NSX Distributed IDS/IPS（技術プレビュー）

Edge ノードプラットフォーム

トランスポートノード API での Edge ノード設定のサポート
- Edge Node API では、次のパラメータを設定できます。再起動の優先順位（Edge ノード仮想マシン）：coalescingScheme と coalescingParams。この機能を使用すると、NSX Manager でのパフォーマンス設定と再起動の優先順位を調整できます。これにより、NSX Manager を介して実行される NSX オブジェクト設定の整合性が維持されます。
Edge ノードオペレーティングシステムの Ubuntu 20.04 へのアップグレード
- Edge ノードのオペレーティングシステムが Ubuntu 20.04 にアップグレードされ、ベアメタル Edge のハードウェアサポートが強化されました。
Edge プラットフォーム：ハードウェアバージョンのアップグレード
- NSX 4.1.0 へのアップグレード中に、Edge 仮想マシンは、サポートされている最新のハードウェアバージョンに自動的にアップグレードされ、最適なパフォーマンスが提供されます。

Network Detection and Response (NDR)

ゲートウェイファイアウォールからの IDPS イベントのサポート - NSX 4.1.0 以降では、相関/侵入キャンペーンで、ゲートウェイ/Edge ファイアウォールからの IDPS イベントが NDR によって使用されます。

コンテナのネットワークとセキュリティ

Antrea と NSX 統合の強化 - NSX 4.1.0 では、K8s オブジェクトと NSX オブジェクトの両方を含むファイアウォールルールを作成できます。また、NSX タグと K8s ラベルに基づいて動的グループを作成することもできます。これにより、NSX を使用して Antrea クラスタを管理する際の操作性と機能が向上します。1 つのルールで仮想マシンと K8s ポッド間のトラフィックを許可/ブロックするファイアウォールポリシーを作成できるようになりました。すべてのエンドポイントを含む新しい適用ポイントも導入され、送信元と宛先のグループメンバーのターゲットに基づいて正しい適用先が決定されます。NSX ポリシールールセットに、Antrea クラスタで作成された K8s NetworkPolicies と階層を表示できるようになりました。この他にも、NSX 4.1.0 ではトレースフローとユーザーインターフェイスも強化されています。K8s ネットワークポリシーのトラブルシューティングと管理機能が向上し、NSX から K8s ネットワークポリシーを完全に一元管理できるようになりました。

インストールとアップグレード

アップグレード時の障害からの迅速なリカバリ - NSX のアップグレード中に発生した障害から迅速にリカバリする方法の 1 つはバックアップへのリストアです。ただし、実行可能なバックアップが使用できないと、このプロセスが遅延し、手動による介入が必要になることがあります。NSX 4.1 では、NSX の自動バックアップが暗黙的に作成され、アプライアンス自体に保存されます。障害が発生した場合、VMware のサポートは、この組み込みのバックアップを使用して、NSX を正常な状態にすばやくリストアできます。

運用とモニタリング

オンライン診断システム - 特定の問題をトラブルシューティングするためのデバッグ手順を含む、事前定義済みのランブックを提供します。これらのランブックは API で呼び出すことができます。ランブックは、CLI、API、スクリプトを使用してデバッグ手順をトリガします。デバッグ後に、問題を修正するための推奨アクションが提示されます。さらに、デバッグに関連して生成されたアーティファクトをダウンロードして、詳しい分析を行うことができます。オンライン診断システムにより、デバッグを自動化し、トラブルシューティングを簡素化することができます。

ESXi ホストトランスポートノードの問題をトラブルシューティングするために、次の事前定義済みのランブックを使用できます。これは、NSX API を使用して呼び出すことができます。

オーバーレイトンネルの問題、コントローラ接続の問題、ポートブロックの問題、物理 NIC のパフォーマンスの問題を診断するランブック。

VPN

IPsec VPN の IPv6 サポート - IPv6 アドレスを IPsec VPN の終端に使用できるようになりました。これにより、IPv6 ネットワーク経由でセキュアなトンネルメカニズムが提供されます。NSX は、IPv6 VPN を介して IPv4 と IPv6 の両方のデータを転送できます。

ゲストイントロスペクション

Windows 11 での GI ドライバのサポート - NSX 4.1.0 以降では、Windows 11 オペレーティングシステムを実行する仮想マシンが、NSX ゲストイントロスペクションでサポートされます。

プラットフォームのセキュリティ

ローカルユーザーのライフサイクル管理 - このリリースでは、ローカルユーザーをシステムに追加したり、システムから削除したりできます。
インストールとアップグレードのセキュアポートの変更 - このリリースでは、インストール用のデフォルトの TCP ポート 8080 が変更されました。TCP ポート 443 にアップグレードされ、プラットフォームのセキュリティが強化されます。
内部証明書の置き換え - このリリースでは、自己署名内部証明書を CA 署名付き証明書で置き換えることができます。

マルチテナント

NSX ユーザーインターフェイスでのマルチテナント - NSX 4.1.0 では、エンタープライズ管理者（プロバイダ）とプロジェクトユーザー（テナント）のユーザーインターフェイスからマルチテナントを使用できます。
- ユーザーごとに異なるビュー - プロジェクトユーザー（テナント）とエンタープライズ管理者（プロバイダ）の両方が NSX にログインして、独自のビューを使用できます。プロジェクトユーザーに、他のプロジェクトまたはプロバイダの構成は表示されません。
- プロジェクトスイッチャ - このリリースでは、インターフェイスの上部にドロップダウンが導入されました。これにより、ユーザーの RBAC に応じて、コンテキストを 1 つのプロジェクトから次のプロジェクトに切り替えることができます。プロジェクトの外部で行われた構成は、デフォルトのコンテキストにあります。これは、プロジェクトの外部で構成されたロールのデフォルトです。デフォルト ( / ) で構成されたユーザーは、RBAC にマッピングされたすべてのプロジェクトを表示および構成できますが、特定のプロジェクトに関連付けられているユーザーは自分のプロジェクトにのみアクセスできます。
すべてのプロジェクト画面 - プロジェクトを切り替える機能に加えて、エンタープライズ管理者は、システム上のすべての構成を表示する統合ビューを使用できます。
プロジェクトのライフサイクル管理 - プロジェクトは、NSX インスタンスでエンタープライズ管理者が構成できるテナントを提供することを目的としたオプションの構造です。
- CRUD プロジェクト - これらのプロジェクトをユーザーインターフェイスから作成し、すべてのプロジェクトとその状態/アラームを統合ビューに表示できます。
- ユーザー割り当て - ユーザーとグループはプロジェクトに割り当てることができます（たとえば、ユーザー project_admin_1 は Project 1、Project2、Project 4 のプロジェクト管理者です）。
- 割り当て - 割り当てを別のプロジェクトに割り当て、使用可能な構成の数をタイプ別に制限することができます（たとえば、Project 1 に 10 個のセグメントを作成できます）。
- オブジェクト共有 - エンタープライズ管理者は、デフォルトのコンテキスト (/infra) からオブジェクトをすべてのプロジェクトまたは特定のプロジェクトと共有できます（たとえば、グループ Shared Services はすべてのプロジェクトで共有されます）。
運用とモニタリングのためのマルチテナント
- セキュリティログのマルチテナントログ記録 - プロジェクトの短いログ ID が導入されました。これは、ログに記録してプロジェクトに適用するラベルです。このリリースでは、この短いログ ID がゲートウェイファイアウォールログと分散ファイアウォールログに適用されます。
- マルチテナントアラーム - マルチテナントをサポートするためのアラームフレームワークの拡張です。プロジェクト管理者は、自分の構成に関連する独自のアラームを可視化できるようになりました。
- プロジェクトレベルのトレースフロー - プロジェクト管理者は、トレースフローを使用してワークロード間の接続をテストできます。プロバイダによってプロジェクトの外部からオブジェクトに適用された構成は難読化されます。
NSX Manager プラットフォーム
- NSX Manager アプライアンスのオペレーティングシステムを Ubuntu 20.04 にアップグレード。
  - NSX Manager アプライアンスのオペレーティングシステムが Ubuntu 20.04 にアップグレードされました。

機能と API の廃止、動作の変更

NSX ロードバランサ廃止のお知らせ

組み込み NSX ロードバランサは廃止される予定です。できるだけ早く NSX Advanced Load Balancer (Avi) に移行することをお勧めします。VMware NSX Advanced Load Balancer (Avi) は、NSX ロードバランシング機能のスーパーセットを提供します。VMware NSX Advanced Load Balancer (Avi) Enterprise を購入して、エンタープライズクラスのロードバランシング、GSLB、高度な分析、コンテナ Ingress、アプリケーションセキュリティ、WAF を利用することをお勧めします。

この情報は、現在組み込み NSX ロードバランサを使用しているお客様がサポート終了前に NSX Advanced Load Balancer (Avi) に移行できるように事前にお知らせしています。NSX-T Data Center 3.x リリースシリーズの期間中は、NSX-T Data Center 3.x を使用しているユーザーへの組み込み NSX ロードバランサのサポートが引き続き提供されます。NSX 4.x リリースシリーズの期間中は、NSX 4.x を使用しているユーザーへの組み込み NSX ロードバランサのサポートが引き続き提供されます。詳細については、VMware 製品ライフサイクルマトリックスを参照してください。最後の NSX 4.x リリース以降、組み込み NSX ロードバランサのサポートは提供されません。

詳細情報：

NSX Manager API および NSX Advanced ユーザーインターフェイスの廃止のお知らせ

NSX には、論理ネットワークとセキュリティを構成する方法としてマネージャモードとポリシーモードの 2 つがあります。マネージャ API には /api で始まる URI が含まれ、ポリシー API には /policy/api で始まる URI が含まれます。

VMware では、今後の NSX のメジャーまたはマイナーリリースで NSX Manager API と NSX Advanced ユーザーインターフェイスのサポートを削除する予定です。このリリースは、最初のお知らせの日付（2021 年 12 月 16 日）から 1 年以降に一般公開する予定です。『NSX Data Center API ガイド』では、削除予定の NSX Manager API に「廃止」というマークが付いています。また、代替 API に関するガイダンスも記載されています。

NSX の新しい展開では、NSX ポリシー API と NSX ポリシーユーザーインターフェイスを利用することをお勧めします。現在 NSX Manager API と NSX Advanced ユーザーインターフェイスを利用している環境の場合は、移行の際に NSX Manager のマネージャオブジェクトからポリシーオブジェクトへの昇格ページとNSX Data Center API ガイドを参照してください。

API の廃止と動作の変更

API の使用を簡素化するため、API の廃止および削除に関する新しいページが『NSX API ガイド』に追加されました。これらのページには、廃止された API とタイプ、および削除された API とタイプが一覧表示されます。
削除された API：次の API が削除されました。詳細については、『NSX API ガイド』を参照してください。

削除された API	代替
POST /api/v1/intrusion-services/ids-events	POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-events
POST /api/v1/intrusion-services/ids-summary	POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-summary
POST /api/v1/intrusion-services/affected-vms	POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-vms
POST /api/v1/intrusion-services/affected-users	POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-users
GET /api/v1/intrusion-services/profiles/<profile-id>	GET /policy/api/v1/infra/settings/firewall/security/intrusion-services/profiles/<profile-id>/effective-signatures

廃止された API：次の API は廃止とマークされています。詳細については、『NSX API ガイド』を参照してください。

廃止された API	代替
DELETE /api/v1/aaa/registration-token/<token>	POST /api/v1/aaa/registration-token/delete
GET /api/v1/aaa/registration-token/<token>	POST /api/v1/aaa/registration-token/retrieve
GET /api/v1/node/services/dataplane/l3vpn-pmtu	なし
GET /api/v1/node/services/policy	GET /api/v1/node/services/manager
GET /api/v1/node/services/policy/status	GET /api/v1/node/services/manager/status
GET /api/v1/ns-groups/<ns-group-id>/effective-cloud-native-service-instance-members	GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/cloud-native-service-instances
GET /api/v1/ns-groups/<ns-group-id>/effective-directory-group-members	GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/identity-groups
GET /api/v1/ns-groups/<ns-group-id>/effective-ipset-members	GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/segment-ports GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/logical-ports
GET /api/v1/ns-groups/<ns-group-id>/effective-physical-server-members	GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/physical-servers
GET /api/v1/ns-groups/<ns-group-id>/effective-transport-node-members	GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/transport-nodes
POST /api/v1/batch	なし
POST /api/v1/node/services/policy?action=reset-manager-logging-levels	POST /api/v1/node/services/manager?action=reset-manager-logging-levels
POST /api/v1/node/services/policy?action=restart	POST /api/v1/node/services/manager?action=restart
POST /api/v1/node/services/policy?action=start	POST /api/v1/node/services/manager?action=start
POST /api/v1/node/services/policy?action=stop	POST /api/v1/node/services/manager?action=stop
POST /policy/api/v1/infra/realized-state/enforcement-points/<enforcement-point-name>/virtual-machines?action=update_tags	POST /policy/api/v1/infra/realized-state/virtual-machines/{virtual-machine-id}/tags
PUT /api/v1/node/services/dataplane/l3vpn-pmtu	なし
PUT /api/v1/node/services/policy	PUT /api/v1/node/services/manager

互換性とシステム要件

互換性とシステム要件については、VMware 製品の相互運用性マトリックスと NSX インストールガイドを参照してください。

本リリースのアップグレードに関する注意点

NSX コンポーネントのアップグレードの手順については、NSX アップグレードガイドを参照してください。

NSX 4.1.0 は、さまざまな新機能を提供する新しいリリースです。これらの機能が必要な場合は、アップグレードして新機能を導入する必要があります。現時点でこの機能を必要としないお客様は、NSX 3.2 の最新バージョン（現在は 3.2.2）にアップグレードする必要があります。これは、引き続き推奨リリースです。
NSX 4.1.0 では、AWS/Azure ワークロードで展開された NSX Cloud ユーザーはサポートされていません。このシナリオでは、NSX 4.1.0 を使用して環境をアップグレードしないでください。

このリリースにアップグレードする場合は、アップグレードプロセスを開始する前に、NSX アップグレード評価ツールを実行することをお勧めします。このツールは、アップグレード前に NSX Manager の健全性と準備状況を確認することで、アップグレードを確実に成功させるために設計されています。ツールは、NSX Manager のアップグレードを開始する前に、アップグレードワークフローに統合されます。

使用可能な言語

NSX は英語、ドイツ語、フランス語、日本語、簡体字中国語、韓国語、繁体字中国語、イタリア語、スペイン語でご利用いただけます。NSX のローカライズではブラウザの言語設定が使用されるため、設定が目的の言語と一致することを確認してください。

ドキュメントの改訂履歴

改訂日	版	変更点
2023 年 2 月 28 日	1	初版
2023 年 3 月 29 日	2	既知の問題 3094405、3106569、3113067、3113073、3113076、3113085、3113093、3113100、3118868、3121377、3152174、3152195 を追加しました。
2023 年 5 月 12 日	3	既知の問題 3210316 を追加しました。
2023 年 5 月 19 日	4	既知の問題 3116294 を追加しました。
2023 年 6 月 1 日	5	既知の問題に 3186573、3155845 および 3163020 を追加しました。
2023 年 7 月 20 日	6	既知の問題 3108693 を追加しました。
2023 年 9 月 8 日	7	「新機能」に「NSX Manager のアップグレード」を追加しました。
2023 年 12 月 14 日	8	既知の問題 3296976 を追加しました。
2024 年 1 月 10 日	9	既知の問題 3222376 を追加しました。
2024 年 3 月 7 日	10	既知の問題 3308657 を追加しました。

解決した問題

解決した問題 3053647：NSX for vSphere から NSX-T への移行中に、NSX-v ESG の 1 つがパワーオフ状態であるため、Edge のカットオーバーに失敗する

移行中に ESG で実行された操作が失敗します。
解決した問題 3048603：UDP ベースの DNS トラフィックが新しい接続の開始時にセッション情報を作成し、長時間実行された後にメモリが枯渇する

データパスメモリプールの使用率が 100% に達し、しきい値の 85% を超えています。
解決した問題 3106018：Edge が IGMPv2 レポートパケットを受信すると、NSX 4.0.0.1 および 4.0.1.1 でサービスデータプレーンがクラッシュすることがある

データパスが再起動し、トラフィックが中断します。
解決した問題 3073647：少なくとも 2 つのアップストリームサーバが構成されている場合、誤検知 DNS「フォワーダアップストリームサーバタイムアウト」アラームが発生する

混乱を招く誤検知アラームが発生します。アップストリームサーバはすべて正常に動作しています。
解決した問題 3062615：Edge トランスポートノードを削除すると、Edge 内部テーブルに古いエントリが残ることがある

古いエントリが原因で、NSX アップグレード後に NSX Manager がハング状態になります。
解決した問題 3059517：DNS サマリ属性プログラミングのメモリリーク

トラフィックの量によっては、継続的なコアが発生する可能性があります。
解決した問題 3055437：ホストスイッチからオーバーレイトランスポートゾーンが削除された場合でも、SPF プロパティが有効になる

vMotion 後に仮想マシンの接続が失われる場合があります。
解決した問題 3046491：削除の検証中に IP プールとインフラストラクチャセグメントの関係がチェックされないため、インフラストラクチャセグメントによってアクティブに使用/参照されている IP プールを削除できる。これにより、使用中に IP アドレスが割り当て解除される

インフラストラクチャセグメントで使用中に IP アドレスが消失するため、機能上の影響があります。
解決した問題 3044226：DhcpRelayConfig の RealizationState で認識されたインテントリビジョンが更新されない

dhcp-relay が正しく機能していても、ユーザーインターフェイスに dhcp-relay 統合状態が「IN_PROGRESS」と表示されます。
解決した問題 3056265：接続解除された NSX Manager ノードで以前に使用されていたホスト名と同じホスト名を使用すると、NSX Manager ノードの展開に失敗する

以前に接続解除されたホスト名と同じホスト名を使用すると、NSX Manager ノードの展開がブロックされます。
解決した問題 3024587：remote-host-max-msg-len の設定を大きくしても、外部 Syslog サーバで受信した IDPS ログが切り詰めらる

IDPS イベントが、外部 Syslog サーバで複数の行に分割される可能性があります。
解決した問題 3008229：CCP TN タイムアウト設定 CLI に、時間単位を使用するオプションがない

CCP TN タイムアウト設定 CLI で時間単位を使用できません。
解決した問題 2863105：HCX から関連エンティティを削除するまで、HCX によって使用されるトラフィックグループを NSX から削除できない

HCX トラフィックグループ/関連付けマップを削除する方法が明確ではありません。
解決した問題 3091229：3 つ以上の CNS メンバーを持つグループで、cloud-native-service-instances の EffectiveMembership Rest API が機能しない

CNS メンバーの有効なメンバーシップ Rest API が期待どおりに動作しません。
解決した問題 3056889：分散ルーターまたは Tier-1 サービスルーターのスタティックルートは、トランスポートノードに伝達されない

これらのスタティックルートに送信されるトラフィックは中断します。スタティックルートを構成する前に、論理ルーターポートを構成する必要があります。
解決した問題 3046448：管理プレーンユーザーインターフェイスで NG グループが強制的に削除されると、ESX ホストからルールが削除されない

ファイアウォールルールの送信元または宛先で、削除された NSgroup が使用されている場合、すべての送信元または宛先のセキュリティ状態が引き続き ESX ホストに適用されます。
解決した問題 3044281：Edge 仮想マシンに古いハードウェア構成エラーがあるマネージャ構成の変更を適用するときに、検証エラーが発生します。

古いエラーがあるため、トランスポートノードの PUT API またはユーザーインターフェイスを介して Edge 構成を編集できません。
解決した問題 3043150：トランスポートノードが管理プレーンによって削除された後、CCP LCP Replicator によって古いトランスポートノードデータが残される

新しいトランスポートノードが管理プレーンによって追加され、古い VTEP IP を別の VTEP MAC で再利用すると、トランスポートノードの古いデータがクリーンアップされていないため、CCP が誤ったデータを報告します。
解決した問題 3037403：RPC GetLportRealizedState を介してクエリを実行すると、CCP がバインドの VLAN ID をセグメントの VLAN ID で上書きする

ユーザーがアドレスバインドをクエリすると、VLAN ID が手動バインドの設定と異なる場合があります。
解決した問題 3013563：Active Directory でグループ名を変更するとデータパスに影響し、完全/差分同期後に、変更後の名前を持つグループのユーザーに DFW ルールが適用されない

データパスが中断します。
解決した問題 3008229：CCP TN タイムアウト設定 CLI に、時間単位を使用するオプションがない

CCP TN タイムアウト設定 CLI で時間単位を使用できません。
解決した問題 2982055：Intelligence で、ネストされたグループメンバーが同期されない

グループフロートポロジ API に、ネストされたグループメンバーが表示されません。
解決した問題 2930122：GC/HL から以降のリリースに CCP データを移行すると、競合レコードが残り、誤ったアラームが生成される可能性がある

トランスポートノードが接続されている場合でも、切断されたトランスポートノードに関する誤ったアラームが表示されます。
解決した問題 2863105：HCX から関連エンティティを削除するまで、HCX によって使用されるトラフィックグループを NSX から削除できない

HCX トラフィックグループ/関連付けマップを削除する方法が明確ではありません。
解決した問題 3062600：controller-info.xml ファイルが削除されたか、空の場合、NSX プロキシが再起動し続ける

NSX プロキシが継続的に再起動し、同じ項目がログに記録されます。
解決した問題 3063646：Unified Appliance での nestdb-ops-agent 接続エラーのログ記録

ログの記録速度が速くなります。
解決した問題 3065925：ユーザー定義の VRF RIB に IPv6 ECMP ルートがない

IPv6 ICMP ルートの情報がありません。
解決した問題 3071393：ゲートウェイを有効または無効にした後、Edge で L7 アクセスプロファイルを持つゲートウェイルールが認識されない

ゲートウェイを有効または無効にした後、Edge で L7 アクセスプロファイルを持つゲートウェイルールが認識されません。
解決した問題 3072735：CCP での有効な IP 検出プロファイルの計算で、LSP プロファイル -> LS プロファイル -> グループプロファイルの優先順位が想定どおり機能しない

DFW グループで誤った IP が見つかりました。
解決した問題 3073055：ルールが誤って DHCP 定義から範囲を継承し、Edge に送信される

ルールが、ユーザーインターフェイスに表示されない Edge で認識されています。
解決した問題 3073457：リモートトンネルエンドポイントの状態が更新されない

リモートトンネルエンドポイントを介した BGP セッションの接続に変更はありません。データパスへの影響はありませんが、ユーザーインターフェイスに適切な状態が表示されません。
解決した問題 3078357：フェデレーション LM-LM バージョンの互換性は +/-2 にする必要があるが、CCP は +/-1 のみをサポートしている

2 つのフェデレーションサイトの片方がバージョン V で実行され、もう片方がバージョン V+2 または V-2 で実行されていると、サイト間の接続が切断されます。
解決した問題 3081190：検索サービスが、GM のルートパーティションを使用してデータを保存しているルートパーティションのディスク容量がいっぱいになり、アラームが発生する

ルートパーティションディスクがすべて使用された後、GM が正常に動作しなくなります。
解決した問題 3081664：DFW ルールが誤って EdgeNode に送信されます。Edge にプッシュされたルールの 1 つに誤ったパラメータがあると、データプレーンが永続的にクラッシュする可能性がある

論理スイッチ/LSP がルールの appliedTo で使用されている場合、CCP は FW ルールの範囲の一部としてダウンリンクポートを計算します。その結果、DFW ルールが誤って EdgeNode に送信されます。Edge にプッシュされたルールの 1 つに誤ったパラメータがあると、データプレーンが永続的にクラッシュする可能性があります。
解決した問題 3057573：vLCM が有効なクラスタへの TN プロファイルの適用に失敗する

サービスアカウントのパスワードが期限切れのため、LCM が有効なクラスタで NSX のインストールに失敗しました。
解決した問題 3046985：一部のゲートウェイファイアウォールサービス（MS_RPC_TCP、MS_RPC_UDP、SUN_RPC_TCP、SUN_RPC_UDP、ORACLE_TNS）がサポートされていません。これらのサービスが選択されている場合、公開操作がエラーで失敗する

サービスはユーザーインターフェイスで選択できますが、公開中に次のエラーが表示されます。「アプリケーションレベルゲートウェイ (ALG) のタイプ：ORACLE_TNS はサポートされていません。」
解決した問題 3040934：分散ファイアウォール (DFW)/ゲートウェイファイアウォール (GWFW) の設定で変更を公開できません。分散ファイアウォール (DFW)/ゲートウェイファイアウォール (GWFW) が無効になっている場合、公開ボタンは無効になる

ファイアウォール (DFW)/ゲートウェイファイアウォール (GWFW) が無効になっているため、構成の変更を公開できません。
解決した問題 2888207：vIDM が有効な場合、ローカルユーザーの認証情報をリセットできない

vIDM が有効になっている間、ローカルユーザーのパスワードを変更できません。
解決した問題 3068125：アクティブ/スタンバイ Edge 環境で BGP が VTI インターフェイスを介して構成されている場合、BGP はスタンバイ Edge ノードで停止することが想定されるが、スタンバイ Edge ノードでアクティブな「BGP 停止」アラームが生成される

これによる機能上の影響はありません。ただし、スタンバイ Edge ノードで誤った「BGP 停止」アラームが発生します。
解決した問題 3057573：vLCM が有効なクラスタへの TN プロファイルの適用に失敗する

サービスアカウントのパスワードが期限切れのため、LCM が有効なクラスタで NSX のインストールに失敗しました。
解決した問題 3047608：CSM アプライアンスの展開後にログインすると、CSM ユーザーインターフェイスにアクセスできなくなり、nsx-cloud-service Manager サービスが停止する

ログイン後、CSM ユーザーインターフェイスの起動中に停止します。
解決した問題 3045514：NSX でバッキングされた仮想マシンからのフローを vRNI に表示できない

NSX でバッキングされた仮想マシンからのフローを vRNI に表示できません。
解決した問題 3042523：Storage vMotion の進行中、仮想マシンのセグメントポートについて vm-tools から提供された NSX 検出済み割り当て（IP アドレス）が空になる

仮想マシンの Storage vMotion 中、ソースとして vm-tools によって検出された IP アドレスに基づく DFW ルールは IP に適用されません。
解決した問題 3038658：1K ハイパーバイザースケールセットアップでリストアを実行すると、メモリ不足の問題が原因で NSX サービス (proton) がクラッシュする

NSX サービスが再起動するため、リストアプロセスの実行時間が長くなることがあります。
解決した問題 3027580：vCenter Server の DVPG がセキュリティ専用に準備されたクラスタに含まれているホストに接続されていて、インベントリグループの一部となっている検出セグメントにマッピングされている場合、それらの DVPG が削除されると、検出セグメントがクリーンアップされない

これによる機能上の影響はありません。NSX Manager のユーザーインターフェイスに古いオブジェクトが表示されます。
解決した問題 3027473：NSX for vSphere から NSX-T Data Center に 1,000 個を超える DFW ルールを移行すると、ユーザーインターフェイスのフィードバックは表示されないが、1,000 個以下のルールを含む複数のセクションに分割される

ユーザーインターフェイスのフィードバックが表示されません。
解決した問題 3025367：アップリンクプロファイルに 4 つのアクティブアップリンクがあり、TN 構成で VDS アップリンクマッピング用のアップリンクが 2 つしか指定されていない場合、ホスト側に 4 つの vmk が作成される

機能上の影響はありません。
解決した問題 3024658：SMB トラフィックのパケットを処理するときに、NSX IDS/IPS によって CPU 使用率が高くなり、遅延が発生する

SMB トラフィックの処理中にメモリ不足エラーが発生し、NSX IDS/IPS プロセスがクラッシュすることがあります。
解決した問題 3024136：VRF BGP 構成の変更が有効にならない場合がある

VRF 内の BGP 構成の変更が有効にならない場合があります。
解決した問題 3024129：グローバルマネージャアラームが頻繁にトリガされる

アラームが解決されるとすぐにアラームがトリガされます。
解決した問題 3019893：ロードバランサのパーシステンスを無効にすると NGINX がクラッシュする

デッドロックが原因で新しい接続を確立できません。
解決した問題 2963524：UDP 接続が有効期限のタイムアウトに従ってパージされない

ユーザーインターフェイスのフィードバックが表示されません。
解決した問題 2947840：ユーザーインターフェイスに、ネットワークトポロジビューのすべてのネットワークコンポーネントが表示されない

完全なネットワークトポロジを表示できません。
解決した問題 2928725：IDPS シグネチャのダウンロードが、特定のポートを使用するプロキシで機能しない

プロキシ経由でのシグネチャのダウンロード呼び出しが NTICS サーバに到達できませんでした。
解決した問題 3034373：3.2.0 より前のバージョンから 3.2.x または 4.0.x にアップグレードした後、DFW IPFIX プロファイルの削除が途中で停止する

DFW IPFIX プロファイルを削除できません。
解決した問題 3043151：システムで AppId を決定する必要があるトラフィックが大量に発生していると、ファイアウォールフローの L7 分類が短時間使用できない場合がある

トラフィックの多いホストで L7 ルールがヒットしない場合があります。
解決した問題 3039159：インターフェイスが Uniform Passthrough (UPT) モードで、フロー数の多い仮想マシンに vMotion が実行されると、ホストで PSOD が発生することがある

ホストで PSOD が発生するため、フロー数の多い UPT ベースの仮想マシンの vMotion 中にトラフィックが影響を受けます。
解決した問題 3047608：CSM アプライアンスの展開後にログインすると、CSM ユーザーインターフェイスにアクセスできなくなり、nsx-cloud-service Manager サービスが停止する

ログイン後、CSM ユーザーインターフェイスの起動中に停止します。
解決した問題 3027580：vCenter Server の DVPG がセキュリティ専用に準備されたクラスタに含まれているホストに接続されていて、インベントリグループの一部となっている検出セグメントにマッピングされている場合、それらの DVPG が削除されると、検出セグメントがクリーンアップされない

これによる機能上の影響はありません。NSX Manager のユーザーインターフェイスに古いオブジェクトが表示されます。
解決した問題 3042382：パケットが No-SNAT ルールに一致すると、セッションの再ルックアップが必要になる

No-SNAT ルールに一致するトラフィックが停止します。
解決した問題 3044704：構成ページで HTTPS スキームと証明書が使用されている場合でも、NSX-Manager で SSL-BUMP のない HTTP プロキシのみがサポートされる

[システム]-> [全般設定] -> [インターネットプロキシサーバ] でプロキシを構成するときに、スキーム（HTTP または HTTPS）、ホスト、ポートなどの詳細を指定する必要がありました。

このスキームとは、NSX Manager とプロキシサーバ間で確立する接続のタイプを意味します。プロキシのタイプではありません。通常、HTTPS プロキシは HTTPS スキームを使用します。ただし、http_port + SSL Bump で構成された Squid などのプロキシも、NSX-Manger とプロキシサーバ間で HTTPS 接続を確立します。ただし、NSX-Manager のサービスは、常にプロキシが http ポートで公開されていることを前提としています。そのため、指定した証明書が NSX-Manager で使用されることはありません。

HTTPS スキームを選択して証明書を指定すると、構成ページで「証明書 xx は、xx の有効な証明書ではありません」という HTTPS プロキシのエラーが表示されます。

http_port + SSL Bump で Squid プロキシを使用しようとすると、エラーは表示されませんが、NSX Manager サービスは外部サーバへの要求の送信に失敗します（「Unable to find certificate chain.」というエラーがログに記録されることがあります）。
解決した問題 3025104：FQDN が同じでも異なる IP を使用してリストアを実行すると、ホストが「失敗」状態になる

同じ FQDN でも異なる IP を使用して NSX Manager ノードのリストアを実行すると、ホストは NSX Manager ノードに接続できません。
解決した問題 2888207：vIDM が有効な場合、ローカルユーザーの認証情報をリセットできない

vIDM が有効になっている間、ローカルユーザーのパスワードを変更できません。

既知の問題

問題 3308657：ルール数が非常に多いファイアウォールセクションを作成すると、ルールの作成/削除 API の応答に 30 分以上かかる

この速度低下により、ポッドの API の実行で 409/500 エラーが発生したり、処理が遅くなります。

回避策：1 つのセクションのルール数を減らします。
問題 3222376：LDAP 構成ユーザーインターフェイスで、NSX の [状態を確認] 機能を実行すると、Windows Server 2012/Active Directory への接続時にエラーが報告されるこの問題は、セキュリティ上の理由から NSX でサポートされなくなった強度の低い TLS 暗号のみが Windows 2012 でサポートされているために発生します。

エラーメッセージが表示されても、LDAP 認証コードで使用される暗号セットが [状態を確認] リンクで使用されるセットと異なるため、SSL 経由の LDAP 認証が機能します。

回避策：詳細については、ナレッジベースの記事 KB92869 を参照してください。
問題 3296976：ゲートウェイファイアウォールで、コンテキスト/L7 アクセスプロファイルの一部として、サポートされていないレイヤー 7 アプリケーション ID を使用できる場合がある

https://docs.vmware.com/jp/NSX-Application-IDs/index.html を参照してください。このページには、サポートされているアプリケーション ID が NSX リリース別に記載されています。

回避策：なし。
問題 3108693：プロジェクト管理者が、ユーザーインターフェイスから dns-forwarder 機能を構成できない

project-admin としてログインしているときに、プロジェクトスコープの T1 が、dns-forwarder ページのドロップダウンメニューに表示されません。このため、project-admin がユーザーインターフェイスから dns-forwarder 機能を構成できません。
回避策：
1. プロジェクト管理者は、同じ機能を API から実行できます。
2. エンタープライズ管理者は、プロジェクト範囲に DNS サービスを作成できます。
問題 3186573：CorfuDB データが失われる

一部の構成が突然失われます。一部の構成を作成/更新できません。

回避策：詳細については、ナレッジベースの記事 KB92039 を参照してください。
問題 3163020：DNS パケットの FQDN が、FQDN ルールの L7 プロファイルで構成されているドメイン名と大文字小文字が異なる場合、DFW FQDN ルールアクションが正しく適用されない

DFW FQDN ルールのアクションが正しく適用されません。DFW FQDN フィルタリングが正しく機能しません。

回避策：DNS パケットのドメイン名と一致するように、L7 コンテキストプロファイルで FQDN を構成します。
問題 3155845：FQDN フィルタリング構成時の vMotion で PSOD が発生する

ESXi ホストが再起動します。

回避策：FQDN 構成を削除します。
問題 3116294：ネストされたグループを含むルールがホストで期待どおりに動作しない

トラフィックが正しく許可またはスキップされません。

回避策：ナレッジベースの記事 KB91421 を参照してください。
問題 3210316：(1) マネージャがデュアルスタック IPv4/IPv6 で、(2) VIP アドレスが構成されておらず、(3) vIDM 構成の [NSX アプライアンス] フィールドに FQDN ではなく IP アドレスを入力した場合、vIDM 構成がクリアされる

vIDM 構成が再構成されるまで、vIDM を使用してログインできません。

回避策：[NSX アプライアンス] フィールドに FQDN を使用します。
問題 3152195：DFW ルールで .*XYZ.com タイプの FQDN を含むコンテキストプロファイルが使用されていると、ルールが適用されない

この特別なシナリオでは、DFW ルールの適用は想定どおりに機能しません。

回避策：なし。
問題 3152174：VDS を使用したホストの準備が次のエラーで失敗する：ホスト {UUID} が VDS 値に追加されていません。

vCenter Server で、ネットワークがフォルダ内にネストされている場合、NSX-T で CVDS への移行を実行すると、NVDS から CVDS または NSX-V から NSX-T への移行が失敗することがあります。
回避策：ホストの最初のネットワークは、vCenter Server MOB ページ https://<VC-IP>/mob?moid=host-moref の [ネットワーク] フィールドに表示される最初のネットワークです
- 3.2.1 より前のバージョン：上記のようなホストの最初のネットワークと関連する VDS は、同じフォルダの直下に配置されている必要があります。フォルダは、DataCenter または DataCenter 内のネットワークフォルダのいずれかです。
- 3.2.1 および 4.0.0 以降：上記のようなホストの最初のネットワークはフォルダの直下にある必要があります。目的の VDS は、同じフォルダの直下に配置することも、同じフォルダ内にネストすることもできます。フォルダは、DataCenter または DataCenter 内のネットワークフォルダのいずれかです。
問題 3118868：物理 NIC が有効で、オーバーレイフィルタがプログラミングされているときに、物理 NIC でプログラミングされた vNIC フィルタが正しくないか、古くなっている

物理 NIC が有効になっているときに、オーバーレイフィルタがプログラミングされていると、物理 NIC でプログラミングされた vNIC フィルタが古くなっていたり、正しくなかったり、欠落しているために、パフォーマンスが低下する可能性があります。

回避策：なし。
問題 3113100：VIF エントリが古いため、動的セキュリティグループ内の一部の仮想マシンで IP アドレスが認識されない

クイックスタートを使用してネットワークとセキュリティ用に設定したクラスタをアンインストールして、セキュリティのみで再インストールすると、DFW ルールが想定どおりに機能しないことがあります。これは、ネットワークとセキュリティ用に生成された自動 TZ がまだ存在しているためです。DFW ルールが適切に機能するには、これを削除する必要があります。

回避策：自動生成された TZ をネットワークとセキュリティのクイックスタートから削除します。これは、セキュリティ専用で使用されているのと同じ VDS を参照しています。
問題 3113093：新しく追加されたホストでセキュリティが構成されていない

セキュリティのインストール後に、新しいホストがクラスタに追加されて分散仮想スイッチに接続されると、そのホストで NSX のインストールが自動的にトリガされません。

回避策：vCenter Server の既存の VDS を更新するか、vCenter Server に新しい VDS を追加し、クラスタ内のすべてのホストを VDS に追加します。これにより、TNP が自動更新され、TNP が TNC に再適用されます。TNC が更新されると、追加された新しいホストに TNP の最新の構成が含まれます。
問題 3113085：vMotion で DFW ルールが仮想マシンに適用されない

セキュリティ専用のインストール環境で、DFW によって保護されている仮想マシンを vMotion で別のホストに移動すると、ESX ホストに DFW ルールが適用されず、ルール分類が正しく実行されない場合があります。

回避策：仮想マシンを別のネットワークに接続し、ターゲット DVPortgroup に再接続します。
問題 3113076：FRR デーモンのクラッシュ時にコアダンプが生成されない

FRR デーモンがクラッシュしたときに、/var/dump ディレクトリにコアダンプが生成されません。これにより、BGP がフラップする可能性があります。

回避策：FRR デーモンのコアダンプを有効にしてクラッシュをトリガし、/var/dump からコアダンプを取得します。

コアダンプを有効にするには、Edge ノードで次のコマンドを使用します。これは、Edge ノードで root ユーザーとして実行する必要があります。

prlimit --pid <FRR デーモンの PID> --core=500000000:500000000

FRR デーモンでコアダンプが有効になっているかどうかを検証するには、次のコマンドを使用して、CORE リソースの SOFT および HARD の制限を確認します。これらの制限は、500,000,000 バイトまたは 500 MB にする必要があります。

prlimit --pid <FRR デーモンの PID>
問題 3113073：ロックダウンモードを有効にした後、しばらくの間 DFW ルールが適用されない

トランスポートノードでロックダウンモードを有効にすると、DFW ルールの適用が遅延する可能性があります。これは、トランスポートノードでロックダウンモードが有効になっていると、関連付けられている仮想マシンが NSX インベントリから削除されてから再作成されるためです。この間、その ESXi ホストに関連付けられている仮想マシンに DFW ルールが適用されない可能性があります。

回避策：ESX をロックダウンモードに切り替える前に、手動で例外リストに「da-user」を追加します。
問題 3113067：vMotion 後に NSX-T Manager に接続できない

NSX を NSX 3.2.1 より前のバージョンからアップグレードすると、NSX Manager 仮想マシンがファイアウォール除外リストに自動的に追加されません。その結果、すべての DFW ルールがマネージャ仮想マシンに適用され、ネットワーク接続の問題が発生する可能性があります。

この問題は、NSX 3.2.2 以降のバージョンから新規に展開する際には発生しません。ただし、NSX 3.2.1 以前のバージョンから NSX 4.1.0 までのターゲットバージョンにアップグレードする場合は、この問題が発生する可能性があります。

回避策：VMware のサポートにお問い合わせください。
問題 3106569：EVPN ルートサーバモードでパフォーマンスが期待されるレベルに達しない

チーミング状況でオーバーレイフィルタが物理 NIC でプログラミングされている場合、物理 NIC でプログラミングされた vNIC フィルタが古くなっていたり、正しくなかったり、欠落しているために、パフォーマンスが低下している可能性があります。

回避策：なし。
問題 3094405：オーバーレイネットワークが構成されているときに、物理 NIC にプログラミングされた vNIC フィルタが正しくないか、古くなっている

vNIC オーバーレイフィルタは特定の順序で更新されます。更新が連続して行われると、最初の更新のみが保持され、その後の更新は破棄されるため、誤ったフィルタがプログラミングされ、パフォーマンスが低下する可能性があります。

回避策：なし。
問題 3121377：ESX の PSOD

トランスポートノードが停止し、トラフィックに影響を及ぼしています。
回避策：
1. ワークロードの構成を変更して、同じセグメントのピアの最初のホップルーターにトラフィックが送信されないようにします。
2. 最初のホップルーターからの ICMP6 リダイレクトをグレースフルに受け入れます。
問題 3098639：アップグレード中にリバースプロキシ/認証サービスがメンテナンスモードに切り替わっていないため、NSX Manager のアップグレードに失敗する

nsx-manager のアップグレードに失敗します。

回避策：詳細については、ナレッジベースの記事 KB91120 を参照してください。
問題 3114329：ベアメタル NSX Edge のインストール後に Intel QAT が起動しない

Intel QuickAssist Technology (QAT) は、計算集約型の暗号化および圧縮/圧縮解除アルゴリズムを CPU から専用のハードウェアにオフロードするように設計された、ハードウェアアクセラレータテクノロジーです。この問題のため、Intel QAT を使用して、ベアメタル NSX Edge で VPN サービスのスループットパフォーマンスを向上させることはできません。

回避策：なし。
問題 3106950：DFW 割り当て容量に達すると、プロジェクト範囲での新しい VPC の作成に失敗する

DFW 割り当て容量に達したプロジェクトに VPC を作成することはできません。

回避策：なし。
問題 3094463：廃止された管理プレーン API を介して ALG サービス FTP を使用するステートレスファイアウォールルールを作成できます。この操作は、ポリシー API でサポートされていない

管理プレーンに問題のあるファイアウォールルールが存在するため、管理プレーンからポリシーへの移行を実行することはできません。

回避策：問題のあるファイアウォールルールをステートフルに更新するか、ALG サービス FTP を使用しないようにする必要があります。
問題 3083358：コントローラの再起動時に、コントローラがクラスタに参加するのに時間がかかる

コントローラの再起動後、コントローラの起動に時間がかかる場合があるため、NSX Manager で作成された新しい構成の認識で遅延が発生することがあります。

回避策：冗長な悪意のある IP グループを削除して再起動します。
問題 3106317：ゲストで vNIC MAC アドレスが変更されると、物理 NIC にプログラミングされたフィルタに変更が反映されないことがある

パフォーマンスが低下する可能性があります。

回避策：ゲストのインターフェイスを無効にしてから再度有効にします。
問題 3047727：CCP が更新された RouteMapMsg を公開しない

公開する予定のないルートが公開されます。

回避策：なし。
問題 2792485：vCenter Server に、インストールされたマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示される

vCenter Server の統合 NSX-T ユーザーインターフェイスに、インストールされているマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示されます。

回避策：なし。
問題 3092154：現在の NIC は IPv6 ルーティング拡張ヘッダーをサポートしていない

ルーティング拡張機能ヘッダーを持つ IPv6 トラフィックが、スマート NIC によってドロップされます。

回避策：なし。
問題 3079932：UPT インターフェイスを介して大規模にオフロードされた TCP フローで、MTU の変更が失敗する可能性がある

UPT インターフェイスを介して大規模にオフロードされた TCP フローで、MTU の変更が失敗することがあります。
回避策：
1. トラフィックの処理中に MTU を変更しないでください。
2. または、ハードウェアオフロードを無効にしてから、MTU の変更を実行してください。
問題 3077422：SmartNIC でバッキングされた仮想マシンとポートで LTA がサポートされていないため、SmartNIC でバッキングされた仮想マシンとポート/インターフェイスが LTA にリストされない

特定の仮想マシンで LTA を作成することができません。

回避策：なし。
問題 3076771：get physical-ports <physical-port-name> stats verbose で、キューごとの統計情報の値が 0 と表示される

デバッグでポートの詳細な統計情報を使用すると、予期しないゼロ値が表示されます。

回避策：可能であれば、get physical-ports <physical-port-name> xstats で、物理ポートのキューごとの統計情報が表示されます。
問題 3069003：ネストされた LDAP グループを使用している場合、ユーザー LDAP ディレクトリサービスで LDAP 操作が過剰になる

ネストされた LDAP グループが使用されている場合、LDAP ディレクトリサービスの負荷が高くなります。

回避策：8.6 より前の vROps の場合は、LDAP ユーザーではなく、admin ローカルユーザーを使用します。
問題 3068100：対称ルーティングの場合にのみルートリークがサポートされます。VRF 間で非対称ルートリークが発生すると、トラフィックのブラックホールが発生する可能性がある

VRF ルートがクラスタ内の Edge ノード間で非対称である場合、SR 間ルーティングが有効になっていても、このような非対称ルートは Edge クラスタ全体で同期されません。これにより、South から North へのトラフィックのブラックホールが発生する可能性があります。

回避策：ルートが、クラスタ内のすべての Edge ノードに対称的に伝達されていることを確認します。この例では、プレフィックス 2.1.4.0/24 および 2.1.5.0/24 を両方の Edge e1 と e2 に伝達する必要があります。
問題 2855860：Edge ファイルシステムが読み取り専用モードになると、Edge データパスが無期限に転送を停止する

トラフィックが消失します。Edge 仮想マシンコンソールにアクセスすると、ファイルシステムが読み取り専用モードに切り替わったと表示されることがあります。

回避策：なし。
問題 3046183 および 3047028：NSX Application Platform を展開後、 NSX 機能の 1 つを有効または無効にすると、ホストされている他の NSX 機能の展開状態が In Progress に変わる。NSX 機能の NSX Network Detection and Response、NSX マルウェア防止、NSX Intelligence が影響を受ける

NSX Application Platform を展開した後、NSX Network Detection and Response 機能を有効または無効にすると、NSX マルウェア防止機能と NSX Intelligence 機能の展開状態が In Progress に変わります。同様に、NSX マルウェア防止機能を有効または無効にすると、NSX Network Detection and Response 機能の展開状態が In Progress になります。NSX Intelligence が有効な場合に、NSX マルウェア防止を有効にすると、NSX Intelligence 機能の状態が Down と Partially up に変わります。

回避策：なし。システムが自動的にリカバリします。
問題 3041672：構成専用モードと DFW 移行モードの場合、すべての移行ステージが正常に完了した後に、移行前と移行後の API を呼び出してワークロードを移行する。移行ステージが成功した後、NSX for vSphere、vCenter Server、または NSX の認証情報を変更すると、移行前と移行後の API の呼び出しが失敗する

移行前、移行後、およびインフラストラクチャファイナライズの API の呼び出しが失敗するため、ワークロードを移動できません。
回避策：以下の手順を実行します。
1. Migration Coordinator を再起動します。
2. 移行のユーザーインターフェイスで、再起動前と同じ移行モードを使用し、すべての認証情報を指定します。これにより、移行の進行状況が同期されます。
3. 移行前、移行後、およびインフラストラクチャファイナライズの API を実行します。
問題 3043600：あまり知られていない認証局 (CA) から取得した自己署名証明書でプライベート（デフォルト以外）の Harbor リポジトリを使用すると、NSX Application Platform の展開が失敗する

あまり知られていない CA から取得した自己署名証明書でプライベート（デフォルト以外）Harbor リポジトリを使用して NSX Application Platform を展開しようとすると、展開ジョブが NSX Application Platform Helm チャートと Docker イメージを取得できないため、展開が失敗します。NSX Application Platform が正常に展開されなかったため、NSX Intelligence など、プラットフォームがホストする NSX 機能を有効にできません。

回避策：信頼されている既知の CA を使用して、プライベート Harbor サーバの証明書に署名します。
問題 2491800：非同期レプリケータチャネルポート - 証明書属性の有効期限または失効が定期的にチェックされない

これにより、既存の接続で期限切れの証明書や失効した証明書が使用される可能性があります。

回避策：古い証明書が期限切れになっているか、失効しているため、再接続時に新しい証明書（存在する場合）が使用されるか、エラーが発生します。再接続をトリガするには、マネージャノードでアプライアンスプロキシハブ (APH) を再起動するだけで十分です。
問題 2994066：ESXi 8.0.0.0 と NSX 4.0.1 以降でミラー vmknic の作成に失敗する

ミラー vmknic を作成できなかったため、ミラースタックで L3SPAN を有効にできません。
回避策：
1. ESXi CLI プロンプトから、ESXi にミラースタックを作成します。
2. vSphere Web Client から vmknic を作成します。
3. 次のコマンドを実行します。
```
esxcli network ip netstack add -N mirror
```
問題 3007396：リモートノードが低速 LACP タイムアウトモードに設定されている場合、cli コマンド「esxcli network nic down -n vmnicX」を使用して LAG リンクの 1 つを停止すると、60 ～ 90 秒ほどトラフィックがドロップする可能性がある

cli コマンド「esxcli network nic down -n vmnicX」を使用して LAG リンクの 1 つを停止すると、60 ～ 90 秒ほどトラフィックがドロップします。

この問題は、リモートノードの LACP タイムアウトが SLOW モードに設定されている場合にのみ発生します。

回避策：外部スイッチの LACP タイムアウトを FAST に設定します。
問題 3013751：[ファブリック] ページに NSX のインストール/アンインストールの進行状況が自動的に表示されない

[ファブリック] ページを手動で更新すると、進行状況が表示されます。

回避策：[ファブリック] ページを手動で更新します。
問題 3018596：ゲスト仮想マシンで仮想マシンの仮想 NIC (vnic) MTU を物理 NIC MTU よりも大きく設定すると、仮想機能 (VF) が解放される

vNIC MTU が物理 NIC MTU より大きくなると、仮想マシンは VF を取得できなくなります。そのため、仮想マシンは UPT モードになりません。emu vmnic モードになります。

回避策：

1.VDS の MTU サイズを 1600 から 9100 に変更します。

2.VF が仮想マシン vnic に割り当てられます。
問題 3003762：ポリシーからマルウェア防止サービスルールを削除しないと、NSX マルウェア防止サービスのアンインストールが失敗するが、ルールがポリシーに存在するため、アンインストールの失敗を通知するエラーメッセージが表示されない

このシナリオでは、NSX マルウェア防止サービスのアンインストールに失敗します。

回避策：ルールを削除して、アンインストールを再試行します。
問題 3003919：元のドメイン名を照合する DFW ルールと CNAMES を照合する DFW ルールのアクションが異なると、ルールの適用に不整合が発生する

まれに、アプリケーション/ユーザーが元のドメイン名ではなく CNAME にアクセスすることがあります。その場合、DFW ルールによるバイパスやドロップが発生する可能性があります。
回避策：次のどちらかの手順を実行してください。
- CNAME ではなく、元のドメイン名の DFW ルールのみを構成します。
- ドメイン名と CNAMES のルールに同じアクションを構成します。
問題 3014499：クロスサイトトラフィックを処理する Edge をパワーオフすると、一部のフローが中断する

クロスサイトトラフィックの一部が停止します。

回避策：パワーオフされた Edge をパワーオンします。
問題 3014978：[ファブリック] ページの [ネットワークとセキュリティ] フラグにカーソルを合わせると、選択したネットワークに関係なく、誤った情報が表示される

影響はありません。

回避策：なし。
問題 3014979：[ファブリック] ページに NSX のインストール/アンインストールの進行状況が自動的に表示されない

影響はありません。進行状況を確認するには、ページを手動で更新します。

回避策：[ファブリック] ページを手動で更新します。
問題 3017885：FQDN 分析が、ステートフルアクティブ/アクティブモードの 1 つのサブクラスタでしかサポートされない

ステートフルアクティブ/アクティブに複数のサブクラスタがある場合は、この機能を有効にしないでください。

回避策：1 つのサブクラスタのみを展開します。
問題 3010038：Edge Uniform Passthrough (UPT) 仮想マシンを提供する 2 ポート LAG で、1 つの LAG ポートの物理接続が切断されると、アップリンクは停止するが、これらの UPT 仮想マシンで使用される仮想機能 (VF) がもう 1 つの LAG インターフェイスを介して接続されるため、引き続き実行される

影響はありません。

回避策：なし。
問題 3009907：クラスタで NSX の削除操作中に、ホストが切断状態になっていると、SmartNIC ホストから NSX VIB が削除されない

これによる機能上の影響はありません。

回避策：vCenter Server で、vLCM ユーザーインターフェイスに移動して、クラスタを修正します。
問題 2490064：外部 LB がオンになっている VMware Identity Manager を無効にできない

外部 LB を使用して NSX で VMware Identity Manager 統合を有効にした後、外部 LB をオフにして統合を無効にしようとすると、最初の構成が再表示され、ローカルの変更が上書きされます。

回避策：vIDM を無効にする場合は、外部 LB のフラグをオフにせず、vIDM 統合のみをオフにします。これにより、データベースに構成が保存され、他のノードと同期されます。
問題 2558576：グローバルプロファイル定義でグローバルマネージャとローカルマネージャのバージョンが異なり、ローカルマネージャで予期しない動作が発生することがある

グローバルマネージャで作成されたグローバル DNS、セッション、またはフラッドプロファイルをユーザーインターフェイスからローカルグループに適用することはできませんが、API では適用できます。このため、API ユーザーが誤ってプロファイル割り当てマップを作成し、ローカルマネージャでグローバルエンティティを変更する可能性があります。

回避策：ユーザーインターフェイスを使用してシステムを構成します。
問題 2355113：Azure 高速ネットワークインスタンスで、RedHat および CentOS を実行しているワークロード仮想マシンがサポートされない

Azure で、RedHat または CentOS ベースの OS を使用し、ネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネットインターフェイスが IP アドレスを取得しません。

回避策：RedHat および CentOS ベースの OS で高速ネットワークを無効にします。
問題 2574281：ポリシーで 500 個までの VPN セッションしか許可されない

NSX では Large フォームファクタに対して Edge ごとに 512 個の VPN セッションをサポートしていますが、セキュリティポリシーの自動組み込みが原因で、500 個までの VPN セッションしか許可されません。

Tier-0 で 501 個目の VPN セッションを構成すると、次のエラーメッセージが表示されます。

{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}

回避策：管理プレーンの API を使用して、追加の VPN セッションを作成します。
問題 2684574：Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトする

Edge に 6,000 個以上のルートが存在すると、OSPF データベースと OSPF ルートに対する次のポリシー API からエラーが返されます。/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトします。これは読み取り専用の API で、API/ユーザーインターフェイスを使用して OSPF ルートとデータベースの 6,000 個以上のルートをダウンロードする場合にのみ、この問題の影響を受けます。

回避策：CLI コマンドを使用して、Edge から情報を取得します。
問題 2663483：単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断される

この問題は、NSX フェデレーションと単一ノードの NSX Manager クラスタでのみ発生します。単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断される

回避策：単一ノードの NSX Manager クラスタの展開は、サポートされている展開オプションではありません。3 ノードの NSX Manager クラスタを使用してください。
問題 2690457：MP クラスタで publish_fqdns が設定され、外部 DNS サーバが適切に構成されていないときに、MP を MP クラスタに参加させると、参加するノードで proton サービスが適切に再起動されないことがある

参加するマネージャが機能せず、ユーザーインターフェイスが使用できません。

回避策：すべてのマネージャノードの正引き DNS 参照エントリと逆引き DNS 参照エントリを使用して、外部 DNS サーバを構成します。
問題 2719682：Avi Controller の計算フィールドがポリシーのインテントに同期されないため、Avi ユーザーインターフェイスと NSX-T ユーザーインターフェイスに表示されるデータが一致しない

NSX-T ユーザーインターフェイスで、Avi Controller の計算フィールドが空白になります。

回避策：アプリケーションスイッチャを使用して、Avi ユーザーインターフェイスからのデータを確認します。
問題 2792485：vCenter Server に、インストールされたマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示される

vCenter Server の統合 NSX-T ユーザーインターフェイスに、インストールされているマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示されます。

回避策：なし。
問題 2799371：L2 VPN と IPsec セッションが実行中でも、L2 VPN の IPsec アラームがクリアされない

不要な未解決アラームが表示される点を除き、これによる機能上の影響はありません。

回避策：アラームを手動で解決します。
問題 2838613：ESX 7.0.3 より前のバージョンの場合、クラスタにセキュリティをインストールした後にバージョン 6.5 から上位バージョンにアップグレードされた VDS で、NSX セキュリティ機能が有効にならない

バージョン 6.5 から新しいバージョン（6.6 以降）にアップグレードされた VDS に接続している仮想マシンで、vSphere DVPortgroups の NSX セキュリティ機能がサポートされていても、NSX セキュリティ機能が有効になりません。

回避策：仮想マシンでセキュリティを有効にするには、VDS をアップグレードした後にホストを再起動して、仮想マシンをパワーオンします。
問題 2848614：MP クラスタに publish_fqdns が設定され、参加するノードに対して外部 DNS サーバに正引き参照または逆引き参照エントリがないか、DNS エントリがない場合に、MP を MP クラスタに参加させると、参加するノードに正引きアラームまたは逆引きアラームが生成されない

DNS サーバに正引き/逆引き参照エントリがないか、参加するノードの DNS エントリがない場合でも、参加するノードに対して正引き/逆引きアラームが生成されません。

回避策：正引きと逆引きの DNS エントリを使用して、すべてのマネージャノードの外部 DNS サーバを構成します。
問題 2853889：EVPN テナント構成を作成すると（vlan-vni マッピングを使用）、子セグメントが作成されるが、その認識状態が「失敗」状態になり、約 5 分後に自動的にリカバリされる

EVPN テナント構成が認識されるまでに 5 分ほどかかります。

回避策：なし。5 分間待機します。
問題 2866682：Microsoft Azure で、SUSE Linux Enterprise Server (SLES) 12 SP4 ワークロード仮想マシンでネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネットインターフェイスが IP アドレスを取得しない

仮想マシンエージェントが起動せず、仮想マシンが管理対象外になります。

回避策：高速ネットワークを無効にします。
問題 2868944：NSX for vSphere から NSX-T Data Center に 1,000 個を超える DFW ルールを移行すると、ユーザーインターフェイスのフィードバックは表示されないが、1,000 個以下のルールを含む複数のセクションに分割される

ユーザーインターフェイスのフィードバックが表示されません。

回避策：ログを確認してください。
問題 2870085：すべてのルールのログを有効または無効にするセキュリティポリシーレベルのログが機能しない

セキュリティポリシーで logging_enabled を変更しても、すべてのルールのログを変更することはできません。

回避策：ルールごとにログを有効または無効にします。
問題 2871440：vMotion を実行して、ダウンしている NSX Manager に接続しているホストに、vSphere dvPortGroups の NSX セキュリティで保護されたワークロードを移行すると、セキュリティ設定が失われる

vSphere dvPortGroups の NSX セキュリティ機能付きでインストールされたクラスタの場合、停止中の NSX Manager に接続しているホストに vMotion で移動した仮想マシンには、DFW とセキュリティルールが適用されません。これらのセキュリティ設定は、NSX Manager への接続が再度確立されるときに再適用されます。

回避策：NSX Manager が停止している場合は、影響を受けるホストへの vMotion を回避します。他の NSX Manager ノードが機能している場合は、vMotion で、良好な NSX Manager に接続している別のホストに仮想マシンを移動します。
問題 2871585：バージョン 7.0.3 より前の VDS では、vSphere dvPortgroups の NSX セキュリティ機能を有効にした後、VDS からのホストの削除と VDS の削除が許可される

VDS からのホストの削除または VDS の削除で発生するトランスポートノードまたはクラスタ構成の問題を解決する必要がある場合があります。

回避策：なし。
問題 2877776：get controllers の出力に、controller-info.xml ファイルと比べてマスター以外の古いコントローラに関する情報が表示されることがある

この CLI 出力は混乱を招きます。

回避策：この TN で nsx-proxy を再起動します。
問題 2879133：マルウェア防止機能が機能するまでに 15 分かかる場合がある

マルウェア防止機能を初めて構成したときに、この機能の初期化が完了するまでに 15 分かかることがあります。この初期化が完了するまでマルウェアの分析は実行されませんが、初期化の発生を示す通知は表示されません。

回避策：15 分間待機します。
問題 2889482：検出されたポートのセグメントプロファイルを更新すると、誤った保存確認が表示される

セグメントプロファイルが更新された場合、ポリシーユーザーインターフェイスで、検出されたポートの編集は可能ですが、更新されたバインドマップをポート更新要求で送信することはできません。[保存] をクリックすると、誤検知のメッセージが表示されます。検出されたポートのセグメントは更新されているように見えますが、更新されていません。

回避策：MP API またはユーザーインターフェイスを使用して、検出されたポートのセグメントプロファイルを更新します。
問題 2898020：トランスポートノードの状態に「FRR config failed:: ROUTING_CONFIG_ERROR (-1) 」というエラーが表示される

Edge ノードは、拒否アクションが構成され、複数のコミュニティリストがその一致基準に適用されているルートマップシーケンスを拒否します。Edge ノードに管理者が意図しない構成があると、予期しない動作が発生します。

回避策：なし。
問題 2910529：DHCP 割り当て後に Edge の IPv4 アドレスが失われる

Edge 仮想マシンがインストールされ、DHCP サーバから IP を受信した後すぐに IP アドレスが失われ、アクセスできなくなります。DHCP サーバがゲートウェイを提供しないため、Edge ノードの IP アドレスが失われます。
回避策：DHCP サーバが適切なゲートウェイアドレスを提供していることを確認します。提供していない場合は、次の手順を実行します。
1. Edge 仮想マシンのコンソールに admin としてログインします。
2. stop service dataplane を実行します。
3. set interface <mgmt intf> dhcp plane mgmt を実行します。
4. start service dataplane を実行します。
問題 2919218：ホストの移行で行った選択が、MC サービスの再起動後にデフォルト値にリセットされる

MC サービスの再起動後、クラスタの有効化または無効化、移行モード、クラスタの移行順序など、以前に行ったホストの移行に関連するすべての選択がデフォルト値にリセットされます。

回避策：MC サービスの再起動後に、ホストの移行に関連するすべての選択項目が再度実行されることを確認します。
問題 2942900：Active Directory クエリのタイムアウト時に、Identity Firewall がイベントログスクレイピングで機能しない

Identity Firewall は、再帰的な Active Directory クエリを発行して、ユーザーのグループ情報を取得します。Active Directory クエリがタイムアウトして、NamingException 'LDAP response read timed out, timeout used: 60000 ms' が発生します。このため、ファイアウォールルールにイベントログスクレイパーの IP アドレスが渡されません。

回避策：再帰的クエリの処理時間を短縮するため、Active Directory 管理者は、Active Directory オブジェクトを整理して、インデックスを作成します。
問題 2954520：ポリシーからセグメントが作成され、ブリッジが MP から構成されている場合、ユーザーインターフェイスで、そのセグメントにブリッジの接続解除オプションを使用できない

ポリシーからセグメントが作成され、ブリッジが MP から構成されている場合、ユーザーインターフェイスからブリッジを接続解除または更新できません。

ポリシー側からセグメントを作成する場合は、ポリシー側からのみブリッジを構成することをお勧めします。同様に、MP 側から論理スイッチを作成する場合は、MP 側からのみブリッジを構成する必要があります。
回避策：API を使用してブリッジを削除します。

1.関連する LogicalPort を更新し、接続を削除します。
```
PUT :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>
```
PUT ペイロードヘッダーフィールドのヘッダーに、X-Allow-Overwrite : true を追加します。

2. BridgeEndpoint を削除します。
```
DELETE :: https://<mgr-ip>/api/v1/bridge-endpoints/<bridge-endpoint-id>
```
3.LogicalPort を削除します。
```
DELETE :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>
```
問題 3030847：VRF BGP 構成の変更が有効にならない場合がある

VRF 内の BGP 構成の変更が有効にならない場合があります。

回避策：ダミーのスタティックルートを作成して削除します。これにより、構成プッシュが発生し、Edge で VRF BGP 構成が認識されます。
問題 3005685：NSX LM 認証プロバイダとして Open ID Connect 接続を構成すると、エラーが発生する場合がある

OpenID Connect 構成でエラーが発生します。

回避策：なし。
問題 2949575：ポッドのドレインを行わずにクラスタから Kubernetes ワーカーノードを削除すると、ポッドが終了中状態で停止する

NSX Application Platform とそのアプリケーションが部分的に機能したり、期待どおりに機能しない場合があります。
回避策：次の情報を使用して、終了中状態が表示されている各ポッドを手動で削除します。
1. Terminating 状態のすべてのポッドをリストするには、NSX Manager またはランナー IP ホスト（Kubernetes クラスタにアクセスできる Linux ジャンプホスト）から、次のコマンドを実行します。
```
kubectl get pod -A | grep Terminating
```
2. 次のコマンドを使用して、リストされた各ポッドを削除します。
```
kubectl delete pod <pod-name> -n <pod-namespace> --force --grace-period=0
```
問題 3017840：アップリンク IP アドレスが変更されても、Edge の切り替えが発生しない

HA 状態が正しくないと、トラフィックのブラックホールが発生することがあります。

回避策：BFD の状態を切り替えます。Edge アップリンク IP を変更する前に、Edge をメンテナンスモードにします。