VMware NSX 4.1.0 | 2023 年 2 月 28 日 | ビルド 21332672 各リリース ノートで、追加および更新された機能をご確認ください。 |
VMware NSX 4.1.0 | 2023 年 2 月 28 日 | ビルド 21332672 各リリース ノートで、追加および更新された機能をご確認ください。 |
NSX 4.1.0 では、プライベート、パブリック、マルチクラウドの仮想ネットワークとセキュリティに関連するさまざまな新機能が追加されています。強化された領域と新機能は次のとおりです。
NSX の内部制御プレーンと管理プレーンの通信に対する IPv6 のサポート - このリリースでは、トランスポート ノードと NSX Manager 間の制御プレーンおよび管理プレーンの通信で IPv6 がサポートされています。このリリースでは、IPv4 または IPv6 を介してトランスポート ノード(ESXi ホストおよび Edge ノード)と通信できるように、NSX Manager クラスタをデュアルスタック モード(IPv4 と IPv6)で展開する必要があります。トランスポート ノードがデュアルスタック(IPv4 と IPv6)で構成されている場合、IPv6 通信が常に優先されます。
ユーザー インターフェイス、API、アラーム フレームワークでマルチテナントが使用可能 - このリリースでは、マルチテナントの導入で NSX の使用モデルを拡張しています。これにより、NSX の複数のユーザーが独自のオブジェクトを使用し、独自のアラームを確認し、トレースフローで自身の仮想マシンをモニタリングできます。これは、エンタープライズ管理者がプラットフォームをプロジェクトにセグメント化することで可能になります。これにより、可視性と制御を維持しながら、さまざまなユーザーに異なるスペースを提供することができます。
Antrea と NSX 統合の強化 - NSX 4.1 では、K8s オブジェクトと NSX オブジェクトの両方を含むファイアウォール ルールを作成できます。また、NSX タグと K8s ラベルに基づいて動的グループを作成することもできます。これにより、NSX を使用して Antrea クラスタを管理する際の操作性と機能が向上します。
オンライン診断システム - 特定の問題をトラブルシューティングするためのデバッグ手順を含む、事前定義済みのランブックを提供します。これらのランブックは API で呼び出すことができます。ランブックは、CLI、API、スクリプトを使用してデバッグ手順をトリガします。デバッグ後に、問題を修正するための推奨アクションが提示されます。さらに、デバッグに関連して生成されたアーティファクトをダウンロードして、詳しい分析を行うことができます。オンライン診断システムにより、デバッグを自動化し、トラブルシューティングを簡素化することができます。
他にも、さまざまな機能が追加されています。追加された機能の詳細については、以下を参照してください。
レイヤー 2 ネットワーク
ESXi MultiTEP 高可用性 - ハイパーバイザーで複数の TEP が構成されている場合、NSX は TEP IP アドレスと BFD セッションの状態を追跡して、オーバーレイ トラフィックを別のアップリンクにフェイルオーバーします。この機能を使用すると、物理スイッチの問題(物理スイッチ ポートが稼動しているが、転送が適切に機能しないなど)に対して高可用性を実現できます。
レイヤー 3 ネットワーク
BGP アドミニストレーティブ ディスタンス - このリリースでは、BGP アドミニストレーティブ ディスタンスのデフォルト値を変更できるようになりました。アドミニストレーティブ ディスタンスは、各ルーティング プロトコルに割り当てられ、ルートの選択に使用される任意の値です。BGP ルートのアドミニストレーティブ ディスタンスを操作する機能により、追加のルート選択制御が提供されます。
Tier-0 VRF ゲートウェイと BGP ネイバーごとの BGP 自律システム (AS) 番号 - このリリースでは、Tier-0 VRF ゲートウェイごとと BGP ネイバーごとに異なる BGP ASN(自律システム番号)を構成できます。VRF と BGP ピアごとに個別の ASN を定義することは、エンド ユーザーが独自の BGP ASN をネットワーク トポロジに組み込むサービス プロバイダとマルチテナント トポロジにとって重要な機能です。
VRF 間ルーティング - このリリースでは、より高度な VRF 相互接続とルート リーク モデルが導入されています。この機能を使用すると、VRF 間のルートを動的にインポートおよびエクスポートすることで、より簡単なワークフローときめ細かい制御を使用して、VRF 間ルーティングを構成できます。
自律システム全体の一意の BGP 識別子 - RFC6286 - このリリースでは、BGP ルーター ID の定義で 4 オクテット、符号なし、ゼロ以外の整数を使用できます。RFC 6286 に従って eBGP ピアの「一意性」要件を緩和するためのサポートが導入されています。
NSX の内部制御プレーンと管理プレーンの通信に対する IPv6 のサポート - このリリースでは、トランスポート ノードと NSX Manager 間の制御プレーンおよび管理プレーンの通信で IPv6 がサポートされています。このリリースでは、IPv4 または IPv6 を介してトランスポート ノード(ESXi ホストおよび Edge ノード)と通信できるように、NSX Manager クラスタをデュアルスタック モード(IPv4 と IPv6)で展開する必要があります。トランスポート ノードがデュアルスタック(IPv4 と IPv6)で構成されている場合、IPv6 通信が常に優先されます。
DPU-based Acceleration
UPT V2 は、NVIDIA Bluefield-2 の本番環境に対応しています。
セキュリティ
NSX Distributed Firewall(ステートフル L2 および L3 ファイアウォール)は、DPU アクセラレーションを使用して本番環境に展開できます。
NSX Distributed IDS/IPS(技術プレビュー)
Edge ノード プラットフォーム
トランスポート ノード API での Edge ノード設定のサポート
Edge Node API では、次のパラメータを設定できます。再起動の優先順位(Edge ノード仮想マシン):coalescingScheme と coalescingParams。この機能を使用すると、NSX Manager でのパフォーマンス設定と再起動の優先順位を調整できます。これにより、NSX Manager を介して実行される NSX オブジェクト設定の整合性が維持されます。
Edge ノード オペレーティング システムの Ubuntu 20.04 へのアップグレード
Edge ノードのオペレーティング システムが Ubuntu 20.04 にアップグレードされ、ベアメタル Edge のハードウェア サポートが強化されました。
Edge プラットフォーム:ハードウェア バージョンのアップグレード
NSX 4.1.0 へのアップグレード中に、Edge 仮想マシンは、サポートされている最新のハードウェア バージョンに自動的にアップグレードされ、最適なパフォーマンスが提供されます。
Network Detection and Response (NDR)
ゲートウェイ ファイアウォールからの IDPS イベントのサポート - NSX 4.1.0 以降では、相関/侵入キャンペーンで、ゲートウェイ/Edge ファイアウォールからの IDPS イベントが NDR によって使用されます。
コンテナのネットワークとセキュリティ
Antrea と NSX 統合の強化 - NSX 4.1.0 では、K8s オブジェクトと NSX オブジェクトの両方を含むファイアウォール ルールを作成できます。また、NSX タグと K8s ラベルに基づいて動的グループを作成することもできます。これにより、NSX を使用して Antrea クラスタを管理する際の操作性と機能が向上します。1 つのルールで仮想マシンと K8s ポッド間のトラフィックを許可/ブロックするファイアウォール ポリシーを作成できるようになりました。すべてのエンドポイントを含む新しい適用ポイントも導入され、送信元と宛先のグループ メンバーのターゲットに基づいて正しい適用先が決定されます。NSX ポリシー ルールセットに、Antrea クラスタで作成された K8s NetworkPolicies と階層を表示できるようになりました。この他にも、NSX 4.1.0 ではトレースフローとユーザー インターフェイスも強化されています。K8s ネットワーク ポリシーのトラブルシューティングと管理機能が向上し、NSX から K8s ネットワーク ポリシーを完全に一元管理できるようになりました。
インストールとアップグレード
アップグレード時の障害からの迅速なリカバリ - NSX のアップグレード中に発生した障害から迅速にリカバリする方法の 1 つはバックアップへのリストアです。ただし、実行可能なバックアップが使用できないと、このプロセスが遅延し、手動による介入が必要になることがあります。NSX 4.1 では、NSX の自動バックアップが暗黙的に作成され、アプライアンス自体に保存されます。障害が発生した場合、VMware のサポートは、この組み込みのバックアップを使用して、NSX を正常な状態にすばやくリストアできます。
運用とモニタリング
オンライン診断システム - 特定の問題をトラブルシューティングするためのデバッグ手順を含む、事前定義済みのランブックを提供します。これらのランブックは API で呼び出すことができます。ランブックは、CLI、API、スクリプトを使用してデバッグ手順をトリガします。デバッグ後に、問題を修正するための推奨アクションが提示されます。さらに、デバッグに関連して生成されたアーティファクトをダウンロードして、詳しい分析を行うことができます。オンライン診断システムにより、デバッグを自動化し、トラブルシューティングを簡素化することができます。
ESXi ホスト トランスポート ノードの問題をトラブルシューティングするために、次の事前定義済みのランブックを使用できます。これは、NSX API を使用して呼び出すことができます。
オーバーレイ トンネルの問題、コントローラ接続の問題、ポート ブロックの問題、物理 NIC のパフォーマンスの問題を診断するランブック。
VPN
IPsec VPN の IPv6 サポート - IPv6 アドレスを IPsec VPN の終端に使用できるようになりました。これにより、IPv6 ネットワーク経由でセキュアなトンネル メカニズムが提供されます。NSX は、IPv6 VPN を介して IPv4 と IPv6 の両方のデータを転送できます。
ゲスト イントロスペクション
Windows 11 での GI ドライバのサポート - NSX 4.1.0 以降では、Windows 11 オペレーティング システムを実行する仮想マシンが、NSX ゲスト イントロスペクションでサポートされます。
プラットフォームのセキュリティ
ローカル ユーザーのライフサイクル管理 - このリリースでは、ローカル ユーザーをシステムに追加したり、システムから削除したりできます。
インストールとアップグレードのセキュア ポートの変更 - このリリースでは、インストール用のデフォルトの TCP ポート 8080 が変更されました。TCP ポート 443 にアップグレードされ、プラットフォームのセキュリティが強化されます。
内部証明書の置き換え - このリリースでは、自己署名内部証明書を CA 署名付き証明書で置き換えることができます。
マルチテナント
NSX ユーザー インターフェイスでのマルチテナント - NSX 4.1.0 では、エンタープライズ管理者(プロバイダ)とプロジェクト ユーザー(テナント)のユーザー インターフェイスからマルチテナントを使用できます。
ユーザーごとに異なるビュー - プロジェクト ユーザー(テナント)とエンタープライズ管理者(プロバイダ)の両方が NSX にログインして、独自のビューを使用できます。プロジェクト ユーザーに、他のプロジェクトまたはプロバイダの構成は表示されません。
プロジェクト スイッチャ - このリリースでは、インターフェイスの上部にドロップダウンが導入されました。これにより、ユーザーの RBAC に応じて、コンテキストを 1 つのプロジェクトから次のプロジェクトに切り替えることができます。プロジェクトの外部で行われた構成は、デフォルトのコンテキストにあります。これは、プロジェクトの外部で構成されたロールのデフォルトです。デフォルト ( / ) で構成されたユーザーは、RBAC にマッピングされたすべてのプロジェクトを表示および構成できますが、特定のプロジェクトに関連付けられているユーザーは自分のプロジェクトにのみアクセスできます。
すべてのプロジェクト画面 - プロジェクトを切り替える機能に加えて、エンタープライズ管理者は、システム上のすべての構成を表示する統合ビューを使用できます。
プロジェクトのライフサイクル管理 - プロジェクトは、NSX インスタンスでエンタープライズ管理者が構成できるテナントを提供することを目的としたオプションの構造です。
CRUD プロジェクト - これらのプロジェクトをユーザー インターフェイスから作成し、すべてのプロジェクトとその状態/アラームを統合ビューに表示できます。
ユーザー割り当て - ユーザーとグループはプロジェクトに割り当てることができます(たとえば、ユーザー project_admin_1 は Project 1、Project2、Project 4 のプロジェクト管理者です)。
割り当て - 割り当てを別のプロジェクトに割り当て、使用可能な構成の数をタイプ別に制限することができます(たとえば、Project 1 に 10 個のセグメントを作成できます)。
オブジェクト共有 - エンタープライズ管理者は、デフォルトのコンテキスト (/infra) からオブジェクトをすべてのプロジェクトまたは特定のプロジェクトと共有できます(たとえば、グループ Shared Services はすべてのプロジェクトで共有されます)。
運用とモニタリングのためのマルチテナント
セキュリティ ログのマルチテナント ログ記録 - プロジェクトの短いログ ID が導入されました。これは、ログに記録してプロジェクトに適用するラベルです。このリリースでは、この短いログ ID がゲートウェイ ファイアウォール ログと分散ファイアウォール ログに適用されます。
マルチテナント アラーム - マルチテナントをサポートするためのアラーム フレームワークの拡張です。プロジェクト管理者は、自分の構成に関連する独自のアラームを可視化できるようになりました。
プロジェクト レベルのトレースフロー - プロジェクト管理者は、トレースフローを使用してワークロード間の接続をテストできます。プロバイダによってプロジェクトの外部からオブジェクトに適用された構成は難読化されます。
NSX Manager プラットフォーム
NSX Manager アプライアンスのオペレーティング システムを Ubuntu 20.04 にアップグレード。
NSX Manager アプライアンスのオペレーティング システムが Ubuntu 20.04 にアップグレードされました。
NSX ロード バランサ廃止のお知らせ
組み込み NSX ロード バランサは廃止される予定です。できるだけ早く NSX Advanced Load Balancer (Avi) に移行することをお勧めします。VMware NSX Advanced Load Balancer (Avi) は、NSX ロード バランシング機能のスーパーセットを提供します。VMware NSX Advanced Load Balancer (Avi) Enterprise を購入して、エンタープライズ クラスのロード バランシング、GSLB、高度な分析、コンテナ Ingress、アプリケーション セキュリティ、WAF を利用することをお勧めします。
この情報は、現在組み込み NSX ロード バランサを使用しているお客様がサポート終了前に NSX Advanced Load Balancer (Avi) に移行できるように事前にお知らせしています。NSX-T Data Center 3.x リリース シリーズの期間中は、NSX-T Data Center 3.x を使用しているユーザーへの組み込み NSX ロード バランサのサポートが引き続き提供されます。NSX 4.x リリース シリーズの期間中は、NSX 4.x を使用しているユーザーへの組み込み NSX ロード バランサのサポートが引き続き提供されます。詳細については、VMware 製品ライフサイクル マトリックスを参照してください。最後の NSX 4.x リリース以降、組み込み NSX ロード バランサのサポートは提供されません。
詳細情報:
NSX Manager API および NSX Advanced ユーザー インターフェイスの廃止のお知らせ
NSX には、論理ネットワークとセキュリティを構成する方法としてマネージャ モードとポリシー モードの 2 つがあります。マネージャ API には /api で始まる URI が含まれ、ポリシー API には /policy/api で始まる URI が含まれます。
VMware では、今後の NSX のメジャーまたはマイナー リリースで NSX Manager API と NSX Advanced ユーザー インターフェイスのサポートを削除する予定です。このリリースは、最初のお知らせの日付(2021 年 12 月 16 日)から 1 年以降に一般公開する予定です。『NSX Data Center API ガイド』では、削除予定の NSX Manager API に「廃止」というマークが付いています。また、代替 API に関するガイダンスも記載されています。
NSX の新しい展開では、NSX ポリシー API と NSX ポリシー ユーザー インターフェイスを利用することをお勧めします。現在 NSX Manager API と NSX Advanced ユーザー インターフェイスを利用している環境の場合は、移行の際に NSX Manager のマネージャ オブジェクトからポリシー オブジェクトへの昇格ページとNSX Data Center API ガイドを参照してください。
API の廃止と動作の変更
API の使用を簡素化するため、API の廃止および削除に関する新しいページが『NSX API ガイド』に追加されました。これらのページには、廃止された API とタイプ、および削除された API とタイプが一覧表示されます。
削除された API:次の API が削除されました。詳細については、『NSX API ガイド』を参照してください。
削除された API |
代替 |
---|---|
POST /api/v1/intrusion-services/ids-events |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-events |
POST /api/v1/intrusion-services/ids-summary |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/ids-summary |
POST /api/v1/intrusion-services/affected-vms |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-vms |
POST /api/v1/intrusion-services/affected-users |
POST /policy/api/v1/infra/settings/firewall/security/intrusion-services/affected-users |
GET /api/v1/intrusion-services/profiles/<profile-id> |
GET /policy/api/v1/infra/settings/firewall/security/intrusion-services/profiles/<profile-id>/effective-signatures |
廃止された API:次の API は廃止とマークされています。詳細については、『NSX API ガイド』を参照してください。
廃止された API |
代替 |
---|---|
DELETE /api/v1/aaa/registration-token/<token> |
POST /api/v1/aaa/registration-token/delete |
GET /api/v1/aaa/registration-token/<token> |
POST /api/v1/aaa/registration-token/retrieve |
GET /api/v1/node/services/dataplane/l3vpn-pmtu |
なし |
GET /api/v1/node/services/policy |
GET /api/v1/node/services/manager |
GET /api/v1/node/services/policy/status |
GET /api/v1/node/services/manager/status |
GET /api/v1/ns-groups/<ns-group-id>/effective-cloud-native-service-instance-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/cloud-native-service-instances |
GET /api/v1/ns-groups/<ns-group-id>/effective-directory-group-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/identity-groups |
GET /api/v1/ns-groups/<ns-group-id>/effective-ipset-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/segment-ports GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/logical-ports |
GET /api/v1/ns-groups/<ns-group-id>/effective-physical-server-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/physical-servers |
GET /api/v1/ns-groups/<ns-group-id>/effective-transport-node-members |
GET /policy/api/v1/infra/domains/{domain-id}/groups/{group-id}/members/transport-nodes |
POST /api/v1/batch |
なし |
POST /api/v1/node/services/policy?action=reset-manager-logging-levels |
POST /api/v1/node/services/manager?action=reset-manager-logging-levels |
POST /api/v1/node/services/policy?action=restart |
POST /api/v1/node/services/manager?action=restart |
POST /api/v1/node/services/policy?action=start |
POST /api/v1/node/services/manager?action=start |
POST /api/v1/node/services/policy?action=stop |
POST /api/v1/node/services/manager?action=stop |
POST /policy/api/v1/infra/realized-state/enforcement-points/<enforcement-point-name>/virtual-machines?action=update_tags |
POST /policy/api/v1/infra/realized-state/virtual-machines/{virtual-machine-id}/tags |
PUT /api/v1/node/services/dataplane/l3vpn-pmtu |
なし |
PUT /api/v1/node/services/policy |
PUT /api/v1/node/services/manager |
互換性とシステム要件については、VMware 製品の相互運用性マトリックスと NSX インストール ガイドを参照してください。
NSX コンポーネントのアップグレードの手順については、NSX アップグレード ガイドを参照してください。
NSX 4.1.0 は、さまざまな新機能を提供する新しいリリースです。これらの機能が必要な場合は、アップグレードして新機能を導入する必要があります。現時点でこの機能を必要としないお客様は、NSX 3.2 の最新バージョン(現在は 3.2.2)にアップグレードする必要があります。これは、引き続き推奨リリースです。
NSX 4.1.0 では、AWS/Azure ワークロードで展開された NSX Cloud ユーザーはサポートされていません。このシナリオでは、NSX 4.1.0 を使用して環境をアップグレードしないでください。
このリリースにアップグレードする場合は、アップグレード プロセスを開始する前に、NSX アップグレード評価ツールを実行することをお勧めします。このツールは、アップグレード前に NSX Manager の健全性と準備状況を確認することで、アップグレードを確実に成功させるために設計されています。ツールは、NSX Manager のアップグレードを開始する前に、アップグレード ワークフローに統合されます。
NSX は英語、ドイツ語、フランス語、日本語、簡体字中国語、韓国語、繁体字中国語、イタリア語、スペイン語でご利用いただけます。NSX のローカライズではブラウザの言語設定が使用されるため、設定が目的の言語と一致することを確認してください。
改訂日 |
版 |
変更点 |
---|---|---|
2023 年 2 月 28 日 |
1 |
初版 |
2023 年 3 月 29 日 |
2 |
既知の問題 3094405、3106569、3113067、3113073、3113076、3113085、3113093、3113100、3118868、3121377、3152174、3152195 を追加しました。 |
2023 年 5 月 12 日 |
3 |
既知の問題 3210316 を追加しました。 |
2023 年 5 月 19 日 |
4 |
既知の問題 3116294 を追加しました。 |
2023 年 6 月 1 日 |
5 |
既知の問題に 3186573、3155845 および 3163020 を追加しました。 |
2023 年 7 月 20 日 |
6 |
既知の問題 3108693 を追加しました。 |
2023 年 9 月 8 日 |
7 |
「新機能」に「NSX Manager のアップグレード」を追加しました。 |
2023 年 12 月 14 日 |
8 |
既知の問題 3296976 を追加しました。 |
2024 年 1 月 10 日 |
9 |
既知の問題 3222376 を追加しました。 |
2024 年 3 月 7 日 |
10 |
既知の問題 3308657 を追加しました。 |
解決した問題 3053647:NSX for vSphere から NSX-T への移行中に、NSX-v ESG の 1 つがパワーオフ状態であるため、Edge のカットオーバーに失敗する
移行中に ESG で実行された操作が失敗します。
解決した問題 3048603:UDP ベースの DNS トラフィックが新しい接続の開始時にセッション情報を作成し、長時間実行された後にメモリが枯渇する
データパス メモリプールの使用率が 100% に達し、しきい値の 85% を超えています。
解決した問題 3106018:Edge が IGMPv2 レポート パケットを受信すると、NSX 4.0.0.1 および 4.0.1.1 でサービス データプレーンがクラッシュすることがある
データパスが再起動し、トラフィックが中断します。
解決した問題 3073647:少なくとも 2 つのアップストリーム サーバが構成されている場合、誤検知 DNS「フォワーダ アップストリーム サーバ タイムアウト」アラームが発生する
混乱を招く誤検知アラームが発生します。アップストリーム サーバはすべて正常に動作しています。
解決した問題 3062615:Edge トランスポート ノードを削除すると、Edge 内部テーブルに古いエントリが残ることがある
古いエントリが原因で、NSX アップグレード後に NSX Manager がハング状態になります。
解決した問題 3059517:DNS サマリ属性プログラミングのメモリ リーク
トラフィックの量によっては、継続的なコアが発生する可能性があります。
解決した問題 3055437:ホスト スイッチからオーバーレイ トランスポート ゾーンが削除された場合でも、SPF プロパティが有効になる
vMotion 後に仮想マシンの接続が失われる場合があります。
解決した問題 3046491:削除の検証中に IP プールとインフラストラクチャ セグメントの関係がチェックされないため、インフラストラクチャ セグメントによってアクティブに使用/参照されている IP プールを削除できる。これにより、使用中に IP アドレスが割り当て解除される
インフラストラクチャ セグメントで使用中に IP アドレスが消失するため、機能上の影響があります。
解決した問題 3044226:DhcpRelayConfig の RealizationState で認識されたインテント リビジョンが更新されない
dhcp-relay が正しく機能していても、ユーザー インターフェイスに dhcp-relay 統合状態が「IN_PROGRESS」と表示されます。
解決した問題 3056265:接続解除された NSX Manager ノードで以前に使用されていたホスト名と同じホスト名を使用すると、NSX Manager ノードの展開に失敗する
以前に接続解除されたホスト名と同じホスト名を使用すると、NSX Manager ノードの展開がブロックされます。
解決した問題 3024587:remote-host-max-msg-len の設定を大きくしても、外部 Syslog サーバで受信した IDPS ログが切り詰めらる
IDPS イベントが、外部 Syslog サーバで複数の行に分割される可能性があります。
解決した問題 3008229:CCP TN タイムアウト設定 CLI に、時間単位を使用するオプションがない
CCP TN タイムアウト設定 CLI で時間単位を使用できません。
解決した問題 2863105:HCX から関連エンティティを削除するまで、HCX によって使用されるトラフィック グループを NSX から削除できない
HCX トラフィック グループ/関連付けマップを削除する方法が明確ではありません。
解決した問題 3091229:3 つ以上の CNS メンバーを持つグループで、cloud-native-service-instances の EffectiveMembership Rest API が機能しない
CNS メンバーの有効なメンバーシップ Rest API が期待どおりに動作しません。
解決した問題 3056889:分散ルーターまたは Tier-1 サービス ルーターのスタティック ルートは、トランスポート ノードに伝達されない
これらのスタティック ルートに送信されるトラフィックは中断します。スタティック ルートを構成する前に、論理ルーター ポートを構成する必要があります。
解決した問題 3046448:管理プレーン ユーザー インターフェイスで NG グループが強制的に削除されると、ESX ホストからルールが削除されない
ファイアウォール ルールの送信元または宛先で、削除された NSgroup が使用されている場合、すべての送信元または宛先のセキュリティ状態が引き続き ESX ホストに適用されます。
解決した問題 3044281:Edge 仮想マシンに古いハードウェア構成エラーがあるマネージャ構成の変更を適用するときに、検証エラーが発生します。
古いエラーがあるため、トランスポート ノードの PUT API またはユーザー インターフェイスを介して Edge 構成を編集できません。
解決した問題 3043150:トランスポート ノードが管理プレーンによって削除された後、CCP LCP Replicator によって古いトランスポート ノード データが残される
新しいトランスポート ノードが管理プレーンによって追加され、古い VTEP IP を別の VTEP MAC で再利用すると、トランスポート ノードの古いデータがクリーンアップされていないため、CCP が誤ったデータを報告します。
解決した問題 3037403:RPC GetLportRealizedState を介してクエリを実行すると、CCP がバインドの VLAN ID をセグメントの VLAN ID で上書きする
ユーザーがアドレス バインドをクエリすると、VLAN ID が手動バインドの設定と異なる場合があります。
解決した問題 3013563:Active Directory でグループ名を変更するとデータパスに影響し、完全/差分同期後に、変更後の名前を持つグループのユーザーに DFW ルールが適用されない
データ パスが中断します。
解決した問題 3008229:CCP TN タイムアウト設定 CLI に、時間単位を使用するオプションがない
CCP TN タイムアウト設定 CLI で時間単位を使用できません。
解決した問題 2982055:Intelligence で、ネストされたグループ メンバーが同期されない
グループ フロー トポロジ API に、ネストされたグループ メンバーが表示されません。
解決した問題 2930122:GC/HL から以降のリリースに CCP データを移行すると、競合レコードが残り、誤ったアラームが生成される可能性がある
トランスポート ノードが接続されている場合でも、切断されたトランスポート ノードに関する誤ったアラームが表示されます。
解決した問題 2863105:HCX から関連エンティティを削除するまで、HCX によって使用されるトラフィック グループを NSX から削除できない
HCX トラフィック グループ/関連付けマップを削除する方法が明確ではありません。
解決した問題 3062600:controller-info.xml ファイルが削除されたか、空の場合、NSX プロキシが再起動し続ける
NSX プロキシが継続的に再起動し、同じ項目がログに記録されます。
解決した問題 3063646:Unified Appliance での nestdb-ops-agent 接続エラーのログ記録
ログの記録速度が速くなります。
解決した問題 3065925:ユーザー定義の VRF RIB に IPv6 ECMP ルートがない
IPv6 ICMP ルートの情報がありません。
解決した問題 3071393:ゲートウェイを有効または無効にした後、Edge で L7 アクセス プロファイルを持つゲートウェイ ルールが認識されない
ゲートウェイを有効または無効にした後、Edge で L7 アクセス プロファイルを持つゲートウェイ ルールが認識されません。
解決した問題 3072735:CCP での有効な IP 検出プロファイルの計算で、LSP プロファイル -> LS プロファイル -> グループ プロファイルの優先順位が想定どおり機能しない
DFW グループで誤った IP が見つかりました。
解決した問題 3073055:ルールが誤って DHCP 定義から範囲を継承し、Edge に送信される
ルールが、ユーザー インターフェイスに表示されない Edge で認識されています。
解決した問題 3073457:リモート トンネル エンドポイントの状態が更新されない
リモート トンネル エンドポイントを介した BGP セッションの接続に変更はありません。データパスへの影響はありませんが、ユーザー インターフェイスに適切な状態が表示されません。
解決した問題 3078357:フェデレーション LM-LM バージョンの互換性は +/-2 にする必要があるが、CCP は +/-1 のみをサポートしている
2 つのフェデレーション サイトの片方がバージョン V で実行され、もう片方がバージョン V+2 または V-2 で実行されていると、サイト間の接続が切断されます。
解決した問題 3081190:検索サービスが、GM のルート パーティションを使用してデータを保存しているルート パーティションのディスク容量がいっぱいになり、アラームが発生する
ルート パーティション ディスクがすべて使用された後、GM が正常に動作しなくなります。
解決した問題 3081664:DFW ルールが誤って EdgeNode に送信されます。Edge にプッシュされたルールの 1 つに誤ったパラメータがあると、データ プレーンが永続的にクラッシュする可能性がある
論理スイッチ/LSP がルールの appliedTo で使用されている場合、CCP は FW ルールの範囲の一部としてダウンリンク ポートを計算します。その結果、DFW ルールが誤って EdgeNode に送信されます。Edge にプッシュされたルールの 1 つに誤ったパラメータがあると、データ プレーンが永続的にクラッシュする可能性があります。
解決した問題 3057573:vLCM が有効なクラスタへの TN プロファイルの適用に失敗する
サービス アカウントのパスワードが期限切れのため、LCM が有効なクラスタで NSX のインストールに失敗しました。
解決した問題 3046985:一部のゲートウェイ ファイアウォール サービス(MS_RPC_TCP、MS_RPC_UDP、SUN_RPC_TCP、SUN_RPC_UDP、ORACLE_TNS)がサポートされていません。これらのサービスが選択されている場合、公開操作がエラーで失敗する
サービスはユーザー インターフェイスで選択できますが、公開中に次のエラーが表示されます。「アプリケーション レベル ゲートウェイ (ALG) のタイプ:ORACLE_TNS はサポートされていません。」
解決した問題 3040934:分散ファイアウォール (DFW)/ゲートウェイ ファイアウォール (GWFW) の設定で変更を公開できません。分散ファイアウォール (DFW)/ゲートウェイ ファイアウォール (GWFW) が無効になっている場合、公開ボタンは無効になる
ファイアウォール (DFW)/ゲートウェイ ファイアウォール (GWFW) が無効になっているため、構成の変更を公開できません。
解決した問題 2888207:vIDM が有効な場合、ローカル ユーザーの認証情報をリセットできない
vIDM が有効になっている間、ローカル ユーザーのパスワードを変更できません。
解決した問題 3068125:アクティブ/スタンバイ Edge 環境で BGP が VTI インターフェイスを介して構成されている場合、BGP はスタンバイ Edge ノードで停止することが想定されるが、スタンバイ Edge ノードでアクティブな「BGP 停止」アラームが生成される
これによる機能上の影響はありません。ただし、スタンバイ Edge ノードで誤った「BGP 停止」アラームが発生します。
解決した問題 3057573:vLCM が有効なクラスタへの TN プロファイルの適用に失敗する
サービス アカウントのパスワードが期限切れのため、LCM が有効なクラスタで NSX のインストールに失敗しました。
解決した問題 3047608:CSM アプライアンスの展開後にログインすると、CSM ユーザー インターフェイスにアクセスできなくなり、nsx-cloud-service Manager サービスが停止する
ログイン後、CSM ユーザー インターフェイスの起動中に停止します。
解決した問題 3045514:NSX でバッキングされた仮想マシンからのフローを vRNI に表示できない
NSX でバッキングされた仮想マシンからのフローを vRNI に表示できません。
解決した問題 3042523:Storage vMotion の進行中、仮想マシンのセグメント ポートについて vm-tools から提供された NSX 検出済み割り当て(IP アドレス)が空になる
仮想マシンの Storage vMotion 中、ソースとして vm-tools によって検出された IP アドレスに基づく DFW ルールは IP に適用されません。
解決した問題 3038658:1K ハイパーバイザー スケール セットアップでリストアを実行すると、メモリ不足の問題が原因で NSX サービス (proton) がクラッシュする
NSX サービスが再起動するため、リストア プロセスの実行時間が長くなることがあります。
解決した問題 3027580:vCenter Server の DVPG がセキュリティ専用に準備されたクラスタに含まれているホストに接続されていて、インベントリ グループの一部となっている検出セグメントにマッピングされている場合、それらの DVPG が削除されると、検出セグメントがクリーンアップされない
これによる機能上の影響はありません。NSX Manager のユーザー インターフェイスに古いオブジェクトが表示されます。
解決した問題 3027473:NSX for vSphere から NSX-T Data Center に 1,000 個を超える DFW ルールを移行すると、ユーザー インターフェイスのフィードバックは表示されないが、1,000 個以下のルールを含む複数のセクションに分割される
ユーザー インターフェイスのフィードバックが表示されません。
解決した問題 3025367:アップリンク プロファイルに 4 つのアクティブ アップリンクがあり、TN 構成で VDS アップリンク マッピング用のアップリンクが 2 つしか指定されていない場合、ホスト側に 4 つの vmk が作成される
機能上の影響はありません。
解決した問題 3024658:SMB トラフィックのパケットを処理するときに、NSX IDS/IPS によって CPU 使用率が高くなり、遅延が発生する
SMB トラフィックの処理中にメモリ不足エラーが発生し、NSX IDS/IPS プロセスがクラッシュすることがあります。
解決した問題 3024136:VRF BGP 構成の変更が有効にならない場合がある
VRF 内の BGP 構成の変更が有効にならない場合があります。
解決した問題 3024129:グローバル マネージャ アラームが頻繁にトリガされる
アラームが解決されるとすぐにアラームがトリガされます。
解決した問題 3019893:ロード バランサのパーシステンスを無効にすると NGINX がクラッシュする
デッドロックが原因で新しい接続を確立できません。
解決した問題 2963524:UDP 接続が有効期限のタイムアウトに従ってパージされない
ユーザー インターフェイスのフィードバックが表示されません。
解決した問題 2947840:ユーザー インターフェイスに、ネットワーク トポロジ ビューのすべてのネットワーク コンポーネントが表示されない
完全なネットワーク トポロジを表示できません。
解決した問題 2928725:IDPS シグネチャのダウンロードが、特定のポートを使用するプロキシで機能しない
プロキシ経由でのシグネチャのダウンロード呼び出しが NTICS サーバに到達できませんでした。
解決した問題 3034373:3.2.0 より前のバージョンから 3.2.x または 4.0.x にアップグレードした後、DFW IPFIX プロファイルの削除が途中で停止する
DFW IPFIX プロファイルを削除できません。
解決した問題 3043151:システムで AppId を決定する必要があるトラフィックが大量に発生していると、ファイアウォール フローの L7 分類が短時間使用できない場合がある
トラフィックの多いホストで L7 ルールがヒットしない場合があります。
解決した問題 3039159:インターフェイスが Uniform Passthrough (UPT) モードで、フロー数の多い仮想マシンに vMotion が実行されると、ホストで PSOD が発生することがある
ホストで PSOD が発生するため、フロー数の多い UPT ベースの仮想マシンの vMotion 中にトラフィックが影響を受けます。
解決した問題 3047608:CSM アプライアンスの展開後にログインすると、CSM ユーザー インターフェイスにアクセスできなくなり、nsx-cloud-service Manager サービスが停止する
ログイン後、CSM ユーザー インターフェイスの起動中に停止します。
解決した問題 3027580:vCenter Server の DVPG がセキュリティ専用に準備されたクラスタに含まれているホストに接続されていて、インベントリ グループの一部となっている検出セグメントにマッピングされている場合、それらの DVPG が削除されると、検出セグメントがクリーンアップされない
これによる機能上の影響はありません。NSX Manager のユーザー インターフェイスに古いオブジェクトが表示されます。
解決した問題 3042382:パケットが No-SNAT ルールに一致すると、セッションの再ルックアップが必要になる
No-SNAT ルールに一致するトラフィックが停止します。
解決した問題 3044704:構成ページで HTTPS スキームと証明書が使用されている場合でも、NSX-Manager で SSL-BUMP のない HTTP プロキシのみがサポートされる
[システム]-> [全般設定] -> [インターネット プロキシ サーバ] でプロキシを構成するときに、スキーム(HTTP または HTTPS)、ホスト、ポートなどの詳細を指定する必要がありました。
このスキームとは、NSX Manager とプロキシ サーバ間で確立する接続のタイプを意味します。プロキシのタイプではありません。通常、HTTPS プロキシは HTTPS スキームを使用します。ただし、http_port + SSL Bump で構成された Squid などのプロキシも、NSX-Manger とプロキシ サーバ間で HTTPS 接続を確立します。ただし、NSX-Manager のサービスは、常にプロキシが http ポートで公開されていることを前提としています。そのため、指定した証明書が NSX-Manager で使用されることはありません。
HTTPS スキームを選択して証明書を指定すると、構成ページで「証明書 xx は、xx の有効な証明書ではありません」という HTTPS プロキシのエラーが表示されます。
http_port + SSL Bump で Squid プロキシを使用しようとすると、エラーは表示されませんが、NSX Manager サービスは外部サーバへの要求の送信に失敗します(「Unable to find certificate chain.」というエラーがログに記録されることがあります)。
解決した問題 3025104:FQDN が同じでも異なる IP を使用してリストアを実行すると、ホストが「失敗」状態になる
同じ FQDN でも異なる IP を使用して NSX Manager ノードのリストアを実行すると、ホストは NSX Manager ノードに接続できません。
解決した問題 2888207:vIDM が有効な場合、ローカル ユーザーの認証情報をリセットできない
vIDM が有効になっている間、ローカル ユーザーのパスワードを変更できません。
問題 3308657:ルール数が非常に多いファイアウォール セクションを作成すると、ルールの作成/削除 API の応答に 30 分以上かかる
この速度低下により、ポッドの API の実行で 409/500 エラーが発生したり、処理が遅くなります。
回避策:1 つのセクションのルール数を減らします。
問題 3222376:LDAP 構成ユーザー インターフェイスで、NSX の [状態を確認] 機能を実行すると、Windows Server 2012/Active Directory への接続時にエラーが報告されるこの問題は、セキュリティ上の理由から NSX でサポートされなくなった強度の低い TLS 暗号のみが Windows 2012 でサポートされているために発生します。
エラー メッセージが表示されても、LDAP 認証コードで使用される暗号セットが [状態を確認] リンクで使用されるセットと異なるため、SSL 経由の LDAP 認証が機能します。
回避策:詳細については、ナレッジベースの記事 KB92869 を参照してください。
問題 3296976:ゲートウェイ ファイアウォールで、コンテキスト/L7 アクセス プロファイルの一部として、サポートされていないレイヤー 7 アプリケーション ID を使用できる場合がある
https://docs.vmware.com/jp/NSX-Application-IDs/index.html を参照してください。このページには、サポートされているアプリケーション ID が NSX リリース別に記載されています。
回避策:なし。
問題 3108693:プロジェクト管理者が、ユーザー インターフェイスから dns-forwarder 機能を構成できない
project-admin としてログインしているときに、プロジェクトスコープの T1 が、dns-forwarder ページのドロップダウン メニューに表示されません。このため、project-admin がユーザー インターフェイスから dns-forwarder 機能を構成できません。
回避策:
プロジェクト管理者は、同じ機能を API から実行できます。
エンタープライズ管理者は、プロジェクト 範囲に DNS サービスを作成できます。
問題 3186573:CorfuDB データが失われる
一部の構成が突然失われます。一部の構成を作成/更新できません。
回避策:詳細については、ナレッジベースの記事 KB92039 を参照してください。
問題 3163020:DNS パケットの FQDN が、FQDN ルールの L7 プロファイルで構成されているドメイン名と大文字小文字が異なる場合、DFW FQDN ルール アクションが正しく適用されない
DFW FQDN ルールのアクションが正しく適用されません。DFW FQDN フィルタリングが正しく機能しません。
回避策:DNS パケットのドメイン名と一致するように、L7 コンテキスト プロファイルで FQDN を構成します。
問題 3155845:FQDN フィルタリング構成時の vMotion で PSOD が発生する
ESXi ホストが再起動します。
回避策:FQDN 構成を削除します。
問題 3116294:ネストされたグループを含むルールがホストで期待どおりに動作しない
トラフィックが正しく許可またはスキップされません。
回避策:ナレッジベースの記事 KB91421 を参照してください。
問題 3210316:(1) マネージャがデュアル スタック IPv4/IPv6 で、(2) VIP アドレスが構成されておらず、(3) vIDM 構成の [NSX アプライアンス] フィールドに FQDN ではなく IP アドレスを入力した場合、vIDM 構成がクリアされる
vIDM 構成が再構成されるまで、vIDM を使用してログインできません。
回避策:[NSX アプライアンス] フィールドに FQDN を使用します。
問題 3152195:DFW ルールで .*XYZ.com タイプの FQDN を含むコンテキスト プロファイルが使用されていると、ルールが適用されない
この特別なシナリオでは、DFW ルールの適用は想定どおりに機能しません。
回避策:なし。
問題 3152174:VDS を使用したホストの準備が次のエラーで失敗する:ホスト {UUID} が VDS 値に追加されていません。
vCenter Server で、ネットワークがフォルダ内にネストされている場合、NSX-T で CVDS への移行を実行すると、NVDS から CVDS または NSX-V から NSX-T への移行が失敗することがあります。
回避策:ホストの最初のネットワークは、vCenter Server MOB ページ https://<VC-IP>/mob?moid=host-moref の [ネットワーク] フィールドに表示される最初のネットワークです
3.2.1 より前のバージョン:上記のようなホストの最初のネットワークと関連する VDS は、同じフォルダの直下に配置されている必要があります。フォルダは、DataCenter または DataCenter 内のネットワーク フォルダのいずれかです。
3.2.1 および 4.0.0 以降:上記のようなホストの最初のネットワークはフォルダの直下にある必要があります。目的の VDS は、同じフォルダの直下に配置することも、同じフォルダ内にネストすることもできます。フォルダは、DataCenter または DataCenter 内のネットワーク フォルダのいずれかです。
問題 3118868:物理 NIC が有効で、オーバーレイ フィルタがプログラミングされているときに、物理 NIC でプログラミングされた vNIC フィルタが正しくないか、古くなっている
物理 NIC が有効になっているときに、オーバーレイ フィルタがプログラミングされていると、物理 NIC でプログラミングされた vNIC フィルタが古くなっていたり、正しくなかったり、欠落しているために、パフォーマンスが低下する可能性があります。
回避策:なし。
問題 3113100:VIF エントリが古いため、動的セキュリティ グループ内の一部の仮想マシンで IP アドレスが認識されない
クイック スタートを使用してネットワークとセキュリティ用に設定したクラスタをアンインストールして、セキュリティのみで再インストールすると、DFW ルールが想定どおりに機能しないことがあります。これは、ネットワークとセキュリティ用に生成された自動 TZ がまだ存在しているためです。DFW ルールが適切に機能するには、これを削除する必要があります。
回避策:自動生成された TZ をネットワークとセキュリティのクイック スタートから削除します。これは、セキュリティ専用で使用されているのと同じ VDS を参照しています。
問題 3113093:新しく追加されたホストでセキュリティが構成されていない
セキュリティのインストール後に、新しいホストがクラスタに追加されて分散仮想スイッチに接続されると、そのホストで NSX のインストールが自動的にトリガされません。
回避策:vCenter Server の既存の VDS を更新するか、vCenter Server に新しい VDS を追加し、クラスタ内のすべてのホストを VDS に追加します。これにより、TNP が自動更新され、TNP が TNC に再適用されます。TNC が更新されると、追加された新しいホストに TNP の最新の構成が含まれます。
問題 3113085:vMotion で DFW ルールが仮想マシンに適用されない
セキュリティ専用のインストール環境で、DFW によって保護されている仮想マシンを vMotion で別のホストに移動すると、ESX ホストに DFW ルールが適用されず、ルール分類が正しく実行されない場合があります。
回避策:仮想マシンを別のネットワークに接続し、ターゲット DVPortgroup に再接続します。
問題 3113076:FRR デーモンのクラッシュ時にコア ダンプが生成されない
FRR デーモンがクラッシュしたときに、/var/dump ディレクトリにコア ダンプが生成されません。これにより、BGP がフラップする可能性があります。
回避策:FRR デーモンのコア ダンプを有効にしてクラッシュをトリガし、/var/dump からコア ダンプを取得します。
コア ダンプを有効にするには、Edge ノードで次のコマンドを使用します。これは、Edge ノードで root ユーザーとして実行する必要があります。
prlimit --pid <FRR デーモンの PID> --core=500000000:500000000
FRR デーモンでコア ダンプが有効になっているかどうかを検証するには、次のコマンドを使用して、CORE リソースの SOFT および HARD の制限を確認します。これらの制限は、500,000,000 バイトまたは 500 MB にする必要があります。
prlimit --pid <FRR デーモンの PID>
問題 3113073:ロックダウン モードを有効にした後、しばらくの間 DFW ルールが適用されない
トランスポート ノードでロックダウン モードを有効にすると、DFW ルールの適用が遅延する可能性があります。これは、トランスポート ノードでロックダウン モードが有効になっていると、関連付けられている仮想マシンが NSX インベントリから削除されてから再作成されるためです。この間、その ESXi ホストに関連付けられている仮想マシンに DFW ルールが適用されない可能性があります。
回避策:ESX をロックダウン モードに切り替える前に、手動で例外リストに「da-user」を追加します。
問題 3113067:vMotion 後に NSX-T Manager に接続できない
NSX を NSX 3.2.1 より前のバージョンからアップグレードすると、NSX Manager 仮想マシンがファイアウォール除外リストに自動的に追加されません。その結果、すべての DFW ルールがマネージャ仮想マシンに適用され、ネットワーク接続の問題が発生する可能性があります。
この問題は、NSX 3.2.2 以降のバージョンから新規に展開する際には発生しません。ただし、NSX 3.2.1 以前のバージョンから NSX 4.1.0 までのターゲット バージョンにアップグレードする場合は、この問題が発生する可能性があります。
回避策:VMware のサポートにお問い合わせください。
問題 3106569:EVPN ルート サーバ モードでパフォーマンスが期待されるレベルに達しない
チーミング状況でオーバーレイ フィルタが物理 NIC でプログラミングされている場合、物理 NIC でプログラミングされた vNIC フィルタが古くなっていたり、正しくなかったり、欠落しているために、パフォーマンスが低下している可能性があります。
回避策:なし。
問題 3094405:オーバーレイ ネットワークが構成されているときに、物理 NIC にプログラミングされた vNIC フィルタが正しくないか、古くなっている
vNIC オーバーレイ フィルタは特定の順序で更新されます。更新が連続して行われると、最初の更新のみが保持され、その後の更新は破棄されるため、誤ったフィルタがプログラミングされ、パフォーマンスが低下する可能性があります。
回避策:なし。
問題 3121377:ESX の PSOD
トランスポート ノードが停止し、トラフィックに影響を及ぼしています。
回避策:
ワークロードの構成を変更して、同じセグメントのピアの最初のホップ ルーターにトラフィックが送信されないようにします。
最初のホップ ルーターからの ICMP6 リダイレクトをグレースフルに受け入れます。
問題 3098639:アップグレード中にリバース プロキシ/認証サービスがメンテナンス モードに切り替わっていないため、NSX Manager のアップグレードに失敗する
nsx-manager のアップグレードに失敗します。
回避策:詳細については、ナレッジベースの記事 KB91120 を参照してください。
問題 3114329:ベアメタル NSX Edge のインストール後に Intel QAT が起動しない
Intel QuickAssist Technology (QAT) は、計算集約型の暗号化および圧縮/圧縮解除アルゴリズムを CPU から専用のハードウェアにオフロードするように設計された、ハードウェア アクセラレータ テクノロジーです。この問題のため、Intel QAT を使用して、ベアメタル NSX Edge で VPN サービスのスループット パフォーマンスを向上させることはできません。
回避策:なし。
問題 3106950:DFW 割り当て容量に達すると、プロジェクト範囲での新しい VPC の作成に失敗する
DFW 割り当て容量に達したプロジェクトに VPC を作成することはできません。
回避策:なし。
問題 3094463:廃止された管理プレーン API を介して ALG サービス FTP を使用するステートレス ファイアウォール ルールを作成できます。この操作は、ポリシー API でサポートされていない
管理プレーンに問題のあるファイアウォール ルールが存在するため、管理プレーンからポリシーへの移行を実行することはできません。
回避策:問題のあるファイアウォール ルールをステートフルに更新するか、ALG サービス FTP を使用しないようにする必要があります。
問題 3083358:コントローラの再起動時に、コントローラがクラスタに参加するのに時間がかかる
コントローラの再起動後、コントローラの起動に時間がかかる場合があるため、NSX Manager で作成された新しい構成の認識で遅延が発生することがあります。
回避策:冗長な悪意のある IP グループを削除して再起動します。
問題 3106317:ゲストで vNIC MAC アドレスが変更されると、物理 NIC にプログラミングされたフィルタに変更が反映されないことがある
パフォーマンスが低下する可能性があります。
回避策:ゲストのインターフェイスを無効にしてから再度有効にします。
問題 3047727:CCP が更新された RouteMapMsg を公開しない
公開する予定のないルートが公開されます。
回避策:なし。
問題 2792485:vCenter Server に、インストールされたマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示される
vCenter Server の統合 NSX-T ユーザー インターフェイスに、インストールされているマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示されます。
回避策:なし。
問題 3092154:現在の NIC は IPv6 ルーティング拡張ヘッダーをサポートしていない
ルーティング拡張機能ヘッダーを持つ IPv6 トラフィックが、スマート NIC によってドロップされます。
回避策:なし。
問題 3079932:UPT インターフェイスを介して大規模にオフロードされた TCP フローで、MTU の変更が失敗する可能性がある
UPT インターフェイスを介して大規模にオフロードされた TCP フローで、MTU の変更が失敗することがあります。
回避策:
トラフィックの処理中に MTU を変更しないでください。
または、ハードウェア オフロードを無効にしてから、MTU の変更を実行してください。
問題 3077422:SmartNIC でバッキングされた仮想マシンとポートで LTA がサポートされていないため、SmartNIC でバッキングされた仮想マシンとポート/インターフェイスが LTA にリストされない
特定の仮想マシンで LTA を作成することができません。
回避策:なし。
問題 3076771:get physical-ports <physical-port-name> stats verbose で、キューごとの統計情報の値が 0 と表示される
デバッグでポートの詳細な統計情報を使用すると、予期しないゼロ値が表示されます。
回避策:可能であれば、get physical-ports <physical-port-name> xstats で、物理ポートのキューごとの統計情報が表示されます。
問題 3069003:ネストされた LDAP グループを使用している場合、ユーザー LDAP ディレクトリ サービスで LDAP 操作が過剰になる
ネストされた LDAP グループが使用されている場合、LDAP ディレクトリ サービスの負荷が高くなります。
回避策:8.6 より前の vROps の場合は、LDAP ユーザーではなく、admin ローカル ユーザーを使用します。
問題 3068100:対称ルーティングの場合にのみルート リークがサポートされます。VRF 間で非対称ルート リークが発生すると、トラフィックのブラックホールが発生する可能性がある
VRF ルートがクラスタ内の Edge ノード間で非対称である場合、SR 間ルーティングが有効になっていても、このような非対称ルートは Edge クラスタ全体で同期されません。これにより、South から North へのトラフィックのブラックホールが発生する可能性があります。
回避策:ルートが、クラスタ内のすべての Edge ノードに対称的に伝達されていることを確認します。この例では、プレフィックス 2.1.4.0/24 および 2.1.5.0/24 を両方の Edge e1 と e2 に伝達する必要があります。
問題 2855860:Edge ファイルシステムが読み取り専用モードになると、Edge データパスが無期限に転送を停止する
トラフィックが消失します。Edge 仮想マシン コンソールにアクセスすると、ファイルシステムが読み取り専用モードに切り替わったと表示されることがあります。
回避策:なし。
問題 3046183 および 3047028:NSX Application Platform を展開後、 NSX 機能の 1 つを有効または無効にすると、ホストされている他の NSX 機能の展開状態が In Progress
に変わる。NSX 機能の NSX Network Detection and Response、NSX マルウェア防止、NSX Intelligence が影響を受ける
NSX Application Platform を展開した後、NSX Network Detection and Response 機能を有効または無効にすると、NSX マルウェア防止機能と NSX Intelligence 機能の展開状態が In Progress
に変わります。同様に、NSX マルウェア防止機能を有効または無効にすると、NSX Network Detection and Response 機能の展開状態が In Progress
になります。NSX Intelligence が有効な場合に、NSX マルウェア防止を有効にすると、NSX Intelligence 機能の状態が Down
と Partially up
に変わります。
回避策:なし。システムが自動的にリカバリします。
問題 3041672:構成専用モードと DFW 移行モードの場合、すべての移行ステージが正常に完了した後に、移行前と移行後の API を呼び出してワークロードを移行する。移行ステージが成功した後、NSX for vSphere、vCenter Server、または NSX の認証情報を変更すると、移行前と移行後の API の呼び出しが失敗する
移行前、移行後、およびインフラストラクチャ ファイナライズの API の呼び出しが失敗するため、ワークロードを移動できません。
回避策:以下の手順を実行します。
Migration Coordinator を再起動します。
移行のユーザー インターフェイスで、再起動前と同じ移行モードを使用し、すべての認証情報を指定します。これにより、移行の進行状況が同期されます。
移行前、移行後、およびインフラストラクチャ ファイナライズの API を実行します。
問題 3043600:あまり知られていない認証局 (CA) から取得した自己署名証明書でプライベート(デフォルト以外)の Harbor リポジトリを使用すると、NSX Application Platform の展開が失敗する
あまり知られていない CA から取得した自己署名証明書でプライベート(デフォルト以外)Harbor リポジトリを使用して NSX Application Platform を展開しようとすると、展開ジョブが NSX Application Platform Helm チャートと Docker イメージを取得できないため、展開が失敗します。NSX Application Platform が正常に展開されなかったため、NSX Intelligence など、プラットフォームがホストする NSX 機能を有効にできません。
回避策:信頼されている既知の CA を使用して、プライベート Harbor サーバの証明書に署名します。
問題 2491800:非同期レプリケータ チャネル ポート - 証明書属性の有効期限または失効が定期的にチェックされない
これにより、既存の接続で期限切れの証明書や失効した証明書が使用される可能性があります。
回避策:古い証明書が期限切れになっているか、失効しているため、再接続時に新しい証明書(存在する場合)が使用されるか、エラーが発生します。再接続をトリガするには、マネージャ ノードでアプライアンス プロキシ ハブ (APH) を再起動するだけで十分です。
問題 2994066:ESXi 8.0.0.0 と NSX 4.0.1 以降でミラー vmknic の作成に失敗する
ミラー vmknic を作成できなかったため、ミラー スタックで L3SPAN を有効にできません。
回避策:
ESXi CLI プロンプトから、ESXi にミラー スタックを作成します。
vSphere Web Client から vmknic を作成します。
次のコマンドを実行します。
esxcli network ip netstack add -N mirror
問題 3007396:リモート ノードが低速 LACP タイムアウト モードに設定されている場合、cli コマンド「esxcli network nic down -n vmnicX」を使用して LAG リンクの 1 つを停止すると、60 ~ 90 秒ほどトラフィックがドロップする可能性がある
cli コマンド「esxcli network nic down -n vmnicX」を使用して LAG リンクの 1 つを停止すると、60 ~ 90 秒ほどトラフィックがドロップします。
この問題は、リモート ノードの LACP タイムアウトが SLOW モードに設定されている場合にのみ発生します。
回避策:外部スイッチの LACP タイムアウトを FAST に設定します。
問題 3013751:[ファブリック] ページに NSX のインストール/アンインストールの進行状況が自動的に表示されない
[ファブリック] ページを手動で更新すると、進行状況が表示されます。
回避策:[ファブリック] ページを手動で更新します。
問題 3018596:ゲスト仮想マシンで仮想マシンの仮想 NIC (vnic) MTU を物理 NIC MTU よりも大きく設定すると、仮想機能 (VF) が解放される
vNIC MTU が物理 NIC MTU より大きくなると、仮想マシンは VF を取得できなくなります。そのため、仮想マシンは UPT モードになりません。emu vmnic モードになります。
回避策:
1.VDS の MTU サイズを 1600 から 9100 に変更します。
2.VF が仮想マシン vnic に割り当てられます。
問題 3003762:ポリシーからマルウェア防止サービス ルールを削除しないと、NSX マルウェア防止サービスのアンインストールが失敗するが、ルールがポリシーに存在するため、アンインストールの失敗を通知するエラー メッセージが表示されない
このシナリオでは、NSX マルウェア防止サービスのアンインストールに失敗します。
回避策:ルールを削除して、アンインストールを再試行します。
問題 3003919:元のドメイン名を照合する DFW ルールと CNAMES を照合する DFW ルールのアクションが異なると、ルールの適用に不整合が発生する
まれに、アプリケーション/ユーザーが元のドメイン名ではなく CNAME にアクセスすることがあります。その場合、DFW ルールによるバイパスやドロップが発生する可能性があります。
回避策:次のどちらかの手順を実行してください。
CNAME ではなく、元のドメイン名の DFW ルールのみを構成します。
ドメイン名と CNAMES のルールに同じアクションを構成します。
問題 3014499:クロスサイト トラフィックを処理する Edge をパワーオフすると、一部のフローが中断する
クロスサイト トラフィックの一部が停止します。
回避策:パワーオフされた Edge をパワーオンします。
問題 3014978:[ファブリック] ページの [ネットワークとセキュリティ] フラグにカーソルを合わせると、選択したネットワークに関係なく、誤った情報が表示される
影響はありません。
回避策:なし。
問題 3014979:[ファブリック] ページに NSX のインストール/アンインストールの進行状況が自動的に表示されない
影響はありません。進行状況を確認するには、ページを手動で更新します。
回避策:[ファブリック] ページを手動で更新します。
問題 3017885:FQDN 分析が、ステートフル アクティブ/アクティブ モードの 1 つのサブクラスタでしかサポートされない
ステートフル アクティブ/アクティブに複数のサブクラスタがある場合は、この機能を有効にしないでください。
回避策:1 つのサブクラスタのみを展開します。
問題 3010038:Edge Uniform Passthrough (UPT) 仮想マシンを提供する 2 ポート LAG で、1 つの LAG ポートの物理接続が切断されると、アップリンクは停止するが、これらの UPT 仮想マシンで使用される仮想機能 (VF) がもう 1 つの LAG インターフェイスを介して接続されるため、引き続き実行される
影響はありません。
回避策:なし。
問題 3009907:クラスタで NSX の削除操作中に、ホストが切断状態になっていると、SmartNIC ホストから NSX VIB が削除されない
これによる機能上の影響はありません。
回避策:vCenter Server で、vLCM ユーザー インターフェイスに移動して、クラスタを修正します。
問題 2490064:外部 LB がオンになっている VMware Identity Manager を無効にできない
外部 LB を使用して NSX で VMware Identity Manager 統合を有効にした後、外部 LB をオフにして統合を無効にしようとすると、最初の構成が再表示され、ローカルの変更が上書きされます。
回避策:vIDM を無効にする場合は、外部 LB のフラグをオフにせず、vIDM 統合のみをオフにします。これにより、データベースに構成が保存され、他のノードと同期されます。
問題 2558576:グローバル プロファイル定義でグローバル マネージャとローカル マネージャのバージョンが異なり、ローカル マネージャで予期しない動作が発生することがある
グローバル マネージャで作成されたグローバル DNS、セッション、またはフラッド プロファイルをユーザー インターフェイスからローカル グループに適用することはできませんが、API では適用できます。このため、API ユーザーが誤ってプロファイル割り当てマップを作成し、ローカル マネージャでグローバル エンティティを変更する可能性があります。
回避策:ユーザー インターフェイスを使用してシステムを構成します。
問題 2355113:Azure 高速ネットワーク インスタンスで、RedHat および CentOS を実行しているワークロード仮想マシンがサポートされない
Azure で、RedHat または CentOS ベースの OS を使用し、ネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネット インターフェイスが IP アドレスを取得しません。
回避策:RedHat および CentOS ベースの OS で高速ネットワークを無効にします。
問題 2574281: ポリシーで 500 個までの VPN セッションしか許可されない
NSX では Large フォーム ファクタに対して Edge ごとに 512 個の VPN セッションをサポートしていますが、セキュリティ ポリシーの自動組み込みが原因で、500 個までの VPN セッションしか許可されません。
Tier-0 で 501 個目の VPN セッションを構成すると、次のエラー メッセージが表示されます。
{'httpStatus': 'BAD_REQUEST', 'error_code': 500230, 'module_name': 'Policy', 'error_message': 'GatewayPolicy path=[/infra/domains/default/gateway-policies/VPN_SYSTEM_GATEWAY_POLICY] has more than 1,000 allowed rules per Gateway path=[/infra/tier-0s/inc_1_tier_0_1].'}
回避策:管理プレーンの API を使用して、追加の VPN セッションを作成します。
問題 2684574:Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトする
Edge に 6,000 個以上のルートが存在すると、OSPF データベースと OSPF ルートに対する次のポリシー API からエラーが返されます。/tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/routes?format=csv /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database /tier-0s/<tier-0s-id>/locale-services/<locale-service-id>/ospf/database?format=csv Edge でデータベースとルートに 6,000 個以上のルートが存在すると、ポリシー API がタイムアウトします。これは読み取り専用の API で、API/ユーザー インターフェイスを使用して OSPF ルートとデータベースの 6,000 個以上のルートをダウンロードする場合にのみ、この問題の影響を受けます。
回避策:CLI コマンドを使用して、Edge から情報を取得します。
問題 2663483:単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断される
この問題は、NSX フェデレーションと単一ノードの NSX Manager クラスタでのみ発生します。単一ノードの NSX Manager の APH-AR 証明書を置き換えると、その NSX Manager が NSX フェデレーション環境の残りの部分から切断される
回避策:単一ノードの NSX Manager クラスタの展開は、サポートされている展開オプションではありません。3 ノードの NSX Manager クラスタを使用してください。
問題 2690457:MP クラスタで publish_fqdns が設定され、外部 DNS サーバが適切に構成されていないときに、MP を MP クラスタに参加させると、参加するノードで proton サービスが適切に再起動されないことがある
参加するマネージャが機能せず、ユーザー インターフェイスが使用できません。
回避策:すべてのマネージャ ノードの正引き DNS 参照エントリと逆引き DNS 参照エントリを使用して、外部 DNS サーバを構成します。
問題 2719682:Avi Controller の計算フィールドがポリシーのインテントに同期されないため、Avi ユーザー インターフェイスと NSX-T ユーザー インターフェイスに表示されるデータが一致しない
NSX-T ユーザー インターフェイスで、Avi Controller の計算フィールドが空白になります。
回避策:アプリケーション スイッチャを使用して、Avi ユーザー インターフェイスからのデータを確認します。
問題 2792485:vCenter Server に、インストールされたマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示される
vCenter Server の統合 NSX-T ユーザー インターフェイスに、インストールされているマネージャの FQDN ではなく、NSX Manager の IP アドレスが表示されます。
回避策:なし。
問題 2799371:L2 VPN と IPsec セッションが実行中でも、L2 VPN の IPsec アラームがクリアされない
不要な未解決アラームが表示される点を除き、これによる機能上の影響はありません。
回避策:アラームを手動で解決します。
問題 2838613:ESX 7.0.3 より前のバージョンの場合、クラスタにセキュリティをインストールした後にバージョン 6.5 から上位バージョンにアップグレードされた VDS で、NSX セキュリティ機能が有効にならない
バージョン 6.5 から新しいバージョン(6.6 以降)にアップグレードされた VDS に接続している仮想マシンで、vSphere DVPortgroups の NSX セキュリティ機能がサポートされていても、NSX セキュリティ機能が有効になりません。
回避策:仮想マシンでセキュリティを有効にするには、VDS をアップグレードした後にホストを再起動して、仮想マシンをパワーオンします。
問題 2848614:MP クラスタに publish_fqdns が設定され、参加するノードに対して外部 DNS サーバに正引き参照または逆引き参照エントリがないか、DNS エントリがない場合に、MP を MP クラスタに参加させると、参加するノードに正引きアラームまたは逆引きアラームが生成されない
DNS サーバに正引き/逆引き参照エントリがないか、参加するノードの DNS エントリがない場合でも、参加するノードに対して正引き/逆引きアラームが生成されません。
回避策:正引きと逆引きの DNS エントリを使用して、すべてのマネージャ ノードの外部 DNS サーバを構成します。
問題 2853889:EVPN テナント構成を作成すると(vlan-vni マッピングを使用)、子セグメントが作成されるが、その認識状態が「失敗」状態になり、約 5 分後に自動的にリカバリされる
EVPN テナント構成が認識されるまでに 5 分ほどかかります。
回避策:なし。5 分間待機します。
問題 2866682:Microsoft Azure で、SUSE Linux Enterprise Server (SLES) 12 SP4 ワークロード仮想マシンでネットワークの高速化が有効になっているときに、NSX Agent をインストールすると、イーサネット インターフェイスが IP アドレスを取得しない
仮想マシン エージェントが起動せず、仮想マシンが管理対象外になります。
回避策:高速ネットワークを無効にします。
問題 2868944:NSX for vSphere から NSX-T Data Center に 1,000 個を超える DFW ルールを移行すると、ユーザー インターフェイスのフィードバックは表示されないが、1,000 個以下のルールを含む複数のセクションに分割される
ユーザー インターフェイスのフィードバックが表示されません。
回避策:ログを確認してください。
問題 2870085:すべてのルールのログを有効または無効にするセキュリティ ポリシー レベルのログが機能しない
セキュリティ ポリシーで logging_enabled を変更しても、すべてのルールのログを変更することはできません。
回避策:ルールごとにログを有効または無効にします。
問題 2871440:vMotion を実行して、ダウンしている NSX Manager に接続しているホストに、vSphere dvPortGroups の NSX セキュリティで保護されたワークロードを移行すると、セキュリティ設定が失われる
vSphere dvPortGroups の NSX セキュリティ機能付きでインストールされたクラスタの場合、停止中の NSX Manager に接続しているホストに vMotion で移動した仮想マシンには、DFW とセキュリティ ルールが適用されません。これらのセキュリティ設定は、NSX Manager への接続が再度確立されるときに再適用されます。
回避策:NSX Manager が停止している場合は、影響を受けるホストへの vMotion を回避します。他の NSX Manager ノードが機能している場合は、vMotion で、良好な NSX Manager に接続している別のホストに仮想マシンを移動します。
問題 2871585:バージョン 7.0.3 より前の VDS では、vSphere dvPortgroups の NSX セキュリティ機能を有効にした後、VDS からのホストの削除と VDS の削除が許可される
VDS からのホストの削除または VDS の削除で発生するトランスポート ノードまたはクラスタ構成の問題を解決する必要がある場合があります。
回避策:なし。
問題 2877776:get controllers の出力に、controller-info.xml ファイルと比べてマスター以外の古いコントローラに関する情報が表示されることがある
この CLI 出力は混乱を招きます。
回避策:この TN で nsx-proxy を再起動します。
問題 2879133:マルウェア防止機能が機能するまでに 15 分かかる場合がある
マルウェア防止機能を初めて構成したときに、この機能の初期化が完了するまでに 15 分かかることがあります。この初期化が完了するまでマルウェアの分析は実行されませんが、初期化の発生を示す通知は表示されません。
回避策:15 分間待機します。
問題 2889482:検出されたポートのセグメント プロファイルを更新すると、誤った保存確認が表示される
セグメント プロファイルが更新された場合、ポリシー ユーザー インターフェイスで、検出されたポートの編集は可能ですが、更新されたバインド マップをポート更新要求で送信することはできません。[保存] をクリックすると、誤検知のメッセージが表示されます。検出されたポートのセグメントは更新されているように見えますが、更新されていません。
回避策:MP API またはユーザー インターフェイスを使用して、検出されたポートのセグメント プロファイルを更新します。
問題 2898020:トランスポート ノードの状態に「FRR config failed:: ROUTING_CONFIG_ERROR (-1) 」というエラーが表示される
Edge ノードは、拒否アクションが構成され、複数のコミュニティ リストがその一致基準に適用されているルートマップ シーケンスを拒否します。Edge ノードに管理者が意図しない構成があると、予期しない動作が発生します。
回避策:なし。
問題 2910529:DHCP 割り当て後に Edge の IPv4 アドレスが失われる
Edge 仮想マシンがインストールされ、DHCP サーバから IP を受信した後すぐに IP アドレスが失われ、アクセスできなくなります。DHCP サーバがゲートウェイを提供しないため、Edge ノードの IP アドレスが失われます。
回避策:DHCP サーバが適切なゲートウェイ アドレスを提供していることを確認します。提供していない場合は、次の手順を実行します。
Edge 仮想マシンのコンソールに admin としてログインします。
stop service dataplane を実行します。
set interface <mgmt intf> dhcp plane mgmt を実行します。
start service dataplane を実行します。
問題 2919218:ホストの移行で行った選択が、MC サービスの再起動後にデフォルト値にリセットされる
MC サービスの再起動後、クラスタの有効化または無効化、移行モード、クラスタの移行順序など、以前に行ったホストの移行に関連するすべての選択がデフォルト値にリセットされます。
回避策:MC サービスの再起動後に、ホストの移行に関連するすべての選択項目が再度実行されることを確認します。
問題 2942900:Active Directory クエリのタイムアウト時に、Identity Firewall がイベント ログ スクレイピングで機能しない
Identity Firewall は、再帰的な Active Directory クエリを発行して、ユーザーのグループ情報を取得します。Active Directory クエリがタイムアウトして、NamingException 'LDAP response read timed out, timeout used: 60000 ms' が発生します。このため、ファイアウォール ルールにイベント ログ スクレイパーの IP アドレスが渡されません。
回避策:再帰的クエリの処理時間を短縮するため、Active Directory 管理者は、Active Directory オブジェクトを整理して、インデックスを作成します。
問題 2954520:ポリシーからセグメントが作成され、ブリッジが MP から構成されている場合、ユーザー インターフェイスで、そのセグメントにブリッジの接続解除オプションを使用できない
ポリシーからセグメントが作成され、ブリッジが MP から構成されている場合、ユーザー インターフェイスからブリッジを接続解除または更新できません。
ポリシー側からセグメントを作成する場合は、ポリシー側からのみブリッジを構成することをお勧めします。同様に、MP 側から論理スイッチを作成する場合は、MP 側からのみブリッジを構成する必要があります。
回避策:API を使用してブリッジを削除します。
1.関連する LogicalPort を更新し、接続を削除します。
PUT :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>
PUT ペイロード ヘッダー フィールドのヘッダーに、X-Allow-Overwrite : true を追加します。
2. BridgeEndpoint を削除します。
DELETE :: https://<mgr-ip>/api/v1/bridge-endpoints/<bridge-endpoint-id>
3.LogicalPort を削除します。
DELETE :: https://<mgr-ip>/api/v1/logical-ports/<logical-port-id>
問題 3030847:VRF BGP 構成の変更が有効にならない場合がある
VRF 内の BGP 構成の変更が有効にならない場合があります。
回避策:ダミーのスタティック ルートを作成して削除します。これにより、構成プッシュが発生し、Edge で VRF BGP 構成が認識されます。
問題 3005685:NSX LM 認証プロバイダとして Open ID Connect 接続を構成すると、エラーが発生する場合がある
OpenID Connect 構成でエラーが発生します。
回避策:なし。
問題 2949575:ポッドのドレインを行わずにクラスタから Kubernetes ワーカー ノードを削除すると、ポッドが終了中状態で停止する
NSX Application Platform とそのアプリケーションが部分的に機能したり、期待どおりに機能しない場合があります。
回避策:次の情報を使用して、終了中状態が表示されている各ポッドを手動で削除します。
Terminating 状態のすべてのポッドをリストするには、NSX Manager またはランナー IP ホスト(Kubernetes クラスタにアクセスできる Linux ジャンプ ホスト)から、次のコマンドを実行します。
kubectl get pod -A | grep Terminating
次のコマンドを使用して、リストされた各ポッドを削除します。
kubectl delete pod <pod-name> -n <pod-namespace> --force --grace-period=0
問題 3017840:アップリンク IP アドレスが変更されても、Edge の切り替えが発生しない
HA 状態が正しくないと、トラフィックのブラックホールが発生することがあります。
回避策:BFD の状態を切り替えます。Edge アップリンク IP を変更する前に、Edge をメンテナンス モードにします。