2022 年 11 月 14 日更新

VMware SASE™ Orchestrator バージョン R5002-20220517-GA
VMware SD-WAN™ Gateway バージョン R5002-20220506-GA
VMware SD-WAN™ Edge バージョン R5002-20220506-GA
Orchestrator バージョン R5002-20220517-GA を使用する VMware Cloud Web Security™
Orchestrator バージョン R5002-20220517-GA を使用する VMware Secure Access™
Orchestrator バージョン R5002-20220517-GA を使用する VMware Edge Network Intelligence™

各リリース ノートへの追加および更新を定期的にご確認ください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

対象ユーザー

今回のリリースで初めて利用可能になった機能を必要とする、すべてのカスタマーにこのリリース 5.0.0 をお勧めします。

互換性

リリース 5.0.0 の Orchestrator、Gateway、およびハブ Edge では、VMware SD-WAN Edge の以前のバージョンのうちリリース 3.2.2 以降がすべてサポートされます。 
注:3.2.2 より前のリリースはサポートされません。

次の相互運用性の組み合わせは、明示的にテストされています。

Orchestrator

Gateway

Edge

ハブ

ブランチ/スポーク

5.0.0

4.2.0

4.2.1、4.2.2

4.2.1、4.2.2

5.0.0

5.0.0

4.2.1、4.2.2

4.2.1、4.2.2

5.0.0

5.0.0

5.0.0

4.2.1、4.2.2

5.0.0

5.0.0

4.2.1、4.2.2

5.0.0

5.0.0

R3.4.5

3.4.5、3.4.6

3.4.5、3.4.6

5.0.0

5.0.0

3.4.5、3.4.6

3.4.5、3.4.6

5.0.0

5.0.0

5.0.0

3.4.5、3.4.6

5.0.0

5.0.0

3.4.5、3.4.6

5.0.0

5.0.0

4.3.0

4.3.0

4.3.0

5.0.0

5.0.0

4.3.0

4.3.0

5.0.0

5.0.0

5.0.0

4.3.0

5.0.0

5.0.0

4.3.0

5.0.0

5.0.0

4.5.0

4.5.0

4.5.0

5.0.0

5.0.0

4.5.0

4.5.0

5.0.0

5.0.0

5.0.0

4.5.0

5.0.0

5.0.0

4.5.0

5.0.0

5.0.0

4.5.0

5.0.0

4.5.0

5.0.0

3.2.2

3.2.2

3.2.2

5.0.0

5.0.0

3.2.2

3.2.2

5.0.0

5.0.0

5.0.0

3.2.2

5.0.0

3.3.2 P2

3.3.2 P2

3.3.2 P2

5.0.0

5.0.0

3.3.2 P2

3.3.2 P2

5.0.0

5.0.0

3.3.2 P2

5.0.0

注:上記の表は、SD-WAN サービスを使用しているカスタマーにのみ有効です。VMware Cloud Web Security または VMware Secure Access へのアクセスが必要なカスタマーは、Edge をリリース 4.5.0 以降にアップグレードする必要があります。

警告:VMware SD-WAN リリース 3.2.x および 3.3.x のサポートは終了しました。

  • リリース 3.2.x および 3.3.x は、2021 年 12 月 15 日にジェネラル サポートが終了 (EOGS) し、2022 年 3 月 15 日にテクニカル ガイダンスが終了 (EOTG) しました。

警告:VMware SD-WAN リリース 3.4.x は、Orchestrator および Gateway のサポート終了に近づいています。

  • Orchestrator および Gateway のリリース 3.4.x は、2022 年 3 月 30 日にジェネラル サポートの終了 (EOGS) となりました。2022 年 9 月 30 日にはテクニカル ガイダンスの終了 (EOTG) となります。
  • 注:これは、Orchestrator および Gateway のみが対象です。Edge のリリース 3.4.x は、2022 年 12 月 31 日からサポート終了への移行期間に入ります。
  • 詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 3.x のサポート期間の終了 (84151)

警告:VMware SD-WAN リリース 4.0.x および 4.2.x はサポート終了に近づいています。 

  • リリース 4.0.x は、2022 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。 
  • リリース 4.2.x の Orchestrator および Gateway は、2022 年 12 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 3 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。   
  • リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。
  • 詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 4.x のサポート期間の終了 (88319)

注:リリース 3.x では、AES-256-GCM が適切にサポートされていませんでした。これは、AES-256 を使用しているカスタマーは、GCM が無効な状態 (AES-256-CBC) で Edge を常に使用していたことを意味していました。AES-256 を使用している場合、Edge を 4.x リリースにアップグレードする前に、Orchestrator から GCM を明示的に無効にする必要があります。すべての Edge で 4.x リリースが実行されている状態になったら、カスタマーは AES-256-GCM または AES-256-CBC を選択できます。

Orchestrator、Gateway、Edge のアップグレード パス

Orchestrator、Gateway、または Edge を旧リリースからリリース 5.0.0 にアップグレードする場合のパスを次に示します。

Orchestrator

リリース 4.0.0 以降での Orchestrator のインフラストラクチャの変更により、3.x リリースを使用する Orchestrator は、5.0.0 にアップグレードする前にまず 4.0.0 にアップグレードする必要があります。リリース 4.0.0 以降を使用している Orchestrator は、リリース 5.0.0 にアップグレードできます。  それぞれの Orchestrator のアップグレード パスは次のとおりです。

リリース 3.x を使用する Orchestrator → 4.0.0 → 5.0.0。

リリース 4.x を使用する Orchestrator → 5.0.0。

Gateway

Gateway の 3.x から 5.0.0 へのアップグレードはサポートされていません。アップグレードする代わりに、3.x Gateway を同じ仮想マシン属性を使用して新規に展開する必要があります。その後、古いインスタンスは廃止されます。

リリース 4.0.0 以降を使用した Gateway のアップグレードは、すべての Gateway タイプで完全にサポートされています。

注:5.0.0 を使用して新しい Gateway を展開する場合、VMware ESXi インスタンスがバージョン 6.7 Update 3 以降、バージョン 7.0 以前である必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.0.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。

注:Gateway を 5.0.0 にアップグレードする前に、ESXi インスタンスをバージョン 6.7 Update 3 以降、バージョン 7.0 以前にアップグレードする必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.0.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。

Edge

Edge は、任意のリリース 3.x 以降からリリース 5.0.0 に直接アップグレードできます。

重要な注意事項

高可用性トポロジを使用するサイトでの潜在的な問題

高可用性トポロジで Edge のペアが展開されているサイトでは、アクティブ/アクティブ状態を解決するためにスタンバイ Edge が 1 回以上再起動すると、問題が発生する場合があります。スタンバイ Edge が再起動すると、カスタマー トラフィックが中断され、拡張高可用性トポロジを使用するサイトへの影響が大きくなる可能性があります。これは、スタンバイ Edge がカスタマー トラフィックも渡すためです。この問題は、これらのリリース ノートの「Edge/Gateway の既知の問題」セクションの問題 #85369 で追跡されています。

リリース 5.0.0 では AWS Edge のアップグレードがサポートされません

 AWS C4 インスタンスを使用する VMware SD-WAN 仮想 Edge は、Edge の未解決の問題 #82264 が原因でリリース 5.0.0 にアップグレードできません。この問題では、AWS C4 仮想 Edge をリリース 5.0.0 にアップグレードすると、Edge はリカバリせず、Edge を 5.0.0 以外のバージョンに再アクティベーションする以外に Edge の状態を修正する方法はありません。  この問題の影響を受ける AWS インスタンスは他にありません(C5 など)。

ただし、この問題の重大な性質上、リリース 5.0.0 では AWS Edge アップグレード ソフトウェア パッケージを使用できません。問題 #82264 は、すべてのリリース 5.0.1 ビルドで解決され、AWS Edge のアップグレード パッケージが含まれています。 

Orchestrator で Grafana を使用できなくなりました

ライセンスの制限により、リリース 5.0.0 の Orchestrator には Grafana アプリケーションは含まれません。Grafana は主に、Orchestrator をオンプレミスで実行しているカスタマーおよびパートナーによって、Orchestrator のパフォーマンスを監視するために使用されます。このようなニーズに対応するため、カスタマーまたはパートナーは Orchestrator の外部で独自の Grafana アプリケーションをホストし、それを参照するように Orchestrator で Telegraf を設定する必要があります。

VMware SASE ビルドに 4 桁目が含まれています

リリース 5.0.0 以降、リリース ビルドには 4 桁目の数字が含まれるようになりました。

ソフトウェア リリースの場合、VMware SASE は、次のような「a.b.c」の番号付けスキームに従います。  

  • a = メジャー(例:5.0.0)→ 複数の大きな機能があり、アーキテクチャが大幅に変更される可能性があるリリース。
  • b = マイナー(例:5.2.0)→ 少数の小さな機能またはいくつかの大きな機能があり、アーキテクチャに大きな変更がないリリース。
  • c = メンテナンス(例:5.2.1)→ 現場で見つかった問題と内部で見つかった問題の修正が多数含まれている可能性のあるリリース。新しいハードウェア プラットフォームに対応している可能性を除き、機能はありません。

リリース 5.0.0 では、Edge、Gateway、Orchestrator のビルドに次の 4 桁目が追加され、番号付けは「a.b.c.d」の形式になりますます。

  • d = ロールアップ ビルド(例:5.2.1.1)→ ロールアップは、カスタマーによって検出された既知の不具合の修正、または内部で検出された重大な欠陥の累積を集計したものです。

4.x 以前のロールアップ ビルドは、イメージ名の GA 日で区別されます。これは、ビルド バージョンをカスタマーに伝える方法として最適ではありません。5.0.0 ビルド以降で 4 桁目の数字を追加することにより、特定のコンポーネントで使用されているソフトウェア バージョンがより明確になります。

このビルド番号付けの規則は、リリース 5.0.0 以降にのみ適用され、4.x 以前のリリースでは引き続き既存の方法で日付により識別できるロールアップ ビルドと 3 桁の数字が使用されます。

高可用性での Wi-Fi 対応 Edge と Wi-Fi 非対応 Edge の混在はサポートされません 

2021 年から、VMware SD-WAN に Wi-Fi モジュールを含まない Edge モデル(Edge モデル 510N、610N、620N、640N、および 680N)が導入されました。これらのモデルは、Wi-Fi を除いては、Wi-Fi 対応の対応するモデルと同じように見えますが、同じモデルの Wi-Fi 対応の Edge と Wi-Fi 非対応の Edge(たとえば、Edge 640 と Edge 640N)の高可用性ペアとしての展開はサポートされていません。高可用性ペアとして展開される Edge は、必ず、両方とも Wi-Fi 対応または両方とも Wi-Fi 非対応のタイプにする必要があります。

Cloud Web Security と Secure Access へのアクセス

VMware Cloud Web Security または VMware Secure Access にアクセスする場合は、Edge をリリース 4.5.0 以降にアップグレードする必要があります。  4.5.0 より前のリリースを使用している Edge では、これらのサービスにアクセスできません。

AS-PATH プリペンドの BGPv4 フィルタ設定の区切り文字の変更

リリース 3.x 以降では、AS-PATH プリペンドの VMware SD-WAN BGPv4 フィルタ設定で、カンマ ベースとスペース ベースの両方の区切り文字が使用できました。ただし、リリース 4.0.0 以降では、VMware SD-WAN では、AS-PATH プリペンド設定でスペース ベースの区切り文字のみを使用できます。
3.x から 4.x または 5.x にアップグレードする場合は、誤った BGP の最適ルート選択を回避するために、アップグレード前に AS-PATH プリペンド設定を編集して「カンマをスペースに置き換える」必要があります。

Edge 3x00 モデルのアップグレード時間の延長

Edge 3x00 モデル(3400、3800 および 3810 など)では、このバージョンへのアップグレードに通常よりも時間がかかる場合があります(3 ~ 5 分)。これは、問題 53676 を解決するファームウェアのアップグレードが原因で発生します。リリース 3.4.5/3.4.6、4.0.2、4.2.1 または 4.3.0 で Edge 3400 または 3800 がそのファームウェアをアップグレードしていた場合は、Edge は想定時間内でアップグレードされます。詳細については、各リリース ノートの「解決した問題 53676」を参照してください。

Edge および Gateway 上の BGP over IPsec、および Azure Virtual WAN の自動化の制限事項

Edge および Gateway 上の BGP over IPsec 機能は、Edge または Gateway からの Azure Virtual WAN の自動化と互換性がありません。Edge または Gateway から Azure vWAN への接続を自動化するときには、スタティック ルートのみがサポートされます。

VMware SD-WAN Edge モデル 520、540、620、640、680、3400、3800、および 3810 で自動ネゴシエーションを無効にする場合の制限事項

ユーザーが、VMware SD-WAN Edge モデル 620、640 または 680 のポート GE1 〜 GE4 で、または Edge 3400、3800 または 3810 のポート GE3 または GE4 で、あるいは銅線インターフェイスを備えた SFP がポート SFP1 または SFP2 で使用されている場合は Edge 520/540 で、速度とデュプレックスをハードコーディングするために自動ネゴシエーションを無効にすると、再起動してもリンクが起動しない場合があります。

これは、Intel Ethernet Controller i350 を使用するリストされた各 Edge モデルが原因で発生します。これらのモデルには、自動ネゴシエーションがリンクの両側で使用されない場合、送受信する適切なケーブルを動的に検出 (Auto MDIX) することができないという制限があります。接続の両側で送受信に同じケーブルが使用されている場合、リンクは検出されません。ピア側も自動ネゴシエーションなしの Auto MDIX をサポートせず、リンクがストレート ケーブルを使用して起動されていない場合は、リンクを起動するためにクロスオーバー イーサネット ケーブルが必要になります。

詳細については、ナレッジベースの記事「Limitation When Deactivating Autonegotiation on VMware SD-WAN Edge Models 520, 540, 620, 640, 680, 3400, 3800, and 3810 (87208)」を参照してください。

SD-WAN の新機能

IPv6

リリース 5.0.0 は、次の IPv6 機能に対応します。

  • IPv6 オーバーレイ
    • カスタマーは、IPv4 のみ、IPv6 のみ、または IPv4 と IPv6(デュアル スタック)のユーザー定義のオーバーレイの設定を選択できます。
    • デュアル スタック モードでは、同じリンクを介した IPv4 トラフィックと IPv6 トラフィックの両方を考慮することで、リンクのオーバーサブスクリプションを防ぎます。
  • IPv6 Edge アクティベーション メール
    • Edge アクティベーション メールを IPv4 や IPv6 アクティベーション リンクで送信できるようになりました。
    • IPv6 アクティベーション リンクは、グリーンフィールド デプロイ専用です。
  • IPv6 オーバーレイ フロー制御
    • Edge は、個別のルート ルックアップを使用して、別々の IPv4 テーブルと IPv6 テーブルを維持します。
    • IPv6 では、動的コスト計算 (DCC) がデフォルトで有効になっています。
    • IPv6 Stale Route Refresh のオプションが含まれています。
  • IPv6 ビジネス ポリシー
    • ビジネス ポリシーに、IPv4、IPv6、または IPv4 と IPv6 の IP バージョン設定パラメータが含まれるようになりました。
    • IPv4 と IPv6 オプションでは、VLAN、インターフェイス、ポート、およびオブジェクト グループによる一致が可能です。
    • リリース 5.0.0 で IPv4 と IPv6 のデフォルトのビジネス ポリシーが自動的に更新されます。
    • 注:Skype、Zoom、GoToMeeting、Sharepoint、VMware Horizon などの一部のアプリケーションでは、IPv6 がサポートされていません。
  • IPv6 ステートフル ファイアウォール
    • IPv4、IPv6、または IPv4 と IPv6 に対してステートフル ファイアウォール ルールを作成できます。
    • [設定 (Configuration)] ページには、IPv6 アドレスをサポートする拡張 IP アドレス フィールドがあります。
  • IPv6 NAT
    • SD-WAN Gateway では、デフォルトで IPv6 から IPv6 へのネットワーク プレフィックス変換 (NAT66) になっています。
    • 1:1 NAT IPv6 は、特定のパブリック IPv6 アドレスを特定の LAN IPv6 アドレスにマッピングします。
    • ISP がサブネットのトラフィックを SD-WAN Edge にルーティングする場合、1:1 NAT IPv6 は WAN インターフェイスのさまざまなサブネットの外部 IPv6 アドレスを変換できます。
    • IPv6 アドレスを使用したポート転送
  • BGPv6 と BFDv6 による Partner Gateway ハンドオフ
    • 受信および送信 BGPv6 フィルタをサポートします。
    • パートナーには、IPv4 と IPv6 の両方の設定オプションがあります。
    • BGP を介して学習した IPv6 ルートがオーバーレイ フロー制御と同期されます。
    • この機能は、リリース 5.0.0 でのみクラシック UI で設定できます。

VMware SD-WAN Edge での Edge の工場出荷時のソフトウェアおよびファームウェアの更新

リリース 5.0.0 以降では、SD-WAN Edge プラットフォーム コンポーネントは Edge イメージ ソフトウェアの外部で更新できます。5.0.0 Orchestrator に接続された 5.0.0 Edge を使用すると、パートナーまたはカスタマーの管理者はプラットフォーム ファームウェアを管理し、Edge の工場出荷時のデフォルト イメージを更新できます。

Secure Edge Access + CLI

Secure Edge Access + CLI は、ユーザーごとに生成されたキー ペアを使用して Edge への CLI アクセスをサポートする安全な方法を提供し、SD-WAN トラブルシューティング コマンドのみを公開し、CSO 要件を満たす Edge CLI シェルにログイン ユーザーを送信します。

この機能を使用するには、Edge と Orchestrator の両方がリリース 5.0.0 以降を使用している必要があります。

SD-WAN 機能の機能強化

ファイアウォールの送信元の一致

リリース 4.x 以前では、ファイアウォール ルールを設定するときに、送信元の一致基準でインターフェイスまたは IP アドレスのいずれかを選択する必要がありましたが、両方を選択することはできませんでした。リリース 5.0.0 では、ユーザーはインターフェイスと IP アドレスの両方のルールを設定して、受信インターフェイスの特定の IP アドレスと一致させることができます。

ギリシャ語へのローカライズ

リリース 5.0.0 では、Orchestrator と SD-WAN および SASE ドキュメントにギリシア語のローカライズが追加されています。

SASE の新機能

DLP (Data Loss Prevention)

DLP (Data Loss Prevention) により、Cloud Web Security カスタマーは、制限されたデータの偶発的または意図的な共有による損失を防ぎます。DLP 機能は、高度なパッケージを使用している Cloud Web Security カスタマーが使用できます。Cloud Web Security DLP には、次の機能が含まれています。

  • 情報漏洩の防止と、HIPAA、PCI、GDPR、およびその他のデータ プライバシー法の遵守
  • トラフィックを検査するための設定不要の 350 を超える辞書
  • 正規表現または文字列を使用して、カスタム辞書を設定可能
  • 非遵守アクティビティは、指定された管理者に報告される

注:DLP 機能は、VMware SASE Orchestrator ビルド R450-20220315-GA 以降のリリース 4.5.0/4.5.1 でも利用できます。 

Edge Network Intelligence の新機能

自己修復ネットワーク

自己修復ネットワークは、Edge Network Intelligence と SD-WAN の両方を利用して、ネットワークの問題をリアルタイムで修正します。自己修復ネットワーク機能は、グローバルな状態を分析し、低下をリアルタイムで検出し、カスタマーに推奨される是正措置を提供します。

自己修復を使用すると、アプリケーションのパフォーマンスが低下するネットワーク インシデントが自動的に検出されます。この機能はインシデントに関するレポートを提供し、影響を受ける Edge、根本原因、およびその他の影響を受けるアプリケーションなどの主要な情報を提供します。インシデント レポートには、修正の推奨事項も表示されます。自己修復の最初の実装では、ユーザーは修正の推奨事項に基づいて対応することを手動で選択します。

Edge Network Intelligence を介して実行された修正アクションは、[ネットワーク履歴 (Network History)] ページに自動的に注釈が付き、更新された Edge の数と影響を受けるアプリケーションが含まれます。

分析機能と自己修復機能の有効化

以前は、Edge Network Intelligence 分析を一度に 1 台の Edge で有効にする必要がありました。新しいユーザー インターフェイスでは、ユーザーは複数の Edge を選択し、分析設定を行って、分析のみを有効にするか、分析と自己修復を有効にすることができます。

リリース 4.5.0 以降の Orchestrator API の変更

VMware SD-WAN Orchestrator ポータル API(「API v1」)の変更

完全な API 変更ログは、developer.vmware.com からダウンロードできます(「VMware SD-WAN Orchestrator API v1」を参照)。

次の変更には、開発者からのアクションが必要になる場合があります。

  • IPv6 をサポートするために、deviceSettings、QOS、およびファイアウォール設定モジュールに新しい設定オプションが追加されました。 
  • これらの設定の一部は、Orchestrator を 5.0.0 リリースにアップグレードする際のシステム パッチを使用して導入され、アップグレード後にサーバによって必要とされる設定として扱われます。「テンプレート」プロファイルを利用するユーザーは、これらのプロファイルを更新して、新しい必要な設定を含める必要があります
  • これらの各モジュールの改訂されたスキーマは、API リファレンスに記載されています(ページ下部のリファレンスの「モジュール」セクションの「segmentBasedDeviceSettings」、「firewall」、および「QOS」を参照)。
  • ソフトウェアとは別に Edge プラットフォーム コンポーネント ファームウェアの設定のサポートを導入することにより(「VMware SD-WAN Edge での Edge の工場出荷時のソフトウェアおよびファームウェアの更新」を参照)、API では imageUpdate 設定モジュール「data」に、「devicefamily」、「modemFirmware」、「platformFirmware」、「factoryFirmware」のプロパティの存在を必要とするようになりました。このモジュールはオペレータ プロファイル専用であり、この変更は、カスタマー プロファイルまたは Edge 固有の設定に関連するクライアント アプリケーションには影響しません。
  • 76036:すべての /metrics/* メソッドに検証ロジックを追加します。これにより、クエリ間隔の開始時間がシステム全体の保持期間(デフォルトでは、Edge の「健全性統計」の場合は 2 週間、他のすべてのメトリック タイプの場合は 40 週間)の開始前の場合に API がエラーで応答します。以前は、サーバはこれらのクエリを考慮しましたが、不完全なデータを返していました。
  • 74050:プロファイルおよび Edge deviceSettings 設定モジュールに含まれるルーティング インターフェイスの IPv6 固有のアドレス指定オプション(「v6detail」オブジェクト)から冗長な「vlanId」プロパティ(Edge によって使用されていなかったプロパティ)を削除します。
  • 69028:ターゲット ゲートウェイが「停止」モードでない限り、カスタマー管理者が enterprise/reassignDataCenterGateway(ターゲットの Non-SD-WAN サイトへのトンネリング用に指定された Gateway を変更する)を呼び出さないようにする検証を導入します。
  • 64145:Partner Handoff Gateway が設定されている場合に、デバイス設定モジュールの更新を処理するときに API の動作が少し変更されます。これにより、以前のプロパティが存在する場合、サーバは常に「segments[] > handOffGateways > gatewaysList」で指定された Gateway 割り当てを「segments[] > handOffGateways > gateways」で指定されたものよりも優先するようになります。以前は、一部のユーザーに対して、この動作をトリガするために「segments[] > handOffGateways > gateways」を削除する必要があるというガイダンスを発行していましたが、これは不要になりました。

VMware SD-WAN Orchestrator SD-WAN API v2 への変更

このリリースでは、HA、Wi-Fi、クラウド セキュリティ、ルーティング プロトコルなどのプロファイルおよび Edge デバイス設定のサポートが追加されています。次の新しい API 操作が導入されています。

  • カスタマー プロファイルの設定の場合:
    • GET /enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/deviceSettings
    • PATCH /enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/deviceSettings
    • PUT /enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/deviceSettings
  • 特定の Edge の設定の場合:
    • GET /enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/profiles/{profileLogicalId}/deviceSettings
    • PATCH /enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/profiles/{profileLogicalId}/deviceSettings
    • PUT /enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/profiles/{profileLogicalId}/deviceSettings

これらの API 操作により、VMware SASE では将来のリリースで追加機能が導入されるにつれて、ユーザーが多くの設定管理タスクを実行する方法をガイドするいくつかの主要な API 機能と設計パターンが導入されています(たとえば、HTTP パッチによる部分的なリソース更新のサポート、構文エラーの一貫した処理とレポート、デフォルトでの非同期実行など)。

API ユーザー側でアクションが必要になる可能性がある変更は、他に次の 2 つがあります。

  • 広範な VMware SASE Platform API サービス(Cloud Web Security と Secure Access を含む)全体で URL 構造を標準化するために、今回のリリースで SD-WAN「APIv2」の標準ベース パスが「/sdwan」から「/api/sdwan/v2」に変更されました。以前の Orchestrator ソフトウェア リリースとの後方互換性を確保するため、クライアントが HTTP 308 リダイレクトに従うように設定されている限り、Orchestrator は引き続き「/sdwan」ベース パスへの要求を受け入れます。API トラフィックの分析に基づいて、ほとんどのユーザーは、この変更の結果として中断を認識することはありません。ただし、Orchestrator 5.0.0 リリースにアップグレードする際に、すべての APIv2 ユーザーが新しい URL ベース パス (/api/sdwan/v2) の使用を開始することをお勧めします(それ以外の場合は、クライアント アプリケーションとスクリプトが HTTP リダイレクトに従うように設定されていることを確認する必要があります)。この種の追加の変更は今後予定されていません。
  • 動作エラーのため、APIv2 レート制限モジュールでは、ポータル API のレートリミッタと同じデフォルト ポリシーが適用されていませんでした。これは常に意図的に行われていました。このリリースでの変更により、そのポリシーが APIv2 に対して有効になります。ユーザーは、レートリミッタのトリガを回避し、レート制限がトリガされた応答を処理するためのベスト プラクティスを確認する必要があります。

開発者向けドキュメントの変更

これまで、VMware SASE/SD-WAN API ドキュメントは code.vmware.com の VMware {code} でホストされていました。VMware {code} は最近新しいドメイン (developer.vmware.com) に移行しました。この移行の結果、以前に code.vmware.com でホストされていた特定のページへの一部のパーマリンクが予期したとおりに動作しなくなることがあります。

この移行と組み合わせて、VMware では最近、https://developer.vmware.com/apis に新しい開発者ドキュメント ポータルを立ち上げました。ここには、現在、すべての VMware SASE/SD-WAN API ドキュメントがあります。

ドキュメントの改訂履歴

2022 年 2 月 28 日。第 1 版。

2022 年 3 月 4 日。第 2 版。

  • リリース 4.5.0 以降の Orchestrator API の変更で、Edge ファームウェアのアップグレード機能に関する資料を「VMware SD-WAN Orchestrator ポータル API(「API v1」)の変更」セクションに追加しました。追加されたテキストは次のように始まります。「ソフトウェアとは別に Edge プラットフォーム コンポーネント ファームウェアの設定のサポートを導入することにより..」

2022 年 3 月 17 日。第 3 版。

  • GA ビルド R5000-20220225-GA の「Edge/Gateway で解決した問題」に解決した問題 #71745 を追加しました。以前は現場で問題が確認されていなかったため、省略されていました。
  • 互換性」セクションに、Orchestrator および Gateway のリリース 3.4.x ソフトウェアが 2022 年 3 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 6 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えるという新しい警告を追加しました。これは、Orchestrator および Gateway のみが対象です。3.4.x Edge ソフトウェアは、2022 年 12 月 31 日からサポート終了への移行期間に入ります。
  • Edge および Gateway 上の BGP over IPsec、および Azure Virtual WAN の自動化の制限事項」に関する新しい「重要な注意事項」を追加しました。注意事項には次のように記載されています。「Edge および Gateway 上の BGP over IPsec 機能は、Edge または Gateway からの Azure Virtual WAN の自動化と互換性がありません。Edge または Gateway から Azure vWAN への接続を自動化するときには、スタティック ルートのみがサポートされます。」

2022 年 3 月 21 日。第 4 版。

  • 機能強化」セクションに「SASE ドキュメントのギリシア語へのローカライズ」を追加しました。この機能強化により、主要な SASE(リリース ノート、SD-WAN、Cloud Web Security、および Secure Access)ドキュメントのダウンロード可能な PDF バージョンが追加され、このサイトからアクセスできます。  

2022 年 3 月 23 日。第 5 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ビルド R5001-20220317-GA を追加しました。このビルドはリリース 5.0.0 の新しい Orchestrator GA ビルドです。4 桁目の数字はロールアップ ビルドを表し、これは 5.0.0 の最初の Orchestrator ロールアップ ビルドです。
  • R5001-20220317-GA の「Orchestrator で解決した問題」に解決した問題 #69573、#76994、#78688、#83538、#83550、#83582、#83902、#83940、#84083、#84286、#84297、#84299、#84300 を追加しました。
  • 解決された Orchestrator の問題は、次のように VMware SASE サービスに影響します。
    • VMware SD-WAN:#78688、#83582、#83902、#84083。
    • VMware Cloud Web Security:#76994、#83550、#83940、#84286、#84297、#84299、#84300。
    • VMware Secure Access:#69573、#83538。
  • Edge/Gateway の既知の問題」セクションに問題 #84825 を追加しました。

2022 年 5 月 3 日。第 6 版。

  • リリース 4.0.x がサポート終了に近づいていることを知らせる新しい警告を「互換性」セクションに追加しました。
  • 問題 #46254 および #49738 を「Edge/Gateway の既知の問題」セクションから削除しました。これは 4.3.0 リリースで解決されたため、5.0.0 でも解決されていることになります。

2022 年 5 月 24 日。第 7 版。

  • 「Edge/Gateway で解決した問題」セクションに新しい Edge/Gateway ロールアップ ビルド R5002-20220506-GA を追加しました。これはリリース 5.0.0 の新しい Edge/Gateway GA ビルドです。
  • Edge/Gateway ビルド R5002-20220506-GA には、問題 #74316、#83209、および #87956 の修正が含まれ、それぞれ該当するセクションで説明しています。
  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ビルド R5002-20220517-GA を追加しました。このビルドはリリース 5.0.0 の新しい Orchestrator GA ビルドです。
  • R5002-20220517-GA の「Orchestrator で解決した問題」に解決した問題 #81960、#84600、#84969、#85291、#85338、#85412、#86083、#86573、#88796、#89005 を追加しました。
  • 解決された Orchestrator の問題は、次のように VMware SASE サービスに影響します。
    • VMware SD-WAN:#84969、#85291、#85338、#86573、#88796。
    • VMware Cloud Web Security:#81960、#84600、#85412、#86083、#89005。
  • 「Edge/Gateway の既知の問題」セクションに未解決の問題 #62701 を追加しました。現時点では、この問題はすべてのリリースで未解決のままであるためです。
  • 「Edge/Gateway の既知の問題」セクションに未解決の問題 #88796 を追加しました。この問題は Orchestrator と Gateway OVA の両方に影響しますが、Orchestrator の修正は R5002-20220517-GA ビルドに含まれています。  このリビジョンの時点では、#88796 の修正が適用された Gateway OVA はありません。
  • 「Edge/Gateway で解決した問題」セクションを修正しました。この修正では、誤って省略されていた R5000-20220225-GA の解決した問題 #77525 を追加しました。

2022 年 6 月 1 日。第 8 版

  • 元の GA ビルドの「Orchestrator で解決した問題」に解決した問題 #81835 を追加しました。このチケットは、5.0.0 リリース ノートの第 1 版から誤って除外されました。
  • Edge/Gateway の既知の問題」セクションに問題 #85369 および #85461 を追加しました。

2022 年 6 月 16 日。第 9 版

  • 新しい「重要な注意事項」として、「高可用性トポロジを使用するサイトでの潜在的な問題」を追加しました。これは、Edge のペアに高可用性トポロジを使用しているカスタマーのサイトで現在発生している問題に関する情報を提供します。この問題は、「Edge/Gateway の既知の問題」にある問題 #85369 で引き続き追跡されます。
  • 互換性」で、リリース 4.2.x Edge ソフトウェアのサポート期間の終了日を修正しました。Edge ソフトウェアは別の項目として分類され、次のように記載されています。「リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。」  個別の Orchestrator と Gateway のエントリは、以前と同じサポート期間の終了日を保持します。
  • 「Edge/Gateway で解決した問題」セクションに解決した問題 #53951 を追加しました。このチケットは、元の 5.0.0 リリース ノートから誤って省略されていました。
  • Orchestrator の既知の問題」セクションに未解決の問題 #75348 を追加しました。

2022 年 7 月 1 日。第 19 版

  • 「Edge/Gateway の既知の問題」セクションに未解決の問題 #88604 および #91746 を追加しました。

2022 年 7 月 18 日。第 20 版

  • 「Edge/Gateway の既知の問題」セクションに未解決の問題 #91365#92481、および #92676 を追加しました。

2022 年 7 月 28 日。第 21 版

  • リリース ノートを改訂し、Edge、Gateway、または Orchestrator ビルドに厳密に関連しない 5.0.0.0 のすべての参照を削除しました。リリース ノートには、『VMware SASE 5.0.0 リリース ノート』という適切なタイトルが付けられています。これは対象となるソフトウェア バージョンであり、4 桁目の数字はそのソフトウェアの特定のビルド用に予約されています。

2022 年 8 月 15 日。第 22 版。

  • 「Edge/Gateway で解決した問題」セクションに解決した問題 #89217 を追加しました。修正は任意のリリース 5.0.0 ビルドを使用している Edge に適用できるプラットフォーム ファームウェアの修正であるため、このチケットは 5.0.0.0 ビルド セクションに追加されます。

2022 年 11 月 9 日。第 23 版。

  • SD-WAN の機能強化」セクションで、「ギリシア語のローカライズ」セクションが更新されました。以下の文言が削除されました:「Orchestrator については自動的にギリシア語にローカライズされますが、VMware Docs プラットフォームでは現時点でギリシア語がサポートされていないため、利用できるドキュメントが限られています。そのため、当面の対策として、VMware SD-WAN、Cloud Web Security、および Secure Access のギリシア語版ドキュメントはこちらに PDF 形式で公開されています。」このエディションでは、VMware Docs プラットフォームでギリシア語がサポートされるようになりました。ユーザーは、docs.vmware.com で SD-WAN および SASE ドキュメントのギリシア語バージョンを確認できます。
  • 「Edge/Gateway の既知の問題」セクションに問題 #82104 を追加しました。

2022 年 11 月 14 日。第 24 版。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #100377 を追加しました。
  • 注:すべてのカスタマーには、Edge を 5.0.1.2 ビルドにアップグレードして、問題 #100377 が発生しないようにすることを強くお勧めします。

解決した問題

解決した問題は、以下のとおり分類されています。

Edge/Gateway で解決した問題

Edge/Gateway バージョン R5002-20220506-GA で解決した問題

Edge/Gateway ロールアップ バージョン R5002-20220506-GA は、2022 年 5 月 12日にリリースされました。

この Edge/Gateway ロールアップ ビルドは、Edge/Gateway バージョン R5000-20220225-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 74316:VMware SD-WAN スポーク Edge は、Edge がサービスの再起動または完全な再起動を行った場合でも、割り当てられたハブ Edge クラスタの一部またはすべてに接続しない場合があります。

    特定のクラスタ メンバーから Super Gateway へのオーバーレイ フラップ シナリオにおいて、クラスタ メンバーのエンドポイント情報を使用せずにクラスタ割り当てマッピングを作成するクラスタ再割り当てロジックに問題があります。その結果、ハブ クラスタ メンバーに割り当てられたスポーク Edge がハブ クラスタ メンバーのエンドポイント情報を受信できなくなり、スポーク Edge とハブ クラスタ間のオーバーレイがなくなります。

    この修正を適用せずにこの状況を一時的に修正する唯一の方法は、Gateway にアクセスできるユーザーがスーパー Gateway でクラスタの再割り当てを手動でトリガすることです。

  • 解決した問題 83209:カスタマーがエンタープライズで OSPF を使用している場合、OSPF ルーティングが想定どおりに動作しないことがあります。

    この問題は、OSPF ルーター ID に変更があり、Edge サービスが再起動された場合に発生します。ルーター ID の選択では、ループバック インターフェイスと「広報」フラグが設定されているインターフェイスのみが考慮されます。高い IP アドレスで設定された新しいループバック インターフェイスがある場合、Edge サービスを再起動すると、新しいループバック IP アドレスがルーター ID として選択され、Edge が DR(指定ルーター)として選択された場合に問題が発生します。

    修正を適用しない場合の唯一の回避策は、古いルーター ID を強制的に使用することです。古いルーター ID に戻すには、各インターフェイスで広報フラグを設定します(Edge サービスの再起動が必要になります)。

  • 解決した問題 87956:同じネクスト ホップで 2 つ以上のユーザー定義の WAN オーバーレイが設定されている単一の WAN インターフェイスを使用する VMware SD-WAN Edge の場合、単一のインターフェイスに接続された WAN リンクが停止して起動すると、ユーザー定義のオーバーレイ トンネルの 1 つのみが再確立されます。

    たとえば、送信元 IP アドレスが異なるユーザー定義のオーバーレイで、同じネクスト ホップがトラフィックをハブ Edge と Gateway にそれぞれステアリングする場合、WAN リンク フラップが発生すると、Gateway へのトンネルのみが再確立され、ハブ Edge へのトンネルは再確立されないため、ハブ Edge 向けのカスタマー トラフィックに影響を与えます。

    設計上、Edge は同じネクスト ホップで複数のユーザー定義の WAN オーバーレイを持つことをサポートしていませんが、Edge は設定のチェックを実行せず、有効なものとして扱います。WAN リンクがフラップした場合にのみ、Edge はチェックを行い、単一のユーザー定義の WAN オーバーレイを適用して、他の WAN オーバーレイを除外します。設定が適用されたとき、または Edge が再起動して設定が最適用されたときに Edge の設定が「正しく動作する」のはそのためです。この問題の修正により、同じインターフェイスで複数のユーザー定義の WAN オーバーレイが可能になり、WAN リンク フラップなど、オーバーレイ トンネルが破棄される可能性のある状況が発生した後で、すべてのトンネルが再確立されます。

    この修正を行わずにすべてのトンネルをリストアする唯一の方法は Edge サービスを再起動することです。これは、Orchestrator で [テストとトラブルシューティング (Test & Troubleshoot)] > [リモート アクション (Remote Actions)] > [サービスの再起動 (Restart Service)] を使用して実行できます。

Edge/Gateway で解決した問題

Edge/Gateway バージョン R5000-20220225-GA で解決した問題

Edge バージョン R450-20220203-GA および Gateway バージョン R450-20220203-GA 以降で解決した問題は次のとおりです。

  • 解決した問題 34234:VMware SD-WAN Edge 上の WAN リンクでは Orchestrator ユーザー インターフェイスに誤った帯域幅キャパシティ値が表示されることがあり、WAN リンクが実際の帯域幅キャパシティに使用されていないことが確認される場合があります。

    この問題があると、WAN リンクは、指定された頻度で最新の帯域幅キャパシティの値に対して再測定されません。これは、WAN リンクでトンネルの破棄/構築(フラップなど)が発生するたびに、サービスが帯域幅値キャッシュの日付をリセットすることが原因で発生します。キャッシュされた帯域幅の値がリセットされるため、SD-WAN サービスはこれが新しい値であり、追加の帯域幅テストは必要がないと誤解します。トンネル フラップが頻繁に発生する WAN リンクでは、この WAN リンク帯域幅の値がかなり古く、現在の WAN リンク帯域幅の値をまったく表していない可能性があります。これにより、SD-WAN サービスが WAN リンクを実際のキャパシティまで使用しないため、カスタマー トラフィックの問題が発生します。

  • 解決した問題 35807:インターフェイスが最初に無効にされていて、後で VMware SASE Orchestrator から再度有効にされると、DPDK ルーテッド インターフェイスが完全に無効になります。

    ルーテッド インターフェイスを無効にすると、DPDK 制御ハードウェアからネットワーク デバイスのバインドが解除され、Linux ドライバに再バインドされ、Edge サービスが再起動されます。/opt/vc/etc/dpdk.json ファイルが更新され、このインターフェイスが削除されるため、再度有効にした場合、ファイルは Linux からバインド解除し、DPDK 制御ドライバに再バインドするように更新されません。

    この修正を行わない場合、問題を修正する唯一の方法は、Edge を再起動して状態をクリアし、デフォルトの起動状態に戻してデバイスを Edge DPDK レイヤーに再度追加することです。

  • 解決した問題 42488:スイッチ ポートまたはルーティング ポートに対して VRRP が有効になっている VMware SD-WAN Edge で、ケーブルがポートから切断されて、Edge サービスが再起動された場合、LAN に接続されたルートが広報されます。

    ポートのリンクが削除され、インターフェイスが無効にされていない場合、Edge は Gateway からルートを取り消しません。リンクが接続されていない Edge に他の Edge がトラフィックを転送します。カスタマーへの影響として、リンクが接続されていないインターフェイスの接続ルートのトラフィックがブラックホールになる可能性があります。

    修正を行わない場合の唯一の回避策は、リンクが接続されていない場合にはインターフェイスを無効にすることです。

  • 解決した問題 53378:WAN リンク帯域幅が [WAN 設定 (WAN Settings)] で手動で設定されている VMware SD-WAN Edge では、帯域幅設定はグローバル セグメントを使用するトラフィックには適用されますが、グローバル以外のセグメントを使用するトラフィックには適用されません。

    WAN 設定で手動で設定したキャパシティよりもキャパシティが大きい WAN リンクでは、グローバル セグメントは低い設定値を適用しますが、グローバル以外のセグメントはリンクの実際のキャパシティを使用します。  これは、WAN リンクが使用している Edge インターフェイスでアンダーレイ アカウンティングが設定されていても発生します。

  • 解決した問題 53951:VMware SD-WAN Edge では、インターネットに直接送信されるトラフィックの障害が発生するか、VMware SD-WAN Orchestrator への接続が失われ、Edge がダウンとマークされることがあります。

    この問題は、次の 2 つのシナリオのいずれかで Edge に影響する可能性があります。

    1. パブリック WAN リンクを使用する Edge で WAN リンクのフラップ(リンクがダウンしてからアップする)が発生する場合、このシナリオでのカスタマーへの影響は、影響を受けるリンクにステアリングされ、「ダイレクト」として分類されるトラフィックがドロップすることです。この問題は、ビジネス ポリシー ルールが、特定のトラフィックが直接送信される一方で 1 つの WAN リンクのみを使用するように設定されているサイトに特に影響します。
    2. PPPoE WAN リンクを使用する Edge で HA をオンにすると、PPPoE インターフェイスの IP アドレスが変更され、古い自己ルートが削除されますが、新しい PPPoE IP アドレスを使用しても新しい自己ルートが追加されません。その結果、Orchestrator と Edge 間の通信が機能しなくなります。

    この修正を適用せず問題を一時的に修正する方法は、Edge サービスを再起動してダイレクト トラフィックが影響を受けるパブリック WAN リンクに送信されるようにするか、Edge(PPPoE リンクが使用されている場所)を再起動して Orchestrator へのルートをリカバリすることです。

  • 解決した問題 63629:VMware SD-WAN ハブ Edge とスポーク Edge の IP ファミリ設定(IPv4/IPv6 デュアル スタック)が異なるネットワーク トポロジーで、カスタマーが想定よりも多くの帯域幅がピアに割り当てられていることに気付く場合があります。

    IPv4 と IPv6 の両方のファミリが設定されている場合、Edge は内部で 2 つの異なるリンク オブジェクトを作成します。帯域幅の値が、一方にのみ追加する必要がある場合でも、両方に追加されます。

    この修正を行わない場合の回避策は、ハブ/スポーク トポロジでデュアル スタックが設定されている場合には、異なるトンネル設定を使用しないようにすることです。

  • 解決した問題 64627:VMware SD-WAN Gateway でデータプレーン サービスの再起動が発生し、トラフィックが一時的に中断することがあります。

    VMware SD-WAN Edge の WAN リンクに多数のサブパスが設定されている場合、または接続された Gateway との Edge の管理トンネルのフラップが頻繁に発生する場合、Gateway のメモリ カウンタが枯渇し、Gateway がリカバリするために再起動されることがあります。

  • 解決した問題 65964:アラートの詳細を確認するときに、VMware SASE Orchestrator の時間セクションが正しく表示されません。

    通知遅延内に送信されないアラートの詳細は、送信されるアラートの詳細と同様です。通知時間は、詳細が表示された時点の現在時刻です。新しいユーザー インターフェイスでは、通知時間が「保留中 (Pending)」と表示されます。

  • 解決した問題 68044:VNF を使用している VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、再起動する場合があります。

    トラフィックが VNF を経由しているかどうかを監視するために、Edge プロセスは定期的な GARP (Gratuitous ARP) を送信します。Edge が VNF 設定を更新すると同時に GARP のタイマーが実行されると、メモリが破損する可能性があります。

  • 解決した問題 68482:リリース 4.5.0 を実行している VMware SD-WAN ハードウェア Edge で、サービスの再起動後に WAN リンク帯域幅の値が正常に更新されないことがあります。

    VMware SD-WAN Edge のサービスが再起動すると、Edge によって帯域幅がテストされ、キャッシュされた値と比較されます。この問題により、テスト結果は適用されず、キャッシュされた値が引き続き使用されます。

  • 解決した問題 68923:BGP を使用しているカスタマー エンタープライズでは、インストールされているデフォルト ルートの到達可能状態が「False」に設定されていても、デフォルト ルートが BGP ピアに再分散されることがあります。

    Edge インターフェイスを参照するスタティック ルートが Edge で設定されていて、その BGP ピアが Edge からデフォルト ルートを学習し、そのインターフェイスが後で無効にされる(その結果、そのルートの到達可能フラグが False に変更される)と、ルートは引き続き広報されます。インターフェイスが停止しているために再分散されていないルートで、その後、インターフェイスが起動してルートの状態が「True」としてマークされても、ルートが引き続き再配分されないのも同様です。どちらの場合も、Edge が新しいルート状態を反映するインターフェイスの状態変更でルートを再広報しないことが原因です。

  • 解決した問題 70118:診断バンドルから route_events_msg_dump ログを確認すると、ユーザー ログにネットマスクが含まれていません。 

    一部のカスタマーの問題では、ルーティング イベントを調べるときにネットマスクを含めると便利ですが、この場合はネットマスクが欠落しています。

  • 解決した問題 71745:VMware SD-WAN Gateway または SD-WAN Edge でデータプレーン サービスの障害が発生し、その結果、サービスが再起動される場合があります。

    Edge と Gateway の両方に、UUID (Universally Unique Identifier) を管理するための内部ライブラリがあります。このライブラリで非常にまれな競合状態が発生すると、「use-after-free」の問題が発生し、Edge または Gateway のそれぞれでセグメント障害とサービス障害がトリガされる可能性があります。Edge または Gateway でこの問題が発生するリスクを高める要因として、頻繁なトンネル フラップ(トンネルの破棄と再構築)があります。

  • 解決した問題 71785:リリース 4.3.0 以降を実行している Edge で SNMP ウォークが適切に機能しないことがあります。

    Edge をリリース 4.3.0 にアップグレードすると、SNMP が使用する一部の IP アドレスがブロックされ、ポート 161 でトラフィックを許可するようにファイアウォール設定を変更する必要があります。

  • 解決した問題 71788:高可用性トポロジを使用して展開されたカスタマーの場合、カスタマー トラフィックの中断を含む予期しない HA フェイルオーバーがサイトで発生する可能性があります。

    これは一貫性のない問題であり、すぐには再現されませんが、この問題が発生すると、HA Edge の定期的なハンドラ スレッドがアクティブ Edge とスタンバイ Edge 間のフロー同期中に 180 ミリ秒を超えて実行されます。これにより、デッドロックが発生して、アクティブ Edge の mutex mon スレッドで SIGKILL メッセージがトリガされ、その結果、コアが発生して、Edge が再起動します。

  • 解決した問題 72270:高可用性で展開された Edge の場合、ファームウェア アップグレードを含むソフトウェア アップグレードを行うと、HA Edge が予期せずにアップグレードと再起動を同時に実行し、カスタマー トラフィックの中断と OSPF または BFD ルートの学習がトリガされる場合があります。

    これは、CPLD ファームウェア アップグレードを含むビルドにアップグレードする Edge 3x00 モデルに当てはまります。設計上、スタンバイ Edge は最初にアップグレードしてから、アクティブにフェイルオーバーし、アクティブがアップグレードできるようにしますが、アクティブはフェイルオーバーを待機しているか、フェイルオーバーがない場合は、アップグレード前に 5 分間の遅延が発生します。スタンバイ Edge は、OS カーネルを含むファームウェアもアップグレードします。これには 5 分以上かかる場合があり、スタンバイ Edge とアクティブ Edge の両方が同時にアップグレードおよび再起動し、カスタマー トラフィックが中断し、それ自体中断している OSPF または BFD ルートの再学習を強制するシナリオが発生します。この修正により、スタンバイのタイマーが延長され、一度に 1 つの Edge のみがアップグレードされるようになります。

  • 解決した問題 73320:VMware SD-WAN Edge インターフェイスが DHCP アドレス タイプで設定されている場合、インターフェイスに割り当てられた IP アドレスが更新されると、NAT 障害が原因で一部の直接フローが失敗することがあります。

    DHCP リースの有効期限が切れると、インターフェイスの IP アドレスが削除されます。新しい IP アドレスがインターフェイスに割り当てられるまでの一時的な期間において、新しいフローの NAT エントリが送信元 NAT IP アドレスとして「0.0.0.0」で作成され、パケットがドロップされます。有効な IP アドレスがインターフェイスに割り当てられると、既存の NAT エントリは削除されず、有効な IP アドレスを持つ新しい NAT エントリが作成されないため、トラフィックがドロップされます。

  • 解決した問題 73933:リリース 1.8.x の工場出荷時のイメージを含む VMware SD-WAN Edge モデル 500 は、リリース 4.5.0 以降にアクティベーションできません。

    工場出荷時のイメージ(この場合、そのイメージがリリース 1.8.x)にハード リセットされた Edge 500 は、4.5.x リリースが割り当てられているシナリオではアクティベーションできません。4.5.0 以降のビルドでは、sha1sums ではなく sha256sums を使用するようにアップグレード バンドルの形式が変更されました。古いビルドにはこれらのライブラリがないため、4.5.x へのアップグレードは失敗します。

    この修正を行わない場合の回避策は、Edge 500 を 4.2.x や 4.3.x などのより新しいリリースにアクティベーションし、Edge がより新しいビルドを使用するようになったら、追加の手順を実行して Edge を 4.5.x ビルドにアップグレードすることです。  Edge 500 もサポート終了 (EOL) であるため、もう 1 つの回避策は、最新の同等の Edge モデルを取得するように Edge を RMA することです。

  • 解決した問題 74149:カスタマーが L7 健全性チェックが設定されている Zscaler タイプのクラウド セキュリティ サービスを使用している場合、WAN リンクも停止しているときに VMware SD-WAN Edge が再起動すると、L7 健全性チェック プロセスは、Edge と WAN リンクの両方が完全にリストアされた後でも Zscaler サービスにプローブを送信しないことがあります。

    この問題には一貫性がなく、リストされた条件が満たされた場合でもまれにしか発生しません。Edge が再起動され、L7 健全性チェックが設定されている場合、Edge WAN インターフェイスで「起動/停止」の状態移行が発生すると、Edge は再起動時と初期化時に L7 プローブの送信に失敗することがあります。

    この修正を適用しない場合、Edge で L7 プローブの送信を再開するには、L7 健全性チェックをオフにしてから再度オンにする必要があります。

  • 解決した問題 74225:VMware SD-WAN Gateway または SD-WAN Edge でトラフィックの問題が発生し、ログに MAC アドレスがゼロのパケットが記録されることがあります。

    Gateway または Edge が問題 #62552 の修正を含み、00:00:00:00 の MAC アドレスを持つパケットを送信する Gateway または Edge に対処したビルドを実行する場合でも、Gateway/Edge データプレーン プロセス内には、送信元または宛先 MAC アドレスがゼロのパケットを送信できる場所がありました。これらの場所では、ARP 状態のマシンは送信元と宛先の MAC アドレスを検証しませんでした。 

    この問題が発生していることを確実に知る唯一の方法は、ログで MAC アドレスがゼロかどうかを確認することです。具体的には、tcpdump を使用するものを確認します。

  • 解決した問題 74306:VMware SD-WAN Edge の背後で Skype 通話を行うユーザーの場合、通話品質が予想よりも低くなる可能性があります。

    デフォルトでは、VMware SD-WAN サービスは、通話パケットを含むすべての Skype パケットと MS Teams パケットを APP_CLASS_INTERNET_INSTANT_MESSAGING (10) クラスに分類します。インスタント メッセージ クラスの優先度は低いため、通話の帯域幅とリンク品質の優先度が下がり、通話品質が低下する可能性があります。  この修正により、Skype と MS Teams に一致するパケットが APP_CLASS_BUSINESS_COLLABORATION (5) に変更されます。これは、通話が期待された高優先度/リアルタイム品質レベルの処理を受けることを意味します。

    この修正を適用しない場合の回避策は、アプリケーション マップをカスタマイズして、Skype と MS Teams がビジネス コラボレーションとして分類されるようにすることです。

  • 解決した問題 75121:バックホール フローに到達できないルートが確認され、パケット ドロップが発生することがあります。

    バックホールとインターフェイス フロー ルートのルックアップ コードには、最初のルートがアクセスできない場合でもそのルートを選択する問題がありました。この到達不能ルートはパケットを伝送するのに適していないため、パケットはドロップされていました。この解決策では、すべてのタイプのフローに対してルート到達可能性のチェックが必要です。

  • 解決した問題 75772:Edge で分析がアクティブになっている Edge Network Intelligence を使用しているカスタマーの場合、Edge でメモリ リークが発生し、Edge が再起動してメモリ リークをクリアすることがあります。

    分析が設定され、DHCP も Edge インターフェイスで設定されている場合、クライアント接続イベントによってメモリ使用量が増加します。十分な期間にわたって、メモリ使用率が重大なしきい値に達し、Edge が防御的に通常のメモリ レベルに戻すために Edge サービスを再起動する場合があります。  他のメモリ リークの問題と同様に、初期メモリ占有量が小さいほど(Edge 510、520、610 など)、Edge が再起動を実行する可能性が高くなります。

  • 解決した問題 75827:VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、その結果、サービスが再起動される場合があります。

    ログに、de2e_info_reply_msg_recieved で Gateway プロセスの失敗が示されます。根本原因は、Gateway プロセスで処理されない NULL ポインタ例外で、これにより、例外がトリガされ、サービス障害と再起動が発生することです。

  • 解決した問題 76315:オペレータ ユーザーが VMware SD-WAN Gateway が送信するすべてのフローで最初の数パケットのドロップを観察する場合があります。

    ドロップの理由は、gwrouting_vpn_unreachable と表示されます。この問題は、管理プロトコルの QoS(サービス品質)同期メッセージの処理遅延が原因で発生します。これにより、すべてのフローの最初の数パケットが誤って分類されてドロップされます。

  • 解決した問題 77224:VMware SASE Orchestrator で VMware SD-WAN Edge の無効なスタティック ルート(2.2.2.2/0 など)が設定されている場合、接続されている複数の Edge に無効なルートまたは古いルートがある可能性があります。

    正規のデフォルト ルート (0.0.0.0/0) があり、プレフィックス長が 0 の無効なルート(2.2.2.2/0 など)もある場合、無効なルートが原因で、デフォルト ルートが送信元 Edge から削除された場合でも、リモート Edge からは削除されません。

    これは、プレフィックス長が 0 の無効なルートを設定できる Orchestrator チケット #77159 に関連しています。

  • 解決した問題 77357:日本で展開されている VMware SD-WAN Edge 3400 または 3800 が、何もしていないのにロック アップして再起動することがあります。

    Edge 3400 および 3800 では、システムのベースボード管理コントローラ (BMC) に正しくない電圧警告しきい値 (100V) が設定されており、これが日本の 100V 電源に一致しています。この領域での Edge 3400 または 3800 の結果は、連続した一連の電源アラームです。アラームの回数が頻繁になると、Edge がロックして再起動します。

    注:これは Edge の問題 51291 のフォローアップです。この修正により問題の解決に成功しましたが、手動で設定した電圧しきい値が CPLD アップグレードによってクリアされたため、修正は持続しませんでした。  症状と説明は同じですが、ここでの修正により、後続の Edge アップグレードで電圧しきい値が維持されます。

  • 解決した問題 77525:高可用性トポロジを使用しているサイトで、VMware SD-WAN HA Edge が新しいソフトウェア イメージにアップグレードされると、スタンバイがアップグレードに失敗し、VMware SD-WAN Orchestrator ユーザー インターフェイスにスタンバイ Edge の状態が誤って「アクティブ」と表示されます。

    アクティブ Edge は、スタンバイ Edge を検出するとスタンバイ Edge のソフトウェア バージョンを取得しようとします。バージョンが 3.4.x 以降の場合、アクティブ Edge はネットワーク設定ファイルをスタンバイ Edge にコピーします。スタンバイ Edge ソフトウェア バージョンの取得中に、Edge の HA コードで処理されない例外が発生することがあり、これにより HA ワーカー スレッドが停止し、スタンバイ Edge との通信が失敗します。この時点で、アクティブ Edge とスタンバイ Edge の間の管理プロセスは中断され、管理プレーンに関連するソフトウェア管理、スタンバイ Edge の状態、設定の変更などはアクティブ Edge とスタンバイ Edge 間で同期されません。これにより、スタンバイ Edge が誤ってアクティブとして検出され、Orchestrator でアクティブ/アクティブの「スプリット ブレイン」状態として表示されますが、スタンバイ Edge は実際には適切なロールを実行しており、その状態ではありません。

    HA フェイルオーバーが発生し、スタンバイ Edge がアクティブに昇格すると、Edge の設定とソフトウェアのセットが一致しなくなります。Orchestrator は、設定の不一致を検出し、更新された設定をこの Edge にプッシュしますが、以前にスタンバイ Edge が失敗したソフトウェア アップグレードも完了します。Edge ソフトウェアのアップグレードでは再起動が必要になるため、新たにアクティブになった Edge が再起動されてスタンバイ状態に降格されたときに、別のフェイルオーバーが発生します。 

    この問題は、HA サイトが Edge のソフトウェアをアップグレードすると一貫して発生するわけではありません。また、この問題は、新しい HA サイトを起動するとき、またはスタンドアローン サイトを高可用性に設定するとき、スタンバイ Edge がソフトウェアをアップグレードする必要があるときにも発生する可能性がありますが、ソフトウェア アップグレードを実行する HA Edge と比較すると、ほとんど発生しません。

    この修正を適用せずにこの問題を回避するには、Edge サービスを再起動するか、HA フェイルオーバーをトリガして問題をクリアする必要があります。

  • 解決した問題 77625:高可用性トポロジを使用して展開されたサイトで、VMware SD-WAN スタンバイ Edge が複数回再起動することがあります。

    HA ハートビート パケットの処理中に HA スレッドが枯渇するため、サイトはアクティブ/アクティブ(スプリット ブレイン)状態になります。アクティブ/アクティブ状態では、アクティブ Edge が実行され、スタンバイ Edge は再起動されて、適切なスタンバイ状態に降格されます。ただし、この場合、アクティブ/アクティブ イベントが複数回検出され、そのたびにサイトをリカバリするたびにスタンバイ Edge が再起動します。 

    フィールドの問題には Edge 6x0(610、620、640、680)モデルが関係していますが、この問題はプラットフォームに依存しないため、他の Edge モデルで発生する可能性があります。

  • 解決した問題 77629:高可用性トポロジを使用して展開されたサイトで、ユーザーが HA をオフにすると、スタンバイ Edge とアクティブ Edge の両方が無効化されることがあります。

    この問題は、両方の Edge が無効化され、Edge の 1 つが再有効化されるまでカスタマー トラフィックを通過できないため、カスタマー サイトに深刻な影響を与える可能性があります。サイトで HA がオフになっている場合の想定される動作は、スタンバイ Edge が無効化され、アクティブ Edge がそのサイトのスタンドアローン Edge になることです。場合によっては、HA がオフになると、スタンバイ Edge が「HA オフ」設定を適用し、アクティベーションを解除する前に、Orchestrator にハートビートを送信し続け、Orchestrator が誤って HA Edge のシリアル番号を更新します。次のサイクルで、アクティブは Orchestrator にハートビートを送信します。Orchestrator はこのハートビートを新たに更新されたシリアル番号と比較してシリアル番号の不一致を検出し、アクティブ Edge のアクティベーション解除も開始します。

    これはタイミングの問題であり、一貫性はありませんが、修正しない場合は、安全を確保するためにメンテナンス期間中にのみ HA をオフにすることをお勧めします。

  • 解決した問題 77732:デュアル トランスポート レイヤー(インターネット + MPLS)を使用する拡張高可用性トポロジで展開されたサイトでは、スタンバイ Edge のサブインターフェイスに接続されたリンクのパブリック IP アドレスは表示されません。

    IPv4 管理トンネルの場合、送信元 IP アドレスは 0.0.0.0 に設定されています。これは、誤った HA インターフェイスの FSM (Finite State Machine) アクションが原因です。具体的には、HA の wait_for_peer タイマーが期限切れになると、インターフェイスの同期情報を適用して、スタンバイ Edge から発生した IP アドレス更新イベントがあるかどうかを判断し、IP アドレス/ネクストホップに変更がない場合でも IP アドレスを更新するため、この問題が発生します。 

  • 解決した問題 77755:リリース 4.0.0 以降を実行している VMware SD-WAN Edge で、チェックサムが大文字で設定されている VNF(仮想ネットワーク機能)イメージを展開すると、チェックサムの不一致が原因で VNF の展開に失敗し、イメージが Edge から削除されます。

    この問題は、4.0.0 以降の Edge ソフトウェアがオペレータが設定したチェックサムと Edge で計算されたチェックサムを大文字と小文字を区別して比較することによって発生します。大文字を含む設定済みのチェックサムは、計算されたチェックサム値が一致している場合でもチェックサムの不一致を引き起こします。

    リリース 5.0.0 以降では、大文字と小文字を区別しない比較を使用して、オペレータが設定したチェックサムが Edge で計算されたチェックサムと一致することを確認します。

  • 解決した問題 78003:カスタマーがハブ/スポーク トポロジを使用している場合、VMware SD-WAN スポーク Edge からハブ Edge へのスタティック トンネルが構築されないことがあります。

    通常、スポーク Edge にすでに多数の動的 Edge 間トンネルが確立されている場合、スポークでスタティック トンネルの最大トンネル数チェックがヒットします。このチェックによって、スポークからハブへのスタティック トンネルの構築が妨げられます。

  • 解決した問題 78300:VMware SD-WAN Edge がバックアップとして設定された WAN リンクを使用している場合、このリンクに対してトンネルが起動または停止していることを示すログまたは Orchestrator イベントが生成されることがあります。

    設計上、バックアップ リンクのトンネルは確立されません。ただし、リモート エンド(通常は動的 Edge 間トンネル)からのトンネル要求は、スタックを通過するときにリンク状態を変更する可能性があります。今回の修正では、バックアップ リンクに対してトンネルの構築や破棄がログに記録されないように注意が払われています。

  • 解決した問題 78568:カスタマーが BGP を使用していて、VMware SD-WAN Partner Gateway に接続している場合、Partner Gateway は、そのサブネットの広報フラグが False に設定された後も、VMware SD-WAN Edge の VLAN サブネットを広報し続けることがあります。

    Edge が L3 BGP ネイバーとの BGP ネイバー隣接状態を解除すると、接続された Partner Gateway の 1 つが Edge VLAN サブネットの所有権を維持するため、ルートは引き続き広報されます。Partner Gateway 上の古いルートはカスタマー トラフィックに悪影響を及ぼし、存在しなくなっているルートにトラフィックがルーティングされるため、カスタマー フロー全体がドロップされる可能性があります。

    この修正を適用せずに問題を修正し、古い BGP ルートをクリアする唯一の方法は、パートナーまたはオペレータが適切なメンテナンス時間帯に Partner Gateway サービスを再起動することです。

  • 解決した問題 79132:ハブ/スポーク トポロジでスポークとして設定された VMware SD-WAN Edge の場合、VMware SASE Orchestrator ユーザー インターフェイスで [監視 (Monitor)] > [Edge] を確認すると、パブリック リンクに誤ったダウンロード帯域幅キャパシティが表示されます。

    スポーク Edge のパブリック リンクでは、リンク統計情報は、プライマリ Gateway ではなく、スポークの接続されたハブ Edge に対して測定された値でロードされます。この値は、Orchestrator にアップロードされ、ダウンロード帯域幅として表示されます。

    この問題は、スポーク Edge がスポーク/ハブ トンネルを確立した後にスポーク Edge のプライマリ Gateway が再起動されるとトリガされます。したがって、この問題を修正せずに回避する唯一の方法は、スポーク Edge およびハブ Edge でトンネルの確立後に Gateway が再起動されないようにすることです。

  • 解決した問題 80551:内部 LTE モデムを含む VMware SD-WAN Edge モデル(Edge 510-LTE および Edge 610-LTE)では、CELL インターフェイスの IPv6 アドレスが変更されると、IPv6 リンク経由の LTE トンネルが不安定になります。

    CELL インターフェイスの IPv6 アドレスが変更されるたびに(DHCP リースの期限切れなどが原因)、IPv6 トンネルが不安定になります。これは、トンネルが新しい IPv6 アドレスではなく古い IPv6 アドレスを引き続き使用するためです。

    この修正を行わない場合、問題を修正する唯一の方法は、Edge のサービスを再起動することです。

  • 解決した問題 80654:拡張された高可用性トポロジで設定されたサイトの場合、VMware SD-WAN スタンバイ Edge の WAN リンクにおいてトラフィックの断続的なドロップが発生することがあります。

    パス フラップ(頻繁なパスの追加と削除)が発生すると、特定のタイミング シナリオでアクティブ Edge とスタンバイ Edge 間の TCP 接続がリセットされ、スタンバイ Edge の WAN リンクを通過するトラフィックのパケット ドロップが発生します。

  • 解決した問題 81196:ユーザーが工場出荷時のデフォルト パスワードを使用して、無効化された VMware SD-WAN Edge のローカル ユーザー インターフェイスにログインできません。

    ユーザーは、ローカル ユーザー インターフェイスで [設定のリセット (Reset Setting)] > [設定のリセット (Reset Configuration)] を使用するか、VMware SASE Orchestrator で Edge の [リモート アクション (Remote Actions)] > [Deactivate (無効化)] を選択して、Edge を「無効化」できます。  ユーザーが Edge を「無効化」した後、すべての設定がクリアされ、ローカル ユーザー インターフェイスのログイン認証情報がデフォルト値に戻るはずですが、そうではありません。認証情報はアクティベーション解除前と同じままであり、ユーザーがローカル ユーザー インターフェイスのデフォルト認証情報を他の値に変更した場合、その新しい値は Edge のアクティベーション解除後も維持されます。ローカル ユーザー インターフェイスの認証情報が更新されなかった場合、アクティベーション解除の前後の認証情報はデフォルトのままであるため、この問題はありません。

  • 解決した問題 81224:高可用性トポロジを使用して展開されたサイトで HA フェイルオーバーが発生すると、OSPF ルート タグが HA フェイルオーバー後に伝達されない場合があります。

    HA フェイルオーバーで、OSPF 外部 LSA(リンク状態の広報)にルート タグがないため、ルーティングが正しく行われず、カスタマー トラフィックに悪影響を及ぼします。

  • 解決した問題 81517:拡張高可用性トポロジで展開された、VMware SD-WAN Edge モデル 6x0 を使用するサイトで、HA リンクの状態が適切に更新されません。

    HA リンクは、拡張 HA Edge ペアを接続するリンクです。このリンクが正しく更新されない場合、サイトに問題がある可能性があります。

  • 解決した問題 89217:6x0 モデル ライン(610、610N、610-LTE、620、620N、640、640N、680、680N)の VMware SD-WAN Edge が理由なく突然パワーオフすることがあります。

    6x0 Edge では、前方の状態 LED と後方のイーサネット ポート ライトの両方のすべてのライトがオフになり、Edge の電源を手動で入れ直すことによってのみリカバリできます。

    この問題は、v20M 以前の PIC ファームウェア バージョン(v20L、v20K、v20J)を使用する Edge 6x0 ライン専用の PIC マイクロコントローラに起因しています。この問題は、6x0 Edge が v20M 以前の PIC バージョンを使用している場合にのみ発生しますが、このバージョンでもパワーオフの問題が発生することはまれです(約 1/1,000)。この問題は、PIC ファームウェア バージョンが v20N 以降の 6x0 Edge では発生しません。

    注:5.x を使用する Orchestrator で PIC バージョンを含む 6x0 Edge のファームウェアを特定するには、その Edge の [監視 (Monitor)] > [Edge] > [概要 (Overview)] ページに移動し、Edge 情報、デバイス バージョン、デバイス ファームウェアを含む Edge 名の横にあるドロップダウン情報ボックスをクリックします。

    この問題は、6x0 Edge を PIC バージョン v20N を含むプラットフォーム ファームウェア 1.3.0 (R130-20220328-GA) にアップグレードすることで解決されます。これを行うには、6x0 Edge をリリース 5.x(5.0.0 以降)を使用する VMware SASE Orchestrator に接続し、6x0 Edge もリリース 5.x ビルドを使用している必要があります。次に、Edge のソフトウェア バージョンが変更されるのと同じ方法で、6x0 Edge プラットフォーム ファームウェアをバージョン 1.3.0 (R130-20220328-GA) に更新します。

    Orchestrator へのプラットフォーム ファームウェア バンドルのアップロードについては、『VMware SD-WAN オペレータ ガイド』の「新しい Orchestrator UI を使用したプラットフォーム ファームウェアと工場出荷時イメージ」セクションを参照してください。

    6x0 Edge のプラットフォーム ファームウェアの更新については、『VMware SD-WAN 管理ガイド』の「Edge 情報の表示または変更」セクションを参照してください。

    注:ユーザーが Edge を下位のソフトウェア リリース(たとえば、リリース 4.3.1 または 4.5.1)に保持することを希望する場合、カスタマーは一時的に Edge を 5.x ビルドにアップグレードし、バージョン 1.3.0 (R130-20220328-GA) へのプラットフォーム ファームウェアのアップグレードを実行して PIC バージョンを v20N にし、それから Edge のソフトウェアをユーザーが希望するバージョンにダウングレードすることができます。6x0 Edge のソフトウェアを以前のバージョンにダウングレードしても、Edge のプラットフォーム ファームウェアはダウングレードされず、Edge はプラットフォーム ファームウェア バージョン 1.3.0 (R130-20220328-GA) を引き続き使用します。このユースケースでは、リリース 5.x を使用している Orchestrator にカスタマーの Edge が配置されている必要があります。

    注:6x0 Edge がバージョン 5.x を使用していない Orchestrator 上に配置されていて、この問題が発生したために PIC ファームウェアの更新が必要な場合は、VMware SD-WAN サポートに問い合わせると、Edge の PIC バージョンを手動で更新してもらうことができます。

Orchestrator で解決した問題

Orchestrator バージョン R5002-20220517-GA で解決した問題

Orchestrator ロールアップ バージョン R5002-20220517-GA は、2022 年 5 月 17 日にリリースされました。

この Orchestrator ロールアップ ビルドは、Orchestrator ロールアップ バージョン R5001-20220317-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 81960:VMware Cloud Web Security サービスを使用している場合に、DLP ルールまたは Web ルールを設定すると、VMware SASE Orchestrator のユーザー インターフェイスには、選択された項目の数が表示されますが、カテゴリ内のすべての項目が選択されているかどうかが一目でわかるような表示がありません。

    このユーザー インターフェイスでは、選択したルールの合計数が表示されるだけではなく、[すべてのタイプが選択されました (All Types Selected)] も表示される必要があります。このすべてのタイプに該当するのは、[DLP ルール アプリケーション (DLP Rule Applications)]、[DLP ルール ドキュメント タイプ (DLP Rule Document Types)]、[DLP ルール ファイル タイプ (DLP Rule File Types)]、[DLP ルール カテゴリ (DLP Rule Categories)]、[DLP ディクショナリ (DLP Dictionaries)]、[Web ルール カテゴリ (Web Rule Categories)]、および [Web ルールの脅威 (Web Rule Threats)] です。これにより、ユーザーは指定したタイプのすべてのルールが選択されているかどうかを一目で確認できます。

  • 解決した問題 84600:ディザスタ リカバリ (DR) トポロジを使用する VMware SASE Orchestrator をリリース 4.5.0 または 5.0.0.1 にアップグレードすると、スタンバイ Orchestrator の Cloud Web Security および Secure Access サービスが再起動を繰り返していることをオペレータが認識する場合があります。

    これは、スタンバイ Orchestrator でのみ発生し、サービスに影響しないため、カスタマーへの影響はありません。ただし、オペレータは、数秒ごとに再起動する Cloud Web Security および Secure Access(「ztnad」と表示)サービスに関するスタンバイ Orchestrator のログが記録されていることに気付きます。この問題は、各サービスがスタンバイ Orchestrator への API 呼び出しを行いますが、Orchestrator が要求に対処できないために呼び出しに失敗することが原因で発生します。

  • 解決した問題 84969:4.2.x リリースを実行している VMware SD-WAN Edge が、オーバーライドされたデフォルト以外の管理 IP アドレスを使用して設定されている場合、4.3.x 以降を実行している VMware SD-WAN Orchestrator でリリース 4.3.x 以降にアップグレードされると、Edge は設定されたオーバーライド済みの管理 IP アドレスを失う場合があります。

    4.3.x 以降を実行している Orchestrator は、Edge を 4.2.x から 4.3.x 以降のビルドにアップグレードするときにループバック インターフェイスを自動的に作成せず、Edge に対して上書きされたデフォルト以外の管理 IP アドレスも保持しません。

  • 解決した問題 85291:ディザスタ リカバリ (DR) トポロジを使用する VMware SASE Orchestrator を Orchestrator リリース ビルド 5.0.0.0 または 5.0.0.1 にアップグレードすると、DR が失敗する場合があります。

    オペレータ イベントで、オペレータは「DR 設定の失敗 (DR Configuration Failure)」という名前のイベントと「警告: アクティブ サーバがスタンバイの DR 状態を取得できません...証明書ファイルへのアクセスに失敗したため、安全な API 呼び出しを開始できませんでした...(Warning: active server is unable to get standby DR status...accessing the cert file is failed to initiate a secure API call...)」というメッセージがあることを認識します。DR の失敗は、自己署名証明書の Root of Trust(信頼の基点)を読み取る際のアクセス権の問題が原因で発生します。

  • 解決した問題 85338:ディザスタ リカバリ (DR) トポロジを使用する VMware SASE Orchestrator を Orchestrator リリース ビルド 5.0.0.0 または 5.0.0.1 にアップグレードすると、管理設定がオペレータ プロファイルから削除されます。

    削除される管理設定としては、次の 3 つの形式の Orchestrator アドレスが該当します。FQDN アドレス、Orchestrator IPv4 アドレス、および Orchestrator IPv6 アドレス(該当する場合)。この修正を行わない場合、オペレータは該当する Orchestrator アドレスのフィールドを再設定する必要があります。そうしない限り、オペレータ プロファイルは有効になりません。

  • 解決した問題 85412:ディザスタ リカバリ (DR) トポロジを使用する VMware SASE Orchestrator を Orchestrator リリース ビルド 5.0.0.0 または 5.0.0.1 にアップグレードすると、[データベースのコピー (Copy DB)] ステージでエラーが発生して DR が失敗する場合があります。

    複製プロセスの一部としてスタンバイ Orchestrator データベースが転用されており、MySQL ステートメントが正しくないためにスタンバイのデータベースで特定のテーブルを作成できず、DR プロセスを先に進めることができません。

  • 解決した問題 86083:VMware Cloud Web Security サービスを使用している場合、Cloud Web Security のイベント ログに VMware SASE Orchestrator ユーザー インターフェイスの重要な詳細が記録されません。

    イベント ログには、次の詳細が含まれません。

    • 設定変更の場合、ユーザー名はイベントに含まれますが、変更の内容は含まれません。
    • Cloud Web Security ルールが削除されると、Orchestrator は削除されたデータをイベントに含めません。
    • 認証を有効または無効にしても、イベントのタイムスタンプは含まれません。
    • CASB イベントの場合、アプリケーション ID のみが含まれ、アプリケーション名は含まれません。
  • 解決した問題 86573:リリース 5.0.0.1 を使用する VMware SASE Orchestrator で 3.4.x リリースを使用する VMware SD-WAN Edge のリモート診断を実行すると、診断がタイムアウトし、Orchestrator ユーザー インターフェイスに結果が表示されません。

    3.4.x Edge がライブ モードの通信を使用し、RealtimeConnection(Edge バージョン 4.x で導入)をサポートせず、Orchestrator のバージョンが 5.x の場合、リモート診断のユーザー インターフェイス ページが停止し、結果が返されません。

  • 解決した問題 88796:VMware SASE Orchestrator または VMware SD-WAN Gateway のいずれかを展開し、vSphere で OVA を使用すると、展開の一部として設定された OVF プロパティ(パスワード、ネットワーク情報など)がイメージに適用されず、展開後はシステムにアクセスできなくなります。

    これは、OVF/vApp プロパティを使用して(ISO ファイルを使用した場合ではなく)OVA から展開された新しいシステムにのみ影響します。この問題は、最近の更新での cloud-init へのアップストリームの変更が原因で発生します。

    この修正を適用しない場合の回避策は、オペレータが cloud-init ユーザーデータ ISO ファイルを使用してシステムを展開することです。

    注:この問題は Gateway と Orchestrator の両方のビルドに影響しますが、この修正は Orchestrator ビルドにのみ適用されます。Gateway ビルドに影響する問題は、同じ番号 (88796) の既知の問題チケットとして追跡されます。

  • 解決した問題 89005:VMware Cloud Web Security サービスを使用している場合、ユーザーは VMware SASE Orchestrator で既存の SAML 認証を有効化または無効化できません。

    ユーザーが [Cloud Web Security] > [設定 (Configure)] > [認証 (Authentication)] > [SAML 認証を有効にする (Enable SAML Authentication)] に移動して有効な情報を入力すると、変更の保存 (Save Changes) をクリックした後、設定が失敗し、「adminSaml」は許可されません ("adminSaml" is not allowed) というエラー メッセージが表示されます。 

___________________________________________________________________

Orchestrator バージョン R5001-20220317-GA で解決した問題

Orchestrator バージョン R5001-20220317-GA は 2022 年 3 月 18 日にリリースされました。この Orchestrator ビルドは、Orchestrator バージョン R5000-20220225-GA 以降のいくつかの重大な問題に対処しています。

  • 解決した問題 69573:カスタマーが VMware Secure Access を使用している場合、リモート アクセス サービスを作成するときに [エンタープライズとネットワークの設定 (Enterprise & Network Settings)] 画面で検証に失敗すると、[次へ (Next)] ボタンが想定どおりに灰色で表示されますが、エラー メッセージが表示されません。

    リモート アクセス サービスを作成する場合、ユーザーが [カスタマー サブネット (Customer Subnet)] または [サブネット ビット (Subnet Bits)] フィールドに無効なデータを入力したときに、これらのフィールドの下に設定が失敗した理由を説明するエラー メッセージが表示されません。

  • 解決した問題 76994:カスタマーが VMware Cloud Web Security サービスを使用している場合、Cloud Web Security を使用しているカスタマーのサービスが VMware SASE Orchestrator でオペレータによって削除され、その後カスタマーにリストアされると、Cloud Web Security のユーザー インターフェイスが使用できなくなり、複数のエラーが発生します。

    Orchestrator の [Cloud Web Security] セクションにログインしているユーザーがセキュリティ ポリシーを設定しようとすると複数のエラーが表示され、サービス自体が動作している間、カスタマーは既存のポリシーを変更できません。

  • 解決した問題 78688:Zscaler クラウド セキュリティ サービス (CSS) を使用しているカスタマーをホストする VMware SASE Orchestrator で CPU 使用率の急増が発生し、プロセス要求の遅延が大きくなり、Orchestrator が Edge の健全性統計情報を更新しなくなる場合があります。  

    Orchestrator Edge の健全性統計情報処理のデータベース ルックアップが最適化されず、Orchestrator による CPU 使用率が増加します。

  • 解決した問題 83538:カスタマーが Secure Access サービスを使用している場合、リモート アクセス サービスを作成するときに、[エンタープライズとネットワークの設定 (Enterprise & Network Settings)] 画面に内部エラー メッセージ キーが表示されます。

    リモート アクセス サービスを作成するときに、ユーザーが [カスタマー サブネット (Customer Subnet)] または [サブネット ビット (Subnet Bits)] フィールドに無効なデータを入力した場合、これらのフィールドの下に未変換のエラー メッセージが表示されます。このエラー メッセージはユーザーにとって意味がなく、フィールドの無効なデータに関する実際の問題の解決方法を説明したものではありません。

  • 解決した問題 83550:DLP (Data Loss Prevention) 機能を使用してセキュリティ ポリシーを設定する Cloud Web Security サービスを使用しているカスタマーの場合、VMware SASE Orchestrator ユーザー インターフェイスで DLP アクティビティを監視すると、[日付別のブロック数 (Block Count by Date)] 画面を表示できません。

    [Cloud Web Security] > [監視 (Monitor)] > [DLP] 画面には、「dlp top block count by date を取得中にエラーが発生しました - バンクエンド エラー (error while getting dlp top block count by date - Backend Error)」というメッセージ バナーも表示されます。[脅威の発生元 (Threat Origins)] および [ユーザー別のブロック数 (Block Count by User)] の両方の画面がこのページに正しく表示されます。

  • 解決した問題 83582:VMware SASE Orchestrator をリリース 4.5.0 からリリース 5.0.0 にアップグレードすると、プロセスに予想以上の時間がかかり、プロセスが完了するまですべての Orchestrator サービスを使用できません。

    代わりに LRQ スキーマを更新する必要がある場合、アップグレード中に Edge 統計情報テーブルが更新されるまで、スキーマの更新に 15 分以上かかることがあります。これにより、Orchestrator の更新が完了するまでに大きな遅延が発生します。

  • 解決した問題 83902:ディザスタ リカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、Orchestrator をリリース 5.0.0 にアップグレードすると、アクティブ Orchestrator とスタンバイ Orchestrator 間の DR 同期が失敗することがあります。

    DR 同期の「データベースのコピー」フェーズで、「データベースのコピーに失敗しました (Failure Copying DB)」というエラー メッセージがオペレータ ユーザーの Orchestrator ユーザー インターフェイスに表示されることがあります。  Orchestrator のログに、次のエントリが記録されます。Error running mysql schema copy: ERROR 1049 (42000) at line 4116: Unknown database 'velocloud_ztnad'

  • 解決した問題 83940:カスタマーが VMware Cloud Web Security を使用している場合、標準ライセンスを使用しているカスタマーは、VMware SASE Orchestrator ユーザー インターフェイスで [DLP (Data Loss Prevention)] ページと [CASB アプリケーション制御 (CASB Application Control)] ページの両方のページを表示できます。

    Cloud Web Security Standard ライセンスを持つカスタマーは、DLP または CASB アプリケーション制御機能へのアクセス権がないため、これらの機能のページはユーザー インターフェイスに表示されてはいけません。この問題は、Cloud Web Security ユーザー インターフェイスでルート設定が見つからないことが原因で発生します。

  • 解決した問題 84286:カスタマーが VMware Cloud Web Security サービスを使用している場合、読み取り専用権限を持つユーザーは、時間間隔を選択するまで [Cloud Web Security] > [イベント (Events)] ページにログを表示できません。

    読み取り専用ユーザーの [Cloud Web Security] > [イベント (Events)] ページは空白になり、表示するログがないことを示します。ただし、ユーザーが新しい時間間隔を選択すると、その時間間隔の正しいログが表示されます。

  • 解決した問題 84297:カスタマーが VMware Cloud Web Security を使用している場合、読み取り専用ユーザーは [コンテンツ インスペクション エンジン (Content Inspection Engine)] と [認証 (Authentication)] ページの Cloud Web Security 設定を編集できます。

    VMware SASE Orchestrator は、選択した Cloud Web Security 設定ページに対して読み取り専用ユーザーのロールを適切に適用しません。 

  • 解決した問題 84299:カスタマーが VMware Cloud Web Security を使用している場合、セキュリティ管理者ロールまたはセキュリティ読み取りロールを持つカスタマー管理者は、VMware SASE Orchestrator ユーザー インターフェイスで [Cloud Web Security] > [監視 (Monitor)] ページを開くことができません。

    セキュリティ ロール(管理者および読み取り)を持つカスタマー管理者には、Orchestrator によって Cloud Web Security の [監視 (Monitor)] ページを表示するために必要な権限が付与されていません。

  • 解決した問題 84300:カスタマーが VMware Cloud Web Security サービスを使用している場合、読み取り専用ロールを持つカスタマー管理者は、[設定 (Configure)] > [DLP] ページから監査者のメール アドレスを削除できます。

    Cloud Web Security の読み取り専用状態のカスタマー管理者ロールは次のとおりです。カスタマー サポート、セキュリティ読み取り、ネットワーク管理者。これらの管理者は誰でも、[Cloud Web Security] > [設定 (Configure)] > [DLP 設定 (DLP Settings)] の順に移動し、[監査者 (Auditors)] タブで、DLP のアラート メールを受信する監査者の設定済みメール アドレスを削除できます。

___________________________________________________________________

バージョン R5000-20220225-GA で解決した問題

Orchestrator バージョン R450-20220203-GA 以降で解決した問題は次のとおりです。 

  • 解決した問題 52301:有効化された Gateway の [カスタマー使用状況 (Customer Usage)] グリッドの [Gateway タイプ (Gateway Type)] 列のフィルタが、VMware SASE Orchestrator で正しく機能しません。

    有効化された Gateway の [概要 (Overview)] ページにいる場合、ユーザーは [Gateway タイプ (Gateway Type)] で効果的にフィルタリングすることができません。

  • 解決した問題 54015:ユーザーは、VMware SASE Orchestrator で特殊文字とスクリプトを使用して ICMP プローブ名を設定できます。

    ICMP プローブ名の入力にスクリプト '<script>alert('test');</script>' と 'test<script>alert('test');</script>' を使用して ICMP プローブを設定すると、「保存中にフィールドに安全でない文字「<」と「>」が見つかりました (An unsafe character “<” and “>” was found in a field while saving)」というエラーが表示されます。  返されるべき内容は次のとおりです。{"error":{"code":-32603,"message":"script injection error"}}  

  • 解決した問題 61182:VMware SASE Orchestrator の新しいユーザー インターフェイスで、Edge または Gateway のいずれかの BGP の状態が「削除済み (Removed)」に変更されると、Orchestrator にネイバーの状態が表示されません。

    これは表示の問題のみですが、BGP 状態が「削除済み (Removed)」に変わる正しい状態を取得していないユーザーには混乱を招きます。

  • 解決した問題 62456:VMware SASE Orchestrator の新しいユーザー インターフェイスで、ユーザーはサービスを選択せずにクラウド セキュリティ サービス (CSS) を有効にできます。

    ユーザーは、新しいユーザー インターフェイスでサービスなしで CSS を設定し、エラーなしで保存できます。  クラシック ユーザー インターフェイスは想定どおりに動作し、エラーが発生します。この問題は、CSS 設定が有効になっているのにサービスが選択されていない VMware SD-WAN Edge で発生する可能性があります。その後、Edge はユーザー通知やイベントなしで CSS 設定を自動的に無効にします。

  • 解決した問題 62459:VMware SASE Orchestrator の新しいユーザー インターフェイスで、Zscaler タイプのクラウド セキュリティ サービス (CSS) を設定するときに、L7 健全性チェック オプションが表示されません。

    L7 健全性チェック オプションはクラシック ユーザー インターフェイスに表示されますが、新しいユーザー インターフェイスを使用している場合は表示されません。Zscaler CSS を使用する多くのカスタマーにとって、この機能は非常に重要であるため、これは重要な欠落です。

  • 解決した問題 63605:VMware SASE Orchestrator の新しいユーザー インターフェイスで、ユーザーはクラウド セキュリティ サービスの MD5 ハッシュ オプションを設定できます。

    MD5 はリリース 4.5.0 以降で廃止されたオプションであり、4.5.0 以降の Orchestrator では CSS のオプションとして表示されません。

  • 解決した問題 66226:VMware SASE Orchestrator の新しいユーザー インターフェイスで、ユーザーがブラウザ ユーザー インターフェイスの折りたたまれた「アコーディオン」セクション内にいくつかの無効なフィールドを設定した場合、ユーザーにはそのアコーディオンに対する有効性インジケータがないため、変更を保存できない理由を理解できません。

    ユーザーがフィールドに無効なデータを入力し、そのセクションを折りたたんでそのユーザー インターフェイス ページの他のセクションを見ると、ユーザーは変更を保存できませんが、折りたたまれたアコーディオン セクションは無効としてマークされていません。ユーザーが実行できる唯一のアクションは、アコーディオン セクションを展開して無効なフィールドを確認することです。

  • 解決した問題 67179:クラウド セキュリティ サービスを設定しているカスタマーの場合、CSS プロバイダのトンネリング プロトコルが GRE から IPsec に変更された場合、その CSS を使用する Edge の [設定 (Configure)] > [デバイス (Device)] > [クラウド セキュリティ サービス (Cloud Security Service)] セクションを見ると、[認証情報 (Credentials)] セクションに空の FQDN 行が表示されます。

    CSS プロバイダが GRE から IPsec に変更されると、CSS 認証情報用に以前に入力された FQDN 行が空になります。これは表示の問題ですが、それでも、カスタマー ユーザーが認証情報を確認しようとする際の障害になります。

  • 解決した問題 67784:VMware SASE Orchestrator のクラシック ユーザー インターフェイスで、6 つ以上の WAN リンクを使用している Edge の場合、[監視 (Monitor)] > [QoE] タブを参照すると、一致するはずの QoE グラフごとに各リンクのテキスト ラベルがずれているのが確認されます。

    これは、6 つ以上の WAN リンクのそれぞれの QoE 状態をユーザーが一目で確認するのを妨げる表示問題です。

  • 解決した問題 69240:ビジネス スペシャリスト ロールを持つパートナー管理者がリリース 4.5.0 を実行している VMware SASE Orchestrator にログインすると、管理者はカスタマーの詳細を確認できます。

    ビジネス スペシャリスト ロールを持つパートナー管理者は、パートナーがサポートしているカスタマー アカウントを作成および変更するように設計されています。このロールは、カスタマー設定を表示できないようにする必要があります。

  • 解決した問題 69981:VMware SASE Orchestrator の [監視 (Monitor)] > [Edge (Edges)] ページと [監視 (Monitor)] > [ネットワーク サービス (Network Services)] ページを見ると、トンネル全体の状態の表示が異なります。

    ユーザーが [監視 (Monitor)] > [Edge (Edges)] ページにアクセスしてトンネル全体の状態を確認し、この状態を [監視 (Monitor)] > [ネットワーク サービス (Network Services)] ページに表示される状態と比較すると、[クラウド セキュリティ サービス (CSS) (Cloud Security Service (CSS))] セクションのトンネル全体の状態が、[監視 (Monitor)] > [Edge (Edges)] ページに表示される状態と一致しない場合があります。

  • 解決した問題 71778:ディザスタ リカバリ (DR) トポロジに展開された VMware SASE Orchestrator をリリース 4.5.0 にアップグレードすると、オペレータは Non SD-WAN Destination (NSD) オブジェクトの Gateway を手動で切り替えることができません。

    Gateway を切り替える API 呼び出しが 4.5.0 以降で要求検証の適用を開始しましたが、Orchestrator ユーザー インターフェイス クライアントが API に必要なパラメータを提供しませんでした。

  • 解決した問題 71898:RADIUS サービスを設定するときに、設定フィールドが空のままになり、ユーザーが設定を保存しようとすると、VMware SASE Orchestrator ユーザー インターフェイスで一般的なエラーが発生します。

    「予期しないエラーが発生しました (An unexpected error has occurred)」というエラー メッセージでは、ユーザーに修正が必要な情報が提供されません。さらに、修正する必要がある設定フィールドが強調表示されません。

  • 解決した問題 72039:VMware SASE Orchestrator の [設定 (Configure)] > [デバイス (Device)] ページで作業している場合、ユーザーはセグメント対応の機能とセグメントに依存しない機能で機能を並べ替えることができません。

    一部のデバイス設定はセグメント全体に適用されますが、それ以外はセグメントごとに設定する必要があります。ユーザー インターフェイスを並べ替えて、使いやすくするためにこれらの設定を表示する方法はありません。

  • 解決した問題 74251:VMware SD-WAN Edge は、Orchestrator API を介して設定された LAN 側 NAT ルールのポート番号を考慮しません。

    この問題は、Orchestrator ユーザー インターフェイスを使用して LAN 側 NAT ルールを設定するユーザーには影響しません。LAN 側 NAT ルールの一部として設定されたポートが、VMware SASE Orchestrator によって Edge に正しくプッシュされません。updateConfigurationModule API メソッドを介して LAN 側 NAT ルールが設定され、「insidePort」または「outsidePort」の文字列値が渡された場合、Orchestrator API は以前は要求を許可していました。しかし、Edge はこれらの文字列値を考慮しません(代わりに整数を期待します)。Orchestrator API 検証ロジックが文字列値を拒否するように変更されました(さらに、API リファレンスにすでに記載されている内容と一致する方法で動作するようになりました)。

  • 解決した問題 74592:長期間(たとえば 1 年)のリンク統計情報クエリの場合、VMware SASE Orchestrator で結果が返されるまでに長い時間がかかります。

    enterpriseLogicalID がなく、Orchestrator でタイムスタンプ形式を確認するための十分なコードのチェックが行われていないため、クエリに長い時間がかかります。

  • 解決した問題 75117:診断バンドルを参照すると、重要度の高い他のログ エントリを除外する「DNS キャッシュの上限に達しました。キャッシュ エントリを追加できませんでした」というログ エントリが大量に記録されていることがあります。

    VMware SD-WAN ハードウェア Edge で DNS クエリが 32K を超えると、DNS キャッシュのログが継続的に生成され、他のログ エントリが除外されます。これにより、ユーザーは診断バンドルのログを参照して、別の問題をトラブルシューティングすることができなくなります。

  • 解決した問題 75431:VMware SASE Orchestrator の新しいユーザー インターフェイスで Non SD-WAN Destination (NSD) 設定を調べるときに、「ローカル認証 ID (Local Auth ID)」(FQDN 情報)が見つかりません。

    [監視 (Monitor)] > [ネットワーク サービス (Network Services)] > [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] の順に移動して、[詳細 (Details)] を選択すると、FQDN 情報を含む [ローカル認証 ID (Local Auth ID)] フィールドが表示されません。  この情報は、クラシック ユーザー インターフェイスでは正しく表示されます。

  • 解決した問題 75895:一部の CSS トンネル イベントで、Edge クラウド セキュリティ サービス (CSS) トンネル アラートの生成がスキップされることがあります。

    カスタマーがクラウド セキュリティ サービスを使用して Edge を設定していて、Edge にトンネルのアップ/ダウン イベントが同時に存在する場合、VMware SASE Orchestrator ですべてのイベントのアラートを生成できないことがあります。

  • 解決した問題 76008:VMware SASE Orchestrator でエンタープライズのクローンを作成するときに、選択したオペレータ プロファイルが最初に親エンタープライズに割り当てられていない場合、クローン作成操作が失敗します。

    クローン作成中のエンタープライズに割り当てられていないソフトウェア イメージが新しいエンタープライズに割り当てられている場合、API 呼び出しはエラーを表示して失敗します。

    この修正を適用しない場合、この問題の回避策は、最初にクローン作成されたエンタープライズと同じソフトウェア イメージを新しいエンタープライズに割り当ててから、後で目的のオペレータ プロファイルに変更することです。

  • 解決した問題 76036:VMware SASE Orchestrator で、パートナーの [パートナーの概要 (Partner Overview)] ページまたは [設定 (Configure)] > [カスタマー (Customer)] ページにアクセスしようとすると、「予期しないエラーが発生しました」というメッセージが表示されて、ページの読み込みに失敗します。

    「enterpriseProxy /getEnterpriseProxyGatewayPools」API がタイムアウトするため、そのパートナーによってサポートされているカスタマーの [パートナーの概要 (Partner Overview)] ページや [設定 (Configure)] > [カスタマー (Customer)] ページの読み込みに失敗することがあります。  これらのページが読み込まれないトリガは、多数の Gateway プールと Gateway が含まれている場合です。これにより、ページで使用される enterpriseProxy/getEnterpriseProxyGatewayPools API がタイムアウトになり、各ユーザー インターフェイス ページでのページの読み込みの問題が発生する可能性があります。

  • 解決した問題 76078:VMware SASE Orchestrator を 4.5.0 にアップグレードすると、一部のロール権限が削除されます。ロール カスタマイズ パッケージに権限のリストが含まれている場合、パッケージは Orchestrator に適用されません。

    Orchestrator を下位リリースから 4.5.0 にアップグレードした後、4.5.0 で削除された権限のリストがそのパッケージで使用可能な場合、Orchestrator は既存のロール カスタマイズ パッケージを適用しません。

  • 解決した問題 77136:カスタマー エンタープライズをある VMware SASE Orchestrator から別の Orchestrator に移行すると、シングル サインオン (SSO) 設定が正常に移行されません。

    エンタープライズを別の Orchestrator に移行した後、SSO の詳細を手動で再設定する必要があるため、これは、カスタマーにとって大きな問題です。

  • 解決した問題 77159:ユーザーはネットマスク指定が 0 の不正なネットワーク プレフィックスを使用してスタティック ルートを設定できるため、カスタマー トラフィックの重大な中断が発生する可能性があります。

    Orchestrator は、ネットマスクが 0 の不正なネットワーク プレフィックス(2.2.2.2/0 など)の検証を行わず、代わりにこのルートを FIB にインストールします。スタティック ルートのプレフィックスは 0 であるため、クラウドに送信されるトラフィックが大量に選択され、そのトラフィックがドロップされる可能性があります。 

  • 解決した問題 77515:スーパー ユーザー ロールを持つパートナー管理者が [設定 (Configure)] > [カスタマー (Customer)] ページでソフトウェア イメージをカスタマーに割り当てると、変更を保存しようとするときにエラーが発生し、アクションが失敗します。

    「割り当てられたソフトウェア イメージのリストを変更しました (Modified the assigned software image list)」イベントをログに記録して、「割り当てられたソフトウェア/ファームウェア イメージ (Assigned Software/Firmware Images)」を更新しているパートナー ユーザーの場合、「removedSoftwareImages」の下でそのイベントに対して削除されたソフトウェア/ファームウェア イメージがない場合、特定のオペレータの VELOCLOUD_CONFIGURATION_MODULE にあるすべての imageUpdate モジュールのイメージを処理して一覧表示していました。実際には、パートナー ユーザーがアクションを実行すると、このプロセスのロジックが破損し、エラーが発生して、カスタマーのデフォルトのソフトウェア イメージを変更できません。

  • 解決した問題 78684:Microsoft Azure Virtual Hub タイプの Gateway 経由の VMware Non SD-WAN Destination の場合、ユーザーがこの Azure NSD の [設定の再同期 (Resync Configuration)] を実行すると、VMware SASE Orchestrator は NSD スタティック ルートを伝達しません。

    Azure NSD に対して [設定の再同期 (Resync Configuration)] が選択されるたびに、これらのアクションを実行する API の問題が原因で、ルートはオーバーレイ フロー制御(テーブル)または Edge のデバイス設定に伝達されません。

  • 解決した問題 80593:VMware SASE Orchestrator のローカライズが英語以外の言語に変更される場合、[リモート診断 (Remote Diagnostics)] ページで使用される権限に対するユーザーの拒否権限は効果がありません。

    Orchestrator のロケールが英語以外の言語に変更される場合、[リモート診断 (Remote Diagnostics)] ページで使用される権限に対するロール カスタマイズ パッケージの権限が適用されません。この問題の理由は、Orchestrator のロール権限チェックが変換された値で行われますが、文字列の一致条件に失敗している変換されていない値と比較されるためです。

  • 解決した問題 80930:Edge 経由の Non SD-WAN Destination を使用しているカスタマーの場合、その Edge のビジネス ポリシー ルールが作成されると、VMware SASE Orchestrator は、Edge 経由の NSD が設定した各 IPsec トンネルに対して重複する IPsec トンネル設定を作成することもあります。これらの重複が作成されると、カスタマー ユーザーは複数のエラーをスローせずに Edge に対してこれ以上の設定変更を行うことができなくなります。

    Orchestrator ユーザー インターフェイスに表示されるエラーは次のようになります。Edge セグメント「セグメント名」のブランチから Edge 経由の Non SD-WAN Destination サービス「サービス名」は同じ WAN リンクを使用して重複するトンネルを追加できません。(Edge Segment "Segment Name" Branch to Non SD-WAN Destination via Edge service "Service Name" cannot add duplicated tunnels with same WAN link.)この問題は現場で一度観察されたものであり、エンジニアリングによって正常に再現されていないため、まれな問題であることがわかります。  これは、Edge がすでに持つすべての IPsec トンネルに重複を追加するビジネス ポリシーが作成されるときに、Orchestrator が追加の API 呼び出しを行うことが原因で発生します。 

    この問題を解決する唯一の方法は、重複するエントリを削除してから、設定の詳細を再入力することです。

  • 解決した問題 80963:[Edge] > [監視 (Monitor)] > [QoE] タブで時間間隔の範囲を変更すると、選択した時間間隔の範囲に応じて、あるタイムスタンプで反映されたサンプルが変更され、新しいタイムスタンプにずれることがあります。

    サンプル サイズの丸めの問題により、[QoE] タブでクエリされる時間範囲が長い場合、タイムスタンプが前にずれる原因となります。たとえば、午前 10 時 2 分に発生したイベントは、小さな時間範囲(1 時間など)に対しては適切に表示されますが、より大きな時間範囲(6 時間など)でクエリを実行すると、サンプルがより前(たとえば午前 10 時)に表示され、ユーザーを混乱させる場合があります。

  • 解決した問題 81396:VMware SASE Orchestrator の新しいユーザー インターフェイスでは、ユーザーは VMware SD-WAN Edge のセキュリティ VNF 設定を更新できません。

    具体的に問題となるのは、セキュリティ VNF の UUID です。VM-1 IP アドレス、VM-1 ホスト名などの値を変更するときに、Orchestrator はセキュリティ VNF に新しい UUID を提供しません。セキュリティ VNF の更新は、Orchestrator のクラシック ユーザー インターフェイスで想定どおりに動作します。

  • 解決した問題 81835:VMware SASE Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge] > [QoE] ページで、WAN リンクの状態([オンライン (Online)]、[オフライン (Offline)]、[劣化 (Degraded)] など)が正確に表示されない、または選択した期間のリンク メトリックが正確に表示されない場合があります。 

    時間間隔が異なると、QoE グラフに表示される WAN リンク状態の結果が異なることがあります。また、リンクのメトリックの場合、QoE グラフには特定の QoE 値(遅延、ロス、ジッター)が表示され、その正確な時間の実際のメトリック値が反映されない場合があります。

    この問題は、異なるエンタープライズに属する複数の WAN リンクに同じリンクの論理 ID が割り当てられていることが原因で発生し、Orchestrator のリンク データ バックフィル プロセスが正常に機能しなくなります。Orchestrator は、WAN リンクの論理 ID がカスタマーのエンタープライズ ID に関連付けられていないため、誤って一意であると見なします。これにより、リンクの論理 ID が重複し、リンクのメトリックと状態が正しく表示されない可能性があります。

    この問題の修正により、リンク キーは Orchestrator のデータベースにカスタマー エンタープライズの論理 ID と WAN リンクの論理 ID の組み合わせとして格納され、各 WAN リンクが一意になります。

Secure Access で解決した問題

バージョン R5000-20220227-GA で解決した問題

バージョン R450-20210922-GA 以降で解決した問題は次のとおりです。

  • 問題 70493:カスタマーが VMware Secure Access サービス設定を編集し、Cloud Web Security ポリシーの関連付けを削除すると、設定の保存に失敗します。

    Cloud Web Security ポリシーが削除されている Secure Access サービス設定の編集が「無効な CWS ポリシー (Invalid CWS Policy)」エラーで失敗します。

Cloud Web Security で解決した問題

バージョン R5000-20220227-GA で解決した問題

バージョン R450-20210922-GA 以降で解決した問題は次のとおりです。

  • 解決した問題 79324:Cloud Web Security サービスでは、特定のアプリケーションに対して、一部の CASB アプリケーション制御が効果的にリンクされます(つまり、1 つのアプリケーションをブロックするように設定すると、別のアプリケーションもブロックされる場合があります)が、CASB 例外ルール ウィザードではそれらは個別に表示されます。

    CASB 例外ルール ウィザードでは、選択したアプリケーションの CASB アプリケーション制御がリンクされている場合にユーザーにアラートを送信するようになりました。影響を受ける制御を変更すると、他の制御も変更されます。また、リンクされた制御を持つアプリケーションのみが例外ルールにグループ化できますが、リンクされた制御を持つアプリケーションには独自の例外ルールが必要です。

既知の問題

リリース 5.0.0 での未解決の問題

既知の問題は、以下のとおり分類されています。

Edge/Gateway の既知の問題
  • 問題 14655:

    SFP アダプタを接続または取り外すと、Edge 540、Edge 840、Edge 1000 でデバイスが応答を停止し、物理的な再起動が必要になる場合があります。

    回避策:Edge を物理的に再起動する必要があります。  これは、Orchestrator で [リモート アクション (Remote Actions)] > [Edge の再起動 (Reboot Edge)] を使用するか、Edge の電源を入れ直すことで実行できます。

  • 問題 25504:

    コストが 255 より大きいスタティック ルートで、ルートの順序設定が予期しない結果になる可能性があります。  

    回避策:0 と 255 の間のルート コストを使用します。

  • 問題 25595:

    WAN オーバーレイ上の静的 SLA への変更を適切に機能させるために、再起動が必要になる場合があります。  

    回避策:WAN オーバーレイからの静的 SLA の追加と削除後、Edge を再起動します。

  • 問題 25742:

    VMware SD-WAN Gateway に対する最大容量が Gateway に接続されていないプライベート WAN リンクの容量よりも少ない場合でも、アンダーレイが考慮されたトラフィックの上限がこの最大容量に制限されます。  

  • 問題 25758:

    USB WAN リンクが、ある USB ポートから別の USB ポートにスイッチされると、VMware SD-WAN Edge が再起動されるまで、正常に更新されない場合があります。  

    回避策:1 つのポートから別のポートに USB WAN リンクを移動した後に Edge を再起動します。

  • 問題 25855:

    Partner Gateway(200 BGP が設定された VRF など)で大規模な設定の更新があると、VMware SD-WAN Gateway を経由する一部のトラフィックで遅延が約 2 ~ 3 秒増加する可能性があります。

    回避策:回避策はありません。

  • 問題 25921:

    ハブに 3,000 個のブランチ Edge が接続されている場合、VMware SD-WAN ハブの高可用性のフェイルオーバーにかかる時間が予想よりも長くなります(最大 15 秒)。  

  • 問題 25997:

    スイッチ ポートに変換されたルーテッド インターフェイスでトラフィックを適切に渡すために、VMware SD-WAN Edge で再起動が必要になる場合があります。  

    回避策:設定を変更した後で、Edge を再起動します。

  • 問題 26421:

    クラスタへのトンネルを確立するには、すべてのブランチ サイトのプライマリ Partner Gateway も VMware SD-WAN ハブ クラスタに割り当てる必要があります。  

  • 問題 28175:

    NAT IP アドレスが VMware SD-WAN Gateway インターフェイスの IP アドレスと重複していると、ビジネス ポリシー NAT が失敗します。  

  • 問題 31210:

    VRRP:ARP が VRRP の仮想 IP アドレスに対して LAN クライアントで解決されません。これは、VMware SD-WAN Edge がプライマリで LAN インターフェイスでグローバルでない CDE セグメントが実行されている場合に発生します。 

  • 問題 32731:

    ルートを無効にすると、OSPF 経由で広報された条件付きデフォルト ルートが正しく戻されないことがあります。ルートを再度有効にしてから再度無効にすると、正常に取り消されます。 

  • 問題 32960:

    有効化された VMware SD-WAN Edge のローカル Web ユーザー インターフェイスで、インターフェイスの「自動ネゴシエーション」と「速度」の状態が誤って表示されることがあります。

  • 問題 32981:

    DPDK が設定されたポートのハードコーディングの速度とデュプレックスで、DPDK を無効にする必要があるため、設定を有効にするために VMware SD-WAN Edge の再起動が必要になる場合があります。

  • 問題 34254:

    Zscaler CSS が作成され、グローバル セグメントで FQDN/PSK が設定されている場合、これらの設定が非グローバル セグメントにコピーされて、IPsec トンネルが Zscaler CSS に形成されます。

  • 問題 35778:

    1 つのインターフェイス上に複数のユーザー定義 WAN リンクがある場合、これらの WAN リンクのうちの 1 つのみが Zscaler への GRE トンネルを持つことができます。 

    回避策:Zscaler への GRE トンネルを構築する必要がある WAN リンクごとに、異なるインターフェイスを使用します。

  • 問題 36923:

    ハブとしてクラスタに接続されている VMware SD-WAN Edge の NetFlow インターフェイスの説明で、そのクラスタ名が正しく更新されない場合があります。

  • 問題 38682:

    DPDK が設定されたインターフェイスで DHCP サーバとして動作している VMware SD-WAN Edge が、接続されているすべてのクライアントに対して「新しいクライアント デバイス」イベントを適切に生成しないことがあります。

  • 問題 38767:

    Zscaler に GRE トンネルが設定されている WAN オーバーレイが自動検出からユーザー定義に変更されると、次に再起動するまで、古いトンネルが残ることがあります。

    回避策:Edge を再起動して、古いトンネルをクリアします。

  • 問題 39134:

    VMware SD-WAN Edge の [監視 (Monitor)] > [Edge] > [システム (System)] と、VMware SD-WAN Gateway の [監視 (Monitor)] > [Gateway (Gateways)] で、システムの健全性統計情報 [CPU の割合 (CPU Percentage)] が正しく報告されない場合があります。

    回避策:Edge キャパシティを監視するために、ユーザーが CPU の割合ではなくハンドオフ キューのドロップ数を使用する必要があります。

  • 問題 39374:

    VMware SD-WAN Edge に割り当てられた VMware SD-WAN Partner Gateway の順序を変更すると、帯域幅のテストに使用されるローカル ゲートウェイとしてゲートウェイ 1 が正しく設定されない場合があります。

  • 問題 39608:

    リモート診断「Ping テスト」の出力で、正しい結果が表示される前に、無効な内容が一時的に表示されることがあります。

  • 問題 39624:

    親インターフェイスが PPPoE で設定されている場合、サブインターフェイス経由の ping が失敗することがあります。

  • 問題 39659:

    高可用性を強化するように設定されたサイトで、各 VMware SD-WAN Edge に 1 つの WAN リンクがあり、スタンバイ Edge には PPPoE しか接続されておらず、アクティブには非 PPPoE 接続がある場合に、HA ケーブルで障害が発生するとスプリット ブレイン状態(アクティブ/アクティブ)が可能になることがあります。

  • 問題 39753:

    動的なブランチ間 VPN を無効にすると、現在、動的なブランチ間を使用して送信されている既存のフローが停止する可能性があります。

  • 問題 40096:

    アクティベーション済みの VMware SD-WAN Edge 840 が再起動された場合、リンク ライトと VMware SD-WAN Orchestrator でポートが「稼動中」と表示されていても、Edge に接続されている SFP モジュールがトラフィックの通過を停止する可能性があります。 

    回避策:SFP モジュールを取り外して、ポートに再度接続します。

  • 問題 40421:

    スイッチ ポートとして設定されたインターフェイスを使用して VMware SD-WAN Edge を通過するときに、traceroute でパスが表示されません。

  • 問題 42278:

    特定のタイプのピアの設定ミスにより、VMware SD-WAN Gateway が IKE 初期化メッセージを非 SD-WAN ピアに継続的に送信することがあります。この問題により、Gateway へのユーザー トラフィックが中断されることはありません。ただし、Gateway のログに IKE エラーが大量に記録されて、有用なログ エントリが確認しづらくなる可能性があります。

  • 問題 42388:

    VMware SD-WAN Edge 540 で、VMware SD-WAN Orchestrator からインターフェイスを無効にして再度有効にすると、SFP ポートが検出されません。

  • 問題 42872:

    ハブ クラスタが関連付けられているハブ プロファイルでプロファイルの隔離を有効にしても、ルーティング情報ベース (RIB) からハブ ルートが取り消されません。

  • 問題 43373:

    複数の VMware SD-WAN Edge から同じ BGP ルートを学習していて、このルートをオーバーレイ フロー制御で優先から対象終了に移動すると、その Edge が広報 リストから削除されず、広報されたままになります。

    回避策:VMware SD-WAN Orchestrator の分散コスト計算を有効にします。

  • 問題 44995:

    ルートがハブ クラスタから戻された場合に、OSPF ルートが VMware SD-WAN Gateway および VMware SD-WAN スポーク Edge から取り消されません。

  • 問題 45189:

    送信元 LAN 側 NAT が設定されている場合、NAT サブネットのスタティック ルートを設定しなくても、VMware SD-WAN スポーク Edge からハブ Edge へのトラフィックが許可されます。

  • 問題 45302:

    VMware SD-WAN ハブ クラスタで、1 つのハブが、そのハブとその割り当てられているスポーク Edge の間で共通のすべての VMware SD-WAN Gateway への接続が 5 分より長い間失われた場合、まれに、スポークがハブ ルートを 5 分後に保持できなくなるという状態になることがあります。この問題は、ハブが Gateway との接続を回復したときに自動的に解消されます。

  • 問題 46053:

    ネイバーがアップリンク ネイバーに変更されても、BGP プリファレンスがオーバーレイ ルートに対して自動修正されません。

    回避策:Edge サービスを再起動すると、この問題は修正されます。

  • 問題 46137:

    3.4.x ソフトウェアを実行している VMware SD-WAN Edge で、Edge が GCM 用に設定されていても、AES-GCM 暗号化を使用したトンネルが開始されません。

  • 問題 46216:

    ピアが AWS インスタンスの Gateway または Edge 経由の Non SD-WAN Destination で、フェーズ 2 の再キー化をピアが開始すると、フェーズ 1 の IKE も削除されて再キー化が強制されます。  これは、トンネルが破棄されてから再構築されることを意味し、その結果トンネルの再構築中にパケット ロスが発生します。

    回避策:トンネルの破棄を回避するには、Gateway または Edge 経由の Non SD-WAN Destination または CSS IPsec の再キー化タイマーを 60 分未満に設定します。  これにより、AWS が再キー化を開始できなくなります。

  • 問題 46391:

    VMware SD-WAN Edge 3800 の場合、SFP1 および SFP2 のインターフェイスそれぞれにマルチレート SFP (1/10G) の問題があり、これらのポートで使用できなくなります。

    回避策:ナレッジベースの記事「VMware SD-WAN Supported SFP Module List (79270)」に従って、単一レートの SFP を使用してください。  マルチレート SFP は、SFP3 と SFP4 で使用できます。

  • 問題 46918:

    3.4.2 リリースを使用する VMware SD-WAN スポーク Edge で、クラスタ ハブ ノードのプライベート ネットワーク ID が適切に更新されません。

  • 問題 47084:

    4,000 個のスポーク Edge が接続されている場合に、VMware SD-WAN ハブ Edge が、750 個を超える PIM(プロトコルに依存しないマルチキャスト)ネイバーを確立できません。

  • 問題 47664:

    ハブを介したブランチ間 VPN が無効になっているハブとスポークの設定では、L3 スイッチ/ルーターのサマリ ルートを使用してブランチ間トラフィックを戻そうとすると、ルーティング ループが発生します。

    回避策:ブランチ間 VPN を有効にするようにクラウド VPN を設定し、[VPN にハブを使用 (Use Hubs for VPN)] を選択します。

  • 問題 47681:

    VMware SD-WAN Edge の LAN 側のホストが、Edge の WAN インターフェイスと同じ IP アドレスを使用している場合、LAN ホストから WAN への接続が機能しません。

  • 問題 47787:

    ハブ Edge から、バックホール ビジネス ポリシーで設定された VMware SD-WAN スポーク Edge にフローが開始された場合、このスポーク Edge が VMware SD-WAN Gateway パスを経由してトラフィックを誤って送信します。

  • 問題 48166:

    Ciena の仮想化 OS を使用している場合、KVM 上の VMware SD-WAN 仮想 Edge がサポートされず、Edge では、データプレーン サービスの障害が繰り返し発生します。

  • 問題 48175:

    非グローバル セグメントにグローバル セグメントで設定されたインターフェイスと同じ IP アドレス範囲で設定されているインターフェイスがある場合、リリース 3.4.2 を実行している VMware SD-WAN Edge が、非グローバル セグメントに OSPF の隣接関係を形成します。

  • 問題 48502:

    一部のシナリオで、インターネット トラフィックのバックホールに使用されている VMware SD-WAN ハブ Edge で、バックホールのリターン パケットの誤った処理が原因でデータプレーン サービスの障害が発生することがあります。

  • 問題 48530:

    VMware SD-WAN Edge 6x0 モデルで、3 つの速度 (10/100/1000 Mbps) の Copper SFP の自動ネゴシエーションが実行されません。

    回避策:Edge 520/540 は 3 つの速度の Copper SFP をサポートしていますが、このモデルは 2021 年の第 1 四半期に販売終了としてマークされています。

  • 問題 48597:ピアへの 2 つのパスのいずれかが停止した場合、マルチホップ BGP ネイバーシップは稼動状態ではなくなります。

    複数のパスがあり、そのうちの 1 つが停止しているピアを持つマルチホップ BGP ネイバーシップがある場合、ユーザーは BGP ネイバーシップが停止して、他の使用可能なパスを使用していないことに気付きます。これには、ローカルの IP ループバック ネイバーシップも含まれます。

    回避策:この問題の回避策はありません。

  • 問題 48666:

    IPsec を使用したゲートウェイ パス MTU の計算で、61 バイトの IPsec オーバーヘッドが考慮されていないため、LAN クライアントに対する MTU 広報が多くなり、その後 IPsec パケットの断片化が発生します。

    回避策:この問題の回避策はありません。

  • 問題 49738:

    状況によっては、VMware SD-WAN スポーク Edge が複数のハブ Edge を使用するように設定されている場合に、ハブ リストで設定されたハブの 1 つに対して、スポーク Edge がトンネルを形成しないことがあります。

  • 問題 50518:

    PKI が設定された VMware SD-WAN Gateway で、6,000 個より多い PKI トンネルが Gateway に接続しようとすると、受信 SA が削除されないため一部のトンネルが起動しない場合があります。

    注:プリシェアード キー (PSK) 認証を使用するトンネルには、この問題はありません。

  • 問題 51436:LTE モデムを使用して VMware SD-WAN Edge を展開しているときに、拡張された高可用性トポロジを使用しているサイトでは、サイトが「スプリット ブレイン」状態になった場合、高可用性のフェイルオーバーに 5~6 分かかります。

    スプリット ブレイン状態からのリカバリの一環として、アクティブ Edge 上で LAN ポートが停止し、ポートが停止している間、およびサイトがリカバリできるようになるまで LAN トラフィックに影響が生じます。

    回避策:この問題の回避策はありません

  • 問題 52955:ステートフル DHCP で DAD 障害が発生した後、Edge から DHCP の拒否が送信されず、DHCP の再バインドが再開されません。

    DHCPv6 サーバが、DAD チェック中にカーネルによって重複として検出されたアドレスを割り当てた場合、DHCPv6 クライアントは拒否を送信しません。これにより、インターフェイス アドレスが DAD チェックの失敗としてマークされ、使用されないため、トラフィックのドロップが発生します。これにより、ネットワーク内でトラフィックがループすることはありませんが、トラフィックのブラックホールが発生します。

    回避策:この問題の回避策はありません。

  • 問題 53219:VMware SD-WAN ハブ クラスタの再調整後、いくつかのスポーク Edge で RPF インターフェイス/IIF が正しく設定されていない場合があります。

    影響を受けるスポーク Edge では、マルチキャスト トラフィックが影響を受けます。クラスタの再調整後、一部のスポーク Edge が PIM join の送信に失敗します。

    回避策:この問題は、影響を受けるスポーク Edge が、Edge サービスを再起動するまで続きます。

  • 問題 53337:スループットが 3200 Mbps を超えると、VMware SD-WAN Gateway の AWS インスタンスでパケットのドロップが発生することがあります。

    トラフィックが 3200 Mbps 以上のスループットを超過し、パケット サイズが 1,300 バイトの場合、RX および IPv4 BH ハンドオフでパケットのドロップが発生します。

    回避策:この問題の回避策はありません。

  • 問題 53359:一部の DDoS 攻撃のシナリオで、BGP/BFD セッションが失敗することがあります。

    経路指定されたインターフェイスに接続されているクライアントから LAN クライアントにトラフィックが集中している場合、BGP/BFD セッションが失敗することがあります。また、優先順位の高いリアルタイム トラフィックがオーバーレイの宛先に集中している場合、BGP/BFD セッションが失敗することがあります。

    回避策:この問題の回避策はありません。

  • 問題 53830:VMware SD-WAN Edge では、DCC フラグがチェックされている場合、BGP ビューの一部のルートに正しい設定および広報値がなく、Edge の FIB で誤った並べ替え順序が発生する場合があります。

    Edge 上に多数のルートがあるスケーリングされたシナリオで分散コスト計算 (DCC) が設定されている場合、ログ bgp_view の Edge 診断バンドルを確認すると、一部のルートが設定および広報値で適切に更新されていないことがあります。  この問題は、検出されるとすれば、大規模なエンタープライズ(ハブ Edge またはハブ クラスタに接続された 100 以上のスポーク Edge)の一部であるいくつかの Edge で検出されます。  

    回避策:この問題を解決するには、アンダーレイ BGP ルートを再学習するか、影響を受けるルートの VMware SD-WAN Orchestrator の [OFC] ページで [更新] オプションを実行します。ルートの [更新 (Refresh)] を実行すると、エンタープライズ内のすべての Edge からルートが再学習されることに注意してください。

  • 問題 53934:VMware SD-WAN ハブ クラスタが設定されているエンタープライズで、プライマリ ハブに LAN 側のマルチホップ BGP ネイバーシップが含まれている場合、LAN 側で障害が発生すると、またはすべてのセグメントで BGP が設定されていないと、カスタマーはスポーク Edge でトラフィックのドロップを経験することがあります。

    ハブ クラスタでは、プライマリ ハブにピア デバイスとのマルチホップ BGP ネイバーシップがあり、ルートを学習します。BGP ネイバーシップが確立されているハブの物理インターフェイスが停止した場合、BGP ビューが空になっているにもかかわらず BGP LAN ルートがゼロにならない場合があります。これにより、ハブ クラスタの再調整が行われなくなる可能性があります。この問題は、BGP がすべてのセグメントで設定されておらず、1 つ以上のマルチホップ BGP ネイバーシップがある場合にも発生する可能性があります。

    回避策:LAN 側に障害がある(または BGP が有効化されていない)ハブを再起動します。

  • 問題 57210:VMware SD-WAN Edge が正常に動作していて、インターネットにアクセスできる場合でも、ローカル ユーザー インターフェイスの [概要 (Overview)] ページの LED が「赤色」で表示されます。

    Edge のローカル ユーザー インターフェイスは、Google の DNS リゾルバ (8.8.8.8) を介して既知の名前を解決できるかどうかによって Edge の接続を決定します。何らかの理由で実行できない場合は、オフラインと見なされ、LED が赤色で表示されます。

    回避策:8.8.8.8 への DNS トラフィックが宛先に到達し、正常に解決されることを確認する以外に、この問題の回避策はありません。

  • 問題 61543:複数の 1:1 NAT ルールが同じ内部 IP を持つ異なるインターフェイス上で設定されている場合、インバウンド トラフィックは 1 つのインターフェイスで受信でき、同じフローの送信パケットは異なるインターフェイス経由でルーティングできます。

    外部から内部への NAT フローの場合、1:1 NAT ルールは、パケットが受信される外部 IP およびインターフェイスに対して照合されます。同じフローの送信パケットの場合、VMware SD-WAN Edge は、内部 IP を比較して NAT ルールを再度照合しようとします。送信トラフィックは、「送信トラフィック」が設定されている最初の一致したルールで設定されたインターフェイスを介してルーティングできます。

    回避策:特定の内部 IP アドレスを使用して 1:1 NAT ルールを 1 つのみ設定する以外に、この問題の回避策はありません。

  • 問題 62701:Edge ハブ クラスタの一部として展開された VMware SD-WAN Edge の場合、クラウド VPN がグローバル セグメントでは有効化されていないが、非グローバル セグメントで有効化されていると、Orchestrator によって送信された制御プレーンの更新により、すべての WAN リンクがハブ Edge でフラップすることがあります。

    ハブ Edge の WAN リンクがフラップする(ダウンして、すぐに起動する)と、音声通話などのリアルタイム トラフィックに影響します。この問題は、ハブ Edge のグローバル セグメントでクラウド VPN が有効化されていないが、クラスタ設定がオンとして設定されている、つまり、このハブ Edge がクラスタの一部になっている(クラスタ設定がすべてのセグメントに適用される)カスタマーの展開で発生しました。設定の変更がハブ Edge にプッシュされると、ハブ Edge のデータプレーンはデータの解析をグローバル セグメントから開始します。このとき、クラウド VPN が有効化されていないことが示され、ハブ Edge は誤ってこのグローバル セグメントでクラスタリングが無効化されていると認識します。その結果、ハブ Edge はハブの WAN リンクからすべてのトンネルを破棄し、その Edge のすべての WAN リンクでリンク フラップが発生します。このようなインシデントの場合、WAN リンクはダウンし、制御プレーンの更新ごとに 1 回だけリカバリします。

    回避策:回避策は、すべてのセグメント(つまり、グローバル セグメントとすべての非グローバル セグメント)でクラウド VPN を有効にすることです。

  • 問題 63629:VMware SD-WAN ハブ Edge とスポーク Edge の IP ファミリ設定(IPv4/IPv6 デュアル スタック)が異なるネットワーク トポロジーで、カスタマーが想定よりも多くの帯域幅がピアに割り当てられていることに気付く場合があります。

    IPv4 と IPv6 の両方のファミリが設定されている場合、Edge は内部で 2 つの異なるリンク オブジェクトを作成します。帯域幅の値が、一方にのみ追加する必要がある場合でも、両方に追加されます。

    回避策:この問題の回避策は、ハブ/スポーク トポロジでデュアル スタックが設定されているときに異なるトンネル設定を使用しないようにすることです。

  • 問題 65560:カスタマーから PE(プロバイダ Edge)デバイスへのトラフィックが失敗します。

    ハンドオフ設定でタグ タイプが「なし」と選択されている場合、Partner Gateway とプロバイダ Edge 間の BGP ネイバーシップが確立されません。これは、タグ タイプが「なし」の場合、Orchestrator のハンドオフ設定ではなく、/etc/config/gatewayd から ctag、stag 値が選択されるためです。

    回避策:/etc/config/gatewayd の vrf_vlan->tag_info で、ctag、stag の値をそれぞれ 0 に更新します。vc_procmon を再起動します。

  • 問題 67458:多数のスポーク Edge を持つ VMware SD-WAN Hub Edge をリリース 4.2.1 以降にアップグレードすると、他のスポーク Edge へのトンネルの一部がハブ Edge に表示されません。

    多数のスポーク Edge が約 1,000 台以上で認識されます。この問題は一貫していませんが、通常、VeloCloud Management Protocol (VCMP) トンネルの約 1/3 はハブ Edge と接続されたスポーク Edge の間で確立されません。これは、ハーフ オープン TD の数がハブ Edge の上限を超えているため、 
    ハブ Edge が MP_INIT を無視することが原因で発生します。

    回避策:Edge サービスを再起動すると、フル トンネル接続がリストアされます。

  • 問題 67879:ユーザーが WAN インターフェイス設定で WAN オーバーレイ設定を自動検出からユーザー定義に変更すると、クラウド セキュリティ サービス (CSS) トンネルが削除されます。

    変更を保存した後、カスタマーがトンネルをダウンしてから、再び起動するまで、CSS トンネルは起動しません。WAN 設定を変更すると、CSS トンネルがダウンし、CSS セットアップが再度解析されます。ただし、場合によっては、nvs_config->num_gre_linksが 0 になり、CSS トンネルが起動に失敗することがあります。

    回避策:CSS 設定を無効にしてから再度有効にすると、CSS トンネルが起動します。

  • 問題 68057:DHCPv6 リリース パケットは、WAN インターフェイス アドレス モードが DHCP ステートフルから静的 IPv6 アドレスに変更されても、VMware SD-WAN エッジから送信されず、リースは有効な時間に達するまでアクティブのままになります。

    DHCPv6 クライアントは、設定の変更が行われたときに解放されないリースを所有しています。リースは、DHCPv6 サーバで有効期間が切れて削除されるまで有効なままです。

    修正を適用しない場合、リースは有効期間までアクティブなままとなりめ、この問題を修正する方法はありません。

  • 問題 68851:VMware SD-WAN Edge と VMware SD-WAN Gateway にそれぞれ同じ TCP Syslog サーバが設定されている場合、Edge から Syslog サーバへの TCP 接続は確立されません。

    Edge と Gateway がそれぞれ同じ TCP サーバを持ち、Edge からの Syslog パケットが Gateway 経由でルーティングされる場合、Syslog サーバは TCP リセットを Edge に送信します。

    回避策:Gateway 経由でルーティングする代わりに、Edge から直接 Syslog パケットを送信するか、Edge と Gateway に別の Syslog サーバを設定します。

  • 問題 69284:Edge が HA 設定で VNF をデプロイし、リリース 4.x を使用している高可用性トポロジを使用しているサイトで、これらの HA Edge が HA VNF がサポートされていない 3.4.x リリースにダウングレードされてから 4.5.0 にアップグレードされた場合、HA VNF が再度有効化されると、スタンバイ Edge VNF が起動しません。 

    HA VNF ペアが、VNF-HA をサポートするバージョン(リリース 4.0 以降)から、Orchestrator で VNF が設定されていて、VNF-HA(リリース 4.0 以降)をサポートしないリリースにダウングレードされた場合、スタンバイ Edge の VNF 状態は、SNMP を介して停止と通知されます。この問題は、Edge が VNF-HA をサポートするバージョンにアップグレードされ、Orchestrator で再度設定されている場合に発生します。

    回避策:Edge が VNF-HA をサポートしていないバージョンにダウングレードされている場合、HA の場合は、まず VNF を無効にする必要があります。

  • 問題 70311:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、その結果、サービスが再起動される場合があります。

    Edge サービスの再起動中に、カスタマーのトラフィックが約 15 ~ 30 秒間中断されます。この問題の発生に一貫性はありませんが、発生すると、Edge は IKE Security Association (SA) を破棄します。これは通常、SA タイマー(VMware SD-WAN Orchestrator で設定されている)の有効期限が切れる場合か、または、ユーザーが Orchestrator の IPsec 設定を変更する場合にのみ発生します。

    回避策:この問題の回避策はありません。

  • 問題 71719:Edge からクラウドへのパスに沿って PPTP 接続が確立されません。

    VMware SD-WAN Edge の背後にある PPTP サーバへの接続が確立されません。

    回避策:この問題の回避策はなく、Edge の再開や再起動でも解決されません。

  • 問題 72358:VMware SD-WAN Orchestrator DNS 名の IP アドレスが変更されると、VMware SD-WAN Gateway の管理プレーン プロセスで DNS 名が正しく解決されず、Gateway は Orchestrator に接続できなくなります。

    Gateway の管理プロセスでは、Orchestrator の DNS 名の DNS 解決を定期的にチェックして、Gateway が適切なホストに接続できるように、Orchestrator の DNS 名が最近変更されたかどうかを確認します。DNS 解決コードに問題があるため、これらの解決チェックはすべて失敗し、Gateway は古いアドレスを引き続き使用するため、Orchestrator に接続できなくなります。

    回避策:この問題が解決されるまで、オペレータ ユーザーは Orchestrator の IP アドレスを変更しないでください。Orchestrator の IP アドレスを変更する必要がある場合は、その Orchestrator に接続しているすべての Gateway を再度有効化する必要があります。

  • 問題 72925:エンタープライズを監視するために SNMP ポーリングを使用し、4.x ソフトウェア リリースを実行している下位モデルの VMware SD-WAN Edge(たとえば、Edge モデル 510、520、または 610)を展開しているカスタマーの場合、SNMP ポーリングの処理に非常に長い時間がかかり、タイムアウトする場合もあります。

    この問題により、510、5x0、および 6x0 シリーズの Edge を使用する場合、ネットワーク監視のための SNMP ポーリングの効率が大幅に低下します。この問題は、リリース 4.x の SNMP エージェントが実際には SNMP プロセスに必要のないデバッグ コマンド リストを走査するのに長い時間かかるために発生します。

    回避策:この問題の回避策はありません。

  • 問題 77541:IPv6 をサポートする USB モデムを取り外して、VMware SD-WAN Edge USB インターフェイスに再挿入すると、IPv6 アドレスが USB インターフェイスにプロビジョニングされないことがあります。

    これは、ModemManager アプリケーションで管理される USB モデムではなく、IP ベースの USB モデムに影響します。ほとんどの Inseego モデムは IP ベースであり、Inseego は VMware SASE が推奨するモデム メーカーであるため、これは重要です。IP ベースではなく、ModemManager を使用し、IPv6 をサポートする USB モデムは、プラグ アウトとプラグ インのシナリオでは問題ありません。

    回避策:USB モデムが Edge の USB ポートに再挿入された後、Edge を再起動する(または電源を切って入れ直す)必要があります。再起動後、Edge はモデムの IPv6 アドレスを取得します。

  • 問題 81852:L7 健全性チェックをオンにした GRE トンネルを使用する Zscaler タイプのクラウド セキュリティ サービス (CSS) を使用している VMware SD-WAN Edge の場合、その Edge をリリース 5.0.0 にアップグレードすると、場合によっては L7 健全性チェック エラーが発生することがあります。

    これは通常、ソフトウェアのアップグレード中または起動時に発生します。GRE トンネルを使用した CSS の L7 健全性チェックがオンになっている場合、ソケットの getaddress エラーに関連するエラー メッセージが表示されることがあります。観察されたエラーは断続的に発生し、一貫性がありません。このため、L7 健全性チェックのプローブ メッセージは送信されません。

    回避策:この修正を行わない場合、問題を修正するには、ユーザーが L7 健全性チェックの設定をオフにしてから再度オンにする必要があり、これにより、この機能は想定どおりに動作します。

  • 問題 81859:VMware SD-WAN Edge 610-LTE をアクティベーションすると、Edge のアクティベーション完了後に CELL インターフェイスが起動しないことがあります。

    この問題は一貫して発生するわけではありませんが、Edge 610-LTE の唯一のパブリック リンクがモバイル CELL リンクである場合にこの問題が発生すると多大な影響が及ぶ可能性があります。これにより、Edge が事実上停止状態になり、Edge の電源を入れ直してリカバリするためにローカルでの Edge に人が介在して操作を行う必要が生じます。

    回避策:この問題が発生し、610-LTE に他の有線パブリック WAN リンクがある場合、ユーザーは適切なメンテナンス期間中に [リモート アクション (Remote Actions)] > [サービスの再起動 (Service Restart)] を使用して、Orchestrator を介して Edge サービスを再起動するか、Edge のモデムを再起動して CELL インターフェイスをリストアする必要があります。

    610-LTE がインターネットに対して CELL インターフェイスのみを使用している場合、Orchestrator を介してアクセスできなくなるため、Edge のローカル ユーザーが Edge の電源を入れ直す必要があります。

    アクティベーション中の 610-LTE Edge がインターネットに対して CELL のみを使用している場合、アクティベーションの完了後にダウンした場合に電源を入れ直すため、Edge を他のユーザーと一緒にアクティベーションする必要があります。

  • 問題 82104:まれに、高可用性トポロジでアクティベーションされた VMware SD-WAN Edge が VMware SASE Orchestrator と通信できず、サイトが「ダウン」とマークされ、Orchestrator を介したサイトへの介入が妨げられることがあります。

    この問題は、異常で無効な設定が HA Edge に適用されている場合にのみ発生します。この設定では、HA ポートを(許可されない)「トランク」に設定し、VLAN をゼロにする(これも許可されない)ように指定しますが、実際には「すべての VLAN」が設定されています。この設定でエラーをスローし、ユーザーが Edge の HA を有効にするのを防ぐ代わりに、Orchestrator はこれを許可し、この設定によって HA Edge で管理プレーンの障害がトリガされるので、Orchestrator にハートビートが送信されなくなり、Orchestrator はサイトを「ダウン」としてマークします。

    回避策:上記の設定は使用しないでください。

  • 問題 82182:Edge リリース 5.0.0 を実行している VMware SD-WAN Edge モデル 510 または 510-LTE の場合、ユーザーが Edge のサービスの再開を試みると、Edge も再起動することがあります。

    Edge を再起動すると、Edge が再起動プロセスを進める間、カスタマーのトラフィックが 2 ~ 3 分間中断されます。Edge 510/510-LTE には、Wi-Fi デバイスのハング監視スクリプトがあって、これが、Edge サービスの再開中に停止に失敗する可能性があり、これにより再起動がトリガされます。

    回避策:回避策はありませんが、これらのモデルでの Edge サービスの再開は、メンテナンスの時間枠内でのみ実行するか、またはこの問題が発生する可能性があることを理解した上で実行する必要があります。

  • 問題 82184:Edge リリース 5.0.0 を実行している VMware SD-WAN Edge で、Edge の br-network IPv4/IPv6 アドレスに対して traceroute または traceroute6 を実行すると、UDP プローブを使用したときに traceroute が適切に終了しません。

    デフォルト モード(UDP プローブ)が使用されている場合、Edge の br-network IPv4/IPv6 アドレスへの traceroute または traceroute6 が適切に機能しません。

    回避策:traceroute および traceroute6 で -I オプションを使用して ICMP プローブを使用すれば、br-network IPv4/IPv6 アドレスへの traceroute が想定どおりに動作します。

  • 問題 82264:AWS C4 インスタンスを使用する VMware SD-WAN 仮想 Edge をリリース 5.0.0 にアップグレードできません。

    リリース 5.0.0 にアップグレードされた AWS C4 仮想 Edge はリカバリされず、唯一の修正は、ユーザーが Edge を 5.0.0 以外のバージョンに再アクティベーションすることのみです。  他の AWS インスタンス(C5 など)はこの問題の影響を受けませんが、この問題の重大な性質により、AWS Edge アップグレード ソフトウェア パッケージはリリース 5.0.0 では使用できません。

    回避策:カスタマーは、AWS C4 Edge インスタンスをリリース 5.0.1 にアップグレードできます。これには、この問題の修正が含まれています。

  • 問題 82415:Intel® Ethernet Server Adapter X710、SR-IOV、および Bond0 を使用して KVM イメージを展開した VMware SD-WAN Gateway が、リリース 4.5.0 または 5.0.0 にアクティベーションされた場合に、応答しません。

    このように展開された Gateway が起動せず、debug.py コマンドが機能しません。

    回避策:回避策はありません。この問題が修正された新しいビルドがロールアウトされるまで、この特定の Gateway 展開にこれらのビルドを使用しないでください。

  • 問題 83166:IPv6 オプションを選択した AWS ポータルの AWS c5.4xlarge インスタンス タイプを使用して VMware SD-WAN Gateway を新規に展開するときに、IPv6 ルートまたはデフォルト ルートが設定されません。

    IPv6 ルートとデフォルト ルートが設定されていないため、AWS Gateway IPv6 管理トンネルが形成されず、Gateway は機能しません。

    回避策:この問題の回避策はありません。上記のプロパティを使用して Gateway を展開しないでください。

  • 問題 83227:リリース 5.0.0 を実行している VMware SD-WAN Edge が 128 セグメントで設定されている場合、Edge の dnsmasq プロセスが停止して終了します。

    IPv6 がすべての 128 セグメントで設定されていて、各セグメントの LAN に DCPv6 サーバが設定されている場合、開いているファイル記述子の合計数を超えると、dnsmasq プロセスが停止します。dnsmasq プロセスは、終了するまで約 30 分間続きます。この時点で Edge の DHCP による IP アドレスの割り当ては失敗します。 

    回避策:Edge を再起動すると、dnsmasq プロセスが最大 30 分間リストアされますが、再度失敗します。唯一の現実的な回避策は、セグメント数を 128 未満に減らすことです。

  • 問題 84825:BGP が設定された高可用性トポロジを使用して展開されたサイトで、サイトに 512 個を超える BGPv4 の match/set ルールが設定されている場合、リカバリが実行されることなく HA Edge ペアが継続的にフェイルオーバーすることがあります。

    512 個を超える BGPv4 の match および set ルールがある場合は、カスタマーが受信フィルタと送信フィルタのそれぞれに 256 個を超えるこのようなルールを設定していることを意味します。フェイルオーバーが繰り返されると、音声通話などのリアルタイム トラフィックのフローが継続的にドロップされ、再作成されるため、この問題はカスタマーにとってサービスの中断となる可能性があります。HA Edge でこの問題が発生すると、Edge の CPU スレッドを同期するプロセスが失敗し、リカバリするために Edge が再起動されますが、昇格した Edge でも同じ問題が発生し、再起動されてもサイトでリカバリが行われません。

    回避策:この問題に対して修正を適用しない場合は、HA サイトに対して 512 個を超える BGPv4 の match および set ルールが設定されていないことを確認する必要があります。

    サイトでこの問題が発生しており、512 個を超える BGPv4 の match および set ルールが設定されている場合は、サイトをリカバリするためにすぐにルールの数を 512 以下に減らす必要があります。

    または、512 個を超える BGPv4 の match および set ルールが必要な場合は、HA Edge をリリース 3.4.6 にダウングレードできます。ただし、この問題は発生しませんが、以降のリリースで導入された Edge 機能を使用することはできません。これは、Edge モデルが 3.4.6 でサポートされている場合にのみ実行できますが、ダウングレードする前に、そのことを確認する必要があります。

  • 問題 85369:高可用性トポロジを使用して展開されたサイトの場合、カスタマー トラフィックが中断し、VMware SD-WAN スタンバイ Edge が複数回再起動する可能性があります。

    ロード イベントとシステム イベントによってトリガされた条件により、アクティブ Edge では、スタンバイ Edge への HA ハートビートのタイムリーな配信に遅延が発生します。遅延により、スタンバイ Edge がハートビートを失い、誤ってアクティブ ロールを引き受け、アクティブ/アクティブ状態が発生します。アクティブ/アクティブ状態からリカバリするために、スタンバイ Edge が再起動します(場合によっては複数回)。 

    サイトがアクティブ/アクティブになると、従来の HA 設定では、スタンバイ Edge はこのトポロジでトラフィックを渡さないため、トラフィックの中断が最小限に抑えられますが、スタンバイ Edge もトラフィックを渡す拡張 HA 展開では、再起動によって一部のカスタマー トラフィックが中断されます。

    回避策:この問題の回避策はありません。

  • 問題 85461:VMware SD-WAN Edge を使用して DNS を転送し、Edge に接続されている LAN デバイスが DNS 転送に Edge を使用している場合、すべての DNS トラフィックが失敗することがあります。

    条件付き DNS だけでなく、すべての DNS 転送トラフィックが影響を受けます。Edge ソフトウェアによっては、次のように Edge でこの問題が発生する可能性があります。

    • Edge がリリース 4.2.2 を使用し、Gateway IP アドレスが指定されていないルーティングされた LAN ポートを使用している場合、Edge でこの問題が発生する可能性があります。スイッチ LAN ポートと VLAN の使用は、4.2.2 では影響を受けません。 
    • Edge がリリース 4.3.0/4.3.1、4.5.0/4.5.1、または 5.0.0.x のいずれかを使用し、スイッチ LAN ポートと VLAN を使用しているか、Gateway IP アドレスが指定されていないルーティングされた LAN ポートを使用している場合、Edge でこの問題が発生する可能性があります。

    スイッチ インターフェイスの場合、この問題の原因は、リリース 4.3.x、4.5.x、および 5.0.0.x 以降ではループバック インターフェイスが優先されるため、管理 IP インターフェイスが廃止および削除されたことにあります。DNS はセグメント NAT を使用するため、Edge がセグメント NAT テーブルのルックアップを実行し、パケットをドロップすると、DNS パケットは宛先 IP アドレスと一致するエントリを持たなくなります。

    ルーテッド インターフェイスの場合、Gateway IP アドレスがないと、DNS パケットはネクスト ホップとして Edge にルーティングされ、Edge は DNS パケットをそれ以上転送しません。

    回避策:この問題の回避策は、Edge を使用して DNS を転送しないようにするか、次のようにすることです。

    • Edge リリース 4.2.2 を使用している場合:スイッチ LAN ポート、または Gateway IP アドレスを含むルーティングされた LAN ポートのいずれかを使用します。
    • リリース 4.3.x または 4.5.x を使用している場合:Gateway IP アドレスが指定されたルーティングされた LAN ポートのみを使用します。 
  • 問題 88604:高可用性トポロジを使用しているサイトで、WAN インターフェイスが停止し、スタンバイの VMware SD-WAN Edge に戻った場合に、そのイベントが VMware SASE Orchestrator に記録されません。

    ユーザーに対して、スタンバイ Edge インターフェイス イベントは表示されません。これは特に、スタンバイ Edge もトラフィックを渡している拡張 HA 展開に影響します。

    回避策:この問題の回避策はありません。

  • 問題 88796:VMware SASE Orchestrator または VMware SD-WAN Gateway のいずれかを展開し、vSphere で OVA を使用すると、展開の一部として設定された OVF プロパティ(パスワード、ネットワーク情報など)がイメージに適用されず、展開後はシステムにアクセスできなくなります。

    これは、OVF/vApp プロパティを使用して(ISO ファイルを使用した場合ではなく)OVA から展開された新しいシステムにのみ影響します。この問題は、最近の更新での cloud-init へのアップストリームの変更が原因で発生します。

    注:このオープン チケットは Gateway ビルドにのみ適用されます。  Orchestrator ビルドはリリース R5002-20220517-GA で修正されています。

    回避策:この修正を適用しない場合の回避策は、オペレータが cloud-init ユーザーデータ ISO ファイルを使用してシステムを展開することです。

  • 問題 91365:Edge Network Intelligence を使用しているカスタマーの場合は、分析が設定されている VMware SD-WAN Edge でメモリ リークが発生し、Edge が Edge サービスの再起動をトリガしてメモリをクリアします。

    Edge で分析機能が有効になっている場合、Edge のデータプレーン サービスが着実な速さでメモリ リークを開始するため、Edge は重大レベル(90 秒以上にわたりメモリ使用率が 60%)に到達したときに予定外のサービス再起動をトリガして、メモリ リークをクリアする必要があります。Edge サービスを再起動すると、カスタマー トラフィックが 10 秒から 15 秒程度中断します。フィールドでは、Edge サービスの再起動をトリガするのにかかる時間は約 3 ~ 4 日ですが、メモリがクリアされると、一般的な同じ時間枠でメモリ リークが再開し、最終的に Edge サービスの次回の再起動をトリガします。Edge がメモリ使用量について重大レベルに到達する期間は、Edge モデルとその Edge の分析機能が記録している情報の量によって異なります。

    回避策:カスタマーには次の 2 つの選択肢があります。a) 修正された Edge ビルドが提供されるまで、Edge の分析を一時的に無効にする。b) Edge のメモリを監視する。メモリ使用率が 40% に到達し、Orchestrator がメモリ警告イベントを記録した場合は、メンテナンス ウィンドウで手動による Edge サービスの再起動をスケジュール設定して、メモリをクリアし、カスタマーへの影響を最小限に抑えるようにします。

  • 問題 91746:有線またはワイヤレスの 802.1x 認証(RADIUS、Cisco ISE など)を使用している VMware SD-WAN Edge で証明書の認証が失敗し、この認証を必要とするすべてのトラフィックが Edge でドロップすることがあります。

    この問題は、Edge による IP 断片化パケットの L4 ヘッダーの変更が不適切で、Edge を終了する前にパケットが破損することが原因で発生します。これは主に UDP パケットに影響し、これらのパケットは 802.1x 証明書認証に使用されるため、802.1x 有線クライアントまたはワイヤレス クライアントが失敗する可能性があります。

    回避策:この問題が発生した Edge では、a) 802.1x 認証を無効にする、または b) この問題が存在しておらず、802.1x 認証が正常に機能していた、以前の Edge ソフトウェア ビルドに Edge をロールバックすることが回避策となります。

  • 問題 92481:VMware SD-WAN Edge の WAN インターフェイスが VMware SASE Orchestrator で無効化されている場合でも、インターフェイスは SNMP によって「稼動中」として報告されます。

    インターフェイス出力の主要なデバッグ プロセスに、Edge WAN インターフェイス(Edge 6x0 または 3x00 モデルの GE3 や GE4 など)の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。

    回避策:この問題の回避策はありません。

  • 問題 92676:Gateway 経由の Non VMware SD-WAN Destination (NSD) が冗長トンネルと冗長 Gateway を使用するように設定され、BGP over IPsec も使用しているカスタマーの展開の場合、プライマリおよびセカンダリ Gateway がプライマリおよびセカンダリ NSD トンネルへの等しい AS パスを持つプレフィックスを広報すると、プライマリ NSD トンネルは冗長な Gateway パスをプライマリ Gateway より優先します。

    冗長な Gateway パスをプライマリ Gateway よりも優先している、Gateway 上のプライマリ NSD トンネルの影響は、NSD から Gateway へのリターン トラフィックに対してのみ発生します。

    回避策:対象のプレフィックスに対して冗長な Gateway でより高い(3 以上の)メトリックを設定します。そうすることで、NSD のプライマリ トンネルがリターン トラフィックのためにプライマリ Gateway を選択するのに役立ちます。

  • 問題 100377:VMware SD-WAN Edge をリリース 5.0.x にアップグレードすると、LAN 側のクライアント ユーザーの環境で、すべてのカスタマーのトラフィックがドロップし、他のサイトおよびインターネットに接続できなくなることがあります。

    説明: この問題はランダムに発生し、LAN 側のトラフィックにのみ影響します。Edge は、Gateway と Orchestrator の両方に接続されたままになります。Orchestrator で [監視 (Monitor)] > [Edge] > [健全性 (Health)] を確認すると、ハンドオフ キューのドロップ数が増大しています。この問題は、5.x Edge ビルドで導入された動作の変更が原因で発生します。これはパケット リークを引き起こす可能性があり、変更に関連する特定のパケットが解放されなくなり、時間の経過とともにパケット バッファが過負荷になり、すべてのパケットのドロップが開始します。

    回避策:VMware は、カスタマーのすべての Edge を 5.0.1.2 ビルドにアップグレードすることを強くお勧めします。この問題が修正されていない Edge では、Edge サービスを再起動するとパケット バッファがクリアされます。ただしこれは一時的な処理です。

Orchestrator の既知の問題
  • 問題 19566:

    高可用性のフェイルオーバー後、スタンバイ VMware SD-WAN Edge のシリアル番号が Orchestrator でアクティブなシリアル番号として表示されることがあります。

  • 問題 21342:

    セグメントごとに Partner Gateway を割り当てると、VMware SD-WAN Edge の監視リストで、ゲートウェイ割り当ての適切なリストがオペレータ オプションのゲートウェイの [表示 (View)] に表示されない場合があります。

  • 問題 24269:

    観測された WAN リンクの損失が、QoE グラフには反映されても、[監視 (Monitor)] > [トランスポート (Transport)] > [ロス (Loss)] に反映されません。 

  • 問題 25932:

    VMware SD-WAN Orchestrator で、使用中であっても VMware SD-WAN Gateway を Gateway プールから削除できます。

  • 問題 32335:

    ユーザーが契約に同意しようとすると、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) ページでエラーが発生します。

    回避策:エンタープライズ名の先頭または末尾にスペースが含まれていないことを確認してください。

  • 問題 32435:

    ポリシーベースの NAT 設定に対する VMware SD-WAN Edge のオーバーライドが、すでにプロファイル レベルで設定されているタプルで許可されます(その逆も可能)。

  • 問題 32856:

    ハブ クラスタを使用してインターネット トラフィックをバックホールするようにビジネス ポリシーが設定されていても、リリース 3.2.1 からリリース 3.3.x にアップグレードされた VMware SD-WAN Orchestrator 上のプロファイルから、ユーザーがハブ クラスタを選択解除できます。

  • 問題 32913:

    高可用性をオンにした後、VMware SD-WAN Edge のマルチキャストの詳細が [監視 (Monitoring)] ページに表示されません。フェイルオーバーにより、この問題は解決されます。

  • 問題 33026:

    契約を削除した後、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) のページが適切に再ロードされません。

  • 問題 34828:

    リリース 2.x を使用する VMware SD-WAN スポーク Edge と、リリース 3.3.1 を使用するハブ Edge の間で、トラフィックを送受信できません。

  • 問題 35658:

    あるプロファイルから CSS 設定が異なる別のプロファイルに VMware SD-WAN Edge が移動されたときに(例:プロファイル 1 は IPsec で、プロファイル 2 は GRE)、Edge レベルの CSS 設定が、以前の CSS 設定(例:IPsec と GRE)を引き続き使用します。 

    回避策:Edge レベルで GRE を無効化してから、GRE を再度有効化して問題を解決します。

  • 問題 35667:

    あるプロファイルから、CSS 設定は同じでも GRE CSS 名は異なる(同じエンドポイントの)別のプロファイルに VMware SD-WAN Edge が移動されたときに、一部の GRE トンネルが監視に表示されません。

    回避策:Edge レベルで GRE を無効化してから、GRE を再度有効化して問題を解決します。

  • 問題 36665:

    VMware SD-WAN Orchestrator がインターネットにアクセスできない場合、Google Maps API へのアクセスを必要とするユーザー インターフェイスのページが完全にはロードされない場合があります。

  • 問題 38056:

    Edge ライセンスの export.csv ファイルにリージョン データが表示されません。

  • 問題 38843:

    アプリケーション マップをプッシュするときに、オペレータ イベントがなく、Edge イベントは制限付きのユーティリティになります。

  • 問題 39633:

    ユーザーが Super Gateway として代替 Gateway を割り当てた後、Super Gateway のハイパー リンクが機能しません。

  • 問題 39790:

    VMware SD-WAN Orchestrator を使用すると、サポートされている 32 個のサブインターフェイスを超えてユーザーが VMware SD-WAN Edge のルーテッド インターフェイスを設定できます。これにより、ユーザーは、インターフェイス上で 33 個以上のサブインターフェイスを設定できるようになり、Edge のデータプレーン サービスの障害を引き起こす可能性があります。

  • 問題 40341:

    Skype アプリケーションがリアルタイム トラフィックとしてバックエンドで適切に分類されていても、VMware SD-WAN Orchestrator で Skype ビジネス ポリシーを編集すると、サービス クラスで誤って [トランザクション (Transactional)] と表示されることがあります。

  • 問題 41691:

    [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで DHCP プールが枯渇していないにもかかわらず、ユーザーが [アドレスの数 (Number of addresses)] フィールドを変更できません。

  • 問題 43276:

    VMware SD-WAN Edge またはプロファイルに Partner Gateway が設定されている場合に、ユーザーがセグメント タイプを変更できません。

  • 問題 47269:

    LTE インターフェイスがサポートされていない Edge モデルに、VMware SD-WAN 510-LTE インターフェイスが表示されることがあります。

  • 問題 47713:

    クラウド VPN がオフにされているときにビジネス ポリシー ルールが設定された場合、クラウド VPN をオンにするときに NAT を再設定する必要があります。

  • 問題 47820:

    プロファイル レベルで DHCP がオフになっている状態で VLAN が設定されていて、同時に DHCP が設定されている Edge 上でこの VLAN に対する Edge のオーバーライドがある場合に、DNS サーバのフィールドに「なし」(IP アドレスが設定されていない)に設定されているエントリがあると、ユーザーは [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで変更を行うことができず、実際の問題を説明または指摘するものではないエラー メッセージが「無効な IP アドレス [] (invalid IP address [])」のように表示されます。

  • 問題 48085:

    VMware SD-WAN Orchestrator で、ユーザーがインターフェイスに関連付けられている VLAN を削除することが許可されます。

  • 問題 48737:

    リリース 4.0.0 の新しいユーザー インターフェイスを使用している VMware SD-WAN Orchestrator で、ユーザーが [監視 (Monitor)] ページを表示して開始時刻と終了時刻の間隔を変更してから、タブ間を移動すると、Orchestrator で開始時刻と終了時刻の間隔が新しい値に更新されません。

  • 問題 49225:

    VMware SD-WAN Orchestrator で、合計 32 個の VLAN の制限が適用されません。

  • 問題 49790:

    VMware SD-WAN Edge のリリース 4.0.0 をアクティベーションするときに、[イベント (Events)] にアクティベーションが 2 回投稿されます。

    回避策:重複イベントは無視してください。

  • 問題 50531:

    異なる権限を持つ 2 人のオペレータが、VMware SD-WAN Orchestrator の 4.0.0 リリース バージョンの新しいユーザー インターフェイスにアクセスする際に同じブラウザ ウィンドウを使用する場合、権限の低いオペレータが権限の高いオペレータの後にログインしようとすると、権限の低いオペレータに「ユーザーが権限を持っていない」ことを示すエラーが複数回表示されます。

    注:権限が低いオペレーターの権限の昇格はなく、エラー メッセージの表示のみが行われます。

    回避策:エラーが表示されないようにするために、次のオペレータがログインの前にそのページを更新するか、それぞれのオペレータが別のブラウザ ウィンドウを使用して、この表示の問題を回避できます。

  • 問題 51722:リリース 4.0.0 の VMware SD-WAN Orchestrator では、[監視 (Monitor)] > [Edge (Edge)] タブの統計情報の時間範囲セレクタは 2 週間以内です。

    一連の統計情報の保持期間が 2 週間よりはるかに長い場合でも、時間範囲セレクタの [監視 (Monitor)] > [Edge (Edge)] タブに [過去 2 週間 (Past 2 Weeks)] を超えるオプションは表示されません。  たとえば、フローとリンクの統計情報はデフォルトで 365 日間保持されますが(設定可能)、パスの統計情報はデフォルトで 2 週間のみ保持されます(これも設定可能です)。  この問題により、すべての [監視 (Monitor)] タブが統計情報の最も低い保持タイプに従うのに対し、ユーザーはその統計情報の保持期間に一致する期間を選択できます。

    回避策:ユーザーは、時間範囲セレクタの [カスタム (Custom)] オプションを使用して、2 週間以上のデータを表示できます。

  • 問題 60522:VMware SD-WAN Orchestrator ユーザー インターフェイスで、セグメントを削除しようとすると多数のエラー メッセージが表示されます。

    この問題は、1 つのセグメントをプロファイルに追加し、セグメントを複数の VMware SD-WAN Edge に関連付ける場合に発生する可能性があります。ユーザーが追加したセグメントをプロファイルから削除しようとすると、多数のエラー メッセージが表示されます。

    回避策:この問題の回避策はありません。

  • 問題 60039:VMware SD-WAN Edge モデルの変更時に RMA の再アクティベーションが機能しません。

    Edge モデルも変更されているサイトで RMA の再アクティベーションを実行すると、VMware SD-WAN Orchestrator はモデルの変更を保存しないため、再アクティベーション リンクが無効になります。この問題は、Edge モデルが変更された RMA の再アクティベーションにのみ影響し、Edge モデルが同じままの RMA の再アクティベーションは、想定どおりに機能します。

    回避策:サイトで別の Edge モデルを使用する場合、ユーザーは新しい Edge を作成して、すべての Edge 固有の設定を手動で適用する必要があります。

  • 問題 62624:Partner Gateway の使用中に Partner Gateway チェックボックスをオフにすると、カスタマー名が表示されます。

    ユーザーが VMware SD-WAN Orchestrator ユーザー インターフェイスで特定の Gateway の [Partner Gateway] チェックボックスをオフにし、その Gateway が 1 つ以上のカスタマーおよびカスタマー プロファイルでも使用されている場合、Orchestrator には、Gateway を使用しているカスタマー名ではなく、プロファイルの名前と Edge のみが表示されます。

    回避策:この問題の回避策はありません。

  • 問題 68463:VMware SD-WAN Orchestrator で新しいユーザー インターフェイスを使用して QoE セクションを確認すると、誤ったグラフ値が表示されます。  

    古いユーザー インターフェイスで QoE を実行すると、グラフに「Latency Fair」と表示され、新しいユーザー インターフェイス(Edge と時間が同じ)にアクセスすると「Jitter Fair」と表示されます。これは、QoE が新しいユーザー インターフェイスで正しくマッピングされていないために発生します。

    回避策:古いユーザー インターフェイスを使用して正しい QoE 値を確認する以外に、この問題を回避することはできません。

  • 問題 75348:[サイト サブネットのアクティベーション解除 (Deactivate Site Subnets)] がオンになっている、Gateway 経由の Non SD-WAN Destination (NSD) を設定したカスタマーの場合、[設定 (Configure)] > [Edge] > [デバイス (Device)] > [スタティック ルート設定 (Static Route Settings)] > [NSD ルート (NSD Routes)] に、カスタマーが設定を行っていない 0.0.0.0/32 ルートが表示されることがあります。

    [サイト サブネットのアクティベーション解除 (Deactivate Site Subnets)] チェックボックスが NSD 設定ユーザー インターフェイスでオンになっている場合、デフォルトの 0.0.0.0/32 サブネットがユーザー インターフェイス自体から作成されます。このルートは、NSD 設定画面には表示されませんが、[設定 (Configure)] > [Edge] > [デバイス (Device)] ユーザー インターフェイス画面に表示されます。この問題は単なる表示上の問題であり、このルートがカスタマー トラフィックを中断するわけではありません。 

    回避策:このルートをクリアするには、NSD が設定されている画面で、[冗長 VeloCloud クラウド VPN (Redundant VeloCloud Cloud VPN)] チェックボックスをオンにしてから、そのチェックボックスの選択を解除します。0.0.0.0/32 ルートは削除されると [NSD ルート (NSD Routes)] セクションに表示されないようになります。

  • 問題 82680:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI (Cloud-to-Cloud Interconnect) を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにすると、Zscaler MT-GRE エントリが Zscaler ポータルから一貫して削除されないことがあります。

    CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。 

    回避策:再試行する前に、Zscaler からリソースを手動で削除します。

  • 問題 82681:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI (Cloud-to-Cloud Interconnect) を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにし、Zscaler クラウド セキュリティ サービスを使用する CCI が設定されている VMware SD-WAN Edge から CCI フラグを無効にすると、Zscaler MT-GRE エントリが Edge または Zscaler ポータルから削除されないことがあります。

    CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

    回避策:再試行する前に、Zscaler からリソースを手動で削除します。

  • 問題 82725:VMware SASE Orchestrator でパスワード リセット リンクが正しく生成されないことがあります。

    この問題は、Orchestrator の URL が正確に https://domain/ または https://domain/operator/ でない場合に発生します。  ただし、たとえば URL が https://domain/test/ の場合、パスワードのリセット リンクは機能せず、ログイン ページに戻ります。

    回避策:Orchestrator URL を上記のような URL に修正できない場合は、スーパー ユーザーまたはオペレータがユーザーの新しいパスワードを手動で入力し、影響を受けるユーザーと共有して、ユーザーが正常にログイン後に別のパスワードを再設定できるようにするしか方法はありません。

  • 問題 82775:リリース 5.0.0 を使用している VMware SASE Orchestrator で、カスタマーに Zscaler タイプのクラウド セキュリティ サービス (CSS) が設定され、VMware SD-WAN Edge に関連付けられ、さらにビジネス ポリシーに CSS バックホール ルールが設定されている場合、ユーザーはその CSS の CSS ハッシュまたは暗号化パラメータを変更できません。

    Zscaler CSS 設定が CSS バックホール ビジネス ポリシーに関連付けられると、Orchestrator はユーザーがその設定を変更できないようにします。

    回避策:ユーザーは、CSS バックホール ビジネス ポリシーを削除して Zscaler CSS 設定を変更し、同じビジネス ポリシーを再作成する必要があります。

  • 問題 82864:リリース 5.0.0 を使用している VMware SASE Orchestrator で、ユーザーが [設定 (Configure)] > [プロファイル (Profiles)] ページで [変更 (Modify)] を選択すると、ユーザーは [プロファイル (Profiles)] > [デバイス設定 (Device Setting)] ページではなく、[プロファイル (Profiles)] >[概要 (Overview)] ページにリダイレクトされます。

    [設定 (Configure)] > [プロファイル (Profiles)] の [変更 (Modify)] ボタンが正しいページにマッピングされていません。

    回避策:回避策はありません。

Cloud Web Security の既知の問題
  • 問題 62934:VMware Cloud Web Security を使用している企業の場合、クライアント ユーザーがシークレット モードで Chrome ブラウザを開いて、ファイルをダウンロードしようとすると、ダウンロードに失敗する場合があります。

    シークレット モードを使用するには、サードパーティの Cookie が必要です。サードパーティの Cookie をオンにして、操作をやり直してください。ダウンロードが失敗すると、ユーザーには「Error occurred contact your administrator」というエラーが表示されるか、またはカスタム Web サーバからのファイルの場合、「This page is not working」というエラーが表示されます。一部の Web サーバまたはファイルでは、ファイル署名に差異があり、Cloud Web Security Service が認識できない場合があるため、この問題が発生することがあります。

    回避策:サードパーティの Cookie を許可する設定をオンにしてから、再試行してください。シークレット モードのウィンドウを使用している場合、この問題の既知の回避策はありません。

  • 問題 63149:お客様の展開でプロファイル内に重複するサブネットがあり、VMware Cloud Web Security ポリシーのサブネットを設定し、Cloud Web Security ポリシーをプロファイルとセグメントに関連付けると、そのサブネット上の Edge クライアントはインターネットに接続できなくなります。

    同じセグメント内の VMware SD-WAN Edge の背後にある LAN セグメントに重複するサブネットが設定されている場合、Edge の背後にあるリソースには、インターネットにバインドされたトラフィックに Cloud Web Security ポリシーを適用できません。これは、インターネットから Cloud Web Security へのリターン トラフィックの宛先 Edge を一意に識別する方法がないためです。

    回避策:Edge で LAN 側 NAT をオンにし、Edge の背後にあるリソースから送信されるトラフィックを表す一意のサブネットを設定します。

  • 問題 65001:VMware Cloud Web Security を使用しているお客様の場合、VMware Orchestrator を使用してファイル ハッシュ チェックをオン/オフにするようにインスペクション エンジンを設定することはできません。

    ユーザーが Orchestrator を使用して、「不明なファイルのダウンロードに対するアクション」と「不明なドキュメントのダウンロードに対するアクション」のいずれかに対して Cloud Web Security インスペクション エンジンのファイル ハッシュ チェック パラメータを設定している場合、これらの変更はインスペクション エンジンに送信されず、適用されません。

    回避策:この問題の回避策はありません。

Secure Access の既知の問題
  • 問題 64541:VMware Secure Access を使用しているカスタマーの場合、Workspace ONE UEM 設定のオプションを使用して組織グループ内のトンネル ホスト名を設定するときに、ユーザーが [はい (Yes)] を選択すると、ホスト名は手動で設定されるのではなく、UEM Console で自動的に作成されます。

    ユーザーには、ホスト名を自動的に作成するだけでなく、手動で設定するオプションが必要です。 

    この修正を行わない場合の回避策は、UEM Console で手動で設定することです。

check-circle-line exclamation-circle-line close-line
Scroll to top icon