VMware SASE 5.1.0 | 2023 年 12 月 18 日

  • VMware SASE™ Orchestrator バージョン R51010-20231215-GA

  • VMware SD-WAN™ Gateway バージョン R5103-20230621-GA

  • VMware SD-WAN™ Edge バージョン R5102-20230310-GA

各リリース ノートで、追加および更新された機能をご確認ください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

対象ユーザー

今回のリリースで初めて利用可能になった機能を必要とする、すべてのカスタマーにこのリリース 5.1.0 をお勧めします。

互換性

リリース 5.1.0 の Orchestrator、Gateway、およびハブ Edge では、VMware SD-WAN Edge の以前のバージョンのうちリリース 3.4.0 以降がすべてサポートされます。

次の相互運用性の組み合わせは、明示的にテストされています。

Orchestrator

Gateway

Edge

ハブ

ブランチ/スポーク

5.1.0 

5.1.0 

3.4.5 

3.4.5 

5.1.0 

5.1.0 

3.4.6 

3.4.6 

5.1.0 

5.1.0 

5.1.0 

3.4.5 

5.1.0 

5.1.0 

3.4.6 

5.1.0 

5.1.0 

4.2.2 

4.2.2 

4.2.2 

5.1.0 

5.1.0 

4.2.2 

4.2.2 

5.1.0 

5.1.0 

5.1.0 

4.2.2 

5.1.0 

5.1.0 

4.2.2 

5.1.0 

5.1.0 

4.3.0 

4.3.0 

4.3.0 

5.1.0 

5.1.0 

4.3.0 

4.3.0 

5.1.0 

5.1.0 

5.1.0 

4.3.0 

5.1.0 

5.1.0 

4.3.0 

5.1.0 

5.1.0 

4.3.1 

4.3.1 

4.3.1 

5.1.0 

5.1.0 

4.3.1 

4.3.1 

5.1.0 

5.1.0 

5.1.0 

4.3.1 

5.1.0 

5.1.0 

4.3.1 

5.1.0 

5.1.0 

4.5.0 

4.5.0 

4.5.0 

5.1.0 

5.1.0 

4.5.0 

4.5.0 

5.1.0 

5.1.0 

5.1.0 

4.5.0 

5.1.0 

5.1.0 

4.5.0 

5.1.0 

5.1.0 

4.5.1 

4.5.1 

4.5.1 

5.1.0 

5.1.0 

4.5.1 

4.5.1 

5.1.0 

5.1.0 

5.1.0 

4.5.1 

5.1.0 

5.1.0 

4.5.1 

5.1.0 

5.1.0 

5.0.1 

5.0.1 

5.0.1 

5.1.0 

5.1.0 

5.0.1 

5.0.1 

5.1.0 

5.1.0 

5.1.0 

5.0.1 

5.1.0 

5.1.0 

5.0.1 

5.1.0 

注:

上記の表は、SD-WAN サービスを使用しているカスタマーに対してのみ完全に有効です。VMware Cloud Web Security または VMware Secure Access へのアクセスが必要なカスタマーは、Edge をリリース 4.5.0 以降にアップグレードする必要があります。

注意:

VMware SD-WAN リリース 3.2.x、3.3.x および 3.4.x のサポートは終了しました。

  • リリース 3.2.x および 3.3.x は、2021 年 12 月 15 日にジェネラル サポートが終了 (EOGS) し、2022 年 3 月 15 日にテクニカル ガイダンスが終了 (EOTG) しました。

  • Orchestrator および Gateway のリリース 3.4.x は、2022 年 3 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • Edge のリリース 3.4.x は、2022 年 12 月 31 日にジェネラル サポートの終了 (EOGS) となり、2023 年 3 月 31 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • 詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 3.x のサポート期間の終了 (84151)

重要:

VMware SD-WAN リリース 4.0.x のサポート期間が終了しました。リリース 4.2.x および 4.3.x は、Gateway および Orchestrator のサポート期間が終了しました。4.5.x は、Gateway および Orchestrator のサポート終了に近づいています。

  • リリース 4.0.x は、2022 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えました。 

  • リリース 4.2.x の Orchestrator および Gateway は、2022 年 12 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 3 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • リリース 4.3.x の Orchestrator および Gateway は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • リリース 4.3.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • リリース 4.5.x の Orchestrator および Gateway は、2023 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2023 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • 詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 4.x のサポート期間の終了 (88319)

注:

リリース 3.x では、AES-256-GCM が適切にサポートされていませんでした。これは、AES-256 を使用しているカスタマーは、GCM が無効な状態 (AES-256-CBC) で Edge を常に使用していたことを意味していました。カスタマーが AES-256 を使用している場合は、Edge を 4.x または 5.x リリースにアップグレードする前に、Orchestrator から GCM を明示的に無効にする必要があります。すべての Edge で 4.x/5.x リリースが実行されている状態になったら、カスタマーは AES-256-GCM または AES-256-CBC を選択できます。

Orchestrator、Gateway、Edge のアップグレード パス

Orchestrator、Gateway、または Edge を旧リリースからリリース 5.1.0 にアップグレードする場合のパスを次に示します。

Orchestrator

リリース 4.0.0 以降を使用している Orchestrator は、リリース 5.1.0 にアップグレードできます。 

Gateway

リリース 4.0.0 以降を使用した Gateway のリリース 5.1.0 へのアップグレードは、すべての Gateway タイプで完全にサポートされています。

重要:

5.1.0 を使用して新しい Gateway を展開する場合、VMware ESXi インスタンスがバージョン 6.7 Update 3 以降、バージョン 7.0 以前である必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.1.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。

重要:

Gateway を 5.1.0 にアップグレードする前に、ESXi インスタンスをバージョン 6.7 Update 3 以降、バージョン 7.0 以前にアップグレードする必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.1.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。

Edge

Edge は、任意のリリース 3.x 以降からリリース 5.1.0 に直接アップグレードできます。

SD-WAN の新機能

ハブまたはクラスタの相互接続

初めて、複数のハブ Edge またはハブ クラスタをアンダーレイではなくオーバーレイで相互接続し、相互に通信できるスポーク Edge の範囲を増やすことができるようになりました。ハブは相互にルートを共有できるようになり、1 台のハブ Edge またはハブ クラスタに接続されたスポーク Edge が、別のハブ Edge またはハブ クラスタに接続されているスポーク Edge とオーバーレイを介して通信できるようになりました。マルチハブ展開のスポーク Edge は、動的マルチパス最適化 (DMPO) を利用してトラフィックの品質を向上させ、ネットワーク内のすべてのトラフィックをエンドツーエンドで可視化できるようになりました。ハブまたはクラスタの相互接続により、マルチハブ Edge またはハブ クラスタ ネットワークのスケーラビリティ、信頼性、可用性が向上します。

重要:

ハブまたはクラスタの相互接続を有効にすると、パケットがネットワークの複数のホップを通過できるようにする VMware SD-WAN ルーティング プロトコルに対して、基本的な変更が導入されます。この変更は代表的なトポロジでテストされていますが、遠隔ルートの分散を許可するような変更を行うときに発生する可能性のあるすべてのルーティング シナリオをテストすることはできません。そのため、VMware はこの機能を早期アクセスとしてリリースし、有効化されている展開の予期しないルーティング動作を詳細に監視します。

新しい Orchestrator ユーザー インターフェイス

Orchestrator リリース 5.1.0 には、リリース 4.0.0 で初めて導入された新しいユーザー インターフェイスの完全な実装が含まれています。新しいユーザー インターフェイスにより、すべての VMware SASE サービスの操作性が向上し、一貫した外観が提供されます。また、新しいユーザー インターフェイスには統合された製品内ヘルプが追加され、SD-WAN サービスの使用に役立つ関連ドキュメントやその他の資料をユーザーに案内します。

新しいユーザー インターフェイスはリリース 5.1.0 Orchestrator のデフォルト インターフェイスですが、SD-WAN を使用するときに従来の Orchestrator ユーザー インターフェイスに切り替えるオプションが保持されます。

注:

従来のユーザー インターフェイスは、VMware SASE Orchestrator の次回のマイナー リリースで廃止される予定です。新しい Orchestrator ユーザー インターフェイスの使用に慣れておくことを強くお勧めします。

フローの可視性

以前のリリースの Orchestrator ユーザー インターフェイスでは、集約されたフロー情報と統計情報が [アプリケーション (Application)][送信元 (Source)]、または [宛先 (Destination)] のそれぞれにのみ表示されます。すべての情報を 1 つの画面にまとめて、単一のエンドツーエンド ビューを提供するわけではありません。その結果、監視、トラブルシューティング、およびレポート作成は、各フローの詳細な可視性がないために妨げられます。

リリース 5.1.0 では、新しい Orchestrator ユーザー インターフェイスに各トラフィック フローの統合データを表示する [フロー (Flows)] タブが含まれています。Orchestrator ユーザー インターフェイスでは、各フローの主要なパラメータが 1 つのビューに表示されます。さらに、[フローの可視性 (Flow Visibility)] 機能を使用すると、履歴フロー データの表示、一致するパラメータに基づくデータのフィルタリング、エンドツーエンドのフロー統計情報のダウンロードを行えます。

ローカル DNS エントリ

リリース 5.1.0 では、Edge のローカル DNS エントリがサポートされ、トラフィックを特定のドメインにポイントします。ローカル DNS が設定されている場合、Edge は、DNS サーバを使用してドメインを解決する前に、最初にローカル ホスト ファイルを検索します。

Orchestrator、Gateway、Edge のパワーオン時のセルフテスト (POST)

リリース 5.1.0 では、パワーオン時のセルフテスト (POST) によって、デバイスのセキュリティが強化され可視性が向上しました。POST は、デバイスがパワーオンまたは再起動された直後に自動的に起動されるソフトウェア ルーチンによって実行されるプロセスです。POST プロセスには次のものが含まれます。

  • ソフトウェア整合性の検証。

  • 暗号化モジュール アルゴリズムの既知の応答テスト検証。

  • エントロピー(ノイズ)ソースのテスト。

  • POST 結果の表示:成功/失敗。POST が成功した場合にのみ、システムは残りのアプリケーションを引き続き起動します。POST が失敗した場合は、テストが失敗した場所にエラー メッセージが表示され、システムの起動シーケンスが停止します。

Orchestrator および Gateway の場合、この機能はグリーンフィールド展開でのみ使用できます。Edge では、この機能はデフォルトで有効にされていないため、Orchestrator ユーザー インターフェイスを使用して有効にする必要があります。

SD-WAN の新しい機能強化

高可用性 (HA) ローカル ルートの同期と BGP グレースフル リスタート

BGP または OSPF も使用される高可用性トポロジに展開されたサイトの場合、スタンバイ Edge がルートを同期するときのパケット ロスが大きいため、HA フェイルオーバーが遅くなり、カスタマー トラフィックが中断することがあります。HA フェイルオーバーを高速化し、中断を少なくするために、VMware は 2 つの機能強化、すなわちHA ローカル ルートの同期および BGP グレースフル リスタートを導入しました。

HA ローカル ルートの同期は、アクティブ Edge とスタンバイ Edge 間のルートを自動的に同期し、これらのルートを使用してアクティブ Edge で転送を行います。また、HA フェイルオーバー後にルート テーブルをすぐに使用できるようにします。

BGP グレースフル リスタートは、再起動中にネットワークでルートの変更が発生しないように、隣接する BGP デバイスを再起動に参加させることで、Edge の再起動と HA フェイルオーバーの高速化を実現します。BGP グレースフル リスタートを使用しないと、BGP ピア間で TCP セッションが終了し、Edge の再起動または HA フェイルオーバー後にこれらのルートを再構築する必要がある場合、ピア Edge はすべてのルートを削除します。BGP グレースフル リスタートは、設定可能な再起動タイマー内で新しいセッションが確立されてもピア Edge によるルートの削除が発生しないようにすることで、この動作を変更します。

重要:

最適なパフォーマンスを実現するには、カスタマー エンタープライズで動的コスト計算 (DCC) も有効にする必要があります。DCC が有効の場合、プリファレンスとアドバタイズの決定は Edge に対してローカルになり、Edge はルーティング プロセスからルートを学習するとすぐにアクティブからスタンバイに同期します。DCC の詳細については、VMware SD-WAN のルーティングの概要および分散コスト計算の設定を参照してください。

注:

HA ローカル ルートの同期は、BGP を使用しているエンタープライズでのみ使用できます。OSPF が使用される HA ローカル ルートの同期は、今後のリリースで使用できるようになります。

スイッチ インターフェイスでの RADIUS 認証

カスタマーはスイッチング ポートで 802.1x プロトコルを使用する RADIUS 認証を使用できます。以前はルーティング ポートに制限されていました。スイッチ ポート RADIUS 認証は、そのポートに関連付けられた VLAN を介して設定されます。この機能強化は、カスタマー サイトでローカル アクセスを拡張できるルーターが他になく、802.1x を介したセキュアなデバイス認証が必要な場合に役に立ちます。

MAC アドレス バイパス (MAB)

ルーテッド インターフェイスでは、MAC アドレスを RADIUS サーバのリストと照合して、802.1x 認証をサポートしていない LAN デバイスの 802.1x をバイパスできるようになりました。MAB は、認証が必要になる可能性のあるすべての MAC アドレスを手動で設定する必要をなくすことで、IT 運用を簡素化し、時間を節約し、スケーラビリティを強化します。

重要:

RADIUS ベースの MAB は VLAN でサポートされていないため、スイッチ ポートには使用できません。RADIUS ベースの MAB は、ルーテッド インターフェイスでのみサポートされます。

Edge の再起動を引き起こす設定変更

以前はいくつかの Edge 設定の変更によって Edge サービスの再起動がトリガされましたが、リリース 5.1.0 ではトリガされなくなりました。特に、頻繁に使用される Edge インターフェイス設定の変更(スイッチ インターフェイスの Edge の LAN IP アドレスの変更、CIDR IP アドレス、CIDR プレフィックス、固定 IP アドレスの変更など)では、Edge の再起動による中断が発生しなくなりました。完全なリストを表示するには、ナレッジベースの記事VMware SD-WAN Edge Configuration Changes That Can Trigger an Edge Service Restart (60247)を参照してください。

SNMP

リリース 5.1.0 では、SNMP に対して次の機能強化が行われています。

  • SNMPv2:追加のコミュニティ文字列および 64 ビット カウンタのサポート。

  • SNMPv3:SHA2、追加のユーザー名とパスワード、個別の認証キーとプライベート キーのサポート。

  • MIB には、次のテレメトリが追加されます。

    • UUID のインターフェイス名マッピングへのリンク。

    • 帯域幅/キャパシティのリンク。

    • スループットのリンク。

Edge 2000、3800、および 3810 フロー キャパシティの増加

Edge モデル 2000、3800、および 3810 では、リリース 5.1.0 Edge ソフトウェアを使用すると、最大フロー キャパシティがそれぞれ 1.9 M フローから 3.8 M フローに増加します。

注:

Edge モデル 3400 はこの変更の影響を受けず、このモデルのフロー キャパシティの最大値は 1.9 M フローのままです。

Gateway 上のパケット キャプチャ (PCAP)

ユーザーは、Orchestrator ユーザー インターフェイスを使用して Gateway で PCAP を開始できます。単純または複雑なフィルタを定義するオプションを使用して最大 120 秒の Gateway トラフィックをキャプチャし、ユーザーが必要なデータのみをキャプチャできるようにします。この機能には、次のようなユーザーがアクセスできます。

  • パートナー管理者は、自分の Partner Gateway でのみ PCAP を開始できます。

  • オペレータは、Partner Gateway とホスト型 Gateway の両方で PCAP を開始できます。

外部認証局 (CA)

外部 CA 機能には、次の 2 つの新しい API 対応モードが追加されています。

  • 手動モードは、任意の認証局をサポートし、証明書プロセスの各手順を手動で実行するユーザーに柔軟性と制御を提供します。

  • 非同期モードは、手動の手順をスクリプト化し、定期的なタスクを自動化する機能により任意の認証局をサポートします。

Non SD-WAN Destination (NSD) およびクラウド セキュリティ サービス (CSS) トンネル

以前の SD-WAN バージョンでは、NSD または CSS のトンネルは、トラフィックが通過するときにのみ形成され、通過するトラフィックがある限り維持されていました。一定期間トラフィックが存在しない場合、トンネルは破棄され、次にトラフィックがいずれかの方向に送信された際に再構築する必要がありました。そのため、トンネルの再確立中にそのトラフィックの遅延が発生しました。リリース 5.1.0 以降では、いずれかのサービスが最初に設定された時点ですべての NSD トンネルと CSS トンネルがトリガおよび確立され、トラフィックが通過しているかどうかに関係なく一定期間維持され、サービスのユーザー エクスペリエンスが向上します。

重要な注意事項

BGP 拡張コミュニティ文字列が BGP プレフィックスに追加されました

クラスタ内の BGP ルートには、内部 BGP コミュニティが自動的にタグ付けされ、各 Edge によって既存の BGP コミュニティに追加されます。この追加のコミュニティ文字列は、ホップ数の 1 バイトと Edge の論理 ID から取得された 3 バイトを組み合わせた文字列です。その結果、スポーク/ハブの LAN 側で BGP ピアリングを使用しているカスタマーは、Edge によって広報された BGP プレフィックスを新しい BGP コミュニティ文字列でフィルタリングできません。

Non SD-WAN Destination の Dead Peer Timeout (DPD)

リリース 5.1.0 では、Non SD-WAN Destination の Dead Peer Timeout (DPD) に大きな変更が加えられます。以前のリリースでは、DPD のデフォルト値は 20 秒で、ユーザーは DPD タイムアウト タイマーを 0 秒に設定することで DPD を無効にできました。VMware SD-WAN が QuickSec IPsec ツールキットに移行すると、DPD は次のように変更されます。

  • プローブ間隔:指数関数(0.5 秒、1 秒、2 秒、4 秒、8 秒、16 秒)。

  • デフォルトの最小 DPD 間隔:47.5 秒(QuickSec は最後の再試行の後に 16 秒間待機します。したがって、0.5+1+2+4+8+16+16 = 47.5)。

  • デフォルトの最小 DPD 間隔 + DPD タイムアウト(秒):67.5 秒。

上記の変更の結果、ユーザーは DPD タイムアウト タイマーを 0 秒に設定することによって DPD を無効にできません。秒単位の DPD タイムアウト値は、デフォルトの最小値である 47.5 秒に追加されます。したがって、ユーザーが DPD を 0 秒に設定した場合でも、実際の DPD は 47.5 になります。

従来の Orchestrator で設定する必要がある機能

リリース 5.1.0 では、ユーザーは Orchestrator ですべての監視タスクと設定タスクを実行できるという理解のもと、VMware は新しいユーザー インターフェイスを Orchestrator のデフォルト インターフェイスにしています。ただし、次の一部の機能は新しいユーザー インターフェイスに完全には統合されていません。

  • Secure Access - Edge とプロファイルの設定

  • Zscaler - Edge とプロファイルの設定

  • TACACS - Edge 設定と [ネットワーク サービス (Network Services)] ページ

  • パートナー設定 - [パートナー (Partner)] ページ

上記の機能を設定するには、カスタマーは Orchestrator 画面の上部にある [従来の Orchestrator を開く (Open Classic Orchestrator)] オプションを選択して、新しいブラウザ タブを従来のユーザー インターフェイスで開きます。


これらの機能は、以降の Orchestrator ソフトウェア リリースで新しいユーザー インターフェイスに完全に統合される予定です。

高可用性での Wi-Fi 対応 Edge と Wi-Fi 非対応 Edge の混在はサポートされません 

2021 年から、VMware SD-WAN に Wi-Fi モジュールを含まない Edge モデル(Edge モデル 510N、610N、620N、640N、および 680N)が導入されました。これらのモデルは、Wi-Fi を除いては、Wi-Fi 対応の対応するモデルと同じように見えますが、同じモデルの Wi-Fi 対応の Edge と Wi-Fi 非対応の Edge(たとえば、Edge 640 と Edge 640N)の高可用性ペアとしての展開はサポートされていません。カスタマーは、高可用性ペアとして展開された Edge が同じタイプ(両方とも Wi-Fi 対応または両方とも非 Wi-Fi 対応)であることを確認する必要があります。

AS-PATH プリペンドの BGPv4 フィルタ設定の区切り文字の変更

リリース 3.x 以降では、AS-PATH プリペンドの VMware SD-WAN BGPv4 フィルタ設定で、カンマ ベースとスペース ベースの両方の区切り文字が使用できました。ただし、リリース 4.0.0 以降では、VMware SD-WAN では、AS-PATH プリペンド設定でスペース ベースの区切り文字のみを使用できます。3.x から 4.x または 5.x にアップグレードする場合は、誤った BGP の最適ルート選択を回避するために、アップグレード前に AS-PATH プリペンド設定を編集して「カンマをスペースに置き換える」必要があります。

Edge 3x00 モデルのアップグレード時間の延長

Edge をリリース 4.0.0、4.0.1、または 4.2.0 から直接アップグレードする場合、Edge 3x00 モデル(3400、3800、3810 など)でこのバージョンにアップグレードするには、通常よりも長い時間がかかります(3 ~ 5 分)。これは、問題 53676 を解決するファームウェアのアップグレードが原因で発生します。Edge 3400 または 3800 が、他の Edge リリースを使用してリリース 5.1.0 にアップグレードされた場合、Edge は想定したとおりにアップグレードされます。詳細については、各リリース ノートの解決した問題 53676を参照してください。

Edge および Gateway 上の BGP over IPsec、および Azure Virtual WAN の自動化の制限事項

Edge および Gateway 上の BGP over IPsec 機能は、Edge または Gateway からの Azure Virtual WAN の自動化と互換性がありません。Edge または Gateway から Azure vWAN への接続を自動化するときには、スタティック ルートのみがサポートされます。

VMware SD-WAN Edge モデル 520、540、620、640、680、3400、3800、および 3810 で自動ネゴシエーションを無効にする場合の制限事項

ユーザーが、VMware SD-WAN Edge モデル 620、640 または 680 のポート GE1 〜 GE4 で、または Edge 3400、3800 または 3810 のポート GE3 または GE4 で、あるいは銅線インターフェイスを備えた SFP がポート SFP1 または SFP2 で使用されている場合は Edge 520/540 で、速度とデュプレックスをハードコーディングするために自動ネゴシエーションを無効にすると、再起動してもリンクが起動しない場合があります。

これは、Intel Ethernet Controller i350 を使用するリストされた各 Edge モデルが原因で発生します。これらのモデルには、自動ネゴシエーションがリンクの両側で使用されない場合、送受信する適切なケーブルを動的に検出 (Auto MDIX) することができないという制限があります。接続の両側で送受信に同じケーブルが使用されている場合、リンクは検出されません。ピア側も自動ネゴシエーションなしの Auto MDIX をサポートせず、リンクがストレート ケーブルを使用して起動されていない場合は、リンクを起動するためにクロスオーバー イーサネット ケーブルが必要になります。

詳細については、ナレッジベースの記事「Limitation When Deactivating Autonegotiation on VMware SD-WAN Edge Models 520, 540, 620, 640, 680, 3400, 3800, and 3810 (87208)」を参照してください。

使用可能な言語

バージョン 5.1.0 を使用する VMware SASE Orchestrator は、次の言語にローカライズされています。チェコ語、英語、欧州ポルトガル語、フランス語、ドイツ語、ギリシャ語、イタリア語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語。

Orchestrator API の変更点

5.0.0 以降の Orchestrator API の変更

VMware SASE Orchestrator ポータル API(「API v1」)の変更

完全な API 変更ログは、developer.vmware.com からダウンロードできます(「VMware SD-WAN Orchestrator API v1」を参照)。

次の変更には開発者からのアクションが必要になる場合があると予想されます。

  • 問題 #66795:この修正により、非ネイティブ ユーザーが有効な状態にあり、SSO ユーザーがそれぞれの ID プロバイダでアクティブである場合にのみ、API トークンが有効になり、Orchestrator によって受け入れられるメカニズムが導入されます。非ネイティブ ユーザーが非アクティブになった場合(つまり、IdP で削除されたか、有効なリフレッシュ トークンがない場合)、このユーザーのすべての API トークンはバックエンド ジョブを介して取り消されます。

注:
  • この修正前に SSO が有効なユーザーのために発行されたトークンは、期限切れになるまで引き続き Orchestrator によって考慮されるという従来の動作に従います。

  • リフレッシュ トークンまたはイントロスペクション エンドポイントをサポートしない ID プロバイダの SSO ユーザーは、トークン ベースの認証機能を使用できません。 

  • 問題 #87878vcoInventory/getPendingInventory が応答ペイロードを変更しました。token、vcoInstanceLogicalId、vcoUrl、edgeMappingId、enterpriseId、enterpriseProxyId、uuid、mac、imei、owner フィールドを削除しました。これらのフィールドはフロントエンドでは使用されません。また、ユーザー インターフェイスで使用されていないため、ユーザー インターフェイスには影響しません。この API は、ZTP が利用可能な Edge のリストを取得するために使用することを意図しており、これらのフィールドは Edge の割り当てには必要ありません(serialNumber のみが必要です)。したがって、カスタマーがこの API を ZTP に使用し、厳密なペイロード検証を行っている場合、影響を与える可能性があります(実装に依存します)。一般的に、ZTP フローを正常に実行するには、返された情報で十分です。

  • 問題 #84303:ネイバー localIP が存在する場合に 2 未満の maxHop 値を設定できないように、BGP ネイバーの maxHop 属性の検証が追加されました。以前は、ネイバー localIP が存在するかどうかに関係なく、maxHop 値を 1 に設定することができました。現在は、ネイバー localIP が存在する場合の変更により、許可される最大ホップ数の最小値は 2 です。ユーザーが 2 未満の maxHop 値を設定しようとすると、「ネイバーの MaxHop が無効です。localIp が存在する場合、MaxHop 値の範囲は 2 ~ 255 です (Invalid MaxHop for Neighbor. MaxHop value ranges from 2 to 255 when localIp is present.)」というメッセージが表示されます。既存の設定を処理するためにパッチが作成中です。

  • 問題 #84114:MySQL から ClickHouse にクライアント デバイスを移行すると、clientDeviceId フィールドが削除されます。clientDeviceId フィールドを使用して外部クライアントを識別しなかったため、影響は無視できます。clientDeviceId を持つクライアント デバイス エンドポイントを使用しているクライアントが、従来の Orchestrator ユーザー インターフェイスのみのようです。logicalId または ipAddressmacAddress の組み合わせを使用して ClickHouse のレコードを更新または取得するように、ユーザー インターフェイスが強化されました。クライアント デバイス エンドポイントを使用してホスト名を更新する場合、または ID で特定のデバイスを取得する場合は、外部クライアントがそれに従う必要があります。

VMware SASE Orchestrator API v2 への変更

  • 問題 #98750:Edge 関連の API によって返される Edge レコードの lastContact フィールドは廃止されたため、これ以上使用しないでください。代わりに、Edge の実際の状態を判断する単一の情報源として応答の edgeState フィールドを使用する必要があります。クライアント コードが lastContact を使用していて、edgeState に置き換えることができない場合、API v1 は応答に正確な lastContact を提供します。これは必要であれば使用できますが、推奨されません。

  • 問題 #30901:リリース 5.1.0 でフローの可視性機能が有効になっている場合、flowstats では必須の groupBy 句が不要になりました。groupBy 句が指定されていない場合、デフォルトでは、API エンドポイントがフローの可視性 API エンドポイントのクエリまたは呼び出しを行い、アプリケーション、クライアント デバイスなどのすべてのリゾルバに対して解決されると想定します。ただし、これはフロー統計メトリック API 呼び出しにのみ適用され、フロー統計シリーズ API は変更されません。

  • 問題 #95089:APIv2 レート制限モジュールでは、ポータル API のレートリミッタと同じデフォルト ポリシーが適用されていませんでした。これは常に意図的に行われていました。このリリースでの変更により、そのポリシーが APIv2 に対して有効になります。レートリミッタのトリガを回避し、レート制限がトリガされた応答を処理するためのベスト プラクティスを確認することを推奨します。

開発者向けドキュメントに関する注意事項

これまで、VMware SASE/SD-WAN API ドキュメントは code.vmware.com の VMware {code} でホストされていました。VMware {code} は最近新しいドメイン (developer.vmware.com) に移行しました。この移行の結果、以前に code.vmware.com でホストされていた特定のページへの一部のパーマリンクが予期したとおりに動作しなくなることがあります。

この移行と組み合わせて、VMware では引き続き、https://developer.vmware.com/apis の開発者ドキュメント ポータルを使用します。ここには、現在、すべての VMware SASE/SD-WAN API ドキュメントがあります。

ドキュメントの改訂履歴

2023 年 12 月 18 日。第 24 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R51010-20231215-GA を追加しました。これは 10 番目の Orchestrator ロールアップ ビルドで、リリース 5.1.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R51010-20231215-GA には、#117941#125006#128310#129239、および #131789 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

2023 年 10 月 9 日。第 23 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5109-20231003-GA を追加しました。これは 9 番目の Orchestrator ロールアップ ビルドで、リリース 5.1.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5109-20231003-GA には、#119938 および #128310 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • 「Edge/Gateway の既知の問題」セクションに未解決の問題 #105933 を追加しました。

2023 年 9 月 20 日。第 22 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5108-20230916-GA を追加しました。これは 8 番目の Orchestrator ロールアップ ビルドで、リリース 5.1.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5108-20230916-GA には、#94610#104775#105580#106191#115981#116531#117822#118728#121085#121441#121469#124778 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • 元の GA ビルド R5100-20221204-GA で未解決の問題 #62701 を「Edge/Gateway の既知の問題」から「Edge/Gateway で解決した問題」セクションに移動しました。このアクションは、これらのリリース ノートの最初のエディションで実行されている必要がありました。

  • 「Edge および Gateway の既知の問題」セクションに未解決の問題 #115136 および #117037 を追加しました。

  • ドキュメントの改訂履歴」は、ユーザー エクスペリエンスを向上させるために新しい項目から古い項目の順に読めるように再編成されました。

2023 年 8 月 22 日。第 21 版。

2023 年 8 月 3 日。第 20 版。

2023 年 7 月 26 日。第 19 版。

  • 2 番目の Edge ロールアップ ビルド R5102-20230310-GA の「Edge/Gateway で解決した問題」セクションに解決した問題 #103708 を追加しました。この問題は、5.0.1 リリース ノートの第 10 版から除外されました。

2023 年 7 月 23 日。第 18 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5107-20230722-GA を追加しました。これは 7 番目の Orchestrator ロールアップ ビルドで、リリース 5.1.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5107-20230722-GA は、問題 #122271 の修正を含んでいて、このセクションで文書化されています。

  • 未解決の問題 #53359 は 4.3.0 で修正されたため、「Edge/Gateway の既知の問題」セクションから削除されました

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #103708 および #117775 を追加しました。

2023 年 7 月 15 日。第 17 版。

2023 年 7 月 6 日。第 16 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5106-20230705-GA を追加しました。これは 6 番目の Orchestrator ロールアップ ビルドで、リリース 5.1.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5106-20230705-GA には、#84772#115411#115433#116633#117772#117988#117993#118074#118544#118733#119733#120606 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • 元のビルド R5100-20221204-GA の「Edge/Gateway で解決した問題」セクションに問題 #95565 を追加しました。この問題は、元の 5.1.0 リリース ノートから誤って除外されました。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #107994 を追加しました。

  • Orchestrator の既知の問題」セクションに未解決の問題 #112826 を追加しました。

2023 年 6 月 23 日。第 15 版。

  • 「Edge/Gateway で解決した問題」セクションに新しい Gateway ロールアップ ビルド R5103-20230621-GA を追加しました。これは 3 番目の Gateway ロールアップ ビルドで、リリース 5.1.0 の新しい Gateway GA ビルドです。

  • Gateway ビルド R5103-20230621-GA には、#82808#100172#101536#104619#107309#108473#111646#111888#111924#112016#112017#112019#112020#112800#114052#114084#114282#114932#115604#115692#116182 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #115148 および #119033 を追加しました

2023 年 6 月 13 日。第 14 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5105-20230611-GA を追加しました。これは 5 番目の Orchestrator ロールアップ ビルドで、リリース 5.1.0 の新しい Orchestrator GA ビルドです。

  • Orchestrator ビルド R5105-20230611-GA には、#87089#105861#106295#107180#107766#110826#111957#112044#112333#112451#112500#112605#112809#112906#112912#112992#113209#113254#113366#113375#113963#114240#114291#114564#114602#114912#115307#115439#115624#115653#115719#116141#116523#116770#116790#116976#117527#117800、および #118071 の問題の修正が含まれています。

  • Edge/Gateway の既知の問題」セクションに次の未解決の問題を追加しました。#82808#107309#111924#112016#112017#112019#114084#114282#115692、および #116182。これらの問題はすべて、VMware SD-WAN Gateway に影響します。

2023 年 5 月 11 日。第 13 版。

  • Edge/Gateway の既知の問題」セクションに次の未解決の問題を追加しました。#108473#111646#111888#112020#112800#114052#114932。これらの問題はすべて、VMware SD-WAN Gateway に影響します。

2023 年 4 月 27 日。第 12 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5104-20230426-GA を追加しました。これはリリース 5.1.0 の 4 回目の Orchestrator ロールアップ ビルドです。

  • Orchestrator ビルド R5104-20230426-GA には、#95631#104785#106327、#106929#107071#107349#107980#108072#108363#109284#109300#109532#109533#109715#109788#109836#109911#110094#110330#110946#111104#111407#111444#111665#111934#111944#111946#112094#112201#112224#112437#112458#112885、および #114475 の問題の修正が含まれています。各問題については、このセクションで説明します。

  • #106907#106929 の 2 つの修正されたチケットは、最初は Orchestrator リリース 5.1.0.2 で修正済みとしてマークされていました。ただし、5.1.0.2 では修正が不完全で、Orchestrator バージョン 5.1.0.4 でのみ完全に解決されています。その結果、これらのチケットは Orchestrator バージョン 5.1.0.2 で「解決した問題」セクションから削除され、5.1.0.4 に移行されました。

  • 元のビルド R5100-20221204-GA の「Edge/Gateway で解決した問題」セクションに問題 #94612 を追加しました。この問題は、元の 5.1.0 リリース ノートから誤って除外されました。

  • 互換性セクションを更新して、すべての 3.x リリースがサポート期間の終了 (EOSL) に達したことを記載しました。また、4.x セクションを更新し、4.2.x Orchestrator と Gateway がサポート期間の終了 (EOSL) に達したことを記載しました。

  • BGP 拡張コミュニティ文字列が BGP プレフィックスに追加されました」というタイトルの重要な注意事項を追加しました。詳細については、注意事項を参照してください。

2023 年 3 月 15 日。第 11 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5103-20230315-GA を追加しました。これはリリース 5.1.0 の 3 回目の Orchestrator ロールアップ ビルドです。

  • Orchestrator ビルド R5103-20230315-GA には、#107587#107725#108533、#108833、および #109064 の問題の修正が含まれています。各問題については、このセクションで説明します。R5104-202304xx-GA

2023 年 3 月 14 日。第 10 版。

  • 「Edge/Gateway で解決した問題」セクションに新しい Edge/Gateway ロールアップ ビルド R5102-20230310-GA を追加しました。これは 2 番目の Edge/Gateway ロールアップ ビルドで、リリース 5.1.0 の新しい Edge/Gateway GA ビルドです。

  • Edge/Gateway ビルド R5102-20230310-GA には、#98782#104141#105744#106587 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

2023 年 3 月 6 日。第 9 版。

  • SD-WAN の新しい機能強化セクションで、「Edge 3x00 フロー キャパシティの増加」の内容を改訂しました。元の内容では Edge 2000 が除外され、誤って Edge 3400 が含まれていました。改訂された内容は次のようになります。

    • Edge 2000、3800、および 3810 フロー キャパシティの増加

    • Edge モデル 2000、3800、および 3810 では、リリース 5.1.0 Edge ソフトウェアを使用すると、最大フロー キャパシティがそれぞれ 1.9 M フローから 3.8 M フローに増加します。

    • Edge モデル 3400 がこの変更の影響を受けず、このモデルのフロー キャパシティの最大値が 1.9 M フローのままであることを明確にするための注記が追加されました。

2023 年 2 月 28 日。第 8 版。

  • Orchestrator ロールアップ ビルド R5102-20230216-GAR5102-20230222-GA に置き換えました。新しい Orchestrator ビルドは、Orchestrator をビルド R5102-20230216-GA にアップグレードするときに VMware オペレーション チームによって確認されたアップグレードの問題を修正します。アップグレードの問題は、アップグレード パッケージ マニフェストのバージョンの不一致が原因で発生しました。

  • 新しいビルドには、次の修正も含まれています。#106907#108074、および #108309

2023 年 2 月 17 日。第 7 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5102-20230216-GA を追加しました。これはリリース 5.1.0 の 2 回目の Orchestrator ロールアップ ビルドです。

  • Orchestrator ビルド R5102-20230216-GA には、問題 #40584#105610#106159#106242#106592、#106806、#106929、#107410、#107637#107885 の修正が含まれています。各問題については、このセクションで説明します。

  • 元のビルド R5100-20221204-GA の「Edge/Gateway で解決した問題」セクションに問題 #89725 を追加しました。この問題は、元の 5.1.0 リリース ノートから誤って除外されました。

  • [Edge/Gateway の既知の問題] セクションから問題 #39659 を削除しました。これは、リリース 4.3.0 で解決された別のチケット #39501 と重複しています。

2023 年 1 月 29 日。第 6 版。

  • 互換性セクションで、4.2.x のサポート終了に関する「重要な注意事項」を改訂し、リリース 4.3.x を追加して、SD-WAN Edge ソフトウェアの新たに改訂された日付を反映しました。

  • SD-WAN の新しい機能強化セクションで、Non SD-WAN Destination (NSD) とクラウド セキュリティ サービス (CSS) トンネルの機能強化を追加しました。これは、リリース ノートの初版では誤って省略されていました。

  • 重要な注意事項セクションで、Non SD-WAN Destination の Dead Peer Timeout (DPD) に関するメモを追加しました。このメモでは、VMware SD-WAN ソフトウェアが Quicksec IPsec ツールキットに変更された結果の DPD の動作の変更について説明します。この資料は、リリース ノートの初版では誤って省略されていました。

2023 年 1 月 20 日。第 5 版。

  • 「Edge/Gateway で解決した問題」セクションに新しい Gateway ロールアップ ビルド R5101-20230112-GA を追加しました。これは最初の Gateway ロールアップ ビルドで、リリース 5.1.0 の新しい Gateway GA ビルドです。

  • Gateway ビルド R5101-20230112-GA には、#97272 および #104487 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • 拡張機能 MAC アドレス バイパス (MAB) の文言を修正し、この機能は VLAN ではサポートされておらず、802.1x 認証用の VLAN に依存するスイッチ ポートには使用できないことを明確にしました。したがって、リリース 5.1.0 のこのバージョンの時点で MAB はルーティング インターフェイスでのみサポートされます。

2023 年 1 月 12 日。第 4 版。

  • 2 つの 5.1.0 の機能強化、すなわちHA ローカル ルートの同期および BGP グレースフル リスタートに関する文言を追加しました。

2023 年 1 月 5 日。第 3 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5101-20221220-GA を追加しました。これはリリース 5.1.0 の最初の Orchestrator ロールアップ ビルドです。

  • Orchestrator ビルド R5101-20221220-GA には、#100133#101835#102806#103622 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

2022 年 12 月 15 日。第 2 版。

  • 「Edge/Gateway の既知の問題」から未解決の問題 #39134 を削除しました。エンジニアリングがこれを解決済みと判断したため、5.1.0 リリース ノートの第 1 版の「Edge/Gateway で解決した問題」に、このチケットが誤って追加されていました。

2022 年 12 月 8 日。第 1 版。

Edge および Gateway で解決した問題

Gateway バージョン R5103-20230621-GA で解決した問題

Gateway ビルド R5103-20230621-GA は 2023 年 6 月 23 日にリリースされた、リリース 5.1.0 の 3 番目の Gateway ロールアップです。

この Gateway ロールアップ ビルドは、2 番目の Gateway ロールアップ ビルド、R5102-20230310-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 82808:クラウド セキュリティ サービス (CSS) を使用している、L7 健全性チェックをオンにした VMware SD-WAN Edge では、VMware SASE Orchestrator が CSS トンネルを稼動中としてマークし続けている場合でも、それらのトンネルを使用するトラフィックが失敗することがあります。

    L7 プローブが 4XX HTTP エラーで失敗しても、VMware SD-WAN Gateway はその障害を認識せず、Orchestrator に CSS トンネルをダウンとしてマークするように通知しません。

  • 解決した問題 100172:ユーザーが VMware SD-WAN Gateway 経由で Edge に SSH 接続しようとすると、Gateway でデータプレーン サービスの障害が発生し、コアが生成され、リカバリのために再起動する場合があります。

    ユーザーが Gateway 経由で Edge に SSH 接続しようとして、その SSH セッションで FRAG_NEEDED ICMP エラー メッセージが生成された場合、Gateway でこの問題が発生する可能性があります。

  • 解決した問題 101536:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

    コア ファイルを確認すると、Gateway のミューテックス監視に関連するログが記録されており、これはハブとクラスタの相互接続が Gateway に接続されているカスタマー エンタープライズによって使用されている場合に発生する場合があります。

  • 解決した問題 104619:2 つ以上のエンタープライズが同じ Partner Gateway を共有し、すべてのパートナー ハンドオフ設定でエンタープライズが IPv4 を使用している場合、1 つのエンタープライズのパートナー ハンドオフが削除されると、その Partner Gateway に接続されている他のエンタープライズの Security Association (SA) の確立に失敗します。

    たとえば、Partner Gateway を使用する Enterprise-1 と Enterprise-2 と呼ばれる 2 つのエンタープライズがあり、両方のエンタープライズでパートナー ハンドオフが設定されている場合、SD-WAN サービスは Gateway の仮想ネットワーク インターフェイスに単一の IP アドレスを設定します。ユーザーが Enterprise-2 でパートナー ハンドオフを無効にすると、Enterprise-1 のハンドオフに同じ IP アドレスが使用されていても、SD-WAN サービスは次のフローに移動し、仮想ネットワーク インターフェイスからこの IP アドレスを削除します。その結果、Enterprise-1 は Edge との IPsec トンネルを確立できなくなります。

    修正を適用しない Gateway でこの問題が発生した場合、Gateway を再起動すると問題が修正されます。

  • 解決した問題 107309:カスタマーが 4.x Orchestrator 上で Edge 経由の Non SD-WAN Destination の L7 健全性チェックを設定し、Orchestrator がリリース 5.x にアップグレードされると、カスタマーが L7 プローブの再試行の値を変更しても、Edge は新しい値を適用しません。

    たとえば、L7 健全性チェック プローブの再試行の値が 3 の場合(トンネルはプローブが 3 回失敗するとダウンとマークされます)、カスタマーがこの値を 1 に変更しても、L7 健全性チェックは再試行回数として元の値 3 を使用し続け、その後トンネルがダウンとマークされます。

  • 解決した問題 108473:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、サービスをリカバリするために再起動することがあります。

    Gateway ではシーケンス番号オーバーフローが発生し、それによってすべての SA (IPsec Security Association) の削除がトリガされる場合があります。すべての SA を削除しようとすると、Gateway プロセスはトンネル ID に基づいてトンネルを見つけようとしますが、トンネルが存在しないため、Gateway サービスに障害が発生します。

  • 解決した問題 111646:CPU 負荷の高い VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    ユーザーが Gateway で生成されたコアを参照すると、ミューテックス監視例外が発生し、「Program terminated with signal SIGXCPU, CPU time limit exceeded message」というメッセージが表示されます。この問題は、優先度の低いスレッド ロックを解放する Gateway プロセスに関連しています。

  • 解決した問題 111888:4 コアで展開され、2,000 を超えるトンネルが接続された VMware SD-WAN Gateway で CPU 使用率が高くなり、Gateway に接続されているトンネルが不安定になる場合があります。

    Gateway スレッドの 1 つが 4 コア Gateway で CPU キャパシティを過剰に使用しているため、安定したトンネルを維持する Gateway の機能が妨げられます。

  • 解決した問題 111924:VMware SD-WAN Edge の Gateway へのトンネルが稼動して安定しているにもかかわらず、すべてのサイトでマルチパス トラフィック(つまり、VMware SD-WAN Gateway を通過するトラフィック)がドロップされる場合があります。

    ゲートウェイが VCMP パケット(SD-WAN の管理プロトコル)を再送信できる最大回数に制限はなく、そのような再送信により低帯域幅リンクが過負荷状態になる場合があります。また、Edge に低帯域幅リンクがある場合、再送信を十分な速度でドレインできないため、これらの再送信はスケジューラ上でのパケットの蓄積を引き起こします。最終的に、スケジューラのキューがいっぱいになり、スケジューラはすべての Edge からのパケットをドロップするようになります。Gateway を使用しないダイレクト トラフィックは、この問題の影響を受けません。

    この問題が発生し、この問題の修正が適用されていない Gateway が発行されている場合、この問題を回避する唯一の方法は、オペレータ ユーザーが debug.py --qos_dump_net コマンドを使用してスケジューラ上でパケットの蓄積を引き起こしている Edge を特定し、影響を受ける Gateway 内でブロックすることです。

  • 解決した問題 112016:VMware SD-WAN Gateway では、Gateway の再起動が開始された後、生成されたコアで複数のデータプレーン サービス障害が発生する場合があります。

    コアを調べると、オペレータは各障害がミューテックス監視の問題によってトリガされたことを確認できます。VCMP(SD-WAN の管理プロトコル)を管理するスレッドで実行された VCMP の処理に要する時間が目立って増加しています。これにより、Gateway の起動中、VCMP スレッドが長時間(60 秒以上)100% で実行され続け、複数のミューテックス監視関連の Gateway サービス障害が発生します。

  • 解決した問題 112017:オペレータは、4 コアで展開された VMware SD-WAN Gateway の負荷が高くなり、その結果 1 つ以上のデータプレーン サービスの障害に遭遇することがあります。

    Gateway コア ログは、サービス障害をトリガするミューテックス監視を指摘します。上記の症状に対処するチケットがいくつかありますが、この場合の原因は、VCMP(管理プロトコル)スレッドが 4 コアの Gateway の CPU プロセスを最大限まで使い切り、ミューテックス監視をトリガすることにあります。このチケットにより、オペレータ ユーザーは VCMP ハーフオープン接続の制限である 20 を設定できるようになります。これは、debug.py を使用して Gateway のコマンド ライン インターフェイス (CLI) を通じて行うか、静的設定ファイルを使用して行うことができます。

  • 解決した問題 112019:VMware SD-WAN Gateway で CPU 負荷の高い状態でデータプレーン サービスの障害が発生し、リカバリのためにサービスが 再起動する場合があります。

    5.1.0.3 ロールアップ ビルドの他の Gateway サービス障害チケットと同様に、オペレータまたはパートナーは、コア ファイルでミューテックス監視トリガが発生していることを確認します。このチケットでの修正方法は、NAT デバッグ ログを NAT テーブル ロックの範囲外に移動して問題の原因の 1 つを防ぐことです。

  • 解決した問題 112020:CPU 負荷の高い 4 コアで展開された VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、その結果再起動することがあります。

    Gateway コア ファイルを参照すると、トンネル数が多いために CPU が最大キャパシティで実行され、Gateway プロセスを実行できないことが原因で、ミューテックス監視の障害が発生していることがわかります。

  • 解決した問題 112800:VMware SD-WAN Gateway を使用している場合、トンネルやルートの収束に時間がかかるなど、パフォーマンスが低下することがあります。

    Gateway の監視を確認すると、Gateway が古いフロー ディスパッチャのフローのフラッシュに失敗していることにより、データプレーン コア (dp-cores) が 100% で実行されていることがわかります。

  • 解決した問題 114052:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、その結果再起動することがあります。

    この問題は、Gateway の IPsec プロセスのスレッドがタイムアウトし、Gateway サービスの障害をトリガすることが原因で発生します。

  • 解決した問題 114084:VMware SD-WAN Edge の L7 健全性チェックを使用して Zscaler タイプのクラウド セキュリティ サービス (CSS) を設定したカスタマーの場合、VMware SASE Orchestrator で Zscaler クラウド サーバを更新すると、更新された詳細が Edge に適用されません。

    Orchestrator に新しい Zscaler クラウド サーバの設定が表示されているにもかかわらず、Edge と Gateway はこの新しいサーバではなく、古い Zscaler サーバを介してトラフィックまたは L7 プローブを送信します。

  • 解決した問題 114282:4 コアで展開された VMware SD-WAN Gateway が再起動されると、接続されたカスタマー エンタープライズの約 3,000 のトンネルが収束するまでに最大 20 分かかる場合があります。

    Gateway で約 3,000 のトンネルが収束するのにかかる時間は 5 分程度と考えられていますが、この問題では 20 分もかかっています。処理速度が遅いと、トンネルが完全にリストアされるまでの間、カスタマー トラフィックが中断されることになります。収束が遅くなるのは、このチケットで修正された Security Association とキーを管理する Gateway の IPsec プロセスの設定に原因があります。

  • 解決した問題 114932:VMware SD-WAN Edge クライアント ユーザーの環境で、Edge のプライマリ VMware SD-WAN Gateway を通過するトラフィックのトラフィック パフォーマンスが劣化することがあります。

    トンネル数がサポートされている制限内であっても、オペレータ ユーザーの Gateway で CPU 使用率が高いことが確認されます。CPU 使用率が高くなる原因は、IKE テーブルに古い IKE SA (Security Association) が長時間保持され、トンネルの収束に時間がかかることです。そのため、Gateway を通過するカスタマー トラフィックでトラフィックのドロップが増え、パスが不安定になります。

  • 解決した問題 115604:VMware SD-WAN Edge または Gateway でデータプレーン サービスの障害が発生し、ログにアサートを含むコアが生成される場合があります。

    Edge または Gateway が破損したパケットを処理すると、ソフトウェアは実際のユーザー パケットの長さが内部パケット バッファよりも長いアサートにヒットする場合があります。Gateway はこの種のパケットをドロップして Edge に送信されないようにすることが想定されますが、代わりにパケットを処理するため、サービスが失敗して再起動されます。

  • 解決した問題 115692:オペレータは、メモリの枯渇とメモリをクリアするための防御的なサービスの再起動を引き起こす可能性のある、VMware SD-WAN Gateway でのメモリ使用率の増大に遭遇することがあります。

    この場合、ピア サイトの証明書を更新している Gateway から IKE メモリ リークが発生しています。

    この問題の修正を行わない場合、オペレータができる対応は、Gateway のメモリ使用率を監視すること、および Gateway を使用するカスタマー サイトの中断を最小限にするためにメンテナンス期間中に Gateway をプロアクティブに再起動することに限られます。

  • 解決した問題 116182:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、その結果として再起動することがあります。

    この問題は、接続された SD-WAN Edge が Gateway 経由の Non SD-WAN Destination (NSD) 宛ての IPv6 または IPv4/IPv6 混合モードのいずれかを使用するインターネット バックホール ポリシーで設定されている、Gateway で発生します。このシナリオでは、IPv4 を使用する NSD 宛ての IPv6 パケットを Gateway が受信することにより、Gateway サービスの失敗がトリガされます。

Edge および Gateway バージョン R5102-20230310-GA で解決した問題

Edge/Gateway ビルド R5102-20230310-GA は 2023 年 3 月 14 日にリリースされ、リリース 5.1.0 の 2 番目の Edge/Gateway ロールアップです。

この Gateway ロールアップ ビルドは、最初の Edge/Gateway ロールアップ、R5101-20230112-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 98782:VMware SD-WAN Gateway で、IPsec トンネルの確立中にデータプレーン サービスの障害が発生し、その結果コアが生成されて再起動することがあります。

    Gateway でこの問題が発生した場合、再起動により、その Gateway に接続されている Edge と、IPsec トンネルに Gateway を使用する Non SD-WAN Destination の両方のカスタマー トラフィックが短時間中断される可能性があります。これは、Gateway が IPsec トンネルを確立しているときに競合状態が発生し、データプレーン サービスの障害がトリガされることが原因で発生します。

  • 解決した問題 103708:BGP フィルタ設定に新しいルールが追加されると、VMware SD-WAN Edge によって予期しない BGP ルートが送受信される可能性があります。

    Orchestrator から BGP フィルタに新しいルールが追加されると、古いエントリを削除することなく、Edge のルーティング設定にプレフィックス リストが追加されます。この動作により、古いルート プレフィックス リストと予期しないフィルタリング動作が発生します。

  • 解決した問題 104141:VMware SD-WAN Edge の背後のユーザー、または VMware SD-WAN Gateway に接続されているカスタマーの環境で、トラフィックがその Edge を使用しているか、またはトラフィックがその Gateway を通過している場合、トラフィックを全く転送できないほどの重大な問題が発生する可能性があります。

    この問題が発生すると、ピアから受信する管理トンネルのタイム スタンプが増加するため、Edge または Gateway でジッター バッファ キューによって消費されるメモリ バッファ (mbuf) の数が無制限になります。これにより、ジッター計算で整数アンダーフローがトリガされ、パケットが実質的に無期限にバッファリングされます。最初はバッファリングされたフローにのみ影響しますが、十分な期間が経過すると、ジッター バッファ キューで消費される mbuf の数が使用可能な mbuf の合計に近づき、SD-WAN デバイス(Edge または Gateway)がすべてのトラフィックを完全に転送できなくなる可能性があります。これが Gateway に影響する場合は、その Gateway を通過するマルチパス トラフィックにのみ影響し、直接送信されるカスタマー トラフィックには影響しません。

    別のチケット #105744 も、ここで見つかった症状に対処しますが、それは個別の原因を修正します。2 つのチケットの違い:#104141 に含まれる修正は、ピアによって受信される管理タイム スタンプの増加によりジッター バッファ キューによって消費されるメモリ バッファに対処します。#105744 に含まれる修正は、他に何が起きてもジッター バッファ カウントをメモリ バッファの合計の 25% に制限し、この問題が再発しないようにします。

    Edge または Gateway でこの問題を修正しない場合は、Orchestrator でメモリ バッファ (mbuf) の使用量を監視し、パケットがジッタ バッファでキューに登録されることによって発生している mbuf の使用量の増加を探すことができます。ユーザーが問題を確認した場合、(リモート診断を介して)Edge または Gateway のフローをフラッシュすれば問題を一時的に軽減できますが、修正を適用しない限り最終的に問題が再発します。

  • 解決した問題 105744:VMware SD-WAN Edge の背後のユーザー、または VMware SD-WAN Gateway に接続されているカスタマーの環境で、トラフィックがその Edge を使用しているか、またはトラフィックがその Gateway を通過している場合、トラフィックを全く転送できないほどの重大な問題が発生する可能性があります。

    このチケットと問題 #104141 は直接関連しており、症状と原因はここで繰り返されているものと同じです:この問題が発生すると、ピアから受信する管理トンネルのタイム スタンプが増加するため、Edge または Gateway でジッター バッファ キューによって消費されるメモリ バッファ (mbuf) の数が無制限になります。これにより、ジッター計算で整数アンダーフローがトリガされ、パケットが実質的に無期限にバッファリングされます。最初はバッファリングされたフローにのみ影響しますが、十分な期間が経過すると、ジッター バッファ キューで消費される mbuf の数が使用可能な mbuf の合計に近づき、SD-WAN デバイス(Edge または Gateway)がすべてのトラフィックを完全に転送できなくなる可能性があります。これが Gateway に影響する場合は、その Gateway を通過するマルチパス トラフィックにのみ影響し、直接送信されるカスタマー トラフィックには影響しません。

    2 つのチケットの違い:#104141 に含まれる修正は、ピアによって受信される管理タイム スタンプの増加によりジッター バッファ キューによって消費されているメモリ バッファに対処します。#105744 に含まれる修正は、ジッター バッファ カウントをメモリ バッファの合計の 25% に制限し、この問題が再発しないようにします。

    Edge または Gateway でこの問題を修正しない場合は、Orchestrator での監視を行い、ジッタ バッファでキューに登録されているパケットが原因で mbuf の使用量が増加している場合は、Edge または Gateway のフローをフラッシュすれば問題を一時的に軽減できます。ただし、修正を適用しない限り最終的に問題が再発します。

  • 解決した問題 106587:すべてのトラフィックがランダムにドロップされ、この状態が持続していることがカスタマーによって確認される場合があります。

    この問題は、レスポンダ側の IPsec Security Assocation (SA) のインストールに関連しています。Edge が新しい SA を開始するか、再キー化を行うと、新しい SA (SPI) の前に古い SA セキュリティ パラメータ インデックス (SPI) パケットが到達する可能性があります。このような場合、VMware SD-WAN Gateway は新しく作成された SA (SPI) を削除します。追加された修正により、新しく作成された SA (SPI) が削除されなくなります。

    この問題を修正しない場合、パートナーまたはオペレータ ユーザーは Gateway を再起動して影響を受けるすべての IPsec トンネルを再起動する必要があります。

Gateway バージョン R5101-20230112-GA で解決した問題

Gateway ビルド R5101-20230112-GA は 2023 年 1 月 19 日にリリースされた、リリース 5.1.0 の 1 番目の Gateway ロールアップです。

この Gateway ロールアップ ビルドは、元の Gateway ビルド、R5100-20221204-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 97272:OSPF が使用されている高可用性トポロジのサイトでスプリット ブレイン状態(両方の SD-WAN Edge がアクティブになる)が発生すると、コア ルーターへのデフォルト ルートが削除され、HA サイトはネットワーク内のピア サイトにアクセスできません。

    コア ルーターの LSA(リンク状態の広報)の経過時間がアクティブ Edge と同期しています。HA スプリット ブレイン状態が発生すると、スタンバイ Edge はアクティブに移行し、コア ルーターに新しい LSA の経過時間を送信します。アクティブ Edge とスタンバイ Edge のルーター ID が同じであるため、新しいアクティブ Edge によって異なる LSA の経過時間が送信されます。この不一致により、コア ルーターで LSA の経過時間が最大値の 3,600 に設定され、HA サイトへのコア ルートも削除され、サイトで完全に停止します。

  • 解決した問題 104487:データベース サービスの速度低下により、VMware SASE Orchestrator ユーザーの環境で、全体的な速度低下と一部の API の障害が発生する可能性があります。その他の副次的な影響としては、ユーザー インターフェイスに SD-WAN Gateway/Edge がオフラインで表示されたり、Orchestrator ユーザー インターフェイスを介して行われた設定の変更がターゲット SD-WAN Edge にプッシュされなかったり、レポート機能が失われたりすることがあります。

    この問題はすべて、Orchestrator のデータベース サービスが「開いているファイルが多すぎます (too many open files)」というエラーで失敗するために発生します。このエラーは、VMware SASE Orchestrator のオペレータがログを介して確認できます。ユーザー インターフェイスを介して VMware SASE Orchestrator にアクセスしているエンド ユーザーの環境で、速度の低下と断続的な API 障害が発生し、ユーザー インターフェイスにエラー メッセージが表示されます。

Edge および Gateway バージョン R5100-20221204-GA で解決した問題

Edge および Gateway ビルド R5100-20221204-GA は 2022 年 12 月 8 日にリリースされ、Edge ビルド R5012-20221107-GA および Gateway ビルド R5011-20221007-GA 以降の次の問題に対処しています。

注:

リリース 5.1.0 には、5.0.0 リリース ノートに記載されているすべての Edge および Gateway の修正と、上記のビルドまでの 5.0.1 リリース ノートのすべての Edge および Gateway の修正が含まれています。

  • 解決した問題 26085:ハブ/スポーク トポロジと Partner Gateway を使用している場合、いずれかの Gateway がハブ Edge から設定解除されると、VMware SD-WAN スポーク Edge でトラフィックがドロップされることがあります。

    ドロップされたトラフィックは、割り当てられなくなった Gateway の古いルートを使用しています。Gateway がハブ Edge から設定解除されると、Gateway 自体は設定解除が発生したことを認識せず、イベントを単純なトンネル ダウン イベントのように処理します。その結果、Gateway はスポーク Edge にルートを提供し続け、ハブ Edge がスポーク Edge に引き続き到達できるため、スポーク Edge はリモート ルート(ハブ Edge 経由で到達可能)を削除しません。

    修正されたビルドがないときにこの問題が発生した場合、修正する唯一の方法は、スポーク Edge から Gateway へのリンクを固定することです。

  • 解決した問題 29929:高可用性トポロジを使用して展開されたサイトの場合、HA フェイルオーバーが発生すると、ユーザーは HA Edge のローカル ユーザー インターフェイスにログインできない場合があります。

    Orchestrator で HA Edge のローカルの認証情報が変更されると、正しいアクティブ Edge が変更を適用しますが、新しい認証情報はスタンバイ Edge と同期されません。その結果、HA フェイルオーバーが発生してスタンバイ Edge がアクティブに昇格されるときに、Edge はデフォルトのユーザー/パスワード認証情報を使用し、ユーザーが新しい認証情報を使用してローカル ユーザー インターフェイスにログインしようとすると失敗します。

  • 解決した問題 32413:温度が健全性統計または MIB に含まれません。

    この修正により、SNMP に使用される MIB と、[監視 (Monitor)] > [Edge] > [システム (System)] で測定されるメトリック(「Edge 健全性の統計情報」とも呼ばれます)に CPU 温度が追加されます。

  • 解決した問題 32654:WAN インターフェイスがダウンしている VMware SD-WAN Edge サイトで、トラフィックがドロップする場合があります。

    接続されたインターフェイスがダウンしている場合、VMware SD-WAN Edge で到達可能性が False になっているにもかかわらず、コネクト ルートが VMware SD-WAN Gateway に広報されたままになり、トラフィックがドロップします。

  • 解決した問題 39134:[監視 (Monitor)] > [Edge] > [システム (System)] ページに表示される CPU 使用率が正確ではありません。

    VMware SASE Orchestrator は Edge の CPU 使用率に関する正確な情報(「Edge 健全性の統計情報」とも呼ばれます)を受信せず、[システム (System)] ページのグラフに出力します。このグラフは不正確で、Edge の問題のトラブルシューティングを試みるカスタマーにとって誤解を招きます。

  • 解決した問題 45453:カスタマーが 2 つの WAN インターフェイスが同じ VLAN を使用するように VMware SD-WAN Edge を設定することができません。

    この問題は、サイトが複数の Edge WAN ポートを同じ VLAN 上の同じ L2 スイッチに接続するシナリオで発生します。この設定には、Edge が管理トラフィックの送信時に誤った送信元 MAC アドレスを使用することがあるという問題があります。

  • 解決した問題 50920:接続されたトンネルの数が、当該 Edge モデルで定義されているハードウェア制限の 60% に達したときに、VMware SD-WAN Edge が警告を送信しません。

    接続されたトンネルの数がそのハードウェア制限に達すると、Edge は「確立されたトンネル数がデバイス容量を超えています (Established tunnel count exceeds the device capacity)」という警告を送信します。この制限に達すると、Edge は既存のトンネルが破棄されるまで、追加の動的トンネルを許可しません。ただし、このトンネル制限に達する可能性があることをカスタマーに警告する中間警告は送信されないため、カスタマーにはネットワークを管理するための十分なリードタイムがありません。

  • 解決した問題 53337:スループットが 3200 Mbps を超えると、VMware SD-WAN Gateway の AWS インスタンスでパケットのドロップが発生することがあります。

    トラフィックが 3200 Mbps 以上のスループットを超過し、パケット サイズが 1,300 バイトの場合、RX および IPv4 BH ハンドオフでパケットのドロップが発生します。

  • 解決した問題 54846:VMware SD-WAN SNMP MIB は、ジッター、遅延、パケット ロスにカウンタを使用します。

    VMware SNMP MIB では、遅延、ジッター、およびパケット ロスは、これらのタイプに適さない Counter64 として定義されます。カウンタは、値が常に増加し、Tx/Rx バイトのように SNMP でリセットされないデータ タイプに使用する必要があります。対照的に、遅延、ジッター、およびパケット ロスの値は増加しませんが、動的に調整された値であるため、カウンタを使用しないでください。

  • 解決した問題 55327:VMware SD-WAN Gateway から VMware SD-WAN Edge への SSH 接続が、Edge から Gateway へのトンネルが継続的にフラッピングしている場合に機能しないことがあります。

    Edge から Gateway へのトンネルが継続的にフラッピングすると、Gateway からの SSH 接続を許可するために Edge にインストールされたルート エントリが削除され、SSH 接続が失敗することがあります。

  • 解決した問題 56153:カスタマー エンタープライズで Gateway 経由の Non SD-WAN Destination が展開され、BGP over IPsec が使用されている場合、受信 BGP フィルタがカスタマーによって割り当て解除されると、VMware SD-WAN Gateway でフィルタが削除されず、ルート マップが適用されます。

    受信 BGP フィルタが Gateway と Edge によってまだ使用されているときに、カスタマーはそれを非アクティブであると想定するため、この問題はカスタマーにとって予期しないルーティングを引き起こす可能性があります。

  • 解決した問題 60844:レート制限を 0% に設定して、ポリシー基準に一致するすべてのトラフィックをドロップするように設計されたビジネス ポリシーは機能しません。

    レート制限を 0% に設定することはできますが、Edge では 0% ではなく 100% と見なされるため、ビジネス ポリシーの目的が完全に無効になります。

    この修正が適用されていない Edge で、この問題を回避策するには、ビジネス ポリシーではなくファイアウォール ルールを使用してトラフィックの照合とドロップを行います。

  • 解決した問題 61804:BGP を使用しているカスタマー エンタープライズでは、VMware SD-WAN Edge がピアからルートを学習すると、そのルートがピア自体に広報される場合があります。

    Edge がピアから学習したルートをピア自体に広報しないようにします。これは、不適切なルーティング動作とトラフィックのドロップの原因となります。

  • 解決した問題 62701:Edge ハブ クラスタの一部として展開された VMware SD-WAN Edge の場合、クラウド VPN がグローバル セグメントでは有効化されていないが、非グローバル セグメントで有効化されていると、Orchestrator によって送信された制御プレーンの更新により、すべての WAN リンクがハブ Edge でフラップすることがあります。

    ハブ Edge の WAN リンクがフラップする(ダウンして、すぐに起動する)と、音声通話などのリアルタイム トラフィックに影響します。この問題は、ハブ Edge のグローバル セグメントでクラウド VPN が有効にされていないが、クラスタ設定がオンとして設定されている、つまり、このハブ Edge がクラスタの一部になっている(クラスタ設定がすべてのセグメントに適用される)カスタマーの展開で発生しました。設定の変更がハブ Edge にプッシュされると、ハブ Edge のデータプレーンはデータの解析をグローバル セグメントから開始します。このとき、クラウド VPN が有効にされていないことが示され、ハブ Edge は誤ってこのグローバル セグメントでクラスタリングが無効にされていると認識します。その結果、ハブ Edge はハブの WAN リンクからすべてのトンネルを破棄し、その Edge のすべての WAN リンクでリンク フラップが発生します。このようなインシデントの場合、WAN リンクはダウンし、制御プレーンの更新ごとに 1 回だけリカバリします。

    Edge がこの問題を修正したバージョンを使用していないエンタープライズでの回避策は、すべてのセグメント(つまり、グローバル セグメントとすべての非グローバル セグメント)でクラウド VPN を有効にすることです。

  • 解決した問題 64526:ユーザーが VMware SD-WAN Edge の GE2 インターフェイスをスイッチからルーティングに変更し、このインターフェイスでサブインターフェイスを設定して変更を保存しようとすると、Orchestrator でエラーが発生します。

    これは、Edge インターフェイス設定がプロファイル レベルで(Edge レベルではなく)変更された場合にのみトリガされます。ユーザーに表示されるエラーは、「サブインターフェイス GE2 のアドレス指定タイプ DHCP_STATELESS が不明です。無視されました (Unknown addressing type DHCP_STATELESS for subinterface GE2 - ignored)」です。これは、そのカスタマーの Orchestrator の [イベント (Events)] ページに表示されます。

  • 解決した問題 65530:カスタマーが VMware SD-WAN Edge に Metanoia SFP を展開している場合、このモジュールで問題が発生する場合があります。

    この問題は、5.1.0 リリースで更新された新しいレベルのファームウェアが使用されていないことが原因で発生する可能性があります。CSP バージョンと SFP UPG ファームウェア バージョンの変更を次の表に示します。

    Edge バージョン

    CSP バージョン

    SFP UPG ファームウェア バージョン

    5.1.0

    3.2.9.13

    1_62_8559

    4.0.0 - 5.0.x

    3.2.8.11

    1_62_8431

    これらの更新により、Edge 上の Metanoia SFP の安定性が向上します。

  • 解決した問題 65919:Zscaler クラウド セキュリティ サービス (CSS) を設定したカスタマーの場合、Edge サービスが再起動するか DNS が削除されると、Zscaler トンネルが失敗することがあります。

    DNS クエリが成功しても、DNS に Zscaler FQDN が表示されず、その結果、トンネルが起動しません。Edge ログで DNS を確認すると、DNS キャッシュに Zscaler エントリがありません。

    この問題を修正するには、nslookup または ping を実行する必要があります。その後、DNS エントリが作成され、Zscaler トンネルが起動します。 

  • 解決した問題 67900:WAN リンクが VMware SASE Orchestrator で自動検出に設定されていると、パブリック リンクとして設定する必要がある場合でも、Orchestrator はそのリンクをプライベート リンクとしてマークする場合があります。

    カスタマーがそのリンクの設定をパブリックとして設定している場合でも、Orchestrator はリンクをプライベートとして設定するように要求します。これにより、リンクがプライベート IP アドレスに接続しようとし、プロセスで失敗するため、Gateway で重大な接続の問題が発生する可能性があります。

  • 解決した問題 68335:ハブがクラスタであるハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、ハブ クラスタに接続できない VMware SD-WAN スポーク Edge が、SD-WAN 制御トラフィックとして分類される大量の帯域幅を消費する可能性があります。

    スポーク Edge がデータセンター ハブ クラスタとのオーバーレイを確立できない場合、Edge はコントローラに別のクラスタ メンバーの再割り当てを要求するため、コントローラは継続的に制御イベントを送信することになり、リンク帯域幅を消費します。

    この修正が適用されていない Edge で、この問題を回避するには、到達不能なハブ クラスタをプロファイルに割り当てずに、一時的なプロファイルを作成して割り当てます。

  • 解決した問題 70248:Edge 側で CRL が発行されると、トンネルがダウンして再確立されます。

    Orchestrator が Gateway 証明書などの証明書を取り消すと、Edge はトンネルをダウン状態にしますが、その後再確立します。

    この問題は、CRL の有効期間に関連しています。CRL の更新時刻が Edge の時刻より後の場合、トンネルは再び確立されます。

    修正がない場合の唯一の回避策は、Edge と Orchestrator の日付と時刻が一致するようにすることです。

  • 解決した問題 70311:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、その結果、サービスが再起動される場合があります。

    Edge サービスの再起動中に、カスタマーのトラフィックが約 15 ~ 30 秒間中断されます。この問題の発生に一貫性はありませんが、発生すると、Edge は IKE Security Association (SA) を破棄します。これは通常、SA タイマー(VMware SD-WAN Orchestrator で設定されている)の有効期限が切れる場合か、または、ユーザーが Orchestrator の IPsec 設定を変更する場合にのみ発生します。

  • 解決した問題 71302:Edge 経由の Non SD-WAN Destination を使用するカスタマー エンタープライズの場合、使用されるポートが 4500 ではなく 500 です。

    これは想定された動作ではなく、ポート 500 をブロックしている他のデバイスがある場合は、その Edge 経由の NSD を使用するトラフィックで問題が発生する可能性があります。

  • 解決した問題 71719:Edge からクラウドへのパスに沿って PPTP 接続が確立されません。

    VMware SD-WAN Edge の背後にある PPTP サーバへの接続が確立されません。

  • 解決した問題 75553:ポリシー ベースのタイプを使用する Gateway 経由の Non SD-WAN Destination (NSD) を展開しているカスタマーが、冗長 VMware SD-WAN Gateway を設定できません。

    以前のビルドでは、VMware は状態に関係なく常にポリシー ベースの NSD ルートを「到達可能」とマークしていました。そのため、NSD のプライマリ Gateway ルートが到達不能とマークされることはなく、冗長 Gateway へのフェイルオーバーがトリガされました。

    リリース 5.1.0 以降では、IKE/IPsec ネゴシエーションに失敗しない限り、Gateway パスは到達可能としてマークされます。失敗した時点でパスは「到達不能」とマークされ、ルート ベースの NSD の場合と同様に、NSD トラフィックは冗長 Gateway を経由します。

  • 解決した問題 75668:内部 LAN 宛先にルーティングされると、LAN 側トラフィックの DSCP タグがリセットされます。

    ルーティングされた/ダイレクト ユーザー トラフィックの場合に、Edge は DSCP タグを 0 にリセットします。これにより、同じ Edge で出入りする(すなわち、Edge に対してローカルのままとなる)トラフィックでは、DSCP タグが CSP=0DSCP とマークされるように変更され、Edge を通過する際のアンダーレイ トラフィックに対して CS0 にリセットされます。

  • 解決した問題 76881:10,000 を超える DHCPv6 リースが使用されているとき、VMware SD-WAN Edge で重大なメモリ使用量レベルが発生し、Edge サービスの再起動がトリガされる可能性があります。

    多数の DHCPv6 クライアントが DHCPv6 サーバに接続されている場合、各クライアントにリースが提供され、DHCPv6 サーバのメモリは増加し続けます。Edge は、5K IPv4 アドレスのハード制限とは対照的に、割り当てることができる DHCPv6 リースの数を制限しません。その結果、Edge がクリティカル レベルの Edge メモリ状態に到達するのに十分なリースを割り当てる可能性があり、その場合サービスの再起動がトリガされます。

    この問題の修正により、クライアントの最大数は 10,000 に制限されます。

  • 解決した問題 77066:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアをトリガし、リカバリするためにサービスが再起動することがあります。

    この問題は、2 つの Gateway プロセスがそれぞれ送信パケットと受信パケットを同時に処理し、検索ツリーの同じノードにアクセスしようとしたときに発生する、Gateway のメモリ破損によってトリガされます。

  • 解決した問題 77457:ユーザーがスタンバイ VMware SD-WAN Edge 上のインターフェイスのパケット キャプチャ (PCAP) を生成しようとすると、VMware SASE Orchestrator は PCAP が失敗したことを報告します。

    拡張された高可用性の展開でスタンバイ Edge の PCAP を生成しようとすると、Orchestrator ユーザー インターフェイスは [要求の状態 (Request Status)][失敗 (Failed)] として記録し、「診断バンドルのアップロードに失敗しました:「unicode」にはバッファ インターフェイスがありません (Failed to upload diagnostic bundle: 'unicode' does not have the buffer interface)」という説明が表示されます。


  • 解決した問題 77611:高可用性トポロジを使用するカスタマー サイトの場合、HA Edge が異なる設定プロファイルに移行されると、両方の Edge がアクティブ/アクティブ状態(スプリット ブレイン)になり、リカバリのために同時に再起動する場合があります。

    このアクティブ/アクティブ状態の間、クライアント ユーザーの環境では、パケット損失による重大なトラフィック品質の問題が発生します。

    この問題は、新しいプロファイルに移動する際に HA Edge がプロセスに従わなかったことが原因で発生します。ここでは、スタンバイ Edge が最初に再起動して変更を適用し、スタンバイのままになる必要があります。その後、アクティブ Edge が設定の変更を適用して再起動し、自身をスタンバイに降格している間にスタンバイをアクティブに昇格させます。この問題により、スタンバイ Edge は再起動後すぐにアクティブに昇格し、アクティブ/アクティブ状態になります。

  • 解決した問題 78037:DHCPv6 サーバに 1,000 個を超えるアドレスが設定されてい場合、VMware SD-WAN Edge でメモリ使用率が急増してデータプレーン サービスの障害が発生する可能性があります。

    この問題は、ルート インターフェイスとスイッチ インターフェイスの両方で発生します。この問題は、DHCPv6 サーバ上のクライアントに 1,000 個を超えるアドレスが設定されている場合に発生する可能性があります。1,000 を超えるクライアントがアドレスを取得すると、生成された DHCPv6 要請パケットの数量が原因で Edge メモリが枯渇し、Edge サービスの障害が発生します。

  • 解決した問題 78050:PPTP サーバが LAN 側にある場合に、VMware SD-WAN Edge でデータプレーン サービスの障害が発生することがあります。

    PPTP サーバが LAN 側にあり、インターネットからの PPTP クライアントがインバウンド ファイアウォール ルールを介して PPTP サーバに接続すると、PPTP 制御チャンネルのルックアップに失敗して Edge サービスが失敗することがあります。GRE データ チャンネルが同じリンクを介して PPTP クライアントに確実に送信されるようにするには、この制御チャンネルのルックアップが必要です。

    この問題を修正していないビルドを使用している Edge では、PPTP セッションを使用しないことのみが、カスタマーの代替的な回避策となります。

  • 解決した問題 78435:ローカル ユーザー インターフェイスを介して URL を使用してアクティベーションされた VMware SD-WAN Edge は、実際には成功した場合でも、Edge のアクティベーションに失敗したことを示すエラーをスローすることがあります。

    ローカル ユーザー インターフェイスを介して URL を使用して Edge をアクティベーションすると、「Edge のアクティベーションを完了できませんでした (Edge activation could not be completed)」というエラーがスローされます。


    この問題は、Edge がアクティベーション情報の要求に応答するときに、誤ったパラメータを持つ古いアクティベーションの要求を参照するために発生します。一方、正しいパラメータを持つ最新のアクティベーション要求は実際に処理されています。その結果、Edge のアクティベーションが正しく処理されていても、ローカル ユーザー インターフェイスでエラーがスローされます。

  • 解決した問題 79437:Intel X710 NIC を使用するサーバ上に展開した VMware SD-WAN Gateway で、インターフェイスの SR-IOV が有効になっていると、展開が失敗することがあります。

    この問題が発生すると、オペレータは、DPDK から X710 SR-IOV インターフェイスが削除されていることと、debug.py --dpdk_ports_d を実行しても表示されないことを確認できます。さらに、/opt/vc/etc/dpdk.json は SR-IOV インターフェイスを表示しません。Gateway を 5.1.0 リリースに展開することにより、この問題は発生しなくなります。

  • 解決した問題 79338:多数の DHCPv6 クライアントが新しい IPv6 アドレスを取得しようとすると、一部のクライアントが取得に失敗する場合があります。

    1024 を超えるクライアントが同時に IPv6 アドレスを取得しようとすると、一部のクライアントが有効な IPv6 アドレスを取得できない場合があります。この問題は、ネイバー キャッシュが修正され、いくつかのクライアントのネイバー エントリが作成されないために発生します。ネイバー エントリが存在しないため、更新メッセージは失敗します。

    修正されたビルドを使用していないカスタマーの場合は、数分後にクライアントから IPv6 アドレスの取得を再試行できます。

  • 解決した問題 79550:VMware SD-WAN Gateway または SD-WAN Edge でデータプレーン サービスの障害が発生し、サービスが再起動される場合があります。

    この問題は、管理トラフィック (VCMP) フラグメントを繰り返し受信すると発生する可能性があり、プロセスがそのパケットに割り当てられたバッファを超えて書き込みを行うため、障害がトリガされます。

  • 解決した問題 81881:VMware SASE Orchestrator の [設定 (Configure)] > [デバイス (Device)] で行われた設定変更は、Edge が Orchestrator に接続されていても、ターゲットの VMware SD-WAN Edge に適用されない場合があります。

    また、Edge では、設定の変更が頻繁かつ迅速に行われる負荷が高い状態でこの問題が発生する可能性があります。このシナリオでは、設定の適用を担当する Edge の管理スレッドが停止し、追加の変更は適用されません。

  • 解決した問題 81353:Azure プラットフォームを使用して展開された VMware SD-WAN Gateway で、インターフェイスの Rx でのパケットのドロップが発生する場合があります。

    バッファが不足しているため、パケットはドロップされます。リング バッファ設定は Azure プラットフォームで使用される DPDK 対応でない管理対象インターフェイスの一部ではなく、NIC Rx リング バッファ キューは低い数値として設定されています。

  • 解決した問題 81355:Azure プラットフォームを使用して展開された VMware SD-WAN Gateway では、パケット サイズが 1,500 を超える問題が発生する可能性があります。

    1,500 バイトを超えるパケットはドロップされ、次のエラー メッセージが表示されます:pkt_too_big_drop。1,500 バイトを大きく超えるパケットはドロップされ、次のエラー メッセージが表示されます:sock_too_big_dropp

    この問題は、Azure プラットフォームが DPDK にバインドされたインターフェイスを使用していない場合に発生します。これにより、Gateway の DPDK.json リストが空のままになり、DPDK ネットワーク設定が Linux インターフェイスの TSO/GSO 設定を初期化しなくなります。

  • 解決した問題 81377:Secure Access サブネットが更新されても、古いサブネットは BGP から取り消されません。

    Secure Access サブネット設定が変更されると、SD-WAN は転送情報ベース (FIB) およびその他のローカル ルート テーブルからのみ古いサブネットを削除します。問題は、SD-WAN が再配送に使用される BGP テーブルからルートを取り消していないため、BGP にこれらの古いルートが残されていることです。

  • 解決した問題 81483:ハブ/スポーク トポロジを使用しているカスタマーの場合、VMware SASE Orchestrator を介して IKE または IPsec の有効期間を延長すると、一部のトンネルの有効期間が古いままであることがあります。そのため、一部のトンネルでは、以前の有効期間を保持していたために予想よりも頻繁に再キー化が実行されます。

    有効期間を短くすると、技術的にこのバグに遭遇します(ハブ/スポーク テクノロジーの一端は、より古い、より長い有効期間を保持する可能性があります)。ただし、より短い有効期間を正しく受け取った Edge が最初に再キー化を実行するため、機能の違いは見られず問題は隠されます。

    この問題の唯一の回避策は、すべてのトンネルが正しい状態を反映するように有効期間の値を変更し、Edge を再起動することです。

  • 解決した問題 82104:まれに、高可用性トポロジでアクティベーションされた VMware SD-WAN Edge が VMware SASE Orchestrator と通信できず、サイトが「ダウン」とマークされ、Orchestrator を介したサイトへの介入が妨げられることがあります。

    この問題は、異常で無効な設定が HA Edge に適用されている場合にのみ発生します。この設定では、HA ポートを(許可されない)「トランク」に設定し、VLAN をゼロにする(これも許可されない)ように指定しますが、実際には「すべての VLAN」が設定されています。この設定でエラーをスローしてユーザーが Edge の HA を有効にできないようにするのではなく、Orchestrator ではそれが許可されます。この許可された設定により、HA Edge で管理プレーン障害がトリガされ、Orchestrator にハートビートが送信されなくなります。この問題の修正により、Orchestrator への管理トラフィックを中断することなく、HA Edge ペアでこの無効な設定が機能するようになります。

  • 解決した問題 82188:VMware SD-WAN LTE モデル(Edge 510-LTE、610-LTE)の場合、IPv6 設定をオフに切り替えると、CELL インターフェイス経由のトンネルが失敗することがあります。

    [デバイス設定 (Device Settings)] の [IPv6] チェックボックスをオフにすると、CELL インターフェイスの内部状態が「不明 (UNKNOWN)」になります。これは、CELL インターフェイスの IPv6 設定がオンに切り替えられても更新されません。このため、CELL インターフェイス経由のトンネルは失敗します。LTE Edge がトラフィックに CELL インターフェースのみを使用している場合は、これにより Edge がオフラインになり、Edge トラフィックがすべてドロップして、カスタマーに大きな混乱をきたす可能性があります。

    この修正を適用しない場合、ユーザーは IPv6 設定をオフにした後、Edge サービスを再起動する必要があります。Edge が帯域幅のために CELL インターフェースのみを使用していることによりオフラインになっている場合、ローカル ユーザーは Edge をリカバリさせるために Edge の電源入れ直しを行う必要があります。

  • 解決した問題 83040:Partner Gateway と Non SD-WAN Destination (NSD) の両方を使用するハブ/スポーク トポロジを使用しているカスタマー エンタープライズにおいて、NSD を使用すべきトラフィックがハブを使用している場合があります。

    スポーク Edge には、NSD にトラフィックをバックホールするビジネス ポリシーがあり、Partner Gateway のハンドオフも設定されている場合、スポークは、NSD を使用する必要があるトラフィックを代わりにハブ Edge に送信します。それに対し、ハブはトラフィックをインターネットに直接送信します。Partner Gateway ハンドオフが無効になっている場合、この NSD トラフィックは適切にルーティングされます。

  • 解決した問題 83227:リリース 5.0.0 を実行している VMware SD-WAN Edge が 128 セグメントで設定されている場合、Edge の dnsmasq プロセスが停止して終了します。

    IPv6 が 128 セグメントで有効化されていて、各セグメントの LAN に DCPv6 サーバが設定されている場合、開いているファイル記述子の合計数を超えると、dnsmasq プロセスが停止します。dnsmasq プロセスは、終了するまで約 30 分間続きます。この時点で Edge の DHCP による IP アドレスの割り当ては失敗します。

    Edge を再起動すると、dnsmasq プロセスが最大 30 分間リストアされますが、再度失敗します。唯一の現実的な回避策は、セグメント数を 128 未満に減らすことです。

  • 解決した問題 83821:NetFlow を使用しているカスタマーの場合、SD-WAN 制御トラフィックの Tx および Rx パケット/バイトが NetFlow レコードで適切に更新されません。

    NetFlow コレクタにエクスポートされる SD-WAN 制御データ(Tx/Rx パケット/バイト)は常にゼロです。エントリがフロー コンテナの chat_stats に入力されないため、NetFlow もデータをエクスポートしません。

  • 解決した問題 84000:デュアル スタック (IPv4/IPv6) 設定で展開された Edge に接続されている VMware SD-WAN Gateway では、Edge を使用したトンネルの破棄や作成の頻度が高いため、メモリ リークが発生し、一定の頻度を超えると、サービスの再起動がトリガされることがあります。

    デュアル スタック設定の Edge で VCMP(暗号化された管理)トンネルが複数回作成および削除されると、Gateway が大規模に動作している場合、その Edge の Gateway で PI リークが発生する可能性があります。実際の PI リークはありませんが、PI の削除は遅く、その削除の速度の遅さによって共有メモリの問題が発生し、最終的に重大な問題になる可能性があります。

    修正が適用されていない Gateway では、サービスを再起動してメモリを一時的にクリアします。

  • 解決した問題 84136:VMware SD-WAN Edge を特定の Edge リリースにアップグレードすると、CPU 使用率が高くなり、トラフィックのパフォーマンスが低下することがあります。

    この問題は、[設定 (Configure)] > [ファイアウォール (Firewall)] > [Edge アクセス (Edge Access)] セクション(サポート アクセスまたは SNMP アクセスが許可された IP アドレス)で 400 を超える IP ルールが設定されている Edge で発生します。このシナリオで Edge がファイアウォール設定を送信しようとすると、管理プロセスが CPU を最大限まで使い果たし、タイムアウトになり、このプロセスが繰り返されます。

    高可用性トポロジも使用しているカスタマー サイトでは、アクティブ Edge が想定される時間枠内にハートビートを送信していないため、症状には「HA 不明イベント (HA unknown events)」が含まれます。

  • 解決した問題 84225:接続された VMware SD-WAN Edge インターフェイスがダウンしても、設定されたサブネットは OSPF または BGP に再配布されます。

    Edge にはダウンしているサブネットのピアからのトラフィックが集まり、ピアがこのパスをサブネットへの他の代替方法よりも優先することが原因で、トラフィックが停止する可能性があります。

    この問題が修正されていない Edge では、ユーザーは計画されたサービス期間中に Edge を再起動して問題をクリアする必要があります。

  • 解決した問題 84313:ハブ/スポーク トポロジを使用するカスタマー エンタープライズでは、IPv6 オーバーレイ リンクが VMware SD-WAN スポーク Edge のアンダーレイ ピアに広報されることがあります。

    オーバーレイで IPv6 アドレスを設定し、広報を有効にすると、同じアドレスがアンダーレイを介しても広報されます。

  • 解決した問題 84741:[監視 (Monitor)] > [トランスポート (Transport)] 画面で、不正確なスループット統計が表示されます。

    WAN オーバーレイでリバース パス フォワーディング (RPF) が無効になっているインターフェイスで直接送信されるトラフィックの場合、RX(受信)パケットとリンク統計情報は Orchestrator にインクリメントされません。

  • 解決した問題 84790:510/510-LTE 以外のモデル タイプを使用する VMware SD-WAN Edge を再起動したときに、Edge は誤って重大イベント「サービス wifihang を起動できません (Unable to launch service wifihang)」を VMware SASE Orchestrator に報告することがあります。

    wifihang イベント メッセージは、Edge 510/510-LTE モデルでのみ使用するように設計されており、その Edge モデルの Wi-Fi プロセスに関する問題をカスタマーに通知します。このイベント メッセージが他の Edge モデルで確認された場合、そのモデルが Wi-Fi を使用しているかどうかに関係なく(たとえば、Edge 3400)、イベント メッセージは偽りであり、イベントは無視できます。

  • 解決した問題 85154:AWS 上のインスタンス タイプが C4.xlarge の VMware SD-WAN 仮想 Edge を古い Edge リリースからより新しいリリース(リリース 4.3.1 も対象)にアップグレードしてから、古い Edge リリースにダウングレードすると、Edge はアクティベーション解除済み状態になり、Gateway と Orchestrator で管理トンネルを形成しません。

    この問題の原因は、Orchestrator がシリアル番号の不一致として検出したために、誤って Edge をアクティベーション解除したことです。

    AWS Edge がこのリリースである場合、この問題の回避策は、新しいリリースからダウングレードを行わないことのみです。

  • 解決した問題 85156:高可用性トポロジを使用して展開されたサイトでは、VMware SD-WAN スタンバイ Edge が複数回再起動し、カスタマー トラフィックが中断する可能性があります。

    TCP 経由で受信したデータに対するスタンバイ Edge の HA 制御データ同期処理ロジックにより、データが部分的にのみ読み取られることがあります。これにより、このような短いメッセージがスタンバイで複数回処理され、スタンバイ ノードの速度が低下する可能性があります。下位の Edge プラットフォーム(Edge モデル 510、520、610、620 など)では、この速度低下がアクティブとスタンバイ間のハートビート処理に大きな影響を与え、スタンバイ Edge が誤ってアクティブに昇格する可能性があります。アクティブ/アクティブ状態では、アクティブ Edge が実行され、スタンバイ Edge は再起動されて、適切なスタンバイ状態に降格されます。

    この問題が従来の HA トポロジで発生した場合、スタンバイ Edge はカスタマー トラフィックを渡さないため、カスタマーへの影響は最小限に抑えられます。拡張 HA 展開では、スタンバイ Edge もトラフィックを渡すため、再起動によって一部のカスタマー トラフィックが中断されます。 

    この問題の修正では、Edge TCP メッセージ処理ロジックの機能が強化され、スタンバイ Edge のパフォーマンスが向上し、システムの速度低下を回避します。

  • 解決した問題 85269:マルチキャストが設定されているハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、送信元 IP アドレスがハブ Edge またはスポーク Edge のいずれか(両方ではなく)で手動で設定されているハブ Edge の背後にあるトラフィック ソースをマルチキャスト レシーバが受信できないことがあります。

    PIM ネイバー IP アドレスとネクスト ホップ IP アドレスの不一致が原因で PIM join の送信が失敗し、LHR が RP に到達して (*,G) を登録できなかった場合、Pimd ログとデバッグ コマンドがユーザーに確認を提供します。

  • 解決した問題 86098:スタンバイ Edge で PPPoE WAN リンクが使用されている拡張高可用性トポロジを使用しているサイトでは、デフォルトのプロキシ ルートがアクティブ Edge にインストールされておらず、そのリンクを使用するトラフィックが失敗することがあります。

    拡張 HA Edge ペアが起動すると、PPPoE リンクはスタンバイ Edge と同期し、ネクスト ホップが 0.0.0.0 のデフォルト ルートを提供します。その結果、このルートはアクティブ Edge にインストールされず、このリンクを使用するトラフィックはドロップされます。

  • 解決した問題 86994:動的なブランチ間が有効になっているカスタマー エンタープライズで、このエンタープライズ内の VMware SD-WAN Edge のトラブルシューティングを試みると、dispcnt デバッグ コマンドが機能しません。

    dispcnt デバイス コマンドでは、一部のカウンタ値が提供されず、「ドメイン(null)が存在しません (Domain (null) does not exist)」で失敗します。これは、Edge 診断バンドル内の関連するログを参照するときにも失敗します。これは、カスタマー ネットワークの問題のトラブルシューティングの大きな妨げになります。

    この問題は、各ピアに対して大量のトンネルが作成および破棄されるために動的なブランチ間が有効になったエンタープライズで発生します。ピアのさまざまなメトリックを格納するカウンタは共有メモリに格納され、時間の経過とともに競合が原因でこれらの共有メモリ セグメントが不良な状態になり、カウンタは dispcnt コマンドで取得されません。

    この問題は、Edge のサービス再起動を実行することによってのみクリアできます。

  • 解決した問題 87205:カスタマーが Partner Gateway を使用して VMware SD-WAN Edge を展開している場合、Edge が Partner Gateway から新しいルートを学習すると、カスタマー トラフィックが中断することがあります。

    この問題は、トラフィックが誤ったビジネス ポリシーと照合することが原因で発生します。たとえば、Partner Gateway に送信される DHCP トラフィックをインターネット バックホール ルールと照合することで、カスタマー トラフィックが中断することがあります。

    修正を行わない場合、[リモート診断 (Remote Diagnostic)] > [フローのフラッシュ (Flush Flows)] を使用して Edge のフローをフラッシュすることでこの問題が修正されます。この方法では、将来 Edge によって Partner Gateway への新しいルートが学習されたときにこの問題が発生する可能性を回避することはできません。

  • 解決した問題 87552:VMware SD-WAN Edge が Edge 経由の Non SD-WAN Destination (NSD) またはクラウド セキュリティ サービス (CSS) のいずれかを使用するように設定されている場合、NSD または CSS トンネルが不安定になると、VMware SD-WAN Edge で定期的にデータプレーン サービスの障害が発生し、再起動することがあります。

    Edge が NSD または CSS(IPsec または GRE)のいずれかへのトンネルを破棄すると、以前に選択したトンネルの誤ったリリースが実行されて、Edge データプレーン サービスで例外がトリガされ、サービスをリストアするために Edge サービスが再起動されます。Edge サービスを再起動すると、カスタマーのトラフィックが 10 ~ 15 秒間中断します。

    この問題の修正が適用されていない Edge では、Edge 経由の NSD または CSS を 1 つの WAN リンクに関連付けることで、この問題が発生する可能性が低くなります。つまり、複数の WAN リンクで NSD または CSS を設定する代わりに、1 つの WAN リンクのみを選択します。これにより冗長性が失われますが、この問題の影響は軽減されます。

  • 解決した問題 88055:VMware SD-WAN Edge モデル 3x00 では、スループットが 10 Gbps 以上に維持されると、WAN パスの遅延がスタックし、Edge の安定性とスループットが低下する場合があります。

    VCMP エンドポイント間のクロック ドリフトが速い 10G 環境で、WAN パス遅延の測定がスタックし、動的マルチパス最適化 (DMPO) の有効性が損なわれ、誤ったパスの選択とスループットの低下が発生する可能性があります。

  • 解決した問題 88152:VMware SD-WAN Edge のサブインターフェイスに対する SNMP 要求が機能しません。

    これは初日の動作で、Edge のサブインターフェイスへの SNMP 要求はすべてタイムアウトになります。この問題の修正により、Edge のサブインターフェイスにこれらの SNMP 要求のサポートが追加されました。

  • 解決した問題 88317:パブリック リンクとプライベート リンクの両方を使用し、SD-WAN 到達可能 (SD-WAN Reachable) が設定されている VMware SD-WAN Edge において、パブリック リンクがダウンした場合、ダイレクト トラフィックは想定どおりにプライベート リンクを使用しません。

    パブリック リンクを優先するようにビジネス ポリシーが設定されている場合、優先パブリック リンクが停止している間、フローは SD-WAN 到達可能プライベート リンクを使用しません。この問題の修正により、ダイレクト リンク選択が最後の手段としてプライベート リンクを見つけ出そうとするときに、SD-WAN 到達可能リンクを許可するロジックが追加されました。

  • 解決した問題 88550:Edge Network Intelligence を使用しているカスタマーにおいて、DNS が明示的に設定されていない場合、VMware SD-WAN Edge が Edge Network Intelligence サービスと通信できません。

    DNS が明示的に設定されていない場合、Edge Network Intelligence サービスはデフォルトで Google DNS を使用します。DNS が送信元インターフェイスとしてループバック インターフェイスを選択すると、DNS ルックアップの失敗が原因でサービスへの到達可能性が失われます。

    この問題が修正された Edge ビルドを使用しないカスタマー エンタープライズの場合の回避策は、Orchestrator で DNS を明示的に設定し、送信元インターフェイスとして仮想ループバック インターフェイスではなく実際のインターフェイスを選択することです。

  • 解決した問題 89364:拡張された高可用性トポロジを使用しているサイトで、ユーザーが [リモート診断 (Remote Diagnostics)] > [インターフェイスの状態 (Interface Status)] を実行している場合、スタンバイ Edge インターフェイスのリンク速度が 0 Mbps/半二重と表示されます。

    インターフェイスが稼動中のスタンバイ Edge から速度と自動ネゴシエーションの詳細が取得されず、詳細情報が正しく表示されません。

  • 解決した問題 89596:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、その結果、サービスが再起動され、カスタマーのトラフィックが中断されることがあります。

    この問題は、カスタマーが NAT を設定している場合に発生する可能性があります。NAT を使用する新しいフローが確立されると、極めてまれな競合状態が発生し、Edge サービスで例外がトリガされ、障害が発生して再起動になることがあります。

    この問題に対する修正を行わない場合、この問題を回避する唯一の方法は NAT を無効にすることです。

  • 解決した問題 89725:Edge ソフトウェア リリース 5.1.0 以前を使用している VMware SD-WAN Edge の場合、リモート診断ユーティリティの WAN リンク帯域幅テストと Traceroute が機能しないことがあります。

    WAN リンク帯域幅テストおよび Traceroute ユーティリティでは、インターフェイス(BW テストの場合)または IP アドレス(Traceroute の場合)について追加の入力が必要です。この問題が発生すると、ドロップダウン メニュー オプションが表示されないため、ユーザーはこれらの入力を設定できません。このため、いずれかのインスタンスのテストでエラーが発生します。

  • 解決した問題 90044:VMware SD-WAN Gateway が ICMP プローブを使用して設定され、Gateway が再起動されると、ICMP プローブはリカバリされず、ダウンしたままになります。

    debug.py --icmp の ICMP プローブ状態は、Gateway の再起動後に「ダウン (DOWN)」と表示されます。

    この問題が修正されていない Gateway では、回避策として ICMP プローブを無効にしてから再度有効にします。

  • 解決した問題 90098:ブランチ間 VPN が設定されているカスタマー エンタープライズの場合、設定の変更が原因でトンネルが起動できない場合でも、シナリオによってはトンネルが無限に試行されることがあります。

    このシナリオでは、Edge がオフラインまたは IP アドレスが変更されたピア Edge を使用してトンネルを作成しようとします。Edge は、ピアが到達不能であることを認識せず、存在しない宛先へのトンネルを無限に作成しようとするため、全体的なパフォーマンスが低下し、またカスタマーはこれを停止することができません。

    この問題は、機能していないブランチ間トンネルの有効期限が設定されていないことが原因で発生します。また、Edge がブランチ間メッセージの応答を取得する場所に関するメッセージが生成されず、接続されている Gateway にはピアに対する有効なブランチ間情報を表示するデバッグ コマンドがないため、この問題のトラブルシューティングは困難です。

  • 解決した問題 90216:トラフィック フローがクライアント > スポーク Edge > ハブ > サーバからの場合、Traceroute が VMware SD-WAN ハブ Edge の正しい IP アドレスを表示しないことがあります。

    トランスポート グループ[プライベート 有線 (Private Wired)][必須 (Mandatory)] を使用するように設定されたハブ Edge にトラフィックをバックホールするように設定されたビジネス ポリシーをスポーク Edge が持っている場合、Traceroute のパケットがハブ Edge に到達すると、ハブ Edge は Traceroute に対して誤った IP アドレス(この場合、プライベート IP アドレスではなくパブリック IP アドレス)で応答します。

  • 解決した問題 90884:ハブ クラスタ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、クラスタ内のハブ Edge が 1 つ以上のスポーク Edge に再割り当てされると、それらのスポーク Edge の場所でトラフィック障害が発生する可能性があります。

    エンタープライズが Edge ソフトウェアをアップグレードするときに、クラスタ内のハブ Edge をクラスタの再分配の一部として再割り当てできるため、アップグレード後にこの問題が発生する可能性があります。この問題が発生すると、VMware SD-WAN Gateway は新しいスポーク Edge ルートをハブ Edge に送信しません。これは、Gateway がすべてのハブ Edge にすべてのスポーク Edge ルートがあることを想定し、これらのルートがハブ Edge のルーティング テーブルに含まれていないためです。その結果、転送パスがダウンするため、クラスタ内のスポーク Edge とハブ Edge 間のトラフィックが影響を受けます。

    この問題を修正した Gateway を使用していないエンタープライズで問題が発生した場合は、ハブ Edge で route reinit を実行することで一時的に解決できます。ただし、新しいハブ Edge の再割り当てで問題が再発する可能性があります。

  • 解決した問題 91164:VMware SD-WAN ハブ Edge が高可用性のために設定されているハブ/スポーク トポロジを使用して展開されたカスタマー エンタープライズでは、HA フェイルオーバー後に HA ハブ Edge がインターネット バックホール トラフィックを転送しないことがあります。

    この問題は、バックホール フローが非 WAN オーバーレイ インターフェイスを使用してスタティック ルートを介してルーティングするように設定されている場合に、スタンバイ Edge がインターネット バックホール フローの宛先ルートを設定しないシナリオに限定されます。HA フェイルオーバーでスタンバイ Edge がアクティブに昇格すると、これらの要因によってインターネット バックホール トラフィックが失敗します。

  • 解決した問題 91188:[リモート診断 (Remote Diagnostics)] > [Ping] を使用し、送信元インターフェイスとして VLAN インターフェイスを選択すると、スイッチ インターフェイス上の VLAN に接続されているホストへの IPv6 ping が失敗します。

    送信元インターフェイス名「VLAN-x」は VMware SD-WAN Edge によってのみ認識され、Edge OS では送信元インターフェイスの形式を「br-networkx」にする必要があります。これは、VLAN インターフェイスがその名前を使用して Edge の OS に作成されるためです。

  • 解決した問題 91203:ハブ/スポーク トポロジを使用しているカスタマー エンタープライズで、VMware SD-WAN スポーク Edge が 1 台のハブ Edge を介してトラフィックをバックホールするように設定されている場合、バックホールされたフローに対するトラフィックのパフォーマンスが低下することがあります。

    ハブ Edge のバックホール レグは、送信元と宛先のルート タイプ(送信元 = エンタープライズ、宛先 = クラウド)によって決まりますが、この方法ではルート変更に基づくインシデントに依存するため、動作に一貫性がなく、バックホール フローのパケットがドロップする可能性があります。この問題の修正では、スポーク Edge のメッセージングに基づいてバックホール レグを決定します。

  • 解決した問題 92454:IPv4 アドレスにのみ解決されるドメイン名を [宛先 (Destination)] フィールドに入力すると、[リモート診断 (Remote Diagnostic)] > [Traceroute] が機能しません。

    ドメイン名が IPv4 アドレスにのみ解決される場合、リモート診断を介して実行される Traceroute コマンドは機能しません。これは、VMware SD-WAN Edge は常に IPv6 レコードのドメイン名を解決しようとし、IPv4 アドレスを見つけられないためです。

    この問題が修正されていない Edge では、回避策として、Traceroute コマンドでドメイン名に対応する IPv4 アドレスを直接使用します。IPv4 アドレスは、[リモート診断 (Remote Diagnostic)] > [DNS テスト (DNS Test)] にドメイン名を指定することで取得できます。

  • 解決した問題 92758:高可用性トポロジのサイトでは、誤った LED 状態や HA 障害など、VMware SD-WAN HA Edge でいくつかの異なる問題が発生する可能性があります。

    Edge が稼動し、WAN リンクが稼動中で安定している場合でも、アクティブ Edge の LED 状態が誤って緑色ではなく黄色で表示されます。

    この問題は、いくつかの形式で発生する Edge の共有メモリの破損が原因で発生します。これは、vcedge.com などの特定のドメインに対して getcntr ツールを使用してカウンタを取得することによって確認できます。ツールの出力に「ドメインが存在しません (Domain does not exist)」と表示され、カウンタ名が見つかりません。

    VMware SD-WAN は、ftok() システム呼び出しで、SYSV 共有メモリのキーを取得することに依存しています。ftok() は、キーの計算に inode の最後の 16 ビットを使用します。これにより、inode 番号が 64K 以上異なる場合にキーの競合が発生する可能性があります。このような競合が発生すると、動的トンネルの共有メモリ カウンタがグローバル共有メモリ変数を破損し、誤った LED 状態、カウンタの使用不能、HA 障害など、いくつかの Edge の問題が発生する可能性があります。

  • 解決した問題 93062:ユーザーが VMware Orchestrator でリモート診断の「インターフェイスの状態」を実行すると、Orchestrator はそのテストのエラーを返して完了しないか、またはテストがルーティング インターフェイスの結果を返しません。

    「テスト用のデータの読み取りエラー」というメッセージが表示されます。テストが完了すると、ルーティング インターフェイスの結果は空で、速度やデュプレックスに関する情報は表示されません。いずれの場合でも、インターフェイスの状態は破損になります。この問題は、DPKD の有効なポートを省略するインターフェイスの状態の下にある debug コマンドに関連しています。

    この修正が適用されていない Edge では、ルーティング インターフェイスの状態を表示するには、Edge の診断バンドルを生成する必要があります。

  • 解決した問題 93853:高負荷状態の VMware SD-WAN Gateway で、SIGXCPU コードとともにデータプレーン サービスの障害が発生し、リカバリするためにサービスが再起動することがあります。

    高負荷状態においては、ルーティングやログ作成などのさまざまなアクティビティを実行する複数の Gateway スレッドで CPU リソースが枯渇し、規定の期間内にタスクを完了できません。Gateway サービスは、これらの遅延しているスレッドをデッドロックになっていると解釈し、SIGXCPU シグナルを発生させて Gateway データプレーン プロセスを終了します。

  • 解決した問題 94204:VNF 対応の VMware SD-WAN Edge の診断バンドルを生成しようとすると失敗することがあります。

    Edge のディスク容量が不足しているため、VNF 対応の Edge で診断バンドルの完了が失敗します。これは、Edge が 1 つ以上のコアを生成し、Edge がこれらのコアを /vnf/tmp フォルダに送信することが原因で発生する場合があります。各コアは /vnf/tmp フォルダに解凍されます。コアの解凍後のサイズにより、このフォルダはすぐにいっぱいになり、診断バンドルが失敗します。 

    VNF(仮想ネットワーク機能)対応の Edge には、次のモデルが含まれます。520v、620、640、680、および 840。

  • 解決した問題 94401:ステートフル ファイアウォールが有効になっている VMware SD-WAN Edge で、TCP が確立済みのフローが短時間でタイムアウトし、フラッシュされることがあります。

    TCP が確立済みのフローが、TCP が未確立のフローとして扱われ、より短いタイムアウト期間を適用されます。TCP フローで TCP リセット (RST) が発生し、続いて TCP 3 ウェイ ハンドシェイクが発生すると、TCP 状態が確立済みとして表示されていても、確立されていない TCP フローのタイムアウトが適用されてしまい、その後にフローがフラッシュされます。

  • 解決した問題 94612:BGP ネットワーク プレフィックスへのトラフィックにアクセスできない場合があります。

    この問題が発生すると、BGP ネットワーク プレフィックスは BGP で設定されず、ピア ノードに広報されません。

    Edge でこの問題を修正しない場合の唯一の回避策は、BGP ネットワークを削除して再設定することです。

  • 解決した問題 94775:ハブ/スポーク トポロジを使用しているカスタマー エンタープライズで、VMware SD-WAN スポーク Edge が 1 台のハブ Edge を介してトラフィックをバックホールすると、クライアント ユーザーはトラフィックのパフォーマンスの問題を確認する場合があります。

    これは、バックホールされたトラフィックに誤ったフラグが設定されているために発生します。バックホールされたパケットは、ハブ Edge 上にあるかのようにスポーク Edge で処理されます。これにより、ハブでルート参照の問題が発生し、バックホール パケットがドロップします。

  • 解決した問題 94980:高可用性トポロジで展開されたサイトの場合、VMware SD-WAN スタンバイ Edge でデータプレーン サービス エラーが発生し、HA Edge 用に PPPoE WAN リンクが設定された後に再起動することがあります。

    スタンバイ Edge によって生成されたコアを調べると、PPPoE リンクが設定された後に vc_is_use_cloud_gateway_set というメッセージが表示されています。

    この問題を修正しない HA サイトでは、この問題のリスクを管理するために、PPPoE リンクがメンテナンス期間でのみ設定されていることを確認する必要があります。

  • 解決した問題 95047:Edge Network Intelligence(分析)が有効になっていない VMware SD-WAN Edge をセキュリティ ポート スキャン ユーティリティがスキャンすると、Syslog ポート 514 が閉じていると報告され、アクセス可能ということになります。

    Edge Network Intelligence はポート 514 (Syslog) で待機します。分析が有効になっていない場合、ポート 514 は引き続きアクセス可能ですが、要求に応答しません。したがって、ポート スキャナはこのポートを「閉じている」と報告します(つまり、このポートはアクセス可能であるが、待機中のアプリケーションはない、ということになります)。

  • 解決した問題 95121:VMware SD-WAN Edge モデル 510-LTE または 610-LTE で「ロックされた SIM」(パスワード ロックされている SIM)を使用すると、ネットワークでの接続の確立に失敗します。

    Edge 510-LTE および 610-LTE モデルの SIM スロットでロックされた LTE SIM カードを使用すると、パスの確立に失敗します。これは、Edge の ModemManager スクリプトでロックされた SIM をサポートしていないために、Orchestrator からの SIM ロック解除が機能しないことが原因です。

  • 解決した問題 95501:ルーティングにハブ/スポーク トポロジと BGP を使用しているカスタマー エンタープライズの場合、VMware SD-WAN スポーク Edge のクライアント ユーザーはトラフィックのパフォーマンスの低下を確認する場合があります。

    スポーク Edge が、そのスポーク Edge に使用するように設定されたハブ Edge よりも、プロファイルに含まれていないハブからのアップリンク コミュニティでマークされたルートを優先することを、管理者が確認する場合があります。これは、スポーク Edge トラフィックがアップリンク プレフィックスの動的なブランチ間パスを取っているためです。

    この問題は、SD-WAN がハブ Edge から受信したルーティング メッセージのアップリンク フラグをリセットすることが原因で発生します。その結果、動的なブランチ間トンネルが形成されると、これらのアップリンク プレフィックスに対してダイレクト ルートがインストールされ、ルーティングが最適化されなくなり、トラフィックのパフォーマンスが劣化します。

  • 解決した問題 95565:高可用性トポロジを使用しているサイトで、VMware SD-WAN アクティブ Edge のデータプレーン サービスの障害が発生し、コアが生成されて高可用性フェイルオーバーがトリガされることがあります。

    この問題は、アクティブ Edge の WAN リンクが 1 回以上フラップ(ダウンして、すぐに起動する)し、そのときに SNMP クエリが頻繁に発生する SNMP を使用している場合にトリガされます。インターフェイスが稼動状態に戻るのと同時に SNMP クエリが発生するというタイミングの問題によりデッドロックがトリガされることが原因で、データプレーン サービスが失敗してコアが生成されます。1 回の WAN リンク フラップのみでこの問題が引き起こされる可能性がありますが、WAN リンク フラップの頻度が高いほど、この問題が発生する可能性が高まります。

    修正が適用されていない HA Edge ペアでこの問題が発生する場合、回避策は SNMP を無効にすることです。これはタイミングの問題であり、これによってリスクが軽減されますが、完全に排除されることはありません。

  • 解決した問題 96626:VMware SD-WAN Edge インターフェイスにセカンダリ IP アドレスが割り当てられている場合、セカンダリ IP アドレスを介した接続が失敗します。

    別のブランチからセカンダリ ネットワーク内の IP アドレスに入ってくる要求が、セカンダリ IP アドレスからではなくプライマリ IP アドレスから ARP を生成します。その結果、ARP は未解決のままになり、セカンダリ IP アドレスを通過するトラフィックで障害が発生します。

  • 解決した問題 96739:ユーザーが VMware SASE Orchestrator の VMware SD-WAN Edge の [監視 (Monitor)] > [アプリケーション (Application)] タブを表示すると、画面にドメイン名が正しくない宛先 FQDN が表示されることがあります。

    この問題は、Edge の統計値が上限に達した(オーバーフロー状態となる)ときに発生する可能性があるもので、その場合、Orchestrator は、それらの統計値をオーバーフローと表示する代わりに、[アプリケーション (Application)] タブの [宛先 FQDN (Destination FQDN)] にランダムなドメイン名を表示することになります。

  • 解決した問題 96994:VMware SD-WAN Edge で SNMP ウォークを実行中に、一部のインターフェイスが表示されないことがあります。

    欠落しているインターフェイスは、snmpwalk で表示されることが想定された有効なインターフェイスである可能性があります。しかしながら、Edge のハードウェア リストに無効なインターフェイスが表示されるため、リスト内の無効なインターフェイスの後に表示される有効なインターフェイスが snmpwalk によって表示されない、または返されないことになります。ハードウェア リストに表示されているが、Edge で ifconfig コマンドを実行しても表示されないインターフェイスは、ここでは無効になります。

    この問題は、どの Edge でも発生する可能性がありますが、Azure を使用して展開された仮想 Edge において発生する可能性がより高いです。これは、Edge で ifconfig を使用して識別されるインターフェイスの数よりも多くのインターフェイスが、Azure Edge のハードウェア リストに掲載される傾向があることが原因です。

  • 解決した問題 97152:カスタマー エンタープライズで、サービス グループを有線として、リンク モードを「使用可能 (Available)」として設定しているビジネス ポリシーがある場合、有線リンクがダウンしたときにトラフィックが無線リンクに誘導されず、サイトのクライアント ユーザーは、そのルールに一致するトラフィックが失敗していることを確認する場合があります。

    ビジネス ポリシーのルールに、リンク モードが [使用可能 (Available)] の有線 WAN リンクのサービス グループが明示的に存在し、サイトで使用可能な無線リンクがある場合、サービス グループの有線リンクがダウンすると(使用不可の状態になると)、そのルールを使用しているトラフィックは、そのルールに一致するトラフィックのシームレス フローを確保するために、有線 WAN リンクにフェイルオーバーすることが想定されます。この問題では、無線リンクへのトラフィックのステアリングは発生していません。

  • 解決した問題 97321:ユーザーが VMware SD-WAN Edge で Edge Network Intelligence 分析を有効にしてから、Edge が Edge サービスの再起動をトリガする場合があります。この場合、各インスタンスで 10 ~ 15 秒のカスタマー トラフィックの中断が発生します。

    Edge で分析が有効になっている場合、Edge でメモリ不足の状態が発生し、その後にメモリの「二重の空き」状態が発生することがあります。Edge はサービスを再起動してメモリをリストアします。

    この問題の症状は、分析の有効化中に複数回発生する可能性があります。

  • 解決した問題 99718:SVI(スイッチ仮想インターフェイス)でセカンダリ IP アドレスが使用されている場合、BGP ネイバーが確立されません。

    Edge が入力方向パケットを処理するときに、入力方向パケットの宛先アドレスが入力方向インターフェイスの IP アドレスと一致するかどうかを検証します。プライマリ IP アドレスのみが比較されるため、セカンダリ IP アドレスとして宛先 IP アドレスを持つパケットはドロップされます。その結果、このセカンダリ IP アドレスでは BGP セッションが形成されません。

  • 解決した問題 100363:VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、サービスの再起動がトリガされ、トラフィックが 1 ~ 5 秒中断することがあります。

    この問題はストレス テスト中に、futex_abstimed_wait で発生する障害と、サービスの障害と再起動をトリガするデッドロック状態になったスレッドの結果として発生したものです。

Orchestrator で解決した問題

Orchestrator バージョン R51010-20231215-GA で解決した問題

Orchestrator ビルド R51010-20231215-GA は 2023 年 12 月 18 日にリリースされた、リリース 5.1.0 の 10 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、9 番目の Orchestrator ロールアップ ビルド、R5109-20231003-GA 以降の以下の重要な問題に対処します。

  • 解決した問題 117941:Orchestrator ユーザー インターフェイスで VLAN の [広報 (Advertise)] チェックボックスが常にオフの状態で表示されます。

    ユーザーが VLAN の [広報 (Advertise)] チェックボックスをオンにして [変更の保存 (Saves Changes)] を選択しても、Orchestrator のユーザー インターフェイスの VLAN の [広報 (Advertise)] チェックボックスはオフに戻ります。

  • 解決した問題 125006:ディザスタ リカバリ (DR) トポロジで設定された VMware SASE Orchestrator の場合、Orchestrator のデータベースが失敗し、このためスタンバイ Orchestrator がエラー状態になり、まれに Edge と Gateway が Orchestrator ユーザー インターフェイスでオフラインと表示され、イベントとアラートがトリガされることがあります。

    データベースの状態は数分以内に自動復旧すると予想され、DR Orchestrator は再同期されます。ただし、この状態が許容期間を超え、Edge と Gateway の両方がアクティブ Orchestrator ではなくスタンバイ Orchestrator へのハートビートの送信を開始することがあります。その結果、アクティブ Orchestrator はハートビートを送信しない Edge と Gateway の両方をダウンとしてマークし、イベントとアラートをトリガします。この問題は管理側の問題であり、ネットワーク トラフィックには影響しません。

    この問題の修正が適用されていない Orchestrator でこの問題を回避する方法は、失敗した同期の許容範囲を管理する Orchestrator システム プロパティ vco.disasterRecovery.transientErrorToleranceSecs を適切な量だけ増やして、自動復旧時間を長くすることです。

  • 解決した問題 128310:VMware SASE Orchestrator ユーザーの環境で、Orchestrator のデータベース サービスの問題により、全体的な速度低下と一部の API の障害が発生する可能性があります。その他の副次的な影響としては、ユーザー インターフェイスに SD-WAN Gateway/Edge がオフラインで表示されたり、Orchestrator ユーザー インターフェイスを介して行われた設定の変更がターゲット SD-WAN Edge にプッシュされなかったり、レポート機能が失われたりすることがあります。

    これらの問題はすべて、Orchestrator のデータベース サービスが「開いているファイルが多すぎます (too many open files)」というエラーで失敗するために発生します。このエラーは、VMware SASE Orchestrator のオペレータ ユーザーがログを介して確認できます。ユーザー インターフェイスを介して VMware SASE Orchestrator にアクセスしているエンタープライズ ユーザーまたはパートナー ユーザーの環境で、速度の低下と断続的な API 障害が発生し、ユーザー インターフェイスにエラー メッセージが表示されます。

  • 解決した問題 129239:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [プロファイル (Profile)] ページで、ユーザーがプロファイル レベルで任意の設定を編集して保存を試みると、API 呼び出しがタイムアウトし、成功しないことがあります。

    この問題が発生すると、Orchestrator ユーザー インターフェイスのブラウザ ページに「configuration/updateConfigurationModule time out」という赤色のエラー バナーが表示されます。この問題は、他の Orchestrator データベース クエリの完了に時間がかかりすぎて、新しいプロファイル設定を保存しようとしたときにタイムアウトが発生することが原因で発生します。

  • 解決した問題 131789:組織のシングル サインオン (SSO) を設定するときに、ID プロバイダ (IdP) の応答にロール情報が含まれている場合でも、ユーザーが Orchestrator にログインできません。

    IdP がネストされた JSON 構造でロール情報を送信する場合、Orchestrator はシングル サインオン (SSO) 経由でログインするユーザーのロールを照合できません。バージョン 5.0.1.7 以降では、Orchestrator は SSO ユーザーのロールがネストされた JSON 構造に存在する場合でも、参照して一致させることができます。この問題が修正されていない Orchestrator でこの問題が発生した場合の回避策は、ロールの詳細をネストされた構造ではなく即時レベルで送信するように IdP を設定することです。

Orchestrator バージョン R5109-20231003-GA で解決した問題

Orchestrator ビルド R5109-20231003-GA は 2023 年 10 月 5 日にリリースされた、リリース 5.1.0 の 9 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、8 番目の Orchestrator ロールアップ ビルド、R5108-20230916-GA 以降の以下の重要な問題に対処します。

  • 解決した問題 119938:Zscalar トンネルの自動化を使用しているカスタマーの場合、VMware SD-WAN Edge から Zscaler への自動 IPsec トンネルの作成に長い時間がかかることがあります。

    カスタマーが [Edge] > [デバイス設定 (Device Settings)] で Zscaler のサブロケーションを設定すると、これらの設定が Zscaler クラウドと同期するのに長い時間がかかる場合があります。これは、Zscaler クラウドが各サブロケーションのレコードを更新する必要があり、時間のかかるプロセスになる可能性があるためです。

    この問題は、Orchestrator の自動化フレームワークによって、IPsec トンネルの作成アクションとサブロケーションの作成アクションが自動化キューに登録されるために発生します。また、Edge WAN IP アドレスが変更されたときに、更新アクションを自動化キューに登録します。ただし、更新アクションの数が多いため、キュー内の項目の待機時間が長くなります。一部のカスタマー展開環境では、Edge WAN IP アドレスが 1 日で最大 4,000 回変更される場合があります(モバイル WAN リンクなど)。

  • 解決した問題 128310:VMware SASE Orchestrator ユーザーの環境で、Orchestrator のデータベース サービスの問題により、全体的な速度低下と一部の API の障害が発生する可能性があります。その他の副次的な影響としては、ユーザー インターフェイスに SD-WAN Gateway/Edge がオフラインで表示されたり、Orchestrator ユーザー インターフェイスを介して行われた設定の変更がターゲット SD-WAN Edge にプッシュされなかったり、レポート機能が失われたりすることがあります。

    この問題はすべて、Orchestrator のデータベース サービスが「開いているファイルが多すぎます (too many open files)」というエラーで失敗するために発生します。このエラーは、VMware SASE Orchestrator のオペレータ ユーザーがログを介して確認できます。ユーザー インターフェイスを介して VMware SASE Orchestrator にアクセスしているエンタープライズ ユーザーまたはパートナー ユーザーの環境で、速度の低下と断続的な API 障害が発生し、ユーザー インターフェイスにエラー メッセージが表示されます。

Orchestrator バージョン R5108-20230916-GA で解決した問題

Orchestrator ビルド R5108-20230916-GA は 2023 年 9 月 20 日にリリースされた、リリース 5.1.0 の 8 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、7 番目の Orchestrator ロールアップ ビルド、R5107-20230722-GA 以降の以下の重要な問題に対処します。

  • 解決した問題 94610:ユーザーが [リモート アクション (Remote Actions)] > [HA フェイルオーバーを強制的に行います (Force HA Failover)] を使用して HA の強制フェイルオーバーを開始すると、VMware SASE Orchestrator が HA フェイルオーバーのアラートを生成および送信しない場合があります。

    HA フェイルオーバーは Orchestrator によって強制されるため、アクティブ Edge とスタンバイ Edge の両方がフェイルオーバーを予測し、そのために HA_GOING_ACTIVE と HA_READY の両方のメッセージが HA Edge によって同じハートビートで送信される可能性があります。ハートビートで送信される「HA 状態」が「準備完了」と表示される場合、「準備完了」メッセージのみが表示され、「アクティブ化」メッセージが表示されないため、Orchestrator はフェイルオーバーについて警告を生成しないように誤認させられます。

  • 解決した問題 104775:ユーザーが VMware SD-WAN Edge で以前アクティブだった WAN リンクをバックアップとして設定すると、VMware SASE Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge (Edges)] > [概要 (Overview)] に状態が正しく表示されません。

    状態には、灰色の状態ドットで「スタンバイ アイドル (Standby Idle)」と表示されるはずですが、リンク タイプまたはバックアップ状態が表示されません。WAN リンクがバックアップとしての役割を果たしているため、これは表示上の問題です。

  • 解決した問題 105580:FIPS モードが設定されている VMware SASE Orchestrator の場合、Orchestrator にディザスタ リカバリ (DR) を設定すると失敗することがあります。

    接続中に SSL_CTX_new に失敗しました。FIPS が設定された DR セットアップには MySQL バージョン 8.0.28 以降を使用した Orchestrator ビルドが含まれており、DR COPYING_DP フェーズ中に次のエラー メッセージが発生して失敗します。SSL_CTX_new failed when trying to connect

  • 解決した問題 106191:Edge が静的 IP アドレスを使用してインターフェイスが設定されているプロファイルを使用している場合、ユーザーは VMware SD-WAN Edge 設定を変更できません。

    Edge 設定の変更を試みると、VMware SASE Orchestrator ユーザー インターフェイスにエラー メッセージ「インターフェイスのプローブ間隔が無効です (invalid probe interval for interface)」が表示され、変更を保存できません。

    この問題が修正されていない Orchestrator では、唯一の回避策は、静的インターフェイスの割り当てを使用せずに新しいプロファイルを作成し、Edge に適用することです。

  • 解決した問題 115981:VMware SASE Orchestrator の APIv2 を使用しているカスタマー エンタープライズの場合、エンタープライズ イベントを取得するために API を実行すると、Orchestrator は制限されたセットのみを返します。

    具体的な呼び出しは https://\{api_host}//api/sdwan/v2/enterprises/{enterpriseLogicalId}/events です。呼び出されると、最上位の階層のみが返され、enterpriseName、EdgeName、segmentName、edgeID などの詳細が含まれます。また、APIv2 はグラフ トラバーサルをサポートしていません。

    この問題が修正されていない Orchestrator では、唯一の回避策は APIv1 を使用することです。これにより、カスタマーは 2 セットの API ファミリを維持するように強制されます。また、APIv1 は Cloud Web Security をサポートしていません。

  • 解決した問題 116531:少なくとも 1 つの Edge の説明にカンマ (,) が含まれている VMware SASE Orchestrator でレポートを生成しようとすると、レポートが適切にフォーマットされないことがあります。

    Edge の説明にカンマが含まれている場合(次のスクリーンショットに示すように)、Orchestrator のレポート サービスに混乱が生じ、想定どおりに Edge の [説明 (Description)] 列のテキスト文字列全体が含まれるのではなく、各カンマの後のテキストがレポートの次の列に分割されます。

    そのため、[転送バイト数 (Bytes Transmitted)] に関連付けられた値が表示されるのではなく、最初のカンマの後のテキストが表示され、[受信バイト数 (Bytes Received)] に 2 番目のカンマ(存在する場合)の後のテキストが表示されます(その後も同様)。レポートには引き続き [転送バイト数 (Bytes Transmitted)] と [受信バイト数 (Bytes Received)] のデータが含まれますが、右側にプッシュされ、正しい列に整列されません。

    この問題が修正されていない Orchestrator では、Edge の説明にカンマが使用されていないことを確認する必要があります。

  • 解決した問題 117822:カスタマーが [監視 (Monitor)] > [Edge (Edges)] > [QoE] を確認すると、QoE グラフに Edge の WAN リンクに関する問題で説明されていないギャップが生じていることがあります。

    このギャップは、リンク データの内部ジョブ キューが失われ、リンク データがバックフィルされない Orchestrator データベースの問題の結果です。

  • 解決した問題 118728:パートナー ポータルまたはカスタマー エンタープライズでは、一部のユーザーが VMware SASE Orchestrator へのログインを許可されない場合があります。

    ユーザーがログインするための適切な権限を持っていても、「ユーザーに [enterpriseProxy/getEnterpriseProxy] にアクセスするために必要な権限 [READ:PROXY] がありません (user does not have privilege [READ:PROXY] required to access [enterpriseProxy/getEnterpriseProxy])」というエラーが表示されることがあります。これは、ネイティブ認証と 2 要素認証に当てはまります。このエラーは実際にはパスワードの期限切れが原因ですが、Orchestrator はこれがログインできない本当の理由であることをユーザーに知らせず、ユーザーはログインできないためパスワードをリセットできません。

    この問題が修正されていない Orchestrator では、適切なロールを持つパートナーまたはカスタマー管理者が、影響を受けるユーザーにパスワード リセットの E メールを送信してパスワードをリセットできます。

  • 解決した問題 121085:パートナー管理者が [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] > [サービス権限 (Service Permissions)] ページにアクセスしている場合、[システムのデフォルトにリセット (Reset to System Default)] オプションが想定どおりに動作しません。

    ユーザー ロールの権限のデフォルト設定がリストアされるため、[システムのデフォルトにリセット (Reset to System Default)] が選択されている場合に想定される動作は、すべてのカスタム ロールの権限パッケージが「非公開 (Unpublished)」状態に戻ることです。しかし、実際には、1 つ以上のカスタム パッケージが「公開 (Published)」状態のままになり、パートナー ユーザーは「公開 (Published)」状態のパッケージを変更または削除することができません。

  • 解決した問題 121441:カスタマーが VMware SD-WAN Edge の VLAN で VNF 挿入を有効にすると、Edge は VNF を削除してから再展開します。そのため、VNF はその Edge で使用できなくなります。

    VLAN 上で VNF 挿入が有効になると、[監視 (Monitor)] > [イベント (Events)] ページで VNF の削除と再展開イベントが発生し、「(VNF_VM_DELETED) / 不明なベンダー VNF が Edge <Edge 名> で削除されました ((VNF_VM_DELETED) / Unknown vendor VNF was deleted on the edge <Edge Name>)」というメッセージを含む電子メールを受信します。この問題は、VLAN で VNF 挿入が有効になったときに Orchestrator が新しい UUID (Universally Unique IDentifier) を送信することが原因で発生します。Edge は、この UUID の変更を VNF を削除して再展開するトリガとして解釈します。その結果、VNF はその Edge で使用できなくなります。

    この問題は、新しいユーザー インターフェイスでのみ発生します。この問題が修正されていない 5.1.x Orchestrator でこの問題が発生している場合は、従来のユーザー インターフェイスに切り替えて VNF を設定します。

  • 解決した問題 121469:ユーザーが [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] ページに移動すると、ほとんどまたはすべてのユーザー アカウントが実際にはロックされていないにもかかわらず、ユーザー インターフェイスのバナーにはすべてがロック済みとして表示されることがあります。

    ユーザー アカウントのエラー メッセージ バナーに「ログイン試行の失敗回数が多すぎたため、このアカウントはロックされています (This account has been locked due to too many failed login attempts)」と表示されます。ただし、ユーザー リスト ページを見ると状態は「ロック解除済み (Unlocked)」として表示され、ローカル ユーザー インターフェイス ログインは引き続き可能です。

  • 解決した問題 124778:VMware SASE Orchestrator で新しいユーザー インターフェイスを使用しているときに、カスタマーが [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] に移動すると、セキュリティ ポリシーを設定するオプションが表示されません。

    [セキュリティ ポリシー (Security Policy)] セクションでは、暗号化、DH グループなどの [Edge IPsec プロポーザル (Edge IPsec Proposal)] を設定できます。このオプションは従来のユーザー インターフェイスには表示されますが、新しいユーザー インターフェイスには表示されません。

Orchestrator バージョン R5107-20230722-GA で解決した問題

Orchestrator ビルド R5107-20230722-GA は 2023 年 7 月 22 日にリリースされた、リリース 5.1.0 の 7 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、6 番目の Orchestrator ロールアップ ビルド、R5106-20230705-GA 以降の以下の重要な問題に対処します。

  • 解決した問題 122271:カスタマーが、VMware SASE Orchestrator の新しいユーザー インターフェイスを使用してプロファイルに LAN 側 NAT ルールを追加すると、これらのルールに一致するすべてのトラフィックが失敗することがあります。

    新しいユーザー インターフェイスが、内部アドレス プレフィックスから LAN 側 NAT 外部マスクを誤って計算します。内部プレフィックスと外部プレフィックスが同じ(つまり、1:1)になるようにルールが記述されていない場合、ユーザーが新しいユーザー インターフェイスから LAN 側 NAT ルールを変更すると、ルールの動作が変更され、機能しなくなる場合があります。

    この問題が修正されていない Orchestrator では、カスタマーは Orchestrator の従来のユーザー インターフェイスを使用して LAN 側 NAT ルールを設定する必要があります。

Orchestrator バージョン R5106-20230705-GA で解決した問題

Orchestrator ビルド R5106-20230705-GA は 2023 年 7 月 6 日にリリースされた、リリース 5.1.0 の 6 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、5 番目の Orchestrator ロールアップ ビルド、R5105-20230611-GA 以降の以下の重要な問題に対処します。

  • 解決した問題 84772:VLAN の IPv6 DHCP サーバがプロファイル レベルで [リレー (Relay)] タイプとして設定されている場合、ユーザーが [Edge 固有のルール (Edge Override)] を使用して Edge レベルでタイプを [有効 (Activated)] に変更した後、[Edge 固有のルール (Edge Override)] をオフにすると、Edge は [有効 (Activated)] のタイプを引き続き使用し、プロファイルによって提供されるリレー タイプには戻りません。

    [Edge 固有のルール (Edge Override)] をオフに切り替えると、VMware SASE Orchestrator がプロファイル設定の適用に失敗し、影響を受ける Edge に間違った IPv6 サーバ設定が使用されます。

  • 解決した問題 115411:バージョン 5.1.0 以降を使用する VMware SASE Orchestrator をディザスタ リカバリ トポロジを使用して展開すると、データベースの問題が原因で同期が失敗する場合があります。

    失敗する特定のプロセスは dr_utils.js ですが、これはリリース 5.1.0 以降で検出された Orchestrator のデータベース ソフトウェアの最新バージョンでこのプロセスが廃止されたことが原因です。

  • 解決した問題 115433:「エンタープライズ サポート」ロールを持つユーザーは、VMware SASE Orchestrator の新しいユーザー インターフェイスに DHCP の設定の詳細を表示できません。

    従来のユーザー インターフェイスを使用している同じエンタープライズ サポート ユーザーは DHCP の設定の詳細を表示できます。

  • 解決した問題 116633:Safari または Firefox を使用して VMware SASE Orchestrator にログインするときに、ユーザーがプロファイル レベルで無効な VLAN("" など)を設定し、VMware SD-WAN Edge で有効な VLAN 値を設定すると、呼び出しは引き続き実行されますが、エラーが表示されます。

    値が設定されていないインターフェイス値は null にする必要がありますが、代わりに vlanID = "" になります。ユーザーが Chromium ベースのブラウザで Orchestrator にログインする場合、この問題は発生しません。

  • 解決した問題 117772:エンタープライズ カスタマーの VMware SASE Orchestrator の [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] 画面を表示しているときに、10 個を超える WAN リンクが監視されている場合、状態が「劣化 (Degraded)」または「ダウン (Down)」の WAN リンクが [リンク状態 (Link status)] 画面に表示されないことがあります。

    この問題は、劣化またはダウンした WAN リンクを考慮しないフロントエンドの問題により、新しい Orchestrator ユーザー インターフェイスに限定されます。監視は従来のユーザー インターフェイスで期待どおりに動作します。

  • 解決した問題 117988:VMware SD-WAN インターフェイスで OSPF 用に設定された [完全一致 (Exact Match)] チェックボックスをオンにした [インバウンド ルートの学習 (Inbound Route Learning)] は、VMware SASE Orchestrator の従来のユーザー インターフェイスと新しいユーザー インターフェイスの値を比較した場合、Edge で設定されているものと一致しません。

    [完全一致 (Exact Match)] オプションを使用すると、新しいユーザー インターフェイスを確認するときに Edge のデータベースに正しく保存されていても正しい値が表示されません。正しい値は従来のユーザー インターフェイスに表示されます。

  • 解決した問題 117993:カスタマー エンタープライズを管理し、ネイティブ認証(つまりユーザー名/パスワード)を使用しているパートナー ユーザー、またはエンタープライズ ユーザーがエンタープライズ ユーザーのパスワードをリセットしようとすると、失敗します。

    次のエラーが表示されます:ユーザーには [enterpriseUser/sendEnterpriseUserPasswordResetEMail] にアクセスするために必要な権限がありません (user does not have privileges required to access [enterpriseUser/sendEnterpriseUserPasswordResetEMail])。この問題は、新しいユーザー インターフェイスでのみ発生し、原因は要求パラメータが見つからないことです。この問題が発生した場合、ユーザーは従来のユーザー インターフェイスに切り替えることができ、パスワードのリセットは期待どおりに動作します。

  • 解決した問題 118074:VMware SASE Orchestrator の新しいユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで、一部のデバイス設定を開くことができない場合があります。

    アクセスできない設定には、インターフェイス、IPv6、クラウド VPN、Non SD-WAN Destination (NSD)、クラウド セキュリティ サービス (CSS) などがあります。この問題はパブリック IP アドレスを必要とする WAN 設定にトレースされ、このアドレスがない場合は、新しいユーザー インターフェイスでエラーがスローされ、これらの設定へのアクセスがブロックされます。デバイス設定は従来のユーザー インターフェイスで期待どおりに動作します。

  • 解決した問題 118544:オペレータ プロファイルがロードされず、アクセス不能であるため、カスタマー エンタープライズに割り当てることができない場合があります。

    Orchestrator データベースに問題があり、オペレータ プロファイルは存在しますが、カスタマー エンタープライズが削除されると誤った論理 ID が設定モジュールに追加され、プロファイルをロードできなくなります。

  • 解決した問題 118733:VMware SASE Orchestrator の新しいユーザー インターフェイスを使用し、ビジネス ポリシーまたはファイアウォール ルールがプロファイル レベルで設定され、Edge レベルで上書きされると、[設定 (Configure)] > [Edge (Edges)] > [Edge をリスト (List Edges)] 画面では、上書きされた Edge のアイコンがデバイス、ビジネス、ファイアウォールに対して正しく表示されません。

    [Edge 固有のルール (Edge Override)] がオンになっているアイコンは単色で表示される必要がありますが、代わりに空白で表示されます。従来の Orchestrator は、特定のカテゴリに対して Edge 固有のルールが設定されている場合、アイコンを単色で正しく表示します。

  • 解決した問題 119733:VMware SASE Orchestrator のデータベースで障害が発生し、動作が停止することがあります。

    この問題は、データベースが安定した最新バージョンの MySQL にないために発生し、Orchestrator リリース 5.1.0.6 では、更新された MySQL バージョンを使用してその欠陥を修正します。

  • 解決した問題 120606:[カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] > [新しいロール (New Role)] で新しいロールを作成しようとすると、エラーが発生し、権限がロードされません。

    この問題が発生すると、新しいロールの作成中にユーザー インターフェイス ページに「メソッド エラー (method error)」が表示され、権限がロードされなくなります。

     

Orchestrator バージョン R5105-20230611-GA で解決した問題

Orchestrator ビルド R5105-20230611-GA は 2023 年 6 月 13 日にリリースされた、リリース 5.1.0 の 5 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、4 番目の Orchestrator ロールアップ ビルド、R5104-20230426-GA 以降の以下の重要な問題に対処します。

  • 従来の Orchestrator ユーザー インターフェイスではなく、新しい Orchestrator ユーザー インターフェイスでのみ発生する問題

    Orchestrator リリース 5.1.0.5 には、カスタマーが新しいユーザー インターフェイスを使用している場合にのみ発生し、従来のユーザー インターフェイスを使用している場合には発生しない問題に関連する多くの修正が含まれています。次の表に、それらの問題のすべての修正と、各問題の症状の説明を示します。

    新しいユーザー インターフェイスのみの解決した問題

    チケット

    症状/説明

    解決した問題 #87089

    ユーザーには、[監視 (Monitor)] > [Edge (Edges)] > [送信元 (Sources)] ページにクライアント アドレスを編集するオプションがありません。この修正により、エントリを編集するためにクリックできる青い鉛筆アイコンが追加されました。

    解決した問題 #112044

    Zscaler タイプの Edge 経由の Non SD-WAN Destination が展開されているサイトの場合、[監視 (Monitor)] > [ネットワーク サービス (Network Services)] を見ると、新しいユーザー インターフェイスの [展開状態 (Deployment Status)] ページの下に [IaaS サブスクリプション (IaaS Subscriptions)] 列が表示されません。

    解決した問題 #112451

    ユーザーが設定プロファイルを編集しているときに、[デバイス (Device)] > [インターフェイス (Interfaces)] > [Edge モデル (Your Edge Models)] で Edge 3810 を選択すると、Web ブラウザ ページが応答を停止して保存できなくなり、ユーザーはリカバリのためにページを更新する必要があります。カスタマーは、そのプロファイルに Edge 3810 を使用できません。

    解決した問題 #112500

    Zscaler タイプのクラウド セキュリティ サービス (CSS) が展開されているサイトの場合、[監視 (モニター)] > [Edge (Edges)] を表示し、Edge の Edge トンネルの上にマウスを移動すると、ユーザー インターフェイスに Zscaler CSS の都道府県と市区町村が表示されません。

    解決した問題 #112809

    エンタープライズ読み取り専用ロールを持つカスタマー管理者の場合、ユーザー インターフェイスで [監視 (Monitoring)] > [ルーティング (Routing)] ページを表示できます。

    解決した問題 #112906

    ユーザー インターフェイスのページが不正な書式設定で読み込まれ、ページに大きな空白部分が表示される場合があります。

    解決した問題 #112912

    エンタープライズ サポート ロールを持つカスタマー管理者の場合、Edge の [リモート アクション (Remote Actions)] > [再起動 (Reboot)] を選択するオプションがありません。

    解決した問題 #113254

    スーパー ユーザーまたは標準ロールを持つパートナー管理者の場合、管理下のカスタマーのデフォルトのオペレータ プロファイルを変更できません。

    解決した問題 #113366

    ユーザーは VLAN セカンダリ IP アドレスがネクスト ホップであるスタティック ルートを設定できません。

    解決した問題 #113963

    ユーザーがファイアウォール ルールを作成し、そのルールにアプリケーションを設定し、後で同じルールを編集してアプリケーションを変更した場合、変更は適用されず、ルールは以前のアプリケーションを保持します。

    解決した問題 #114291

    クラウド セキュリティ サービス (CSS) がプロファイルで設定されている場合、CSS が複数の異なるセグメントで変更された後、ユーザーは [デバイス設定 (Device Settings)] を保存する機会がなく、セグメントを切り替えることができません。

    解決した問題 #114564

    ユーザーは、Edge インターフェイスのオプションの設定で [802.1P 設定 (802.1P Setting)] を設定できません。

    解決した問題 #114602

    [サービス設定 (Service Settings)] > [アラートと通知 (Alerts & Notifications)] に、ユーザーがオペレータ アラートまたはエンタープライズ アラートを設定するオプションがありません。

    解決した問題 #114912

    [パートナーの概要 (Partner Overview)] ページに、[ユーザー契約書 (User Agreement)] の設定が含まれていません。

    解決した問題 #115307

    ユーザー セッションがタイムアウトをトリガするのに十分な時間アイドル状態のままになると、ユーザー インターフェイスにログアウト メッセージが表示されず、代わりにスリープ モードになり、ユーザーがユーザー インターフェイスにアクセスすると、Orchestrator が「起動」し、ユーザーはログイン ページにリダイレクトされず、Orchestrator にアクセスできます。

    解決した問題 #115439

    ユーザーが [設定 (Configure)] > [プロファイル (Profile)] > [デバイス設定 (Device Settings)] > [BGP] に移動すると、BGP は存在しますが、[セグメント対応 (Segment Aware)] で並べ替えると、BGP を設定するオプションが見つかりません。

    解決した問題 #115653

    パートナー管理者が [カスタマーの管理 (Manage Customers)] ページを表示している場合、ユーザー インターフェイスには、カスタマーが停止されたサービス状態の Gateway を使用しているかどうかが示されません。そのため、パートナーは、カスタマーが確実にアクティブな Gateway のみを使用するようにするためのタイムリーなアクションを実行できません。

    解決した問題 #115719

    プロファイル レベルで [デバイス設定 (Device Settings)] に変更を加えると、バックホール ルールが [設定 (Configure)] > [ビジネス ポリシー (Business Policy)] ページから消えます。

    解決した問題 #116523

    ユーザーが VNF 挿入を設定していて、Edge で VNF 高可用性を設定しようとすると、HA が設定されたときに Orchestrator は VNF の変更を保存しません。

    解決した問題 #117527

    ユーザーがプロファイル レベルで BGP を設定しているときに、多数のルールが設定されていると、ブラウザが応答しなくなることがあります。

  • 解決した問題 105861:WAN リンクが数分間ダウンして復帰すると、[監視 (Monitor)] の QoE グラフに実際のリンク状態が反映されません。

     リンクがダウンしている間は QoE が赤で表示され、リンクがリストアされると元の色(良好な品質の場合は緑色)に戻るはずですが、そのようにならず、ユーザーが混乱します。この問題は、VMware SASE Orchestrator のデータベースがリンクのダウン イベントを正しく記録しないことが原因で発生します。

  • 解決した問題 106295:AWS タイプの Non SD-WAN Destination の場合、プライマリ Gateway とセカンダリ Gateway がそれぞれ BGP を設定してセットアップされていると、VMware SASE Orchestrator は冗長セカンダリ トンネルが稼動していても、ダウンとして表示する場合があります。

    AWS 側にはプライマリ トンネルとセカンダリ トンネルの両方が「稼動中」とレポートされますが、Orchestrator の [監視 (Monitor)] > [ネットワーク サービス (Network Services)] ページではセカンダリが「ダウン」と表示されます。これは、厳密には表示上の問題です。

  • 解決した問題 107180:ユーザーが Fortinet タイプの VNF を設定している場合、ドロップダウン メニューに Fortinet イメージ バージョン 6.49 または 7.2.0 が表示されません。

    これらのイメージはリリース 5.1.0 でサポートされていますが、カスタマーはアクセスできません。

  • 解決した問題 107766:カスタマーが Edge 経由の Non SD-WAN Destination またはクラウド セキュリティ サービス (CSS) を設定し、[レベル 7 (L7) 健全性チェック (Level 7 (L7) Health Check)] オプションも設定すると、トンネルが予期せずにダウンまたは稼動中とマークされることがあります。これは、L7 健全性チェックの設定値に基づいて発生する動作とは異なります。

    この問題は、カスタマーが設定した内容に関係なく、Orchestrator がデフォルトの L7 健全性チェック パラメータを VMware SD-WAN Edge にプッシュすることが原因です。その結果、トンネルの条件がカスタマーが設定した条件と一致する場合でも、トンネルの状態はデフォルトの L7 健全性チェック値に従っているため変更されません。

  • 解決した問題 110826:VMware SD-WAN Edge がカスタマー エンタープライズに割り当てられている場合、VMware SASE Orchestrator は、Maestro インベントリ管理アプリケーションの [割り当てられたインベントリ (Assigned Inventory)] タブに Edge を自動的に移動しません。

    未割り当ての Edge が Maestro から要求され、Orchestrator がすでに割り当て済みのシリアル番号を探しても、Edge モデル番号が比較されず、Edge が 2 回割り当てられるという問題が発生します。

  • 解決した問題 111957:オペレータが VMware SASE Orchestrator をアップグレードすると、実行時間の長いスキーマの更新の失敗に関連するエラーが表示されることがあります。たとえば、新しい学習済みルート(BGP または OSPF)が OFC ページに表示されないことがあります。学習済みルートに関連する Orchestrator のアップロード ログにもエラーが記録されます。

    VELOCLOUD_LEARNED_PARTNER_ROUTE_ASSOC の外部キーがドロップされ、Orchestrator リリース 4.2.x からリリース 4.3.x 以降へのアップグレードで実行時間の長いスキーマの更新として再度追加されます。この外部キーは、アップグレード パスがアップグレードの欠陥があり、BGP ルートを学習していた Gateway が Orchestrator から削除された 2.1.x ビルドを経由する Orchestrator にはすでに存在しません。このような Orchestrator では、テーブルにすでにレコードに違反する外部キーが存在する場合、4.2.x から 4.3.x 以降へのアップグレードで外部キーの追加に失敗します。

    この問題の修正により、レコードに違反している外部キーを削除してから外部キーが再度追加されるため、根本原因が修正されます。

    この問題の修正を適用せずに Orchestrator にアップグレードする場合の回避策は、MySQL: DELETE FROM VELOCLOUD_LEARNED_PARTNER_ROUTE_ASSOC WHERE gatewayId not in の VeloCloud スキーマで次のクエリを実行(VELOCLOUD_GATEWAY から ID を選択)し、実行時間の長いスキーマ更新を再トリガすることです。

  • 解決した問題 112333:約 6,000 個のトンネルと継続的なトラフィック フローを持つ約 4,000 台の VMware SD-WAN Edge を処理する VMware SASE Orchestrator が、約 4 日間不安定になり、ユーザーをランダムにログアウトし始める場合があります。

    ストレスが発生すると、Orchestrator のデータベースに障害が発生し、「connect ECONNREFUSED」というエラーが発生し、その後に Orchestrator の IP アドレスが表示されます。この問題はスケール テスト環境でのみ発生し、フィールド展開では発生しません。

  • 解決した問題 112605:カスタマーが [設定 (Configure)] > [デバイス (Device)] > [クラウド VPN (Cloud VPN)] > [Edge] から SD-WAN サイトにハブ クラスタを割り当てようとすると、プロファイルが応答せず、設定を保存できない場合があります。

    Orchestrator は複数のバックホール ビジネス ポリシーがある重複した設定の関連付けを作成し、重複した参照によりハブ クラスタの設定と割り当てが失敗します。

  • 解決した問題 112992:カスタマー エンタープライズが 1 つの VMware SASE Orchestrator から別の VMware SASE Orchestrator に移行されると、Orchestrator は UUID レコードを追加します。

    UUID レコードが、VELOCLOUD_ENTERPRISE_OBJECT レコードに追加されるべきでないときに追加されます。

  • 解決した問題 113209:Edge が「劣化 (Degraded)」状態にある場合、ユーザーは VMware SD-WAN Edge を SASE Orchestrator から削除できません。

    Orchestrator は、「劣化した Edge と接続された Edge は削除できません (Degraded edges and connected edges cannot be deleted)」というエラー メッセージをスローします。ユーザーは接続されている Edge を削除できませんが、劣化した Edge を削除できる必要があります。 

  • 解決した問題 113375:ディザスタ リカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、Orchestrator を 4.5.x から 5.1.x にアップグレードすると、アップグレードが失敗することがあります。

    アップグレード スクリプトと iptables どちらも戻りコード 1 で失敗します。この問題は、アクティブ Orchestrator とスタンバイ Orchestrator が異なるソフトウェア バージョンを実行していて、スタンバイ Orchestrator がアップグレードを試行する(これは予期された一時的な動作です)ときに iptables が適切にロードされないときにトリガされ、エラーによりアップグレード全体が失敗します。この修正により、iptables エラーが警告に変わり、アップグレードを続行できるようになります。

  • 解決した問題 114240:Edge IPsec プロポーザルで、ユーザーが暗号化を AES-128-GCM または AES-256-GCM のいずれかに変更して設定を保存すると、Orchestrator ユーザー インターフェイスでエラーが発生します。

    次のようなエラーが表示されます。「instance.ipsec.encryption が次の列挙値の 1 つではありません:AES_128_CBC、AES_256_CBC、DES_CBC (instance.ipsec.encryption is not one of enum values: AES_128_CBC、AES_256_CBC、DES_CBC)」。この問題は、2 つの GCM タイプの暗号化が、有効なオプションではない場合に誤って [暗号化 (Encryption)] メニューに追加されたことが原因で発生します。これらのオプションは、更新された Orchestrator では削除されます。

  • 解決した問題 115624:VMware SASE Orchestrator でポータル サービスを再起動すると、CPU 使用率が高くなって不安定になり、ユーザー インターフェイスの [デバイス設定 (Device Settings)] および [ネットワーク設定 (Network Settings)] ページの読み込みが遅くなることがあります。

    この問題は、約 2,000 個の接続された Edge を持つ Orchestrator で同時にクラウド セキュリティ サービス (CSS) も使用している場合に発生しました。接続された Edge の数がこの数以上の場合に、この問題が発生することがあります。この問題は、Edge、プロファイル、およびネットワーク設定に関連するいくつかの Orchestrator プロセスが Edge から Orchestrator にアップロードされ、完了に予想以上に時間がかかる(約 60 秒以上)ことが原因で発生します。

  • 解決した問題 116141:ユーザーが設定プロファイル上でデバイス設定を変更すると、VMware SASE Orchestrator が変更を検証するのに長い時間がかかります。

    各変更での検証と適用には数秒しかかからないはずですが、最大で 1 分かかることがあります。この問題は、そのプロファイルに関連付けられたすべての Edge 設定レコードの数を取得するだけでなく、不必要で Orchestrator CPU に負担のかかる各レコードのデコードと解析も行う Orchestrator プロセスに起因します。この修正により、プロセスはレコードの数のみを取得します。

  • 解決した問題 116770:オペレータ ユーザーが信頼のルートにチェーンの長さが 2 以上の外部認証局 (CA) を作成する場合、VMware SASE Orchestrator は従属証明書の pathLengthConstraint に値 0 を許可しません。

    下位の従属証明書に署名することが許可されていない従属証明書は有効な設定であり、Orchestrator で許可する必要がありますが、プロセスによって設定の保存がブロックされます。

  • 解決した問題 116790:VMware SASE Orchestrator がリリース 5.1.x 以降にアップグレードされると、カスタマーの VMware SD-WAN Edge が、Edge が使用するように設定されているバージョンよりも古い Edge バージョンに誤ってダウングレードされる場合があります。

    この問題は、Orchestrator からカスタマー エンタープライズが削除され、削除されたエンタープライズが Orchestrator データベース内の論理 ID によってオペレータ プロファイルに関連付けられていた場合にトリガされます。エンタープライズが削除されると、オペレータ プロファイルも削除されます。[Edge イメージ管理 (Edge Image Management)] が設定済みで、複数のオペレータ プロファイルが使用可能で、この削除されたオペレータ プロファイルをデフォルトとして割り当てていたカスタマーには、[Edge イメージ管理 (Edge Image Management)] メニューで引き続き使用可能なオペレータ プロファイルが割り当てられます。その結果、カスタマーに古い Edge リリースを含むオペレータ プロファイルが割り当てられることがあり、このオペレータ プロファイルが割り当てられた Edge でソフトウェアが変更され、ダウングレードされる可能性があります。Edge がカスタマーが使用している機能をサポートしていない古いリリースを実行している場合は、ネットワーク障害などによって中断が発生する可能性があります。

  • 解決した問題 116976:パートナー管理者が VMware SASE Orchestrator にログインすると、管理する VMware SD-WAN Edge 上で 24 時間以上ダウンしている WAN リンクの正しい状態が Orchestrator に表示されない場合があります。

    Orchestrator API はパートナー/MSP に対しては最近のリンクのみを返しますが、通常のカスタマー エンタープライズ ユーザーは正しいリンク状態の情報を取得します。これは、リンクの問題についてカスタマーを適切にサポートするパートナーの能力に影響を与えます。

  • 解決した問題 117800:VMware SASE Orchestrator がリリース 4.x から 5.1.x 以降にアップグレードされると、バックエンド プロセスの再起動後に、正常に実行されたにもかかわらず同じ upgradeSchema.sql ファイルが作成される場合があります。

    この問題はアップグレード後のスキーマ更新で発生し、スキーマ後のスクリプトが実行されると upgradeSchema.sql ファイルは再度生成されません。

  • 解決した問題 118071:複数の VMware SD-WAN Gateway がカスタマーに割り当てられ、そのすべてに約 2,000 台以上の Edge が割り当てられている場合、ユーザーが [設定 (Configure)] > [プロファイル (Profile)] > [デバイス (Device)] で VPN 設定を変更しようとすると、エラーが発生して失敗することがあります。

    Orchestrator エラーは「変更の検証中にエラーが発生しました (Error validating changes)」と表示されます。API が 10,000 行を超える行を返すデータベース クエリを待機しているため、VMware SASE Orchestrator は VPN 設定の更新に失敗します。これは、Orchestrator が大規模に動作している場合に発生する可能性があります。この問題は、Edge にプライマリ Gateway のみをレポートさせる必要があるときに、Orchestrator がタイプ(プライマリとセカンダリ)に関係なくすべての Gateway を取得することが原因で発生します。これにより、返されるレコードの数が大幅に増加し、クエリが大規模にオーバーフローする可能性があります。

Orchestrator バージョン R5104-20230426-GA で解決した問題

Orchestrator ビルド R5104-20230426-GA は 2023 年 4 月 27 日にリリースされた、リリース 5.1.0 の 4 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、3 番目の Orchestrator ロールアップ ビルド、R5103-20230315-GA 以降の以下の重要な問題に対処します。

  • 従来の Orchestrator ユーザー インターフェイスではなく、新しい Orchestrator ユーザー インターフェイスでのみ発生する問題

    Orchestrator リリース 5.1.0.4 には、カスタマーが新しいユーザー インターフェイスを使用している場合にのみ発生し、従来のユーザー インターフェイスを使用している場合には発生しない問題に関連する多くの修正が含まれています。次の表に、それらの問題のすべての修正と、各問題の症状の説明を示します。

    新しいユーザー インターフェイスのみの解決した問題

    チケット

    症状/説明

    解決した問題 #104785

    [監視 (Monitor)] > [イベント (Events)] ページでイベント更新ボタンをクリックしても、Web ブラウザ ページを再ロードしない限り、[イベント (Events)] テーブルのタイムスタンプは更新されず、最新のイベントがテーブルに表示されません。

    解決した問題 #106327

    [監視 (Monitor)] > [イベント (Events)] ページでイベントのフィルタを設定している場合、一部のフィルタ オプションが見つからず、Edge イベントのフィルタ方法が制限されます。

    解決した問題 #107071

    [監視 (Monitor)] > [イベント (Events)] ページで 5M を超えるイベントが返される大きな時間枠を選択すると、ページがタイムアウトし、ロードに失敗します。

    解決した問題 #107980

    [設定 (Configure)] > [Edge] > [概要 (Overview)] ページで、ローカルの連絡先データが空白の場合、[連絡先と場所 (Contact & Location)] のデータも入力しない限り、Edge の名前を変更することができません。

    解決した問題 #108072

    さまざまなセグメントで同じ IP アドレスを使用してループバック インターフェイスを設定しようとすると、Orchestrator はこれを許可せず、「一意である必要があります (Must be unique)」という警告メッセージを表示します。

    解決した問題 #109284

    Azure または Zscaler タイプの Edge 経由の Non SD-WAN Destination (NSD) のトンネルを追加すると、[ローカル ID タイプ (Local Identification Type)]、[ローカル ID (Local Identification)]、および [PSK] のフィールドが編集可能になります。

    解決した問題 #109300

    ライセンスが設定する Orchestrator の任意の領域を確認すると、選択されたライセンスのみが表示され、他のライセンスが表示されません。Orchestrator は、1 つのライセンス オプションが選択されると他のすべてのライセンス オプションを除外します。この問題の修正として、ライセンス ドロップダウン メニューの右側に新しい [クリア (Clear)] ボタンが含まれており別のライセンス オプションを選択できるようになっています。

    解決した問題 #109532

    [設定 (Configure)] > [ネットワーク サービス (Network Services)] ページの新しいユーザー インターフェイスでは異なるフィールドが表示されているため、DNS IP アドレスは新しいユーザー インターフェイスと従来のユーザー インターフェイスで異なります。

    解決した問題 #109533

    [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページで、[リレー (Relay)] のより正確な状態が表示される必要があるときに、DHCP サーバには [有効 (Enabled)] と表示されます。

    解決した問題 #109715

    [Edge ダウン リンク制限 (Edge Down Link)] が 24 時間以上に設定されていても、ダウンした WAN リンクが 24 時間後に [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] ページに表示されなくなります。

    解決した問題 #109788

    Non SD-WAN Destination を設定する場合、ユーザーは [サイト サブネット (Site Subnet)] を 0.0.0.0/0 の値で設定できず、Orchestrator はそれを「CIDR プレフィックスが無効です (Invalid CIDR Prefix)」と宣言します。

    解決した問題 #109836

    新しいユーザー インターフェイスで Partner Gateway のスタティック ルートを設定する場合、これらのルートは Edge に配布されません。これらのルートは、接続された Edge にクラウド ルート(タイプ = クラウド)として配送され、ルート テーブルのダンプに表示される必要がありますが、そうなっていません。

    解決した問題 #109911

    WAN オーバーレイ タイプが「無効 (Disabled)」の場合、ビジネス ポリシーを設定するときに、[リンク ステアリング (Link Steering)] > [インターフェイス (Interfaces)] セクションでそのインターフェイスを選択できません。新しいユーザー インターフェイスでは、自動検出またはユーザー定義のみの WAN オーバーレイに関連するインターフェイスを使用できます。

    解決した問題 #110094

    Edge インターフェイスを編集して一度に多数のフィルタを OSPF に追加すると、フィルタ グリッドが表示されなくなります。十分な数の OSPF フィルタが追加され、OSPF フィルタ グリッドにページネーションが表示されるようになると、グリッドの高さが 0 に設定され、ユーザーはフィルター グリッドを編集したり表示したりできなくなります。

    解決した問題 #110330

    パートナー管理者とカスタマー管理者は、ロールで許可されている場合でも、[グローバル設定 (Global Settings)] > [サービス権限 (Service Permissions)] タブを表示できない場合があります。[サービス権限 (Service Permissions)] では、ユーザー ロールのカスタマイズが文書化されます。

    解決した問題 #111104

    [サービス設定 (Service Settings)] > [Edge 管理 (Edge Management)] > [ソフトウェアおよびファームウェア イメージ (Software & Firmware Images)] ページで、テーブルの下部にある行を展開すると、すべての詳細が表示されなくなります。

    解決した問題 #111407

    [設定(Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [インターフェイス (Interfaces)] ページで、WAN リンクも追加しないとユーザー定義インターフェイスを設定できません。

    解決した問題 #111444

    Zscaler タイプでクラウド セキュリティ サービス (CSS) を設定する場合、URL で [Zscaler ログイン URL (Zscaler Login URL)] を設定することができず、「FQDN アドレスが無効です (FQDN is invalid)」というメッセージが表示されます。ログイン URL の値はサーバに送信されず、保存されません。

    解決した問題 #111934

    Zscaler タイプの Edge 経由の Non SD-WAN Destination のフィールドを更新すると、Orchestrator は [DH グループ (DH Group)] フィールドを削除します。

    解決した問題 #111944

    オペレータ スーパー ユーザーは、システム プロパティを変更または削除できません。

    解決した問題 #112094

    ユーザーが非グローバル セグメントでクラウド セキュリティ サービス (CSS) の認証情報を変更し、同じセッションでグローバル セグメントに切り替えると、CSS 認証情報が削除されます。

    解決した問題 #112201

    ユーザーが API を介してクラウド セキュリティ サービス (CSS) を設定し、CSS を [なし (空) (None (Empty))] に設定すると、VMware Edge の CSS 設定では Orchestrator は設定を表示しませんが、Edge のデータベースと API 応答では CSS が稼動中で動作していることが示されます。この状態の CSS は、ビジネス ポリシーの一部として使用できません。

    解決した問題 #112224

    スーパー ユーザー、標準、またはサポートのロールを持つカスタマー管理者が [診断 (Diagnostics)] に移動すると、ロールが [診断バンドル (Diagnostic Bundles)] セクションへのアクセスを許可していても、該当のページ リンクが表示されません。その結果、カスタマー管理者は診断バンドルを生成できず(ダウンロードは可能です)、パケット キャプチャを生成およびダウンロードできません。

    解決した問題 #112437

    ユーザーが同じ Edge に対して複数の [リモート診断 (Remote Diagnostics)] セッションを開くと、十分なセッションを開いた後にページのロードに失敗することがあります。

  • 解決した問題 95631:ユーザーが [監視 (Monitor)] > [ネットワーク サービス (Network Services)] > [クラウド セキュリティ サービス サイト (Cloud Security Service Sites)] の順に移動し、[状態遷移時刻 (State Change Time)] でイベントを並べ替えようとすると、正しい順序で並べ替えされません。

    CSS テーブルの [状態遷移時刻 (State Change Time)] 列で並べ替えようとすると、日付がタイムスタンプではなく解析された日付で並べ替えられるため、並べ替えが正しくありません。この問題は、従来のユーザー インターフェイスと新しいユーザー インターフェイスの両方で発生します。

  • 解決した問題 106907:カスタマーがビジネス ポリシーに関連付けられている Edge 経由の Non SD-WAN Destination (NSD) を設定した場合、ユーザーが後で Edge 固有のルールを使用して Edge 経由の NSD を無効化すると、リリース 5.1.0 を使用する VMware SASE Orchestrator でビジネス ポリシーが削除されません。

    Edge 経由の NSD が無効化されたら、Orchestrator はビジネス ポリシーを削除する必要があります。これは、ルールが維持されると、そのビジネス ポリシーに一致するトラフィックが存在しない宛先にステアリングされ、その結果そのトラフィックがドロップされるためです。

  • 解決した問題 106929:オペレータは、リリース 5.1.0 を使用している VMware SASE Orchestrator のオペレータ プロファイルにソフトウェア バージョンを割り当てることができない場合があります。

    Orchestrator は次のようなエラーをスローします。

    エラー メッセージ.

    この問題は、競合するデータベース API クエリが原因で、Orchestrator でソフトウェア イメージの追加の試行がタイムアウトした結果です。この問題は、VMware ホスト型 Orchestrator のように、多数の Edge をホストする Orchestrator で発生する可能性が高く、新しいユーザー インターフェイスと従来のユーザー インターフェイスのどちらを使用しても発生する可能性があります。

    Orchestrator でこの問題を修正しない場合の唯一の回避策は、データベース接続のタイムアウト値を増やすことです。

  • 解決した問題 107349:VMware SASE Orchestrator で [監視 (Monitor)] > [Edge] > [送信元 (Sources)] を確認すると、一部またはすべての送信元が解決されず、「解決できません (Unable to resolve)」と表示される場合があります。

    この問題には一貫性がなく、カスタマー エンタープライズの一部のサイトでは、送信元の IP アドレスと MAC アドレスが想定どおりに表示されることがあります。この問題は、Edge 名の Orchestrator データベース テーブルが更新されていないことが原因で発生します。

    この問題の修正が適用されていない Orchestrator でこの問題が発生している場合は、メンテナンス期間中にクラウド VPN をオフにしてから再度オンにして、強制的に Orchestrator が正しい Edge 名を取得するようにすることができます。

  • 解決した問題 108363:VMware SASE Orchestrator を 5.x リリースにアップグレードした後、Zscaler などのクラウド セキュリティ サービス (CSS) を展開し、[レベル 7 (L7) 健全性チェック (Level 7 (L7) Health Check)] も設定されている VMware SD-WAN Edge では、その CSS を使用するトラフィックが約 30 秒間失われる場合があります。

    Orchestrator をアップグレードすると、すべての Edge に設定の更新がトリガされ、設定が修正されるまで L7 健全性チェックが設定されている一部の CSS サイトがダウンする場合があります。この問題は、Edge での問題に対処する「解決した問題 #107302」にリンクされています。この修正により、Orchestrator はアップグレード時に設定の更新を Edge にトリガしなくなり、#107302 の修正が適用されていない Edge が保護されます。

  • 解決した問題 110946:リリース 4.2.x 以前を使用する VMware SD-WAN Orchestrator を、リリース 4.3.x 以降を使用する SASE Orchestrator にアップグレードすると失敗することがあります。

    4.2.x 以前の Orchestrator は、Orchestrator が 4.3.x 以降にアップグレードされるときに、apt update サービス ルーチンを実行する前に apt キャッシュをクリーンアップしません。その結果、アップグレード中に MySQL データベースが再起動し、アップグレードが失敗します。

    この問題に対する修正を適用せずに 任意の Orchestrator バージョンにアップグレードする場合、オペレータはアップグレード前に rm -rf /var/lib/apt/lists/ コマンドを実行できます。

  • 解決した問題 111665:VMware SASE Orchestrator を以前の Orchestrator リリースからリリース 5.1.0 に更新すると、クライアント デバイスの移行が完了しない場合があります。

    この問題は、MySQL を使用する Orchestrator から ClickHouse を使用する Orchestrator へのクライアント デバイス データの移行に影響します。特定の数のレコードが移行されると、移行プロセスは途中で終了します。

  • 解決した問題 111946:ピア リストが 100 を超えると、VMware SASE Orchestrator の [Edge] > [監視 (Monitor)] > [パス (Paths)] タブにパスが表示されません。

    ユーザーが [Edge] > [監視 (Monitor)] > [パス (Paths)] タブに移動すると、Orchestrator のバックエンドはレコード数が 100 を超えてもすべてのレコードを返します。これは、返されるレコードの最大数を制限する制約をバックエンドが省略しているためです。制限数を超えた後で返されるレコードは正規化されません。これは、ユーザー インターフェイスと互換性のある形式でフォーマットされていないことを意味します。これにより、ユーザー インターフェイスでエラーが発生します。Orchestrator は、送信された制限内のレコードのみを返す必要があります。

  • 解決した問題 112458:新しい VMware SD-WAN Gateway が Gateway プールに追加され、Gateway の再分配が開始されると、既存の Gateway が過負荷状態になっている場合でも、新しい Gateway は VMware SD-WAN Edge に再配送されません。

    Gateway の再分配が実行されると、VMware SASE Orchestrator は複数の Edge を同じ地理的なリージョンで最も負荷の低い Gateway に再割り当てします。この問題により、割り当てられた Gateway が過負荷状態になっているにもかかわらず、Edge は既存の Gateway の割り当てを保持します。

  • 解決した問題 112885:Gateway の再分配が、VMware SASE Orchestrator ユーザー インターフェイスを介したトリガに直接関連しないワークフローに対してトリガされる場合があります。

    この修正により、専用エンタープライズの目的以外のワークフローで Gateway の再分配が発生する可能性がある問題が解決されました。Gateway の再分配は、オペレータ レベルの Orchestrator ユーザー インターフェイスを介してのみトリガする必要があり、他の方法は使用できません。

  • 解決した問題 114475:オペレータがリリース 4.2.0 から 5.1.0 に VMware SASE Orchestrator をアップグレードしようとすると、Orchestrator がアップグレードに失敗したことを報告することがあります。

    ログで、オペレータは次のエントリを確認します。Error while initializing CWS Server service Error: Too many connections.この問題は、vco-db-schema がインストールされる前に MySQL を再起動するとトリガされます。これは、MySQL が最大接続数を設定していないために発生します。さらに、Orchestrator はインストールに失敗したと報告しますが、実際にはインストールが完了し、Orchestrator を再起動でき、すべてのサービスは期待どおりに動作します。

Orchestrator バージョン R5103-20230315-GA で解決した問題

Orchestrator ビルド R5103-20230315-GA は 2023 年 3 月 15 日にリリースされた、リリース 5.1.0 の 3 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、2 番目の Orchestrator ロールアップ ビルド、R5102-20230222-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 107587:オペレータは、VMware SASE Orchestrator の他のオペレータまたはカスタマー管理者のユーザーの詳細を編集できません。

    オペレータは、ロールで許可されている場合は [管理 (Administration)] > [ユーザー管理 (User Management)] で別のオペレータのユーザーの詳細を編集する権限を持ち、管理委任が有効になっている場合はカスタマー管理者を編集する権限を持っていると想定されます。この問題により、ユーザーの詳細が「読み取り専用」と表示され、編集できないことがオペレータによって確認されます。

  • 解決した問題 107725:VMware SASE Orchestrator の新しいユーザー インターフェイスを使用しているユーザーが [監視 (Monitor)] > [Edge (Edges)] > [ノード分布地図 (Map Distribution)] に移動すると、マップにはカスタマーが展開したすべての Edge ではなく、一度に最大 20 台の VMware SD-WAN Edge のみが表示されます。

    新しいユーザー インターフェイスの [ノード分布地図 (Map Distribution)] ではカスタマーの Edge リストに一度に 20 台の Edge しか表示されないため、この問題は 20 台を超える Edge を展開しているカスタマーに影響を与えます。ユーザーがクリックしてリストの次のページに移動すると、マップにはそのページの Edge のみが表示されます。カスタマー エンタープライズのすべての Edge を一覧表示するオプションはありません。

  • 解決した問題 108533:ユーザーが [サービス設定 (Service Settings)] > [Edge 管理 (Edge Management)] > [更新の設定 (Configure Updates)] に移動すると、VMware SASE Orchestrator の新しいユーザー インターフェイスで設定の説明テキストが明確ではありません。

    設定名 [Edge 設定の更新の無効化 (Disable Edge Configuration Updates)] が設定の実際の機能と矛盾しており、この修正では機能と説明テキストに合わせて [Edge 設定の更新の有効化 (Enable Edge Configuration Updates)] に変更されました。

  • 解決した問題 108833:ユーザーが VMware SASE Orchestrator の新しいユーザー インターフェイスで非グローバル セグメントの BGP フィルタを変更すると、Orchestrator はグローバル セグメントの BGP 設定を、この新しい設定で上書きします。

     カスタマーがそれぞれ固有の設定を持つ複数のセグメントで BGP を使用している場合、この問題により、BGP 設定が上書きされたグローバル セグメントを使用しているユーザーのネットワークが停止する可能性があります。この問題は、従来のユーザー インターフェイスを使用している場合には発生しません。

  • 解決した問題 109064:VMware SD-WAN Edge に対して 2 つの異なる Wi-Fi インターフェイスがあり、ユーザーがその 1 つで MAC フィルタを設定し、もう 1 つでは設定しない場合、それらの Wi-Fi インターフェイスで同じ SSID(サービス セット識別子)を設定できます。

    同じ SSID を WLAN1 と WLAN2 に設定して、一方で MAC フィルタをオンにし、もう一方で MAC フィルタをオフにしたり、各インターフェイスで異なる MAC 許可リストを使用することは、未承認の MAC アドレスが接続される可能性があるため、VMware SASE Orchestrator では許可されません。

Orchestrator バージョン R5102-20230222-GA で解決した問題

Orchestrator ビルド R5102-20230222-GA は 2023 年 2 月 24 日にリリースされた、リリース 5.1.0 の 2 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、1 番目の Orchestrator ロールアップ ビルド、R5101-20221220-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 40584:ユーザーが VMware SASE Orchestrator で [監視 (Monitor)] > [Edge] > [送信元 (Sources)] を確認すると、新しいクライアント デバイスが VMware SD-WAN Edge に追加されていても、IP アドレスの可視化モードが使用されている場合、Orchestrator に最新のクライアント デバイスが表示されないことがあります。

    この問題は、Edge の [可視化モード (Visibility Mode)][IP アドレスによるクライアント端末の可視化 (Visibility by IP address)] として設定されている場合に発生する可能性があります。この問題は、IP アドレス モードを使用しているときに Orchestrator が Edge の最新のクライアント情報を正しく処理せず、古いクライアントとその IP アドレスのみを表示することが原因で発生します。

  • 解決した問題 105610:ユーザーが「255」で始まり「0」で終わるワイルド カード マスク(たとえば、255.0.1.0)を含む新しい IPv4 オブジェクト グループを作成しようとするか、既存の IPv4 オブジェクト グループを更新しようとすると、VMware SASE Orchestrator は、このワイルド カード マスクを許可せず、これが有効なワイルド カード表現で許可する必要があるにもかかわらず、エラーをスローします。

    5.0.x 以降では、Orchestrator にはオブジェクト グループのワイルド カード マスクの検証がなく、その結果、ユーザーがワイルド カード マスクを設定するとエラーがスローされます。

  • 解決した問題 106159:リリース 5.1.0.0 および 5.1.0.1 を実行している VMware SASE Orchestrator では、認証がシングル サインオン (SSO) として設定されていて、対応する ID プロバイダ (IdP) がイントロスペクション エンドポイントをサポートしていない場合、ネイティブ ユーザーは API トークンを作成できません。

    リリース 5.1.0.0 では、API トークンの作成検証中の IdP イントロスペクション エンドポイントのチェックが導入されました。このチェックでは、ネイティブ ユーザーと非ネイティブ ユーザーは区別されません。SSO が認証用に設定されている限り、Orchestrator は IdP がイントロスペクション エンドポイントをサポートしているかどうかを検証します。その結果、IdP がイントロスペクション エンドポイントをサポートしていない場合、検証によってネイティブ ユーザーと非ネイティブ ユーザーの両方が API トークンを作成できなくなります。この条件は、オペレータ ユーザーとパートナー管理者の両方に当てはまります。

  • 解決した問題 106242:VMware SASE Orchestrator の [診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページにアクセスしているユーザーが、Edge 診断の実行中に [リモート診断 (Remote Diagnostics)] ページから予期せずにログアウトされることがあります。

    この問題は、Orchestrator が可能な接続数の制限に達し、Orchestrator が正常な機能を維持するためにリモート診断ユーザーをサインアウトすることが原因で発生します。この問題は、Orchestrator が不要になったデータベース接続を誤って解放せず、Orchestrator が接続制限の動作をトリガするために発生します。

  • 解決した問題 106592:リリース 5.1.0.0 および 5.1.0.1 を実行している VMware SASE Orchestrator で、API を使用しているユーザーに次の症状が発生することがあります:a) アクティブな API トークンが Orchestrator によって取り消される。b) APIv2 などのサービスが機能しなくなる。

    リリース 5.1.0.0 では、batchRevokeApiTokenForInactiveSsoUsers という新しいバックエンド ジョブが導入されています。このジョブは 6 時間ごとに実行され、非アクティブなシングル サインオン (SSO) ユーザーに対して以前に発行された API トークンを取り消します。バックエンド ジョブの不具合により、トークンが作成されたユーザーに関係なく、Orchestrator のすべての API トークンが誤って取り消されます。

    この修正を適用した場合、スーパー ユーザーまたはパートナー管理者の権限を持つカスタマー管理者は、Orchestrator から非アクティブな ID プロバイダ (IdP) ユーザーを手動で削除して、API トークンを介した不正アクセスを防止する必要があります。

  • 解決した問題 106806:VMware SASE Orchestrator をリリース 5.1.0 にアップグレードすると、Orchestrator に接続しているカスタマーのトラフィックが中断することがあります。

    Orchestrator は、5.1.0 へのアップグレードの一環として、新しいデバイス設定モジュール バージョンを作成します。その後、Orchestrator はこの新しいデバイス設定バージョンをすべての接続された Edge にプッシュします。特定のデバイス設定の変更によって Edge サービスの再起動がトリガされ、カスタマー トラフィックが 10 ~ 15 秒中断する可能性があるため、これは混乱をきたす可能性があります。この問題の修正により、Orchestrator がリリース 5.1.0 にアップグレードされたときに、更新されたデバイス設定バージョンを接続されているすべての Edge にプッシュしなくなります。

  • 解決した問題 107410:VMware SASE Orchestrator で新しいユーザー インターフェイスを使用しているパートナー管理者の場合、パートナーのカスタマーの 1 人にソフトウェア イメージを割り当てようとすると、ソフトウェア イメージを一覧表示するドロップダウン メニューをスクロールできません。

    この影響として、パートナーがドロップダウン メニューを開いたときにイメージの最初の表示で目的のソフトウェア イメージが見つかる場合以外は、目的のイメージがさらに下にある場合、下へスクロールしてそのイメージを見つけることができません。オペレータ ユーザーの場合は問題ありません。パートナー管理者はソフトウェア イメージをカスタマーに割り当てるときに従来のユーザー インターフェイスではスクロールできます。

  • 解決した問題 107637:多数の VMware Edge を持つカスタマーが VMware SASE Orchestrator の従来のユーザー インターフェイスで [設定 (Configure)] > [Edge (Edges)] に移動すると、ページがロードされない問題に遭遇することがあります。

    この問題は従来のユーザー インターフェイスで発生し、ページがタイムアウトして、「予期しないエラーが発生しました (An unexpected error has occurred)」というメッセージが表示されます。新しいユーザー インターフェイスを使用する場合、この問題は発生しません。

    エラー画面.

    オペレータがこの問題のトラブルシューティングを行うと、Orchestrator のログで、enterprise/getEnterpriseEdgeList メソッドが次のエラーで失敗していることがわかります。

    2023-02-06T17:21:05.412Z - error: [[email protected]] [24775] API Invocation error for enterprise/getEnterpriseEdgeList: { code: undefined, message: 'Internal error' }

    この問題は、[設定 (Configure)] > [Edge (Edges)] などのシナリオでカスタマーの Edge リストを取得する Orchestrator API が原因で発生します。従来のユーザー インターフェイスでこの API を使用すると、特に多数の Edge を取得する必要がある場合(たとえば、500 台以上の Edge)にタイムアウトを引き起こす可能性があります。

  • 解決した問題 107885:VMware SASE Orchestrator の新しいユーザー インターフェイスで、一部の VMware SD-WAN Edge の [設定 (Configure)] > [概要 (Overview)] ページがロードされないことがあります。

    この問題には一貫性がなく、一部の Edge では [設定 (Configure)] > [概要 (Overview)] ページがロードされることがあります。この問題は、Edge の QoS モジュールにセグメント情報が入力されていない場合にトリガされます。

    この問題の修正が適用されていない Orchestrator では、ユーザーはユーザー トラフィックに影響しないテスト用のビジネス ポリシーを設定して保存できます。この時点で、[概要 (Overview)] ページは正常にロードされます。

  • 解決した問題 108074:ユーザーが [監視 (Monitor)] > [Edge] 画面の [Edge 情報 (Edge information)] ボックスをプルダウンして、VMware SASE Orchestrator の新しいユーザー インターフェイスでこの情報を確認すると、説明が表示されません。

    [監視 (Monitor)] > [Edge] の従来のユーザー インターフェイス画面では、[Edge 情報 (Edge information)] ドロップダウン画面に設定済みの説明が表示されます。


    [監視 (Monitor)] > [Edge] の新しいユーザー インターフェイス画面では、[Edge 情報 (Edge information)] ドロップダウン画面に設定済みの説明が表示されません。


    ユーザーは、[設定 (Configure)] > [Edge] > [概要 (Overview)] ページで Edge の [説明 (Description)] を設定できます。

  • 解決した問題 108309:リリース 5.1.0 を使用する VMware SASE Orchestrator の新しいユーザー インターフェイスで、ユーザーが Edge 固有のルールを使用して VMware SD-WAN Edge を Non SD-WAN Destination (NSD) に関連付けようとすると、トンネル設定オプションが表示されません。

    トンネル設定オプションは、画面の最後の列に [+] 記号付きの [アクション (Action)] として表示されるはずですが、この問題では [+] 記号が表示されません。


    この問題は Edge 固有のアクションに限定され、カスタマーが(Edge 固有のルールではなく)Edge が使用しているプロファイルを介して NSD を追加すると、[アクション + (Action +)] オプションが正しく表示されます。


Orchestrator バージョン R5101-20221220-GA で解決した問題

Orchestrator ビルド R5101-20221220-GA は 2022 年 12 月 20 日にリリースされた、リリース 5.1.0 の 1 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、Orchestrator ビルド R5100-20221202-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 100133:VMware SASE Orchestrator でパフォーマンスの問題が発生する場合があります。

    カスタマーが Edge ハブ クラスタに関連付けて多数のビジネス ポリシー ルールを設定すると、これらの設定をそのエンタープライズ内の Edge にプッシュするたびに、Orchestrator のパフォーマンスの問題が発生します。

  • 解決した問題 101835:クラウド VPN が設定されている非グローバル セグメントをユーザーが選択すると、新しい Orchestrator ユーザー インターフェイスで [クラウド VPN (Cloud VPN)] セクションを使用できません。

    新しい Orchestrator ユーザー インターフェイスの 設定 (Configure) > Edge (Edge) > デバイス (Device) 設定ページで、クラウド VPN が設定されている非グローバル セグメントをユーザーが選択すると、クラウド VPN (Cloud VPN) セクションを使用できません。

  • 解決した問題 102806:カスタマーは Gateway ごとのレベルで Partner Gateway ハンドオフ設定を編集できません。

    この問題は、アップグレード中にカスタマーが Partner Gateway ハンドオフを設定した場合に発生します。

  • 解決した問題 103622:オペレータ ユーザーが VMware SASE Orchestrator の一部のページにアクセスしようとすると、「このデータにアクセスする権限がありません (You don’t have permission to access this data)」というエラー メッセージが表示されます。

    この問題は、新しい Orchestrator ユーザー インターフェイスで、オペレータ ユーザーが [カスタマー (Customer)] の [グローバル設定 (Global Settings)]、[Cloud Web Security]、または [Secure Access] ページにアクセスした後、[オペレータ (Operator)] または [パートナー ユーザー管理 (Partner User Management)] ページにアクセスしようとすると発生します。

Orchestrator バージョン R5100-20221202-GA で解決した問題

Orchestrator バージョン R5100-20221202-GA は 2022 年 12 月 8 日にリリースされ、Orchestrator バージョン R5011-20221129-GA 以降の次の問題に対処しています。

注:

リリース 5.1.0 には、5.0.0 または 5.0.1 リリース ノートに記載されているすべての Orchestrator の修正が含まれています。

  • 解決した問題 91407:ユーザー定義の WAN オーバーレイがバックアップ リンクとして設定されている場合、リンクが実際にバックアップ モードであっても、リリース 5.0.x を実行している VMware SASE Orchestrator の [監視 (Monitor)] > [Edge] でリンクが稼動中と表示されます。

    これは単なる表示の問題で、バックアップ WAN リンクの機能は正常に動作します。この問題は、Orchestrator が Edge のリンク モード値を適切に保存せず、誤った状態が表示されるために発生します。

  • 解決した問題 91393:Syslong または Telnet を使用して Edge からデータを収集しているカスタマーの場合は、VMware SD-WAN Edge の NetFlow データで同じアプリケーションの名前が 2 つ表示されることがあります。

    この問題は、言語ファイル (appid_en_us.json) の displayName がアプリケーション ファイル (applications.json) の displayName と異なるアプリケーションがある場合に発生します。application.json ファイルの displayName が Edge 側で使用されるため、これは変更できません。

    この問題は、applications.json ファイルの displayName が API 応答の一部として appids_en_us.json ファイルの displayName に変更され、アプリケーション マップ データが更新されるたびに、ユーザーが変更していない場合でも、すべてのアプリケーション マップ displayName を更新し、Edge にプッシュするために発生します。

  • 解決した問題 12132:VMware SASE Orchestrator でスタティック ルートを設定すると、実際には発生しない Edge サービスの再起動がユーザー インターフェイスに警告されます。

    スタティック ルートの設定を変更して変更を保存すると、Orchestrator ユーザー インターフェイスに、Edge の再起動とサービスの中断が発生すると警告されます。このメッセージは無効です。スタティック ルート設定の変更に関連付けられた Edge サービスの再起動はありません。この修正により、誤った警告が削除されます。

  • 解決した問題 36058:バックアップ リンクとして設定された WAN リンクが、実際にはダウンしているときに、VMware SASE Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [概要 (Overview)] ページに灰色で表示されることがあります。

    画面は次のようになります。


    [監視 (Monitor)] > [Edge] > [概要 (Overview)] ページを確認すると、バックアップ リンクの状態は正しく表示されます。

  • 解決した問題 52952:VMware SASE Orchestrator ユーザー インターフェイスを使用して、AS-Path-Prepend の無効な入力を設定できます。

    Orchestrator ユーザー インターフェイスは、無効な AS-Path-Prepend 値を検査しません。AS-Path-Prepend にカンマを含む値を入力でき、ユーザー インターフェイスは、これが Edge ルーティング プロセスの無効な設定であっても受け入れます。無効な設定は適用されず、無効な設定に関する警告、エラー メッセージ、ヒントなどのフィードバックは返されません。

  • 解決した問題 53740:VMware SASE Orchestrator ユーザー インターフェイスでファイアウォール ルールを設定するときに、一致させるプロトコルのプロトコル値を設定できません。

    Orchestrator では、プロトコル一致基準で TCP/UDP/ICMP/GRE のみが許可され、0 ~ 255 のプロトコル値は許可されません。この変更により、一致するファイアウォール ルールを設定し、[宛先 (Destination)][プロトコル (Protocol)] メニューから [その他 (Other)] を選択して、0 ~ 255 の値を入力できるようになりました。

    注:

    ユーザーは 0 ~ 255 の値を入力できますが、プロトコル値 144 ~ 255 は、IANA 割り当て済みインターネット プロトコル番号ドキュメントに従って予約済みまたは未割り当てとみなされます。

  • 解決した問題 68347:VMware SASE Orchestrator の [アラート (Alerts)] ページで、Zscaler IPsec for GRE トンネル イベントが誤って Edge IPsec トンネル イベントとして表示されます。

    GRE トンネル イベントに対してアラートが生成されることは想定されていません。

  • 解決した問題 70987:VMware SASE Orchestrator から VMware SD-WAN Edge を削除できない場合があります。

    Edge はオフラインですが、切断状態には更新されず、代わりに劣化した状態のままになるので、削除の対象にはなりません。

  • 解決した問題 72444:ユーザーが VMware SD-WAN Edge の IPv4 と IPv6 の BGP ネイバーを設定し、[オン/オフ (On/Off)] スライド ボタンを使用して BGP 設定をオフにしようとすると、設定が保存されず、VMware SASE Orchestrator ユーザー インターフェイスに「変更なし (No Changes)」と表示されます。

    ユーザーが BGP 設定を行っているのに BGP をオフにしているというまれなケースでは、BGP 設定に対するユーザーの操作は期待どおりに保存されません。

  • 解決した問題 73481:2 台以上の VMware SD-WAN Gateway が同じ場所に展開されている場合、オペレータの環境では、1 台の Gateway が VMware SD-WAN Edge のほとんどで使用され、他の Gateway の使用率が低く、完全に使用されている Gateway のパフォーマンスの問題が発生することがあります。

    この問題により、1 台の Gateway の使用率が 90% になる一方で、同じ場所にある別の Gateway の使用率は 10% になり、リソースには余裕があります。Edge のプライマリ Gateway とセカンダリ Gateway の割り当てでは、Gateway の既存の負荷を考慮する必要があります。そうしないと、単一の Gateway がプライマリ Gateway として過負荷状態になり、一方でセカンダリ Gateway には未使用のキャパシティが大量に存在することになります。

  • 解決した問題 75175:カスタマー管理者が VMware SASE Orchestrator の [Gateway 情報 (Gateway Information)] ページにアクセスしようとすると、ページはエラーで失敗します。

    Gateway の移行が完了すると、[監視 (Monitor)] > [Edge] > [ビュー (View)]([Gateway] の下)に、次のエラー メッセージが表示されます:「Gateway 情報のロード中にエラーが発生しました (Error Loading Gateway info)」


    カスタマー管理者は [Gateway 情報 (Gateway Information)] ページにアクセスできないと想定されていますが、アクセスしようとすると、権限レベルが原因でセクションでエラーが発生します。

  • 解決した問題 76091:[設定 (Configure)] > [デバイス (Device)] 画面でサブネットを編集しているときに、画面がフリーズすることがあります。

    [リセット (Reset)] ボタンまたは [Edge を「対象 VPN 出口 (Eligible VPN Exits)」に移動 (Move Edge to "Eligible VPN Exits")] をクリックし、ルートを学習していないサブネットに対して [保存 (Save)] をクリックすると、ロード アイコンが回転したままユーザー インターフェイスがフリーズします。


     

    この問題は、learnedRoute アレイがこれらのサブネットから欠落しているために発生し、ユーザー インターフェイスの障害をトリガします。

  • 解決した問題 76182:VMware SASE Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge] ページで特定の時間間隔を選択すると、Orchestrator が不完全なデータを返す場合があります。

    ユーザーが 5 の倍数の間隔(たとえば 12:00:00 - 13:00:00)でクエリすると、Edge リンク統計情報 API の問題により、バックエンドは 5 分間の 11 サンプルのみを送信します(正しくは 12 サンプル)。

  • 解決した問題 77538:カスタマー エンタープライズを 1 つの VMware SASE Orchestrator から別の Orchestrator に移行すると、重複するオペレータ プロファイルと Edge ソフトウェア イメージが表示されることがあります。

    重複したオペレータ プロファイルはカスタマーを混乱させるだけでなく、古い Orchestrator を参照しているため、それを使用している Edge が誤った Orchestrator にハートビートを送信します。その結果、Edge はダウンとマークされ、設定の更新が取得されません。

  • 解決した問題 79383:[設定 (Configure)] > [デバイス (Device)] で設定を変更すると、エラー メッセージが表示されることがありますが、エラーが発生したセグメント名は表示されません。

    たとえば、プロファイル レベルでルーティングからスイッチに Edge インターフェイスを切り替えるときに、デバイス設定にエラーがある場合、セグメント名ではなく「object.segment.name」という文字列が表示されます。


    カスタマー エンタープライズが複数のセグメントを使用している場合、エラーが発生しているセグメントが明確でないと、トラブルシューティングが非常に困難になります。

  • 解決した問題 80445:VMware SASE Orchestrator で OSPF を設定すると、OSPF エリア ID では IP アドレスと番号の間で重複するエントリが許可され、OSPF エリア ID の値「0」が有効な ID として許可されていることを確認できます。

    Orchestrator は、エリア ID の IP アドレスと番号の両方の形式タイプに対して重複するエントリを確認しません。また、値「0」を有効な OSPF エリア ID として許可します。その結果、ユーザーは誤って無効な OSPF 設定を作成して公開し、その後、悪影響が発生する可能性があります。

  • 解決した問題 81364:新しい Orchestrator ユーザー インターフェイスを使用して VMware SD-WAN Edge インターフェイスを設定すると、ルーティング インターフェイスの速度とデュプレックスの設定が更新されません。

    この問題が修正されていない Orchestrator では、従来の Orchestrator を使用して、Edge のルーティング インターフェイスの速度とデュプレックスを設定する必要があります。

  • 解決した問題 81366:新しい Orchestrator ユーザー インターフェイスを使用し、高可用性を使用するカスタマー サイトを設定する場合、LOS 値の APR プローブ間隔の変更は保存されません。

    [LOS 検出 (LOS Detection)] の改訂された APR プローブ間隔に、HA Edge の設定済みの値が表示されません。この問題が修正されていない Orchestrator では、従来の Orchestrator で APR プローブ値を設定する必要があります。

  • 解決した問題 83342:Edge 数が多すぎるレポートを作成しようとすると、VMware SASE Orchestrator は、レポートが失敗した理由を明確に説明しないエラー メッセージを表示します。

    レポートを生成してエラーが発生しても、ユーザー インターフェイスにエラーの詳細は表示されず、ユーザーはエラーの原因を修正できません。


    修正が適用されていない Orchestrator では、必要に応じてサービス ログ データで不足している詳細を確認できます。

    該当なし

  • 解決した問題 83345:タイムアウトが原因で VMware SASE Orchestrator でレポートの作成に失敗した場合、ユーザー インターフェイスに検証エラーが表示されません。

    このチケットは 83342 に関連しており、いずれの場合も、ログには問題をデバッグするのに十分な詳細がありません。ここでの違いは、問題の原因として、Edge を含まないレポートを生成することが、エラーの説明なしでレポートのタイムアウトの起因ともなる可能性があることです。

  • 解決した問題 83694:ユーザーが VMware SD-WAN Edge のローカル ユーザー インターフェイスにログインしたときに、そのアクションは VMware SASE Orchestrator で記録されず、[監視 (Monitor)] > [イベント (Events)] にも表示されません。

    カスタマー管理者が、Edge のローカル ユーザー インターフェイスへのローカル ユーザー ログインを認識できないことがあります。

  • 解決した問題 84064:Microsoft Azure Virtual Hub を展開しているカスタマーの場合は、VMware SASE Orchestrator で BGP を設定するオプションがあります。

    BGP は、自動化されている「Microsoft Azure Virtual Hub」では正式にサポートされていません。ただし、ユーザーは Orchestrator で BGP を設定できます。ユーザーが BGP を使用して Azure 自動化を設定すると、トンネルは Gateway に送信され、Azure サイトはトラフィックを通過させません。


  • 解決した問題 88811:リリース 5.0.x を使用している VMware SASE Orchestrator では、オペレータ スーパー ユーザーは、権限が委任されている場合でもカスタマー ユーザーの API トークンを作成できません。

    この問題は、オペレータ スーパー ユーザーが CREATE ENTERPRISE_API_TOKEN 権限を持っていないために発生します。その結果、オペレータは他のユーザーの API トークンを作成、読み取り、または取り消すことができません。

  • 解決した問題 88845:ユーザーが従来のユーザー インターフェイスを使用して VMware SASE Orchestrator で企業 VLAN リストからインターフェイスを削除し、変更を保存しても、Orchestrator はインターフェイスを削除しません。

    このアクションの変更を保存するときに、json データ形式が従来のユーザー インターフェイスのデータ形式と一致しないため、Orchestrator は設定の変更を無視します。

  • 解決した問題 88910:リリース 4.5.1 または 5.0.x を実行している VMware SASE Orchestrator で、[リモート診断 (Remote Diagnostics)] > [WAN リンクの速度テスト (WAN Link Speed Test)] を使用して VMware SD-WAN Edge の WAN リンクの速度テストを実行することができません。

    WAN リンクの速度テスト診断を使用しようとするときに、インターフェイスにドロップダウン メニューがないため、ユーザーは速度テスト用のインターフェイスを選択できません。

    この問題が修正されていない Orchestrator で、ユーザーが WAN リンクの帯域幅テストを強制する場合、回避策として、ユーザーはその WAN リンクの帯域幅測定方法を変更できます。これにより、再テストが自動的にトリガされます。これは、次のように実行できます。

    1. 特定の Edge の Orchestrator ユーザー インターフェイスで、[設定 (Configure)] > [デバイス (Device)] の順に移動し、[WAN 設定 (WAN Settings)] まで下にスクロールします。

    2. WAN リンクを再テストするには、再測定するリンクの [編集 (Edit)] を選択し、[詳細 (Advanced)] を選択して追加の設定を表示します。

    3. [帯域幅の測定 (Bandwidth Measurement)] メニューで、帯域幅の測定方法を現在の方法から別の方法(たとえば、リンクで [バースト モード (Burst Mode)] を使用している場合は、[低速スタート (Slow Start)] に変更する、またはその逆など)に変更し、[リンクの更新 (Update Link)] をクリックして [デバイス (Device)] ページの上部にある [変更の保存 (Save Changes)] をクリックします。

    4. WAN リンクで測定が実行されたら、測定方法を元の方法に戻して、それぞれの WAN リンクの測定が最も正確になるようにします。これにより、追加の帯域幅テストがトリガされます。

  • 解決した問題 88998:ユーザーは、従来のユーザー インターフェイスを使用して、バージョン 5.0.x を実行している VMware SASE Orchestrator でビジネス ポリシーまたはファイアウォール ルールのクローンを作成できません。

    Orchestrator の従来のユーザー インターフェイスの 5.0.x リリースでは、Edge ビジネス ポリシー ルールで IPv6 と混在(IPv4 と IPv6)のオプションが無効になりました。それらを使用して既存のルールのクローンを作成することはできますが、エラー メッセージが表示されます。

    この問題は Orchestrator の新しいユーザー インターフェイスでは発生せず、ユーザーは新しいユーザー インターフェイスを使用してこの問題を回避できます。

  • 解決した問題 91231:ディザスタ リカバリ トポロジを使用して展開された VMware SASE Orchestrator の場合、DR プロセスの大きなテーブルのインポート ステージで大きなテーブルの切り捨てジョブがトリガされると、DR レプリケーションの初期セットアップが失敗することがあります。

    統計情報のバックグラウンド インポートが 24 時間以上続く場合、毎日実行される自動切り捨てジョブと競合します。このジョブは、スタンバイ MySQL サーバにも複製される大きなテーブルから古いパーティションを切り捨てます。

    ただし、プロセス間で、MySQL のデータ インポートが同じテーブルに対して行われ、レプリケーションが失敗し、結果としてこの全体的な DR プロセスも失敗します。

    修正が適用されていない Orchestrator でこの問題が発生した場合、DR プロセスは UTC 日付変更時間の後に開始できます。ただし、Orchestrator のサイズが大きく、DR が完了するまでに 24 時間以上かかる場合、防止の効果は保証されません。

  • 解決した問題 93846:ZTP を使用して Edge インベントリを管理するパートナーおよびオペレータの場合、あるカスタマーに以前割り当てられていた VMware SD-WAN Edge を別のカスタマーに再割り当てして削除しようとすると、VMware SASE Orchestrator から「Edge が見つかりません (Edge is not found)」というエラーが返されます。

    Orchestrator は、論理 Edge がカスタマー エンタープライズから削除された後、論理 Edge が表示されなくなるため、Edge が存在しないものと判断します。このため、ユーザーは Edge を別のカスタマーに再割り当てできません。

既知の問題

Edge/Gateway の既知の問題

リリース 5.1.0 での未解決の問題

  • 問題 105933:ユーザーは、ルーティング インターフェイスを介して VMware SD-WAN Edge モデル 610/610-LTE または 520/540 に SSH 接続できません。

    影響を受ける Edge の OS で使用される af-pkt ドライバを介して発信される重複する SSH パケットのドロップ ルールはありません。このため、Edge カーネルは 2 つの SSH パケットを受信します。1 つは vce1 インターフェイス経由のパケット、もう 1 つはドライバの性質による直接 SSH パケットです。これにより、2 つの SSH 要求に対して Edge カーネルが応答し、SSH クライアントを混乱させ、SSH の障害が発生します。

    回避策:この問題に対する修正を行わない Edge の場合、ユーザーは IP テーブル ルールを追加して、vce1 以外のインターフェイスから受信した SSH パケットをドロップできます。

  • 問題 115136:ルーティングに BGP を使用しているカスタマー エンタープライズの VMware SD-WAN Edge で、メモリ使用量が徐々に増加する場合があります。

    Edge の BGP デーモンは、数日間にわたって Edge 上で徐々にメモリ リークを引き起こしており、BGP がその Edge に設定されていない場合でもこの状況が発生することがあります。メモリ リークが十分な期間継続し、Edge のメモリ使用量が利用可能な RAM の 60% というクリティカルしきい値を超える状態が 90 秒以上続くと、Edge は防御的にサービスを再起動してリークを解消します。これにより、カスタマー トラフィックが 10 ~ 15 秒中断される場合があります。

    回避策:Edge を修正せずにこの問題を修正する唯一の方法は、BGP プロセスを終了して再起動するか、適切なサービス期間中に HA フェイルオーバー/Edge サービスの再起動をプリエンプティブに実行することです。

  • 問題 117037:複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポーク トポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネス ポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。

    SD-WAN はカウンタを使用して、再シーケンス キューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンス キュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。

    この動作の変更の結果、カウンタの計算が正しくないため、再シーケンス キューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。

    回避策:この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネス ポリシーを設定します。

Orchestrator の既知の問題

check-circle-line exclamation-circle-line close-line
Scroll to top icon