VMware NSX for vSphere 6.4.0 | 릴리스 날짜: 2018년 1월 16일 화요일 | 빌드 7564187 이 문서의 개정 이력을 참조하십시오. |
릴리스 정보에 포함된 내용
릴리스 정보에는 다음과 같은 항목이 포함됩니다.
NSX 6.4.0 새로운 기능
NSX for vSphere 6.4.0에는 향상된 서비스 가능성이 추가되었으며 여러 특정 고객 버그가 해결되었습니다. 자세한 내용은 해결된 문제를 참조하십시오.
NSX for vSphere 6.4.0에 도입된 변경 사항:
보안 서비스:
-
ID 방화벽: IDFW(ID 방화벽)는 이제 단일 IP 주소를 공유하는 RDSH(원격 데스크톱 및 애플리케이션 서버)에서 사용자 세션을 지원합니다. 새로운 "빠른 경로" 아키텍처는 IDFW 규칙의 처리 속도를 향상시킵니다. 이제 Active Directory 통합을 통해 더 빠른 AD 업데이트를 위해 선택적 동기화를 사용할 수 있습니다.
-
분산 방화벽: DFW(분산 방화벽)는 흐름 제어 및 마이크로-세분화 계획을 위한 계층 7 애플리케이션 기반 컨텍스트를 추가합니다. ARM(애플리케이션 규칙 관리자)은 이제 응집력 있고 관리가 용이한 마이크로-세분화 전략을 위한 보안 그룹 및 정책을 권장합니다.
-
이제 분산 방화벽 규칙을 DFW 섹션 수준에 따라 상태 비저장 규칙으로 생성할 수 있습니다.
-
분산 방화벽은 하이퍼바이저에서 VM IP 인식을 지원합니다. 이를 통해 사용자는 특정 VM IP가 DFW 규칙의 소스, 대상 또는 appliedTo 필드에 사용되는 securitygroup/cluster/resourcepool/host에 속하는지 확인할 수 있습니다.
-
VM에 대한 IP 주소 검색 메커니즘: VM 이름 또는 기타 vCenter 기반 특성에 기반한 보안 정책을 신뢰할 수 있게 적용하려면 NSX에서 해당 VM의 IP 주소를 알고 있어야 합니다. NSX 6.2에는 DHCP 스누핑 또는 ARP 스누핑을 이용하여 VM의 IP 주소를 검색하는 옵션이 추가되었습니다. NSX 6.4.0에서는 ARP 검색 IP의 수가 최대 128개로 증가했으며, 1~128개로 구성할 수 있습니다. NSX는 이 새로운 검색 메커니즘을 통해, VMware Tools가 설치되지 않은 VM에서 IP 주소 기반 보안 규칙을 적용할 수 있습니다.
-
Guest Introspection: vCenter 6.5 이상에서 GI(Guest Introspection) VM 이름이 Guest Introspection(XX.XX.XX.XX)으로 바뀝니다. 여기서 XX.XX.XX.XX는 GI 시스템이 상주하는 호스트의 IPv4 주소입니다. 이러한 작업은 GI의 초기 배포 중에 발생합니다.
NSX 사용자 인터페이스:
- vSphere Client(HTML5) 지원: vSphere Client(HTML5)에 대한 VMware NSX UI 플러그인을 소개합니다. 지원되는 기능 목록에 대해서는 vSphere Client의 VMware NSX for vSphere 플러그인 기능을 참조하십시오.
- vSphere Web Client(Flash)와 HTML5의 호환성: HTML5에서 개발된 NSX 기능(예: 대시보드)은 vSphere Client 및 vSphere Web Client 둘 다와 호환되어, vSphere Client로 즉시 전환할 수 없는 사용자에게 원활한 환경을 제공합니다.
- 향상된 탐색 메뉴: 핵심 기능(예: 그룹 개체, 태그, 제외 목록 및 시스템 구성)에 액세스하기 위해 필요한 클릭 수 감소
작업 및 문제 해결:
- 업그레이드 조정기는 NSX 업그레이드의 계획 및 실행을 간소화하기 위한 단일 포털을 제공합니다. 업그레이드 조정기는 현재 및 대상 버전, 업그레이드 진행률 미터, 원클릭 또는 사용자 지정 업그레이드 계획, 사전 및 사후 검사 기능을 포함하는 모든 NSX 구성 요소의 전체 시스템 보기를 제공합니다.
- 향상된 새 HTML5 대시보드를 많은 새 구성 요소와 함께 사용할 수 있습니다. 대시보드는 이제 기본 홈 페이지입니다. 기존 시스템 정의 위젯을 사용자 지정할 수도 있고, API를 통해 자체 사용자 지정 위젯을 생성할 수도 있습니다.
- 새로운 시스템 규모 대시보드는 현재 시스템 규모에 대한 정보를 수집하고, 지원되는 확장/축소 매개 변수의 구성 최대값을 표시합니다. 제한에 도달하거나 제한을 초과할 경우에도 경고 및 알림을 구성할 수 있습니다.
- Guest introspection 안정성 및 문제 해결 기능 개선. EAM 상태 알림, 업그레이드 프로세스, SVM의 사용자 지정 이름, 추가 메모리 등의 기능은 GI 배포의 안정성 및 문제 해결 기능을 향상시킵니다.
- 논리적 스위치, 논리적 라우터 및 Edge 분산 방화벽에 대한 중앙 CLI를 사용하여 중앙에서 분산 네트워크 기능에 액세스할 수 있으므로 문제 해결 시간이 단축됩니다.
- 새 지원 번들 탭을 사용하여 클릭 한 번으로 UI를 통해 지원 번들을 수집할 수 있습니다. 이제 NSX Manager, 호스트, Edge 및 컨트롤러와 같은 NSX 구성 요소에 대한 지원 번들 데이터를 수집할 수 있습니다. 이 집계 지원 번들을 다운로드하거나 원격 서버에 번들을 직접 업로드할 수 있습니다. 데이터 수집의 전반적인 상태와 각 구성 요소의 상태를 볼 수 있습니다.
- 새 패킷 캡처 탭은 UI를 통해 패킷을 캡처하는 데 사용할 수 있습니다. 정상 상태가 아닌 호스트가 있으면 해당 호스트에 대해 패킷 덤프를 가져올 수 있으며, 관리자는 추가 디버깅을 위해 패킷 정보를 검토할 수 있습니다.
- 이제 일시적인 연결 문제를 방지하기 위해 보조 사이트의 관리 탭에서 CDO(Controller Disconnected Operation) 모드를 사용하도록 설정할 수 있습니다. CDO 모드는 기본 사이트의 연결이 끊어지는 경우 다중 사이트 환경에서 데이터부 연결이 영향을 받지 않도록 합니다.
- 최대 5개의 syslog 서버에 대한 다중 syslog를 지원
- JSON 지원을 포함하는 API 기능 개선 이제 NSX에서는 데이터 형식으로 JSON 또는 XML을 선택할 수 있습니다. XML은 기본적으로 이전 버전과 호환됩니다.
- 일부 NSX Edge 시스템 이벤트 메시지에는 이제 Edge ID 및/또는 VM ID 매개 변수가 포함됩니다. 예: 이벤트 코드 30100, 30014, 30031
이러한 메시지 매개 변수를 이전 시스템 이벤트에는 사용할 수 없습니다. 이러한 경우 이벤트 메시지는 Edge ID 및/또는 VM ID 매개 변수에 대해 {0} 또는 {1}을(를) 표시합니다. -
이제 NSX API를 사용하여 하이퍼바이저의 상태를 알 수 있습니다. 하이퍼바이저 터널 상태를 모니터링하는 것은 신속하게 문제를 해결하는 데 도움이 됩니다. API 응답에는 pNIC 상태, 터널 상태, 하이퍼바이저와 제어부와의 연결 상태, 하이퍼바이저와 관리부와의 연결 상태가 포함되어 있습니다.
NSX Edge 기능 향상:
- Edge 로드 밸런서 상태 점검이 개선되었습니다. 다음 3개의 상태 점검 모니터가 새로 추가되었습니다. DNS, LDAP 및 SQL
- 이제 대상 IP의 접두사 길이에 포함된 LE/GE를 기준으로 재배포할 경로를 필터링할 수 있습니다.
- BGP 및 GRE 터널을 통한 정적 라우팅이 지원됩니다.
- NAT64는 IPv6-IPv4 변환을 제공합니다.
- Edge 라우팅 서비스의 페일오버가 더 빨라졌습니다.
- 이제 라우팅 이벤트는 NSX Manager에서 시스템 이벤트를 생성합니다.
- L3 VPN 성능 및 복원력이 향상되었습니다.
버전, 시스템 요구 사항 및 설치
참고:
-
다음 표에서는 권장 VMware 소프트웨어 버전을 나열합니다. 이러한 권장 릴리스는 일반적인 것이며, 환경별 권장 사항을 대신하거나 재정의하지 않습니다.
-
이 정보는 이 문서 발행 당시를 기준으로 최신 정보입니다.
-
NSX 및 기타 VMware 제품의 최소 지원 버전에 대해서는 VMware 제품 상호 운용성 매트릭스를 참조하십시오. VMware는 내부 테스트를 기준으로 최소 지원 버전을 선언합니다.
제품 또는 구성 요소 | 버전 |
NSX for vSphere | 새로 배포할 경우 최신 NSX 릴리스를 사용하는 것이 좋습니다. 기존 배포를 업그레이드할 경우 업그레이드를 계획하기 전에 특정 문제에 관한 자세한 내용은 NSX 릴리스 정보를 검토하거나 VMware 기술 지원 담당자에게 문의하십시오. |
vSphere |
참고: vSphere 5.5는 NSX 6.4.0에서 지원되지 않습니다. |
Windows용 Guest Introspection | 모든 VMware Tools 버전이 지원됩니다. 일부 Guest Introspection 기반의 기능에는 최신 VMware Tools 버전이 필요합니다.
|
Linux용 Guest Introspection | 이 NSX 버전은 다음 Linux 버전을 지원합니다.
|
시스템 요구 사항 및 설치
NSX 설치 사전 요구 사항의 전체 목록을 보려면 "NSX 설치 가이드"에서 NSX 시스템 요구 사항 섹션을 참조하십시오.
설치 지침을 보려면 NSX 설치 가이드 또는 크로스 vCenter NSX 설치 가이드를 참조하십시오.
제거 및 지원 중단된 기능
수명 종료 또는 지원 종료 경고
곧 업그레이드해야 하는 NSX 및 기타 VMware 제품에 대한 자세한 내용은 VMware 수명 주기 제품 매트릭스를 참조하십시오.
-
NSX for vSphere 6.1.x는 2017년 1월 15일에 EOA(End of Availability) 및 EOGS(End of General Support)에 도달했습니다. (VMware 기술 자료 문서 2144769도 참조하십시오.)
-
vCNS Edge가 더 이상 지원되지 않음. NSX 6.3 이상으로 업그레이드하기 전에 먼저 NSX Edge로 업그레이드해야 합니다.
-
NSX for vSphere 6.2.x는 2018년 8월 20일에 EOGS(일반 지원 종료) 상태가 됩니다.
API 제거 및 동작 변경
NSX 6.4.0에서 더 이상 사용되지 않는 기능
다음 항목은 더 이상 사용되지 않으며 향후 릴리스에서 제거될 수 있습니다.
GET /api/4.0/edges/edgeID/status
의 systemStatus 매개 변수는 더 이상 사용되지 않습니다.GET /api/2.0/services/policy/serviceprovider/firewall/
은 더 이상 사용되지 않습니다. 대신GET /api/2.0/services/policy/serviceprovider/firewall/info
를 사용하십시오.- 분산 방화벽의 글로벌 구성 섹션에서 tcpStrict를 설정하는 것은 더 이상 사용되지 않습니다. NSX 6.4.0부터 tcpStrict는 섹션 수준에서 정의됩니다. 참고: NSX 6.4.0 이상으로 업그레이드하는 경우 tcpStrict에 대한 글로벌 구성 설정이 각각의 기존 계층 3 섹션에서 tcpStrict를 구성하는 데 사용됩니다. tcpStrict는 계층 2 및 계층 3 리디렉션 섹션에서 false로 설정됩니다. 자세한 내용은 NSX API 가이드의 "분산 방화벽 구성 사용"을 참조하십시오.
NSX 6.4.0의 동작 변경
NSX 6.4.0에서 <name>
매개 변수는 POST /api/2.0/vdn/controller
를 사용하여 컨트롤러를 생성할 때 필요합니다.
NSX 6.4.0에서는 오류 처리가 다음과 같이 변경되었습니다.
- 이전에는 컨트롤러 생성 작업을 나타내기 위해 201 생성됨으로 응답된
POST /api/2.0/vdn/controller
가 생성되었습니다. 그러나 컨트롤러 생성이 계속 실패할 수 있습니다. NSX 6.4.0부터 이 응답은202 수락됨
입니다. - 이전에 전송 또는 독립형 모드에서 허용되지 않는 API 요청을 전송하는 경우 응답 상태는 400 잘못된 요청이었습니다. 6.4.0부터 응답 상태는 403 사용 권한 없음입니다.
CLI 제거 및 동작 변경
NSX Controller 노드에서 지원되지 않는 명령을 사용하지 않도록 할 것
NSX Controller 노드에서 NTP 및 DNS를 구성하기 위한 문서화되지 않은 명령이 있습니다. 이러한 명령은 지원되지 않으므로 NSX Controller 노드에서 사용하지 않아야 합니다. NSX CLI 가이드에 나오는 명령만 사용해야 합니다.
업그레이드 정보
참고: 설치 및 업그레이드에 영향을 주는 알려진 문제 목록은 설치 및 업그레이드에 대한 알려진 문제 섹션을 참조하십시오.
일반 업그레이드 정보
-
NSX를 업그레이드하려면 호스트 클러스터 업그레이드(호스트 VIB를 업그레이드)를 포함하여 전체 NSX 업그레이드를 수행해야 합니다. 지침을 보려면 호스트 클러스터 업그레이드 섹션을 포함한 NSX 업그레이드 가이드를 참조하십시오.
-
VUM을 사용하여 호스트 클러스터에서 NSX VIB를 업그레이드하는 것은 지원되지 않습니다. 업그레이드 코디네이터, 호스트 준비 또는 연결된 REST API를 사용하여 호스트 클러스터에서 NSX VIB를 업그레이드합니다.
-
시스템 요구 사항: NSX를 설치하고 업그레이드할 때의 시스템 요구 사항에 관해서는 NSX 설명서의 NSX의 시스템 요구 사항 섹션을 참조하십시오.
- NSX의 업그레이드 경로: VMware 제품 상호 운용성 매트릭스에는 VMware NSX에서의 업그레이드 경로에 대한 자세한 내용이 나와 있습니다.
-
크로스 vCenter NSX 업그레이드는 NSX 업그레이드 가이드에서 다룹니다.
- 다운그레이드는 지원되지 않습니다.
-
항상 업그레이드를 진행하기 전에 NSX Manager의 백업을 캡처하십시오.
-
NSX가 업그레이드되면 NSX를 다운그레이드할 수 없습니다.
-
- NSX 6.4.x로의 업그레이드에 성공했는지 검증하려면 기술 자료 문서 2134525를 참조하십시오.
-
vCloud Networking and Security에서 NSX 6.4.x로의 업그레이드는 지원되지 않습니다. 먼저 지원되는 6.2.x 릴리스로 업그레이드해야 합니다.
- 상호 운용성: 업그레이드하기 전에 모든 관련 VMware 제품에 대한 VMware 제품 상호 운용성 매트릭스를 확인하십시오.
- NSX 6.4로 업그레이드: NSX 6.4는 vSphere 5.5와 호환되지 않습니다.
- vSphere 6.5a 이상으로 업그레이드: vSphere 6.0에서 vSphere 6.5a 이상으로 업그레이드하는 경우 먼저 NSX 6.3.0 이상으로 업그레이드해야 합니다. NSX 6.2.x는 vSphere 6.5와 호환되지 않습니다. NSX 업그레이드 가이드에서 NSX 환경에서 vSphere 업그레이드를 참조하십시오.
- 파트너 서비스 호환성: 사이트에서 Guest Introspection 또는 네트워크 검사에 대해 VMware 파트너 서비스를 사용하는 경우 업그레이드하기 전에 VMware 호환성 가이드를 검토하여 벤더의 서비스가 이 NSX 릴리스와 호환되는지 확인해야 합니다.
- Networking and Security 플러그인: NSX Manager를 업그레이드한 후에 로그아웃했다가 vSphere Web Client에 다시 로그인해야 합니다. NSX 플러그인이 제대로 표시되지 않으면 브라우저 캐시 및 기록을 지우십시오. Networking and Security 플러그인이 vSphere Web Client에 나타나지 않으면 NSX 업그레이드 가이드에 설명된 대로 vSphere Web Client 서버를 재설정하십시오.
- 상태 비저장 환경: 상태 비저장 호스트 환경에서 NSX를 업그레이드할 경우, NSX 업그레이드 프로세스 중에 새로운 VIB가 호스트 이미지 프로파일에 미리 추가됩니다. 그 결과 상태 비저장 호스트의 NSX에 대한 업그레이드 프로세스는 다음과 같은 순서로 진행됩니다.
NSX 6.2.0 전에는 특정 버전의 ESX 호스트에 대한 VIB를 찾을 수 있는 URL이 NSX Manager에 하나밖에 없었습니다. 즉, 관리자는 NSX 버전에 관계없이 하나의 URL만 알고 있으면 되었습니다. NSX 6.2.0 이상에서는 새로운 NSX VIB가 서로 다른 URL을 통해 제공됩니다. 올바른 VIB를 찾으려면 다음과 같은 단계를 수행해야 합니다.
- https://<nsxmanager>/bin/vdn/nwfabric.properties에서 새 VIB URL을 찾습니다.
- 해당하는 URL에서 필요한 ESX 호스트 버전의 VIB를 가져옵니다.
- 그런 다음 VIB를 호스트 이미지 프로파일에 추가합니다.
NSX 구성 요소에 대한 업그레이드 정보
NSX Manager 업그레이드
-
중요: NSX 6.2.0, 6.2.1 또는 6.2.2를 NSX 6.3.5 이상으로 업그레이드하는 경우 업그레이드를 시작하기 전에 해결 방법을 완료해야 합니다. 자세한 내용은 VMware 기술 자료 문서 000051624를 참조하십시오.
-
NSX 백업을 위해 SFTP를 사용하는 경우 hmac-sha1에 대한 지원이 없으므로 6.3.0 이상으로 업그레이드한 후 hmac-sha2-256으로 변경합니다. 지원되는 보안 알고리즘 목록은 VMware 기술 자료 문서 2149282를 참조하십시오.
Controller 업그레이드
- NSX Controller 클러스터는 3개의 컨트롤러 노드를 포함하여 NSX 6.3.3으로 업그레이드해야 합니다. 컨트롤러가 3개보다 적으면 업그레이드를 시작하기 전에 컨트롤러를 추가해야 합니다. 자세한 내용은 NSX Controller 클러스터 배포를 참조하십시오.
-
NSX 6.3.3에서는 NSX Controller의 기본 운영 체제가 변경됩니다. 즉, NSX 6.3.2 또는 이전 버전에서 NSX 6.3.3 이상으로 업그레이드할 경우 인플레이스 소프트웨어 업그레이드 대신, 기존 컨트롤러가 한 번에 하나씩 삭제되고 새 Photon OS 기반 컨트롤러가 동일한 IP 주소를 사용해서 배포됩니다.
컨트롤러가 삭제되면 연결된 모든 DRS 반선호도 규칙도 삭제됩니다. 새 컨트롤러 VM이 동일한 호스트에 상주하지 않도록 하려면 vCenter에서 새로운 반선호도 규칙을 생성해야 합니다.
컨트롤러 업그레이드에 대한 자세한 내용은 NSX Controller 클러스터 업그레이드를 참조하십시오.
호스트 클러스터 업그레이드
-
NSX 6.3.2 또는 이전 버전에서 NSX 6.3.3 이상으로 업그레이드하는 경우 NSX VIB 이름이 변경됨
ESXi 6.0 이상에 NSX 6.3.3 이상이 설치된 경우 esx-vxlan 및 esx-vsip VIB가 esx-nsxv로 교체됩니다. -
호스트에서 재부팅이 필요 없는 업그레이드 및 제거: vSphere 6.0 이상에서는 NSX 6.2.x에서 NSX 6.3.x 이상으로 업그레이드하고 나면 다음 NSX VIB 변경 시 재부팅이 필요 없습니다. 대신 호스트는 VIB 변경을 완료하도록 유지 보수 모드를 입력해야 합니다. 이러한 상황은 NSX 호스트 클러스터 업그레이드와 ESXi 업그레이드 모두에 영향을 줍니다. 자세한 내용은 NSX 업그레이드 가이드를 참조하십시오.
NSX Edge 업그레이드
-
NSX Edge 장치로 업그레이드하기 전에 NSX에 사용할 수 있게 호스트 클러스터를 준비해야 합니다. VIX 채널을 통한 NSX Manager 및 Edge 간 관리부 통신이 6.3.0부터 더 이상 지원되지 않습니다. 메시지 버스 채널만 지원됩니다. NSX 6.2.x 이하 버전에서 NSX 6.3.0 이상으로 업그레이드할 때는 NSX Edge 장치가 배포된 호스트 클러스터가 NSX에 사용할 수 있게 준비되어 있는지와 메시징 인프라 상태가 녹색인지 확인해야 합니다. 호스트 클러스터가 NSX에 사용할 수 있게 준비되지 않은 경우 NSX Edge 장치 업그레이드가 실패합니다. 자세한 내용은 NSX 업그레이드 가이드의 NSX Edge 업그레이드를 참조하십시오.
-
ESG(Edge Services Gateway) 업그레이드:
NSX 6.2.5부터 NSX Edge 업그레이드 시에 리소스 예약이 수행됩니다. 리소스가 부족한 클러스터에서 vSphere HA가 사용되도록 설정되면 vSphere HA 제약 조건 위반으로 인해 업그레이드 작업이 실패할 수 있습니다.이러한 업그레이드 실패를 방지하려면 ESG를 업그레이드하기 전에 다음 단계를 수행하십시오.
설치 또는 업그레이드 시에 값을 명시적으로 설정하지 않은 경우 다음 리소스 예약이 NSX Manager에서 사용됩니다.
NSX Edge
폼 팩터CPU 예약 메모리 예약 소형 1000MHz 512MB 대형 2000MHz 1024MB 4배 대형 4000MHz 2048MB 초대형 6000MHz 8192MB -
항상 vSphere HA에 대한 모범 사례에 따라 설치를 수행합니다. 기술 자료 문서 1002080 문서를 참조하십시오.
-
NSX 튜닝 구성 API를 사용합니다.
PUT https://<nsxmanager>/api/4.0/edgePublish/tuningConfiguration
edgeVCpuReservationPercentage 및 edgeMemoryReservationPercentage 값이 폼 팩터에 대해 사용 가능한 리소스 범위 내에 있는지 확인합니다(기본값은 위의 표 참조).
-
-
vSphere HA가 사용되도록 설정되고 Edge가 배포되는 경우 vSphere의 [가상 시스템 시작] 옵션을 사용하지 않도록 설정합니다. 6.2.4 또는 이전 NSX Edge를 6.2.5 이상으로 업그레이드한 후 vSphere HA가 사용되도록 설정되고 Edge가 배포된 클러스터에서 각 ESX Edge에 대해 vSphere [가상 시스템 시작] 옵션을 해제해야 합니다. 이를 수행하려면 vSphere Web Client를 열고, NSX Edge 가상 시스템이 있는 ESXi 호스트를 찾은 다음 [관리] > [설정]을 클릭하고 가상 시스템 아래에서 [VM 시작/종료]를 선택하고 [편집]을 클릭한 다음 가상 시스템이 수동 모드인지 확인합니다(즉, [자동 시작/종료] 목록에 추가되어 있지 않아야 합니다).
-
NSX 6.2.5 이상으로 업그레이드하기 전에 모든 로드 밸런서 암호 목록이 콜론으로 구분되어야 합니다. 암호 목록이 쉼표 등의 다른 구분 기호를 사용하는 경우 https://nsxmgr_ip/api/4.0/edges/EdgeID/loadbalancer/config/applicationprofiles에 PUT 호출을 수행하고 <clientssl> </clientssl> 및 <serverssl> </serverssl>에 있는 각 <ciphers> </ciphers> 목록을 콜론으로 구분된 목록으로 교체합니다. 예를 들어 요청 본문의 관련 세그먼트는 다음과 같이 표시될 수 있습니다. 모든 애플리케이션 프로파일에 대해 다음 절차를 반복하십시오.
<applicationProfile> <name>https-profile</name> <insertXForwardedFor>false</insertXForwardedFor> <sslPassthrough>false</sslPassthrough> <template>HTTPS</template> <serverSslEnabled>true</serverSslEnabled> <clientSsl> <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers> <clientAuth>ignore</clientAuth> <serviceCertificate>certificate-4</serviceCertificate> </clientSsl> <serverSsl> <ciphers>AES128-SHA:AES256-SHA:ECDHE-ECDSA-AES256-SHA</ciphers> <serviceCertificate>certificate-4</serviceCertificate> </serverSsl> ... </applicationProfile>
- 6.2.0 이전의 vROP 버전에서 로드 밸런싱된 클라이언트에 대한 올바른 암호 버전 설정: 6.2.0 이전 vROP 버전의 vROP 풀 멤버는 TLS 버전 1.0을 사용하므로 NSX 로드 밸런서 구성에서 "ssl-version=10"을 설정하여 모니터 확장 값을 명시적으로 설정해야 합니다. 지침에 대해서는 NSX 관리 가이드의 서비스 모니터 생성을 참조하십시오.
{ "expected" : null, "extension" : "ssl-version=10", "send" : null, "maxRetries" : 2, "name" : "sm_vrops", "url" : "/suite-api/api/deployment/node/status", "timeout" : 5, "type" : "https", "receive" : null, "interval" : 60, "method" : "GET” }
Guest Introspection 업그레이드
- 이제 Guest Introspection VM의 XML 파일에는 추가 호스트 식별 정보가 포함되어 있습니다. Guest Introspection VM에 로그인하면 파일 "/opt/vmware/etc/vami/ovfEnv.xml"에 호스트 ID 정보가 포함됩니다.
FIPS에 대한 업그레이드 정보
NSX 6.3.0 이전의 NSX 버전에서 NSX 6.3.0 이상으로 업그레이드하는 경우 업그레이드를 완료하기 전에 FIPS 모드를 사용하도록 설정해서는 안 됩니다. 업그레이드를 완료하기 전에 FIPS 모드를 사용하도록 설정하면 업그레이드된 구성 요소와 업그레이드되지 않은 구성 요소 간 통신이 중단됩니다. 자세한 내용은 NSX 업그레이드 가이드에서 FIPS 모드 및 NSX 업그레이드 이해를 참조하십시오.
-
OS X Yosemite 및 OS X El Capitan에서 지원되는 암호: OS X 10.11(EL Capitan)에서 SSL VPN 클라이언트를 사용 중인 경우 AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-GCM-SHA38, AES256-SHA 및 AES128-SHA 암호를 사용하여 연결할 수 있으며 OS X 10.10(Yosemite)을 사용 중인 경우 AES256-SHA 및 AES128-SHA 암호만 사용하여 연결할 수 있습니다.
-
NSX 6.3.x로의 업그레이드가 완료되기 전에는 FIPS를 사용하도록 설정하지 마십시오. 자세한 내용은 NSX 업그레이드 가이드에서 FIPS 모드 및 NSX 업그레이드 이해를 참조하십시오.
- FIPS를 사용하도록 설정하기 전에 파트너 솔루션이 FIPS 모드 인증을 받았는지 확인하십시오. VMware 호환성 가이드 및 관련 파트너 설명서를 참조하십시오.
FIPS 준수
NSX 6.4는 올바르게 구성될 경우 모든 보안 관련 암호화에 대한 FIPS 140-2 검증 암호화 모듈을 사용합니다.
참고:
- Controller 및 클러스터링 VPN: NSX Controller는 IPsec VPN을 사용하여 Controller 클러스터를 연결합니다. IPsec VPN은 CMVP 유효성 검사 중인 VMware Linux 커널 암호화 모듈(VMware Photon OS 1.0 환경)을 사용합니다.
- Edge IPsec VPN: NSX Edge IPsec VPN은 CMVP 유효성 검사 중인 VMware Linux 커널 암호화 모듈(VMware NSX OS 4.4 환경)을 사용합니다.
문서 개정 이력
2018년 1월 16일 초판입니다.
2018년 1월 17일: 2차 버전입니다. 해결된 문제 1461421, 1499978, 1628679, 1634215, 1716464, 1753621, 1777792, 1787680, 1792548, 1801685, 1849043을 추가했습니다.
2018년 1월 22일: 3차 버전입니다. 알려진 문제 2036024를 추가했습니다.
2018년 1월 24일: 4차 버전입니다. 업그레이드 정보를 업데이트했습니다.
2018년 2월 1일 5차 버전입니다. FIPS 규정 준수 정보를 업데이트했습니다.
2018년 2월 22일 6차 버전입니다. 해결된 문제 1773240, 1839953, 1920574, 1954964, 1965589를 추가함. 알려진 문제 2013820, 2016689, 2017806, 2026069를 추가함.
2018년 3월 2일: 7차 버전입니다. 새로운 기능 섹션이 업데이트되었습니다.
2018년 4월 6일 8차 버전. 알려진 문제 2014400을 추가함. 해결된 문제 2029693, 2003453을 추가함. 업데이트된 동작 변경 및 더 이상 사용되지 않는 기능.
2018년 4월 27일: 9차 버전. 동작 변경 및 더 이상 사용되지 않는 기능 업데이트됨.
2018년 5월 7일: 10차 버전. 해결된 문제 1772473, 1954628을 추가함. 알려진 문제 1993691, 2005900, 2007991을 추가함.
2018년 9월 14일: 11차 버전. 알려진 문제 2006576을 추가했습니다.
2018년 10월 5일 12차 버전. 알려진 문제 2164138을 추가했습니다.
해결된 문제
해결된 문제는 다음과 같이 분류됩니다.
일반적인 해결된 문제- 해결된 문제 1783528: NSX Manager CPU 활용률이 금요일 밤/토요일 아침마다 최대로 높아짐
NSX는 금요일 밤마다 전체 동기화를 위해 LDAP를 폴링합니다. 특정 Active Directory 조직 구성 단위 또는 컨테이너를 구성하는 옵션은 제공되지 않으므로 NSX는 제공된 도메인과 관련된 모든 개체를 가져옵니다.
- 해결된 문제 1801685: 호스트 연결 오류로 인해 6.2.x에서 6.3.0으로의 업그레이드 후 ESXi에서 필터를 표시할 수 없음
설치 상태가 성공적이며 방화벽이 사용되도록 설정된 것으로 표시되더라도 NSX 6.2.x에서 6.3.0으로 업그레이드하고 클러스터 VIB에서 6.3.0 비트로 업그레이드한 후 “통신 채널 상태”가 방화벽 에이전트 연결과의 NSX Manager, ControlPlane 에이전트 연결과의 NSX Manager가 다운된 것으로 표시됩니다. 이는 호스트로 전송되지 않은 방화벽 규칙 게시, 보안 정책 게시 오류, VXLan 구성으로 이어집니다. - 해결된 문제 1780998: NSX Manager는 문서화된 1,000,000개 항목 대신, 100,000개의 감사 로그 항목만 유지함
감사 로그에서는 100,000개의 로그 항목만 사용할 수 있습니다.
- 해결된 문제 1874735: 클러스터에 경보가 발생한 경우 "업그레이드 사용 가능" 링크가 표시되지 않음
이 링크가 누락되어 사용자가 EAM에 새 서비스 사양을 푸시할 수 없으며 서비스가 업그레이드되지 않습니다.
- 해결된 문제 1893299: 블록 디바이스, 문자 디바이스와 같은 일반적이지 않은 파일의 ODS 검색을 수행하면 시스템 충돌 또는 중단이 트리거됨
ODS는 일반적이지 않은 파일 및 심볼 링크를 검색합니다. 블록 디바이스, 문자 파일과 같은 일반적이지 않은 파일에는 직접 액세스하지 않지만 이러한 파일이 심볼 링크의 대상인 경우 액세스할 수 있습니다. 이러한 파일에 액세스하면 시스템 충돌, 시스템 중단 등과 같은 의도치 않은 작업이 발생할 수 있습니다.
- 해결된 문제 1897878: USVM에서 높은 메모리(경우에 따라 CPU)가 사용되어 동일한 호스트의 VM에 작동 문제를 야기할 수 있음
메모리 사용량이 많아지면 응답하지 않는 VM 오류로 인해 로그인이 실패합니다.
- 해결된 문제 1882345: CPU가 시간이 지나면서 계속 증가하여 100%에 도달한 후 이 상태를 유지함
ARP 스누핑이 IP 감지 메커니즘으로 설정되고, 작업 환경에 vNIC당 여러 IP 주소를 갖는 VM이 사용될 경우 CPU 사용량이 계속 증가하여 심각한 성능 저하를 나타내며 100%에 도달합니다.
- 해결된 문제 1920343: 개인 키 없이 서버 인증서를 생성할 수 있음
개인 키 데이터가 인증서 컨텐츠에 제공될 경우 개인 키는 무시됩니다.
- 해결된 문제 1926060: 외부 영역을 클릭해도 [방화벽] > [소스 또는 대상 지정] 페이지의 [소스 부정] 확인란이 선택됨
[사용 가능한 개체] 목록에서 [선택한 개체] 목록으로 개체를 이동해도 [소스 부정] 확인란이 선택됩니다.
- 해결된 문제 1965589: 6.4.0에서 6.4.0 이전 릴리스에서 생성된 DFW 초안을 게시하면 실패함
6.4 이전 릴리스 이전에 생성한 초안에는 상태 비저장 플래그 특성이 있는 계층 2 섹션이 없습니다. NSX 6.4부터는 계층 2 섹션의 상태 비저장 플래그가 true로 설정되어 있어야 하므로 이러한 초안을 6.4 구성에서 로드/게시하려고 하면 실패합니다. 이 특성이 없으면 기본값(예: false)으로 간주되므로 구성 유효성 검사가 실패하여 게시가 실패합니다.
- 해결된 문제: 브리지에서 "존재하지 않는 브리지 인스턴스에 대해 Mac 레코드 MacRecord를 추가/삭제하지 못함"이라는 컨트롤러 로그가 플러딩됨
샤딩이 변경되면 브리지가 컨트롤러에 가입을 전송하지 못합니다. 6.4.0에서 해결되었습니다.
- 해결된 문제 2014400: Edge의 방화벽 기능을 사용하지 않도록 설정할 경우 대기 NSX Edge가 IPv6 트래픽에 응답하기 시작함
NSX Edge에서 IPv6를 사용하도록 설정할 경우 페일오버가 트리거되면 N-S 트래픽이 잘못된 Edge로 전달될 수 있으므로 업스트림 디바이스가 대기 Edge의 MAC으로 업데이트됩니다. 6.4.0에서 해결되었습니다.
- 해결된 문제 1783065: IPv4 및 IPv6 주소별로 TCP와 함께 UDP 포트에 대한 로드 밸런서를 구성할 수 없음
UDP는 ipv4-ipv4, ipv6-ipv6(프론트엔드-백엔드)만 지원합니다. IPv6 링크 로컬 주소까지도 그룹 개체의 IP 주소로 읽히고 푸시되며 LB 구성에서 사용할 IP 프로토콜을 선택할 수 없는 NSX Manager의 버그가 있습니다.다음은 이 문제를 보여 주는 LB 구성 예입니다.
로드 밸런서 구성에서 풀 "vCloud_Connector"가 그룹 개체(vm-2681)를 사용해서 풀 멤버로 구성되며 이 개체는 IPv4 및 IPv6 주소를 모두 포함합니다. 그렇지만 이러한 방식은 LB L4 엔진에서 지원될 수 없습니다.{ "algorithm" : { ... }, "members" : [ { ... , ... } ], "applicationRules" : [], "name" : "vCloud_Connector", "transparent" : { "enable" : false } } { "value" : [ "fe80::250:56ff:feb0:d6c9", "10.204.252.220" ], "id" : "vm-2681" }
- 해결된 문제 1764258: HA 페일오버 또는 하위 인터페이스로 구성된 NSX Edge에서 강제 동기화한 후 최대 8분간 트래픽이 블랙홀 처리됨
HA 페일오버가 트리거되거나 하위 인터페이스에서 강제 동기화를 시작하는 경우 트래픽이 최대 8분 동안 블랙홀 처리됩니다. - 해결된 문제 1850773: 여러 포트가 로드 밸런서 구성에서 사용될 때 NSX Edge NAT가 잘못된 구성을 보고함
이 문제는 둘 이상의 포트가 있는 로드 밸런서 가상 서버를 구성할 때마다 발생합니다. 이로 인해 영향받는 NSX Edge에 대해 이 구성 상태가 존재하는 동안 NAT를 관리할 수 없게 됩니다. - 해결된 문제 1733282: NSX Edge가 정적 디바이스 경로를 더 이상 지원하지 않음
NSX Edge가 NULL 다음 홉 주소를 갖는 정적 경로의 구성을 지원하지 않습니다. - 해결된 문제 1711013: 대기 VM을 재부팅한 후에 활성/대기 NSX Edge 간에 FIB를 동기화하는 데 약 15분이 걸립니다.
대기 NSX Edge의 전원이 꺼지면 활성 및 대기 모드 사이에서 TCP 세션이 닫히지 않습니다. 활성 Edge는 KA(keepalive)가 실패하고 15분 후에 대기 Edge가 다운되었다는 사실을 감지하게 됩니다. 15분 후에 대기 Edge와의 새 소켓 연결이 설정되고 FIB는 활성/대기 Edge 간에 동기화됩니다. - 해결된 문제 1781438: ESG 또는 DLR NSX Edge 장치에서 두 번 이상 BGP 경로 특성 MULTI_EXIT_DISC를 받는 경우 라우팅 서비스가 오류 메시지를 전송하지 않습니다.
Edge 라우터 또는 논리적 분산 라우터에서 두 번 이상 BGP 경로 특성 MULTI_EXIT_DISC를 받는 경우 오류 메시지를 전송하지 않습니다. RFC 4271[5초]에 따라 동일한 특성(동일한 유형이 있는 특성)이 특정 업데이트 메시지의 경로 특성 필드 내에서 두 번 이상 나타날 수 없습니다. - 해결된 문제 1860583: DNS에 연결할 수 없는 경우 원격 syslogger를 FQDN으로 사용하지 마십시오.
NSX Edge에서 원격 syslogger가 FQDN을 사용하여 구성되고 DNS에 연결할 수 없으면 라우팅 기능에 영향을 미칠 수 있습니다. 이 문제는 일관되게 나타나지 않을 수 있습니다. - 해결된 문제 1242207: 런타임 동안 라우터 ID를 변경할 경우 OSPF 토폴로지에 반영되지 않음
OSPF를 사용하도록 설정한 상태에서 라우터 ID를 변경하려고 하면 이 라우터 ID를 사용하여 새로운 외부 LSA(링크 상태 보급)가 재생성되지 않아 OSPF 외부 경로가 손실됩니다.
- 해결된 문제 1767135: 로드 밸런서에서 인증서 및 애플리케이션 프로파일에 액세스하려고 할 때 오류 발생
보안 관리자 권한이 있고 Edge 범위에 있는 사용자는 로드 밸런서에서 인증서 및 애플리케이션 프로파일에 액세스할 수 없습니다. vSphere Web Client에 오류 메시지가 표시됩니다. - 해결된 문제 1844546: DLR HA 인터페이스의 구성된 사용자 할당 IP 주소가 작동하지 않음
DLR의 HA 인터페이스에 대해 하나의 특정 사용자 할당 IP 주소를 입력하는 것은 허용되지 않습니다. 둘 이상의 IP 주소를 입력하면 "내부 서버 오류"가 발생합니다.
- 해결된 문제 1874782: 메시지 버스 연결 문제로 인해 NSX Edge를 관리할 수 없음
NSX Edge에서 메시지 버스에 연결하는 데 문제가 있는 경우 NSX Manager가 구성을 변경할 수 없거나 NSX Edge에서 정보를 검색할 수 없습니다.
- 해결된 문제 1461421: NSX Edge에 대한 "show ip bgp neighbor" 명령 출력에 이전에 설정한 연결의 개수 내역이 유지됨
“show ip bgp neighbor” 명령을 실행하면 BGP 상태 시스템이 지정된 피어에 대해 [Established] 상태로 전환된 횟수가 표시됩니다. MD5 인증에 사용된 암호를 변경하면 피어 연결이 끊어졌다가 다시 생성되고, 카운터가 지워집니다. Edge DLR에서는 이 문제가 발생하지 않습니다.
- 해결된 문제 1499978: Edge syslog 메시지가 원격 syslog 서버에 도달하지 않음
배포 직후에 Edge syslog 서버가 구성된 원격 syslog 서버에 대한 호스트 이름을 확인할 수 없습니다. - 해결된 문제 1916360: 경로가 100개를 초과해서 설치된 경우 전체 디스크에 대한 HA 페일오버가 실패할 수 있음
100개가 넘는 경로가 설치된 경우 대기 Edge의 vmtools 데몬이 30초마다 2개의 주의 로그 메시지를 제출합니다. 로그는 /var/log/vmware-vmsvc.log라는 파일에 저장되며, 로그 파티션을 완전히 채울 정도로 커질 수 있습니다. 이 로그 파일에 대해서는 로그 순환이 구성되지 않습니다. 이 문제가 발생하는 경우 HA 페일오버가 실패할 수 있습니다.
- 해결된 문제 1634215: OSPF CLI 명령 출력에 라우팅을 사용 안 함으로 설정했는지 표시되지 않음
OSPF를 사용하지 않도록 설정한 경우 라우팅 CLI 명령 출력에 "OSPF가 사용하지 않도록 설정되었습니다"와 같은 메시지가 전혀 표시되지 않습니다. 출력이 비어 있습니다.
- 해결된 문제 1716464: NSX 로드 밸런서가 보안 태그가 새로 지정된 VM으로 라우팅되지 않음
지정된 태그가 있는 2개의 VM을 배포한 다음 해당 태그로 라우팅되도록 LB를 구성하면 LB는 해당 두 VM으로 라우팅됩니다. 하지만 그런 다음 해당 태그가 있는 세 번째 VM을 배포할 경우 LB는 처음 두 VM으로만 라우팅됩니다. - 해결된 문제 1935204: DLR이 ARP를 확인하는 데 1~1.5초가 걸림
ARP 억제가 실패하는 경우 원격 호스트에서 실행되는 VM에 대한 로컬 DLR의 ARP 확인에 1~1.5초 정도가 소요됩니다.
- 해결된 문제 1777792: 피어 끝점이 'ANY'로 설정되면 IPSec 연결이 실패함
NSX Edge의 IPSec 구성이 원격 피어 끝점을 'ANY'로 설정하면 Edge는 IPSec "서버"로 작동하며 원격 피어가 연결을 시작하는 동안 기다립니다. 그렇지만 이니시에이터가 PSK+XAUTH를 사용하여 인증 요청을 보낼 경우 Edge는 다음 오류 메시지를 표시합니다. "XXX.XXX.XX.XX:500에서 초기 기본 모드 메시지가 수신되었으나 연결이 policy=PSK+XAUTH로 인증되지 않았습니다." 또한 IPsec을 설정할 수 없습니다. - 해결된 문제 1881348: BGP 로컬 ASN(Autonomous System Number)에 대한 AS_TRANS(ASN 23456) 구성에 문제가 있음
BGP 로컬 ASN(Autonomous System Number)에 대한 AS_TRANS(ASN 23456)를 구성할 경우 ESG/DLR에서 문제가 발생하며,
ASN(Autonomous System Number)을 유효한 값으로 되돌려도 BGP 인접 네트워크가 작동되지 않습니다. - 해결된 문제 1792548: NSX Controller가 다음 메시지를 표시하며 중단될 수 있음: '클러스터 가입 대기 중'
NSX Controller가 다음 메시지를 표시하며 중단될 수 있음: '클러스터 가입 대기 중'(CLI 명령:show control-cluster status). 이는 컨트롤러가 작동되는 동안 컨트롤러의 eth0 및 breth0 인터페이스에 대해 동일한 IP 주소가 구성되어 있기 때문에 발생합니다. 컨트롤러에서 다음 CLI 명령을 사용하여 이 사항을 확인할 수 있습니다. show network interface - 해결된 문제 1983497: 브리지 페일오버 및 브리지 구성 변경이 동시에 발생할 경우 보라색 화면이 표시됨
브리지 페일오버 및 브리지 구성 변경이 동시에 발생할 경우 교착 상태가 발생하고 보라색 화면이 표시될 수 있습니다. 교착 상태로 진행될 가능성은 낮습니다.
- 해결된 문제 1849042/1849043: 암호 수명이 NSX Edge 장치에 구성되는 경우 관리자 계정 잠김
암호 수명이 NSX Edge 장치에서 관리자에 대해 구성되어 있는 경우 암호 수명이 다 되면 장치 로그인 시 사용자에게 암호를 변경하라는 메시지가 나타나는 7일의 기간이 있습니다. 암호 변경에 실패하면 계정이 잠깁니다. 또한 CLI 프롬프트에서 암호가 로그인 시 변경되는 경우 새로운 암호가 UI 및 REST에서 강제 집행하는 강력한 암호 정책을 충족하지 않을 수 있습니다. - 해결된 문제 1982690: NSX Controller가 L2 브리지 제어 VM이 현재 실행되고 있는 ESXi 호스트에 워크로드 VM의 MAC 항목을 저장하지 않음
활성 브리징 제어 VM이 실행되고 있는 하이퍼바이저에 설치된 모든 워크로드 VM에 대해 트래픽 삭제가 발생할 수 있습니다.
- 해결된 문제 1753621: 개인 로컬 AS가 있는 Edge가 EBGP 피어로 경로를 전송하면 모든 개인 AS 경로가 전송된 BGP 라우팅 업데이트에서 제거됨
NSX for vSphere에는 현재 AS 경로에 개인 AS 경로만 포함되어 있을 때 전체 AS 경로를 eBGP 인접 네트워크와 공유하지 못하게 하는 제한이 있습니다. 이는 대부분의 경우에는 바람직한 동작이지만 관리자가 외부 BGP 인접 네트워크와 개인 AS 경로를 공유하려고 하는 경우도 있습니다. 이 수정 프로그램을 사용하면 외부 BGP 피어에 대한 "개인 AS 경로" 동작을 변경할 수 있습니다. 이 기능에 대한 기본 동작은 이전 NSX for vSphere 버전에 맞춰 "개인 ASN을 제거"하는 것입니다.
- 해결된 문제 1954964: 분할 브레인 이후 대기 ESG에서 HA 엔진 상태가 제대로 업데이트되지 않음
일부 상황에서 분할 브레인 복구 후에 대기 ESG 구성 엔진 상태를 올바르게 업데이트하지 못할 수 있습니다. 상태가 일관되지 않으며 이 상태에서 간헐적인 트래픽 삭제가 나타날 수 있습니다.
- 해결된 문제 1920574: Edge에 대한 하위 인터페이스를 구성할 수 없음
Edge에서 하위 인터페이스를 생성하려고 하면 NSX for vSphere 6.3.2/6.3.3에서 실패합니다(IP를 사용하여 하위 인터페이스를 게시할 수 없음).
- 해결된 문제 1772473: SSLVPN 클라이언트가 IP 풀에서 IP를 가져올 수 없음
IP가 IP 풀에서 할당되지 않았으므로 클라이언트가 전용 네트워크에 연결할 수 없습니다. IP 풀의 IP는 자동 재연결에서 사용됩니다.
클라이언트가 전용 네트워크에 연결될 수 없습니다. 이는 클라이언트가 서버와 자동으로 재연결될 때 IP 풀에서 할당된 IP가 없기 때문입니다. IP 풀의 클라이언트에 할당된 이전 IP가 이제 더는 정리되지 않습니다.
- 해결된 문제 1804116: NSX Manager와의 통신이 끊어진 호스트에서 논리적 라우터가 잘못된 상태로 전환됨
논리적 라우터가 켜지거나 NSX Manager와의 통신이 끊어진 호스트에 다시 배포될 경우(NSX VIB 업그레이드/설치 실패 또는 호스트 통신 문제로 인해) 논리적 라우터는 잘못된 상태가 되고 강제 동기화를 통한 연속 자동 복구 작업은 실패합니다. - 해결된 문제 1786515: ‘보안 관리자’ 권한이 있는 사용자가 vSphere Web Client UI를 통해 로드 밸런서 구성을 편집할 수 없습니다.
특정 NSX Edge에 대해 “보안 관리자” 권한이 있는 사용자가 vSphere Web Client UI를 사용하여 해당 Edge에 대해 글로벌 로드 밸런서 구성을 편집할 수 없습니다. 다음 오류 메시지가 표시됩니다. “사용자에게 개체 글로벌 및 기능 si.service에 액세스할 수 있는 권한이 부여되지 않았습니다. 개체 액세스 범위와 이 사용자의 기능 사용 권한을 확인하십시오.” - 해결된 문제 1801325: 높은 CPU 및/또는 디스크 사용량으로 NSX Manager에서 생성된 ‘심각한’ 시스템 이벤트 및 로깅
높은 디스크 공간 사용량, 작업 데이터의 높은 변동 또는 NSX Manager에서 높은 작업 대기열 크기가 있는 경우 다음 중 하나 이상의 문제가 발생할 수 있습니다.- vSphere Web Client에서 ‘심각한’ 시스템 이벤트
- /common 파티션에 대한 NSX Manager에서의 높은 디스크 사용량
- 연기된 기간 또는 정기적 간격에 대한 높은 CPU 사용량
- NSX Manager 성능에 대한 부정적인 영향
해결 방법: VMware 고객 지원에 문의하십시오. 자세한 내용은 VMware 기술 자료 문서 2147907을 참조하십시오.
- 해결된 문제 1902723: 게시 이후마다 NSX Edge 파일 번들이 /common/tmp 디렉토리에서 삭제되지 않아 /common 디렉토리를 가득 채움
NSX Edge 파일 번들(sslvpn-plus config)이 /common/tmp에서 삭제되지 않으므로 /common 디렉토리가 가득 차고 NSX Manager의 공간이 부족해집니다.
- 해결된 문제 1954628: /common 디스크가 꽉 찬 후에 복원 작업이 실패함
/common 디스크가 꽉 찬 NSX Manager에서 백업을 복원하면 복원이 실패할 수 있습니다. 장치의 요약 페이지에 실패가 보고됩니다. NSX Manager는 복구할 수 없는 일관되지 않는 상태에 도달합니다.
- 해결된 문제 2029693: DFW 확장/축소 환경에서(65,000개가 넘는 규칙 있음) DFW 규칙을 게시하는 데 시간이 오래 걸릴 수 있음
10~15분 동안 게시된 후에 방화벽 규칙이 적용됩니다. 6.4.0에서 해결되었습니다.
- 해결된 문제 1662020: 게시 작업이 실패하여 "일반 및 파트너 보안 서비스" 섹션의 DFW UI에 "호스트 번호 호스트에서 마지막 게시 실패" 오류 메시지가 표시됨
규칙을 변경하면 UI에 "호스트 번호 호스트에서 마지막 게시 실패"가 표시됩니다. UI에 등록된 호스트의 방화벽 규칙 버전이 올바르지 않아 보안이 되지 않거나 네트워크 중단이 발생할 수 있습니다.
이 문제는 일반적으로 다음 시나리오에서 볼 수 있습니다.
- 이전 NSX 버전에서 최신 버전으로 업그레이드한 후
- 호스트를 클러스터 외부로 이동한 후 돌려 놓음
- 호스트를 한 클러스터에서 다른 클러스터로 이동함
- 해결된 문제 1496273: UI에서 Edge에 적용할 수 없는 내부/외부 NSX 방화벽 규칙을 생성할 수 있음
PacketType이 IPV4 또는 IPV6이고, 규칙에 '내부' 또는 '외부' 방향으로 이동하는 트래픽이 포함된 경우에 웹 클라이언트가 하나 이상의 NSX Edge에 적용되는 NSX 방화벽 규칙을 생성할 수 있도록 잘못 허용합니다. NSX는 이러한 규칙을 NSX Edge에 적용할 수 없기 때문에 UI에서 해당 규칙을 생성할 수 없어야 합니다. - 해결된 문제 1854661: 크로스 VC 설정에서 NSX Manager 간 전환 시 필터링된 방화벽 규칙이 인덱스 값을 표시하지 않음
규칙 필터 기준을 NSX Manager에 적용한 다음 다른 NSX Manager로 전환하면 규칙 인덱스에서 규칙의 실제 위치를 표시하는 대신 필터링된 모든 규칙에 대해 ‘0’으로 표시합니다. - 해결된 문제 2000749: 분산 방화벽이 특정 방화벽 구성을 포함하는 게시 중 상태로 유지됨
IPSet 0.0.0.0/0을 제외 멤버, 포함 멤버 또는 '교집합(AND)을 포함하는 동적 멤버 자격'으로 포함하는 보안 그룹이 있는 경우 분산 방화벽이 "게시 중" 상태로 유지됩니다.
- 해결된 문제 1628679: ID 기반 방화벽을 사용하는 경우 제거된 사용자의 VM이 계속해서 보안 그룹에 포함됨
AD 서버의 그룹에서 사용자를 제거할 경우 사용자가 로그인된 VM은 계속해서 보안 그룹에 속합니다. 이를 통해 하이퍼바이저의 VM vNIC에서 방화벽 정책이 유지되므로 사용자에게 서비스에 대한 전체 액세스가 부여됩니다.
- 해결된 문제 1787680: NSX Manager가 전송 모드인 경우 범용 방화벽 섹션이 삭제되지 않음
전송 모드인 NSX Manager의 UI에서 범용 방화벽 섹션 삭제를 시도하고 게시할 때 게시가 되지 않고 그 결과 NSX Manager를 독립형 모드로 설정할 수 없습니다. - 해결된 문제 1773240: 보안 관리자 역할로 서비스 삽입/리디렉션 규칙을 편집 및 게시할 수 없음
보안 관리자 역할/권한이 있는 사용자가 서비스 삽입 규칙을 생성/수정/게시하려고 하면 작업이 실패합니다.
- 해결된 문제 1845174: 보안 정책이 할당되면 모든 보안 그룹이 UI에서 사라짐
보안 정책이 할당되면 모든 보안 그룹이 UI에서 사라집니다.
- 해결된 문제 1839953: 게스트 VM의 하위 인터페이스 IP 주소의 ARP 억제 실패
이러한 인터페이스의 ARP 확인이 처음에는 일반적인 경우(1초)보다 약간 더 오래 걸립니다.
알려진 문제
알려진 문제는 다음과 같이 분류됩니다.
- 일반적인 알려진 문제
- 설치 및 업그레이드에 대한 알려진 문제
- NSX Manager에 대한 알려진 문제
- 논리적 네트워킹 및 NSX Edge에 대한 알려진 문제
- 보안 서비스에 대한 알려진 문제
- 모니터링 서비스에 대한 알려진 문제
- 문제 1931236: UI 탭에 시스템 텍스트가 표시됨
UI 탭에 "시스템 규모" 대신, "Dashboard.System.Scale.Title"과 같은 시스템 텍스트가 표시됩니다.
해결 방법: 브라우저 쿠키를 삭제하고 브라우저를 새로 고치거나, vSphere Client에서 로그아웃했다가 다시 로그인합니다.
- vSphere Web Client에서, HTML 보기와 겹치는 Flex 구성 요소를 열면 보기가 보이지 않습니다.
메뉴 또는 대화 상자와 같이 HTML 보기와 겹치는 Flex 구성 요소를 열면 보기가 일시적으로 숨겨집니다.
(참조: http://pubs.vmware.com/Release_Notes/en/developer/webclient/60/vwcsdk_600_releasenotes.html#issues)해결 방법: 없음.
- 문제 1944031: DNS 모니터는 상태 검사에 대해 다른 포트 대신, 기본 포트 53을 사용함
풀 멤버의 모니터 포트는 서비스 모니터에서 백엔드 서버에 대해 상태 검사를 수행하는 데 사용합니다. DNS 모니터는 정의된 모니터 포트가 무엇인지에 관계 없이 기본 포트 53을 사용합니다. 백엔드 DNS 서버 수신 대기 포트를 53 이외의 값으로 변경하지 마십시오. 그러면 DNS 모니터가 실패합니다.
- 문제 1874863: 논리 인증 서버에서 sslvpn 서비스 사용 안 함/사용 설정 후 변경된 암호로 인증을 받을 수 없음
SSL VPN 서비스가 사용되지 않도록 설정되었다가 다시 사용되도록 설정되고 로컬 인증을 사용할 경우 사용자는 변경된 암호로 로그인할 수 없습니다.
자세한 내용은 VMware 기술 자료 문서 2151236을 참조하십시오.
- 문제 1702339: 취약성 스캐너가 Quagga bgp_dump_routes 취약성 CVE-2016-4049를 보고할 수 있음
취약성 스캐너가 NSX for vSphere에서 Quagga bgp_dump_routes 취약성 CVE-2016-4049를 보고할 수 있습니다. NSX for vSphere는 Quagga를 사용하지만 BGP 기능(취약성 포함)이 사용되지 않도록 설정됩니다. 이 취약성 경고는 무시해도 안전합니다.
해결 방법: 제품이 취약해지지 않으므로 해결 방법도 필요하지 않습니다.
- 문제 1926467: NSX Manager 장치 관리자의 Chrome 버전 59.0.3071.115에서 커서가 표시되지 않음
Chrome 버전 59.0.3071.115를 사용하여 NSX Manager 장치를 열면 사용자 이름/암호를 입력하기 위한 커서를 볼 수 없습니다. 커서가 보이지 않더라도 자격 증명은 계속 입력할 수 있습니다.
해결 방법: Chrome 브라우저를 61.0.3163.100 또는 64.0.3253.0 이상으로 업그레이드하십시오.
- 문제 2015520: 브리지 이름 길이가 40자를 초과할 경우 브리징 구성이 실패함
브리지 이름 길이가 40자를 초과할 경우 브리징 구성이 실패합니다.
해결 방법: 브리지를 구성할 때 브리지 이름이 40자를 초과하지 않아야 합니다.
- 문제 1934704: 비 ASCII 이름이 브리지 이름으로 지원되지 않음
VDR에서 비 ASCII 문자를 브리지 이름으로 구성하면 호스트에서 브리지 구성이 표시되지 않으며 브리지 데이터 경로가 작동하지 않게 됩니다.
해결 방법: 브리지 이름으로 ASCII 문자를 사용하십시오.
- 문제 1529178: 공통 이름이 포함되지 않은 서버 인증서를 업로드하면 "내부 서버 오류" 메시지가 반환됨
공통 이름이 없는 서버 인증서를 업로드하면 "내부 서버 오류" 메시지가 표시됩니다.
- 문제 2013820: 그룹화 개체 풀 멤버를 다른 IP 필터 정책을 사용하는 다른 풀과 공유할 수 없음
그룹화 개체 풀 멤버를 다른 IP 필터 정책을 사용하는 다른 풀과 공유할 수 없습니다.
해결 방법:
- 그룹화 개체 풀 멤버를 풀 간에 공유해야 하는 경우 모든 풀이 동일한 IP 필터 정책을 사용해야 합니다.
- 서로 다른 IP 필터 정책을 사용하여 풀 간에 공유해야 할 경우 그룹화 개체의 IP 주소를 직접 풀 멤버로 사용합니다.
- 문제 2016689: SMB 애플리케이션이 RDSH 사용자에 대해 지원되지 않음
SMB 애플리케이션을 차단/허용하는 RDSH 방화벽 규칙을 생성하는 경우 규칙이 트리거되지 않습니다.
해결 방법: 없음.
- 문제 2007991: RDP(원격 데스크톱) 서버 또는 클라이언트 버전 4.0, 5.0, 5.1, 5.2 및 6.0이 DFW에 의해 L7 프로토콜로 분류되지 않음
고객 환경이 RDP 서버 또는 클라이언트 버전 4.0, 5.0, 5.1, 5.2, 6.0을 사용하는 경우 RDP 트래픽이 APP_RDP를 서비스로 사용하는 계층 7 DFW 규칙에 의해 RDP 트래픽으로 분류되거나 식별되지 않습니다. RDP 트래픽이 DFW 규칙에서 차단되어야 하는데 차단되지 않을 수 있습니다.
해결 방법: 계층 4 RDP 서비스를 사용하여 RDP 트래픽과 일치하도록 계층 4 규칙을 생성합니다.
- 문제 1993691: 호스트를 먼저 복제 노드로서 제거하지 않고 그냥 제거하면 NSX Manager에서 오래된 항목이 생성될 수 있음
호스트가 HW VTEP에 대한 복제 노드 역할을 하며 상위 클러스터에서 제거되어야 할 경우, 먼저 해당 클러스터에서 제거하기 전에 더 이상 복제 노드가 아닌지 확인합니다. 이 작업을 수행하지 않으면 경우에 따라 복제 노드로서의 상태가 NSX Manager 데이터베이스에 유지되어 복제 노드를 추가로 조작할 때 오류가 발생할 수 있습니다.
해결 방법: 자세한 내용은 기술 자료 문서 52418을 참조하십시오.
- 문제 2164138: NSX에 대한 클러스터를 준비할 때 물리적 NIC에서 ixgbe 드라이버가 실행되는 호스트에서 ixgbe 드라이버가 다시 로드됨
RSS(수신 측 크기 조정) 옵션을 사용하도록 설정하여 vxlan 처리량을 향상시키기 위해 ixgbe 드라이버가 다시 로드됩니다. ixgbe 드라이버 다시 로드를 수행하면 ixgbe 드라이버를 사용하는 vmnic가 몇 분 동안 다운된 상태를 유지한 후 다시 작동됩니다. 드문 경우지만 ESXi 호스트를 재부팅할 때까지 ixgbe 드라이버를 다시 로드할 수 없고 ixgbe 드라이버를 사용하는 vmnic가 다운된 상태를 유지합니다.
해결 방법: 자세한 내용은 VMware 기술 자료 문서 52980을 참조하십시오.
업그레이드하기 전에 이 문서의 앞부분에 나와 있는 업그레이드 정보 섹션을 읽으십시오.
- 문제 2036024: 데이터베이스의 디스크 사용량으로 인해 "업로드된 파일 확인" 중에 NSX Manager 업그레이드가 중단됨
업그레이드 로그 파일 vsm-upgrade.log에는 다음 메시지도 포함되어 있습니다. "데이터베이스 디스크 사용량이 75%이지만 70% 미만이어야 합니다." NSX Manager 지원 번들에서 vsm-upgrade.log를 볼 수 있습니다. Networking & Security > 지원 번들로 이동한 후 NSX Manager 로그를 포함하도록 선택합니다.
해결 방법: VMware 고객 지원에 문의하십시오.
- 문제 2033438: NSX 6.4.0로 업그레이드하는 경우 vSphere Web Client에 "사용할 수 있는 NSX Manager가 없습니다."가 표시되고, TLS 1.0만 사용되도록 설정됨
NSX 6.4.0으로 업그레이드하는 경우 TLS 설정이 유지됩니다. TLS 1.0만 사용되도록 설정하면, vSphere Web Client에서 NSX 플러그인을 볼 수 있지만 NSX Manager는 표시되지 않습니다. 데이터 경로에 미치는 영향은 없지만 NSX Manager 구성을 변경할 수 없습니다.
해결 방법: https://nsx-mgr-ip/에서 NSX 장치 관리 웹 UI에 로그인하고 TLS 1.1 및 TLS 1.2를 사용하도록 설정합니다. 이렇게 하면 NSX Manager 장치가 재부팅됩니다.
- 문제 2006028: vCenter Server 시스템이 업그레이드 중에 재부팅되면 호스트 업그레이드가 실패할 수 있음
연결된 vCenter Server 시스템이 호스트 업그레이드 중에 재부팅되면 호스트 업그레이드가 실패하고 호스트가 유지 보수 모드를 유지할 수 있습니다. [해결]을 클릭해도 호스트가 유지 보수 모드를 종료하지 않습니다. 클러스터 상태는 "준비 안 됨"입니다.
해결 방법: 호스트의 유지 보수 모드를 수동으로 종료합니다. 클러스터에서 "준비 안 됨"을 클릭한 후 "모두 해결"을 클릭합니다.
- 문제 1959940: ovftool을 사용하여 NSX Manager OVF를 배포하는 동안 오류가 발생함: "네트워크 매핑에 잘못된 OVF 이름(VSMgmt)이 지정되었습니다."
NSX 6.4.0부터 VSMgmt는 장치 OVF에서 더 이상 네트워크 매핑에 유효한 이름이 아니며 "관리 네트워크"로 바뀝니다.
해결 방법: 대신 "관리 네트워크"를 사용하십시오. 예를 들어 --net:VSMgmt='VM Network' 대신 --net:'Management Network=VM Network'를 사용하십시오.
- 문제 2001988: NSX 호스트 클러스터 업그레이드 동안 클러스터의 각 호스트가 업그레이드될 때 [호스트 준비] 탭의 설치 상태가 전체 클러스터에 대해 "준비되지 않음" 및 "설치 중"으로 번갈아 표시됨
NSX 업그레이드 동안 NSX 준비 클러스터의 "업그레이드 사용 가능"을 클릭하면 호스트 업그레이드가 트리거됩니다. DRS FULL AUTOMATIC으로 구성된 클러스터의 경우 호스트가 백그라운드에서 문제없이 업그레이드되지만 설치 상태가 "설치 중" 및 "준비되지 않음"으로 번갈아 표시됩니다.
해결 방법: 이것은 사용자 인터페이스 문제이므로 무시해도 됩니다. 호스트 클러스터 업그레이드가 진행될 때까지 기다리십시오.
- 문제 1859572: vCenter 버전 6.0.0에 의해 관리되는 ESXi 호스트에서 NSX VIB 버전 6.3.x를 제거하는 동안 호스트가 계속 유지 보수 모드를 유지함
클러스터에서 NSX VIB 버전 6.3.x를 제거하는 경우 워크플로에서 EAM 서비스에 의해 호스트가 유지 보수 모드로 전환되고, VIB가 제거된 다음 호스트가 유지 보수 모드에서 제거됩니다. 그렇지만 이러한 호스트가 vCenter Server 버전 6.0.0에서 관리되는 경우 VIB 제거 후에 호스트가 유지 보수 모드 상태를 계속 유지하게 됩니다. VIB를 제거하는 일을 담당하는 EAM 서비스는 호스트를 유지 보수 모드로 전환하지만 유지 보수 모드를 종료하지 못합니다.해결 방법: 수동으로 호스트의 유지 보수 모드를 종료합니다. 이 문제는 호스트가 vCenter Server 버전 6.5a 이상에서 관리되는 경우에는 나타나지 않습니다.
문제 1797929: 호스트 클러스터 업그레이드 후 메시지 버스 채널 다운
호스트 클러스터 업그레이드 후에 vCenter 6.0(및 이전 버전)은 이벤트 "다시 연결"을 생성하지 않으므로 NSX Manager는 호스트에서 메시징 인프라를 설정하지 않습니다. 이 문제는 vCenter 6.5에서 해결되었습니다.해결 방법: 아래와 같이 메시징 인프라를 다시 동기화하십시오.
POST https://<ip>:/api/2.0/nwfabric/configure?action=synchronize<nwFabricFeatureConfig> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <resourceConfig> <resourceId>host-15</resourceId> </resourceConfig> </nwFabricFeatureConfig>
문제 1263858: SSL VPN이 업그레이드 알림을 원격 클라이언트에 보내지 않음
SSL VPN 게이트웨이가 사용자에게 업그레이드 알림을 보내지 않습니다. 관리자가 SSL VPN 게이트웨이(서버)가 업데이트되고 해당 클라이언트를 업데이트해야 함을 원격 사용자에게 직접 알려야 합니다.해결 방법: 사용자가 이전 버전의 클라이언트를 제거하고 최신 버전을 수동으로 설치해야 합니다.
- 문제 1979457: 업그레이드 프로세스 동안 및 이전 버전과의 호환성 모드에서 GI-SVM을 삭제하거나 제거하면 GI 클러스터가 업그레이드되지 않는 한, GI(Guest Introspection)를 통한 ID 방화벽이 작동하지 않음
ID 방화벽이 작동하지 않으며 ID 방화벽과 관련된 로그가 표시되지 않음 클러스터가 업그레이드되지 않으면 ID 방화벽 보호가 일시 중단됨
해결 방법: 모든 호스트가 최신 버전의 GI-SVM을 실행하도록 클러스터를 업그레이드합니다.
-또는 -
ID 방화벽이 작동되도록 로그 스크레이퍼를 활성화합니다.
- 문제 2016824: NSX 컨텍스트 엔진이 Guest Introspection 설치 및/또는 업그레이드 후에 시작되지 않음
이 문제는 호스트 준비가 완료되기 전에 GI(Guest Introspection)가 설치 또는 업그레이드될 때 발생합니다. 컨텍스트 엔진이 시작되지 않으면 RDSH VM용 ID 방화벽이 작동되지 않습니다.
해결 방법: 자세한 내용은 VMware 기술 자료 문서 51973을 참조하십시오.
- 문제 2027916: 업그레이드 조정기에 업그레이드되지 못한 컨트롤러가 성공적으로 업그레이드된 것으로 표시됨
3노드 컨트롤러 클러스터의 경우 업그레이드 동안 세 번째 컨트롤러가 실패하고 제거되면 업그레이드가 실패했어도 전체 컨트롤러 클러스터 업그레이드가 성공으로 표시될 수 있습니다.
해결 방법: 다른 구성 요소(호스트, Edge 등)를 업그레이드하기 전에 설치 및 업그레이드 > 관리 탭을 점검해 모든 컨트롤러가 "업그레이드됨"으로 표시되는지 확인합니다.
- 문제 1991125: 세션 6.3.x의 애플리케이션 규칙 관리자에서 생성된 그룹 개체가 NSX Manager를 6.4.0으로 업그레이드한 후 대시보드에 반영되지 않음
세션 6.3.x의 애플리케이션 규칙 관리자에서 생성된 그룹 개체가 NSX Manager를 6.4.0으로 업그레이드한 후 대시보드에 반영되지 않습니다.
해결 방법: 세션 6.3.x의 애플리케이션 규칙 관리자에서 생성된 그룹 개체는 NSX Manager를 6.4.0으로 업그레이드한 후 사용할 수 있게 됩니다. 그룹 개체는 [그룹 개체] 섹션의 해당 페이지에서 사용할 수 있습니다.
- 문제 1892999: 범용 보안 태그에 연결된 VM이 없더라도 고유한 선택 기준을 수정할 수 없음
범용 보안 태그에 연결된 VM이 삭제되어도 VM을 나타내는 내부 개체는 여전히 범용 보안 태그에 연결된 상태를 유지합니다. 이로 인해 범용 보안 태그가 여전히 VM에 연결되어 있다는 오류와 함께 범용 선택 기준 변경이 실패합니다.
해결 방법: 모든 범용 보안 태그를 삭제한 후 범용 선택 기준을 변경하십시오.
- 문제 1983902: NSX Manager 재부팅 후 확장/축소 설정 환경에서 netcpad가 vsfwd에 즉시 연결되지 못함
데이터 경로에는 영향을 미치지 않습니다. 시스템은 개입 없이 13분 후에 복구됩니다.
해결 방법: 없음
- 문제 1747978: OSPF 인접성이 NSX Edge HA 페일오버 후 MD5 인증으로 삭제되었습니다.
NSX Edge가 정상적인 OSPE 재시작이 구성된 HA에 대해 구성되었으며 MD5가 인증에 사용된 NSX for vSphere 6.2.4에서 OSPF가 정상적으로 시작되지 않습니다. 정지된 타이머가 OSPF 인접 노드에서 만료된 후에만 인접성이 형성됩니다.해결 방법: 없음
- 문제 1525003: 잘못된 암호로 NSX Manager 백업을 복원할 경우 중요한 루트 폴더에 액세스할 수 없어 실패함
해결 방법: 없음.
- 문제 1995142: 호스트가 VC 인벤토리에서 제거된 후에 복제 클러스터에서 제거되지 않음
사용자가 복제 클러스터에 호스트를 추가한 후 클러스터에서 호스트를 제거하기 전에 VC 인벤토리에서 호스트를 제거하면 레거시 호스트가 클러스터에 남아 있습니다.
해결 방법: 호스트를 제거할 때마다 먼저 복제 클러스터(있는 경우)에서도 이미 제거되었는지 확인하십시오.
- 문제 2005973: 라우팅 데몬 MSR이 일부 gre 터널을 삭제한 다음, 관리부에서 Edge 노드의 강제 동기화를 수행한 후에 모든 라우팅 구성이 손실됨
이 문제는 GRE 터널을 통해 BGP 세션을 사용하는 Edge에서 발생할 수 있습니다. 일부 GRE 터널이 삭제된 후 MP에서 Edge의 강제 동기화가 수행되면 Edge의 모든 라우팅 구성이 손실됩니다.
해결 방법: Edge 노드를 재부팅합니다.
- 문제 2015368: 특정 상황에서 방화벽 로깅에 메모리 부족 문제가 발생할 수 있음
Edge 방화벽이 높은 규모의 구성에서 사용되도록 설정되고 일부 또는 전체 규칙에 대해 방화벽 로깅이 사용 가능하게 설정되면, 일반적이지는 않지만 Edge에서 OOM(메모리 부족) 상태가 발생할 수 있습니다. 로깅 규칙에 부합되는 트래픽이 많은 경우에 특히 그렇습니다. OOM 조건이 발생하면 Edge VM은 자동으로 재부팅됩니다.
해결 방법: 방화벽 로깅은 디버깅을 위해 가장 적절히 사용되며, 정상적인 경우를 위해서는 다시 사용되지 않도록 설정됩니다. 이 OOM 문제를 방지하려면 모든 방화벽 로깅을 사용하지 않도록 설정합니다.
- 문제 2005900: 모든 GRE 터널이 8방향 iBGP/다중 홉 BGP ECMP 확장/축소 토폴로지에서 불안정해질 경우 Edge의 라우팅 데몬 MSR이 100% CPU 상태에서 중단됨
이 문제는 많은 GRE 터널에 걸쳐 여러 인접 네트워크가 실행되는 ESG에 iBGP 또는 다중 홉 BGP가 구성된 확장/축소 토폴로지에서 발생할 수 있습니다. 여러 GRE 터널링이 불안정해지면 MSR은 100% CPU 상태에서 무한정 중단될 수 있습니다.
해결 방법: Edge 노드를 재부팅합니다.
- 문제 1948648: AD 그룹 멤버 자격의 변경 사항이 RDSH ID 방화벽 규칙을 사용하여 로그인된 사용자에게는 즉시 적용되지 않음
RDSH ID 방화벽 규칙이 생성됩니다. Active Directory 사용자가 자신의 RDS 데스크톱에 로그인하면 방화벽 규칙에 적용됩니다. 그런 후에 AD 관리자가 AD 사용자 그룹 멤버 자격을 변경하면 NSX Manager에서 델타 동기화가 수행됩니다. 그러나 AD 그룹 멤버 자격 변경 사항이 로그인된 사용자에게 즉시 표시되지 않으며, 사용자의 유효 방화벽 규칙이 변경되지 않습니다. 이 동작은 Active Directory의 제한 사항입니다.
해결 방법: AD 그룹 멤버 자격 변경 사항이 적용되려면 로그오프했다가 다시 로그인해야 합니다.
- 문제 2017806: RDSH 방화벽 섹션에 사용되는 보안 그룹에 멤버를 추가할 때 오류 메시지가 명확하지 않음
보안 정책이 보안 그룹의 RDSH 방화벽 섹션에서 사용될 경우 디렉토리 그룹 멤버만 추가할 수 있습니다. 디렉터리 그룹 이외의 멤버를 추가하려고 하면 다음과 같은 오류가 표시됩니다.
"보안 그룹이 Service Composer에서 사용되고 있습니다. 방화벽을 수정할 수 없습니다."
보안 그룹은 보안 정책의 RDSH 방화벽 섹션에서 사용되고 있으므로, 오류 메시지가 보안 그룹을 수정할 수 없음을 나타내는 것은 아닙니다.해결 방법: 없음.
- 문제 2026069: NSX Edge IPsec VPN 서비스에서 Triple DES 암호를 암호화 알고리즘으로 사용하면 업그레이드 시 IPsec 사이트에 대한 IPsec 터널이 손실됨
VMware는 보안상의 이유로 NSX Edge IPsec VPN 서비스에서 3DES를 암호화 알고리즘으로 사용하는 것을 권장하지 않습니다. 하지만 NSX 릴리스 버전 6.4까지는 상호 운용성을 이유로 이 암호화 알고리즘을 사용할 수 있습니다. 보안 권장 사항에 따르면, 이 암호는 다음 NSX for vSphere 릴리스부터 지원되지 않습니다. 따라서 암호화 알고리즘으로 Triple DES를 사용하지 않고 그 대신 IPsec 서비스에서 사용할 수 있는 보안 암호 중 하나로 전환하도록 요청됩니다. 암호화 알고리즘과 관련된 이러한 변경 사항은 IPsec 사이트의 IPsec SA(2단계) 협상뿐 아니라 IKE SA(1단계) 에도 적용됩니다.
3DES 암호화 알고리즘의 지원이 제거된 릴리스로 업그레이드한 다음 NSX Edge IPsec 서비스에서 이 알고리즘을 사용하는 경우 권장되는 다른 암호 방식으로 대체됩니다. 따라서 원격 피어의 구성이 NSX Edge에서 사용되는 암호화 알고리즘과 일치하도록 수정되지 않는 한, 3DES를 사용하는 IPsec 사이트는 나타나지 않을 것입니다.
해결 방법: 지원되는 AES 변형(AES / AES256 / AES-GCM) 중 하나로 Triple DES를 대체하도록 IPsec 사이트 구성의 암호화 알고리즘을 수정합니다. 예를 들어, 암호화 알고리즘이 Triple DES인 각 IPsec 사이트 구성은 암호화 알고리즘을 AES로 대체합니다. 그에 따라, 피어 끝점의 IPsec 구성을 업데이트하십시오.
- 문제 1648578: 새 NetX 호스트 기반 서비스 인스턴스를 생성할 때 NSX가 클러스터/네트워크/스토리지를 강제로 추가하도록 함
방화벽, IDS 및 IPS와 같은 NetX 호스트 기반 서비스용 vSphere Web Client에서 새 서비스 인스턴스를 생성할 때 필수 요소가 아니더라도 클러스터/네트워크/스토리지를 강제로 추가하도록 요구됩니다.해결 방법: 새 서비스 인스턴스를 생성할 때 클러스터/네트워크/스토리지에 대한 정보를 추가하여 필드를 채울 수 있습니다. 이를 통해 서비스 인스턴스를 생성할 수 있으며 필요에 따라 작업을 계속 진행할 수 있습니다.
- 문제 2018077: 규칙에 대상 포트 및 프로토콜 없는 사용자 지정 L7 ALG 서비스가 있을 경우 방화벽 게시가 실패함
대상 포트 및 프로토콜을 제공하지 않고 L7 ALG APP(예: APP_FTP, APP_TFTP, APP_DCERPC, APP_ORACLE) 중 하나를 선택한 다음, 방화벽 규칙에서 사용하는 경우 방화벽 규칙 게시가 실패합니다.
해결 방법: 다음 ALG 서비스에 대해 사용자 지정 L7 서비스를 생성하면서 해당 대상 포트 및 프로토콜(TCP/UDP) 값을 제공합니다.
- APP_FTP: 포트 21 프로토콜: TCP
- APP_TFTP: 포트 69 프로토콜: UDP
- APP_DCERPC: 포트 135 프로토콜: TCP
- APP_ORACLE: 포트 1521 프로토콜: TCP
- 문제 1980551: NSX Manager는 기본적으로 TLSv1을 지원하지 않음
TLSv1을 사용하여 NSX Manager에 연결하려고 하면 실패합니다.
해결 방법: 더 높은 TLS 버전을 사용합니다. TLSv1.1 또는 TLSv1.2
TLSv1.0을 사용하는 것은 권장되지 않으며, 이 버전은 향후 릴리스에서 제거될 예정입니다. 그렇지만 NSX Manager에 대해 사용 가능하도록 설정할 수 있습니다. NSX for vSphere API 가이드에서 "보안 설정 사용"을 참조하십시오. 보안 설정을 변경하면 NSX Manager가 재부팅됩니다.
- 문제 2006576: 서비스 삽입 필터가 켜져 있는 게스트 VM이 한 클러스터에서 다른 클러스터로 이동될 경우(두 클러스터에 동일한 서비스가 배포되었다고 가정) 저장된 상태(서비스 삽입 필터에 적중한 트래픽에 대해 저장되는 연결 정보)가 손실됨
vMotion에 대한 대상 클러스터가 원본 클러스터와 다른 경우, NetX(서비스 삽입) 규칙이 구성되어 있는 게스트 VM에서 해당 Netx 규칙이 손실됩니다.
해결 방법: 클러스터 내에 서비스 삽입 필터가 있는 게스트 VM의 vMotion을 제한하십시오.
- 문제 1466790: NSX traceflow 도구를 사용하여 브리지 네트워크에서 VM을 선택할 수 없음
NSX traceflow 도구를 사용하여 논리적 스위치에 연결되지 않은 VM을 선택할 수 없습니다. L2 브리지 네트워크의 VM을 VM 이름 기준으로 traceflow 검사의 소스 또는 대상 주소로 선택할 수 없습니다.해결 방법: L2 브리지 네트워크에 연결된 VM의 경우 traceflow 검사에서 대상으로 지정하려는 인터페이스의 IP 주소 또는 MAC 주소를 사용합니다. L2 브리지 네트워크에 연결된 VM을 소스로 선택할 수 없습니다. 자세한 내용은 기술 자료 문서 2129191을 참조하십시오.