NSX for vSphere 6.0.6 リリース ノート

お問い合わせ

NSX for vSphere 6.0.6 | 2014 年 9 月 11 日 | ビルド 2103699

2014 年 9 月 11 日更新

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

NSX vSphere 6.0.6 には、重大な情報開示の原因となる可能性のある脆弱性に対処するための NSX Edge パッチが含まれています。このリリースにアップグレードすることをお勧めします。

システム要件とインストール

システム要件とインストール手順の詳細については『 NSX インストールとアップグレード ガイド 』を参照してください。

VMware 製品の相互運用性マトリクス 』では、VMware vCenter Server など、VMware 製品とコンポーネントの現在および以前のバージョンの互換性について詳細に説明しています。

 

既知の問題

既知の問題は、以下のとおり、分類されています。

インストールとアップグレードの問題

NSX Edge アップグレードに失敗したが、NSX Manager が Edge Appliance を前のバージョンにロールバックしない
NSX Edge アップグレードに失敗し、ロールバックされない場合、ネットワークが中断され、Edge を管理できなくなることがあります。回避策: NSX Edge を再デプロイしてから、Edge を再度アップグレードします。

アップグレード後に SSL VPN クライアントをアンインストールおよび再インストールする必要がある
vShield 6.0.5 へのアップグレード後、SSL VPN クライアントをアンインストールしてから再インストールする必要があります。最新のクライアントをインストールするには、https:// ssl-vpn-ip-address を参照してください。ここで ssl-vpn-ip-address は SSL VPN サービスの待機で使用するように構成されている Edge インターフェイスに割り当てられたアップリンク IP アドレスです。

vSphere Distributed Switch MTU が更新されない
クラスタの準備時に vSphere Distributed Switch の MTU よりも小さい MTU 値を指定した場合、vSphere Distributed Switch はこの値に更新されません。これは、フレーム サイズがより大きい既存のトラフィックが非意図的にドロップされないようにするためです。
回避策:クラスタの準備時に指定する MTU が vSphere Distributed Switch の現在の MTU 以上であることを確認します。VXLAN に必要な最小 MTU は 1550 です。

環境のすべてのクラスタが準備されていない場合、Distributed Firewall のアップグレード メッセージが [インストール] ページの [ホストの準備] タブに表示されない
ネットワーク仮想化のためにクラスタを準備する場合、Distributed Firewall がこれらのクラスタに対し有効になっています。環境のすべてのクラスタが準備されていない場合、Distributed Firewall のアップグレード メッセージは [ホストの準備] タブに表示されません。
回避策: 次の REST 呼び出しを使用して、Distributed Firewall をアップグレードします。
PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

[インストール] ページの [サービス デプロイ] タブを使用してデプロイされたサービス仮想マシンがオンにならない
回避策:以下の手順に従います。

  1. クラスタの ESX Agents リソース プールからサービス仮想マシンを手動で削除します。
  2. [ ネットワークおよびセキュリティ] をクリックし、[ インストール] をクリックします。
  3. サービス デプロイ タブをクリックします。
  4. 該当するサービスを選択し、 [ 解決法] アイコンをクリックします。
    サービス仮想マシンが再度デプロイされます。

 

NSX をバージョン 6.0 から 6.0.x にアップグレードした後、NSX Edge が UI にリストされない
NSX 6.0 から NSX 6.0.x にアップグレードした場合、vSphere Web Client プラグインが正しくアップグレードしていない可能性があります。これにより、NSX Edge がないなど、UI の表示問題が発生することがあります。
NSX 6.0.1 以降からアップグレードしている場合、この問題は発生しません。
回避策:以下の手順に従います。

  1. vSphere Server で、次の場所に移動します:
    /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
  2. 次のフォルダを削除します:
    com.vmware.vShieldManager-6.0.x.1546773
    com.vmware.vShieldManager-6.0.1378053
  3. vSphere Web Client サービスを再起動します。
これにより最新のプラグイン パッケージがデプロイされます。

 

全般的な問題

NSX vSphere CPU ライセンスが VM ライセンスとして表示される
NSX vSphere CPU 資格が [vSphere ライセンス] タブで VM 資格として表示されます。たとえば、100 個の CPU に対するライセンスを所有している場合、UI には 100 台の仮想マシンを表示します。
回避策: なし。

REST リクエストがエラー「 HTTP/1.1 500 内部サーバ エラー」により失敗する
シングル サインオン (SSO) が正しく構成されていない場合、NSX が認証情報を検証できないため、このエラー メッセージが表示され、すべての REST API 呼び出しが失敗します。
回避策:『NSX 管理ガイド』の説明に従って、SSO を構成します。  

 

NSX Edge デバイス間を移動するときに、vSphere Web Client がハングする、または空白のページが表示される
回避策:ブラウザを再起動します。

vSphere Web Client に「 操作を完了できません。詳細はイベント ログを確認してください」というエラーが表示される
[サービス デプロイ] タブを使用して、vShield Endpoint またはパートナー アプライアンスなどのサービスをインストールすると、vSphere Web Client で上記のエラーが表示されることがあります。  このエラーは無視してかまいません。

vShield Endpoint およびサードパーティ製セキュリティ ソリューションで保護されたクラスタでホストを削除して再追加できない
vShield Endpoint およびサードパーティ製セキュリティ ソリューションで保護されたクラスタからホストを削除する場合に、vCenter Server からホストを切断して削除すると、同じホストを同じクラスタに再追加しようとしたときに問題が生じることがあります。
回避策:保護されたクラスタからホストを削除するには、まず、ホストをメンテナンス モードにします。次に、保護されていないクラスタにホストを移動するか、すべてのクラスタの外に移動してから、ホストを切断して削除します。

NSX Manager に関する問題

NSX Manager がバックアップから正しく復旧されない
NSX Manager をバックアップから復旧すると、論理ルータを制御する制御仮想マシンの通信チャネルが正しく復旧しません。そのため、論理スイッチとポートグループが論理ルータと接続できず、論理ルータが切断状態になります。
回避策: NSX Manager バックアップを復旧したら、論理ルータを制御するすべての仮想マシンを再起動します。

NSX Manager の vMotion に「 仮想イーサネット カード ネットワーク アダプタ 1 はサポートされていません」というエラーが表示される
このエラーは無視してかまいません。vMotion 後、ネットワークは適切に動作します。

NSX Manager バックアップのリストア時にサードパーティ製のサービスを削除できない
サードパーティ製のサービスのデプロイは、リストアされた状態の NSX Manager にサードパーティ製のサービス登録が含まれている場合に限り、vSphere Web Client から削除できます。
回避策:すべてのサードパーティ製のサービスを登録した後に NSX Manager データベースのバックアップを取ります。

NSX Edge に関する問題

デプロイした論理ルータ上で HA を有効にすると、ルータが ESXi ホスト上に配分したルートを失う
HA を有効にするプロセスの一部として、ESXi ホスト上で論理ルータ インスタンスが削除され、再作成されます。インスタンスが再作成された後、ルータの制御仮想マシンからのルーティング情報は正確に再同期されません。このため、ルータが ESXi ホスト上に配分したルートを失います。
回避策: HA を有効にしてルートをリストアした後に、論理ルータの制御仮想マシンを再起動します。

HA が有効な NSX 論理ルータがアップグレードまたは再デプロイ後、ルートを再配分しない
High Availability が有効になっている NSX 論理ルータをアップグレードまたは再デプロイするときに、ルータがルートを再配分しません。
回避策: NSX 論理ルータをアップグレードした後、[その他のアクション] - [強制同期] を選択して、NSX Manager と再同期します。

ロード バランサー プール メンバーに警告メッセージが表示される
ロード バランサー プール メンバーに警告メッセージが表示されても、トラフィックを処理できます。このメッセージは無視してかまいません。

論理ルータに対して、タグなしインターフェイスを構成できない
論理(分散)ルータが接続する vSphere Distributed Switch の VLAN ID を 0 にすることはできません。
回避策:タグ付きインターフェイスのみを作成します。

VDR OSPF が無効にされていても、VDR LIF ルートがアップストリーム ESG によって通知される
VDR OSPF が無効にされていても、アップストリーム Edge Services Gateway (ESG) は、VDR 接続インターフェイスから学習した OSPF 外部 LSA を通知し続けます。
回避策:OSPF プロトコルを無効にする前に、OSPF への接続ルートの再配分を手動で無効にし、発行します。これにより、ルートは適切に廃止されます。

ゲートウェイで HA が有効になっている場合、それぞれ 30 秒または 120 秒以外の値に構成された OSPF hello/dead 間隔がフェイルオーバー中にトラフィックの喪失を引き起こす
OSPF を実行し HA が有効な状態でプライマリ NSX Edge に障害が発生すると、スタンバイによる引き継ぎに必要な時間がグレースフル リスタートのタイムアウトを超過し、OSPF ネイバーで転送情報ベース (FIB) テーブルから学習済みのルートが削除されます。その結果、OSPF が再収束するまで、データプレーンは停止したままになります。
回避策:すべての隣接ルータでデフォルトの hello/dead 間隔タイムアウトを hello 間隔は 30 秒に、dead 間隔は 120 秒に設定します。これにより、トラフィックを失うことなく、グレースフル フェイルオーバーを実現できます。

HA 管理と L2 VPN 構成で同じインターフェイスを選択すると、HA 構成に失敗する
NSX Edge で L2 VPN が有効になっている場合に、同じ NSX Edge 上で HA を有効にしようとすると、構成に失敗することがあります。この現象が起こるケースには以下の 2 つがあります。

  1. HA 管理と L2 VPN で同じインターフェイスを手動で選択した場合。
  2. 自動 HA 構成を選択した場合。その場合、HA は L2 VPN と同じインターフェイスを使用する結果になることがあります。
回避策:L2 VPN インターフェイスとは異なる専用の HA 管理インターフェイスを選択します。

 

L2 VPN を有効にした Edge で高可用性が有効な場合、結果にばらつきが生じることがある。
回避策: L2 VPN を高可用性とともに使用しないでください。


IPSec VPN の構成時にエラーが生じる
IPSec VPN サービスを構成しているときに、エラー「
[Ipsec] localSubnet: xxx.xxx.xx.x/xx に到達できません。固定ルーティングまたは内部 Edge インターフェイスのサブネットの 1 つを介して到達できる必要があります。
」が表示されることがあります。回避策:ローカル サブネットの固定ルーティングを手動で追加します。

 

SSL VPN で証明書失効リスト(CRL)がサポートされない
CRL を NSX Edge に追加できますが、この CRL は SSL VPN で使用されません。
回避策:CRL はサポートされていませんが、クライアント証明書認証でユーザー認証を有効にできます。

外部認証サーバを SSL VPN-Plus に追加できない
外部認証サーバの FQDN またはホスト名を使用することはできません。
回避策:外部認証サーバの IP アドレスを使用する必要があります。

[Safari 設定を使用] でプロキシが有効に設定されている SLL VPN クライアントが MAC コンピュータで動作しない  
Mac コンピュータ上の SSL VPN クライアントで Safari 設定されているプロキシを選択すると、自動的に選択解除されます。このため、SSL VPN クライアントを介して MAC コンピュータに接続することはできません。
回避策: MAC コンピュータで Safari 設定ではなく、SOCKS バージョン 4/5 または HTTP を使用します。

Google Chrome 29 で NSX Edge テクニカル サポート ログをダウンロードできない
回避策: Google Chrome バージョン 30 以降を使用します。

SSL VPN-Plus インストール パッケージを変更できない
SSL VPN-Plus インストール パッケージの編集がパッケージの変更に適用されません。
回避策: 以下の手順に従います。

  1. インストール パッケージを編集するのではなく削除し、パラメータを変更した新しいインストール パッケージを作成します。
  2. お使いのコンピュータ上に SSL VPN クライアントがある場合には、その SSL VPN クライアントを削除します。
  3. コンピュータを再起動します。
  4. 新しいインストール パッケージをインストールします。

 

論理スイッチに関する問題

EAM エージェンシーの削除で問題が生じる
EAM エージェンシーを ESX Agent Manager(EAM)から適切に削除するには、EAM エージェンシーに対応するサービスをデプロイした NSX Manager を使用できる必要があります。
回避策:NSX Manager が使用可能であることを確認します。

ファイアウォール ルールで使用されている論理スイッチを削除する際、警告が表示されない
論理スイッチはファイアウォール ルールで使用されていても削除できます。ファイアウォール ルールには無効のマークが付きますが、論理スイッチは、ファイアウォール ルールで使用されているという警告なしで削除されます。

vShield Endpoint に関する問題

デプロイ後、vShield Endpoint サービス仮想マシンが NSX Manager との通信に失敗する
回避策:以下の手順に従います。

  1. クラスタの ESX Agents リソース プールからサービス仮想マシンを手動で削除します。
  2. [ ネットワークおよびセキュリティ] をクリックし、[ インストール] をクリックします。
  3. サービス デプロイ タブをクリックします。
  4. 該当するサービスを選択し、 [ 解決法] アイコンをクリックします。
    サービス仮想マシンが再度デプロイされます。

 

解決した問題

6.0.6 リリースでは、次の問題が解決されています。

  • Microsoft Clustering Service フェールオーバーが論理スイッチと正しく連動しない
    DAD (重複アドレス検出)プロセスの一環として仮想マシンが ARP プローブを送信するとき、VXLAN ARP 抑制層が ARP 要求に応答します。これにより IP アドレス取得が失敗し、結果的に DAD プロセスが失敗します。

6.0.5 リリースでは、次の問題が解決されています。

  • 必要に応じ、CVE-2014-0224、CVE-2014-0198、CVE-2010-5298 および CVE-2014-3470 に対処するために OpenSSL 1.0.1 を 1.0.1h に更新。
  • 必要に応じ、CVE-2014-0224、CVE-2014-0198、CVE-2010-5298 および CVE-2014-3470 に対処するために OpenSSL 0.9.8 をバージョン openssl-0.9.8za に更新。
  • リソース プール、クラスタまたは vApp 間の移行中に仮想マシンがネットワーク接続を失う。
    詳細については、「 vCloud Networking and Security 5.1.4、5.5.2 および NSX for vSphere 6.0.4 でのリソース プール、クラスタまたは vApp 間の移行中に仮想マシンがネットワーク接続を失う」を参照してください。
  • NSX Edge アップグレードが「ポート 22 は使用されています」というエラー メッセージにより失敗する
    ロード バランサーで NSX Edge をアップグレードしており、SSH が有効に設定され、ロード バランサー仮想サーバが「22」を含むポート(ポート 22、ポート 8228 など)をリスンするように設定されている場合、アップグレードは失敗します。
  • NSX/PAN サービス プロファイルが論理スイッチに適用されない
    Palo Alto NGFW サービスに対する適用オブジェクトとして論理スイッチを選択すると、サービス プロファイルは適用されません。
  • NSX Manager でのスタック オーバーフローにより NSX Manager が再起動することがある
    vShield Edge に対するテクニカル サポート ログの生成により、NSX Manager を再起動するスタック オーバーフローが発生することがあります。
  • 仮想マシンまたはホストがリソース プール間、またはクラスタ間で移動する場合、仮想マシンが接続を失うことがある
    仮想マシンがリソース プール間またはクラスタ間で移動されると、仮想マシンのパス変数が正しく設定されないことがあります。これにより、仮想マシンの接続が失われる場合があります。
  • 仮想マシン vNIC 接続がオンとオフに頻繁に切り替えられると、ホストがクラッシュすることがある
  • VSphere Web Client をポート 443 で構成すると、vSphere Web Client の [Networking & Security] タブにアクセスできない
    vSphere Web Client がポート 443 で構成されると、AMF チャネルが構成されていないため、Sphere Web Client から NSX Manager へのプロキシ呼び出しが通過しません。
  • パートナー サービスのデプロイ時に、vMotion がゲスト仮想マシンに対し失敗する
  • VXLAN ARP 抑制が特定のトラフィック パターンに対し失敗する可能性がある
    ARP エントリのデータプレーン ラーニングを行っている場合、VXLAN は既存の ARP キャッシュ エントリを更新します。これにより、コントローラ応答を待つ ARP エントリはコントローラに存在しなくなった場合でも、代わりにデータプレーン トラフィックから配置される可能性があります。