NSX for vSphere 6.1 リリース ノート

お問い合わせ

NSX for vSphere 6.1 | 2014 年 9 月 11 日 | ビルド 2107742

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

NSX vSphere 6.1 には、複数の新機能、操作、消費および強化拡張機能が含まれています。

  • 高速アップリンクの高可用性の NSX Edge クラスタ
    Equal Cost Multi-Path (ECMP)
    NSX は、高可用性の分散型 NSX Edge クラスタを作成し、物理ネットワークに高帯域アップリンク接続し、ネットワーク仮想化エッジでアクティブ/アクティブの冗長性を実現させる、すべてが揃ったソフトウェアです。NSX Edge の ECMP により、最大 80 GBps の集約垂直方向帯域幅を実現し、スケールアウト エッジを可能にします。
  • マイクロセグメンテーションとファイアウォール動作の機能強化
    NSX 6.1 では、NSX の Distributed Firewall と Edge Firewall によりプロビジョニング、トラブルシューティング、監視の各機能が改善され、マイクロセグメンテーション機能が向上しています。Distributed Firewall と Edge Firewall の両方を設定するための新しい統合インターフェイスが追加されました。NSX と vCAC 6.1 の統合により、セキュリティの自動化ワークフローとコンピューティングの自動化が統合されます。また、NSX 6.1 では、次世代ファイアウォールや侵入防止サービスなど、ネットワークやセキュリティのパートナー製品にトラフィックをリダイレクトできます。
  • Software Defined Datacenter (SDDC) による複数のデータセンター接続またはハイブリッド クラウド サービスの提供
    NSX Edge のレイヤー 2 VPN
    レイヤー 2 VPN を利用すれば、企業はワークロードを移行し、データセンターを統合し、複数のデータセンター間でアプリケーション層を拡張できます。サービス プロバイダはテナント オンボードと Cloud Bursting サービスを提供できます。テナント アプリケーション ネットワークがデータセンター間で予約され、カスタマ プレミスでの NSX は不要です。
  • データセンター全体で統一された IP アドレス管理
    DHCP リレー
    DHCP リレーを利用すれば、物理データセンターで利用できる既存の DHCP サービスを SDDC に統合できます。統合すると、一貫した IP アドレス ポリシーが適用され、データセンター全体での IP 管理が簡単になります。NSX vSphere 6.1 では、単一の論理ルーターで複数の DHCP サーバがサポートされます。複数の既存 DHCP サーバを統合できます。
  • NSX ロード バランサー拡張
    NSX でホストされているアプリケーションの負荷を分散し、高可用性を実現するために、UDP と FTP の負荷分散機能が NSX に導入されました。これにより、syslog、NTP、DNS などのアプリケーションの負荷を分散できます。
  • Protect Application Delivery Controller (ADC) 投資と SDDC での投資のシームレスな活用
    パートナーとの強固な統合により ADCaaS を可能に
    NSX 6.1 では、NSX パートナー ADC を利用している顧客は、投資を守り、ベンダーの最善の組み合わせによる高度な ADC サービスを活用できます。この設定不要のソリューションにより、操作の簡素化、統合ワークフロー、リソースの自動割り当て、仮想 ADC と物理 ADC の両方をトラブルシューティングし、監視するための中央ペインが提供されます。
  • SDDC 内の高度なホストまたはネットワーク セキュリティ サービス
    Service Composer とのパートナー統合が強化され、1 つのポリシーで「ホスト対ネットワーク」ベースのサービスを構成するスイート ソリューションを含む、複数のセキュリティ サービスをサポートします。
  • SDDC の動的で安全なセルフサービス
    vCloud Automation Center ® を備えた NSX 6.1 では、セルフサービス アプリケーションを NSX 論理ネットワークに動的に接続することで、リソース利用率とスケールを最適化できます。同時に、インフラストラクチャ セキュリティ ポリシーが自動的に適用され、アプリケーションを分離し、保護します。
    機能の一覧については、VMware vCloud Automation Center リリース ノートを参照してください。
    1. vSphere Server で、次の場所に移動します:
      /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
    2. 次のフォルダを削除します:
      com.vmware.vShieldManager-6.0.x.1546773
      com.vmware.vShieldManager-6.0.1378053
    3. vSphere Web Client サービスを再起動します。
    1. アップグレード後に [グループ オブジェクト] タブでサービス グループを再度作成します。
    2. 影響を受けるファイアウォール ルールについて [サービス] 列を編集し、該当するサービス グループを指定します。
    1. クラスタの ESX Agents リソース プールからサービス仮想マシンを手動で削除します。
    2. [ ネットワークおよびセキュリティ] をクリックし、[ インストール] をクリックします。
    3. サービス デプロイ タブをクリックします。
    4. 該当するサービスを選択し、 [ 解決法] アイコンをクリックします。
      サービス仮想マシンが再度デプロイされます。
    1. サービス定義 UI を利用し、分散ポートグループまたは論理スイッチからサービス プロファイルをバインド解除します。
    2. 新しいセキュリティ グループを作成し、そのセキュリティ グループのメンバーとして必要な分散ポートグループまたは論理スイッチを設定します。
    3. サービス定義 UI を利用し、サービス プロファイルを新しいセキュリティ グループにバインドします。
    4. Service Composer UI を利用し、ファイアウォール ルールを同期します。
    1. ブラウザ ウィンドウで次のように入力して、vCenter Managed Object Browser に移動します:
      https:// vc-ip/mob?vmodl=1
    2. 内容 をクリックします。
    3. 下の手順に従って、dvsUuid 値を取得します。
      1. rootFolder リンクをクリックします(例: group-d1(Datacenters))。
      2. データセンター名リンクをクリックします(例: datacenter-1)。
      3. networkFolder リンクをクリックします(例: group-n6)。
      4. DVS 名リンクをクリックします(例: dvs-1)。
      5. uuid の値をコピーします。
    4. DVSManager をクリックし、次に updateOpaqueDataEx をクリックします。
    5. selectionSet に次の XML を追加します。
      <selectionSet xsi:type="DVPortSelection">
          <dvsUuid> value</dvsUuid>
          <portKey> value</portKeyv <!--port number of the DVPG where trunk vnic got connected-->
      </selectionSet>
    6. opaqueDataSpec に次の XML を追加します。
      <opaqueDataSpec>
          <operation>remove</operation>
          <opaqueData>
            <key>com.vmware.net.vxlan.trunkcfg</key>
            <opaqueData></opaqueData>
          </opaqueData>
      </opaqueDataSpec>
    7. isRuntime を [false] に設定します。
    8. メソッドの起動 をクリックします。
    9. 削除済みの Edge 仮想マシンで構成されたトランク ポートごとに手順 5~8 を繰り返します。
    1. ホストを保護されたクラスタから保護されていないクラスタまたはすべてのクラスタの外に移動させます。これにより、サービスの仮想マシンがホストからアンインストールされます。
    2. vCenter Server からホストを削除します。
    • Microsoft Clustering Service フェールオーバーが論理スイッチと正しく連動しない
      DAD (重複アドレス検出)プロセスの一環として仮想マシンが ARP プローブを送信するとき、VXLAN ARP 抑制層が ARP 要求に応答します。これにより IP アドレス取得が失敗し、結果的に DAD プロセスが失敗します。

       

    • NSX Manager がバックアップから正しく復旧されない
      NSX Manager をバックアップから復旧すると、論理ルータを制御する制御仮想マシンの通信チャネルが正しく復旧しません。そのため、論理スイッチとポートグループが論理ルータと接続できず、論理ルータが切断状態になります。
    • 論理ルーティング構成がステートレス環境で機能しない
      NSX とともにステートレス ESXi ホストを利用すると、NSX コントローラは、分散仮想スイッチが作成される前に、分散ルーティング構成情報をホストに送信することがあります。そのため、同期ができない状態になり、異なるスイッチの 2 つのホスト間の接続が失敗します。
    • デプロイした論理ルータ上で HA を有効にすると、ルータが ESXi ホスト上に配分したルートを失う
      HA を有効にするプロセスの一部として、ESXi ホスト上で論理ルータ インスタンスが削除され、再作成されます。インスタンスが再作成された後、ルータの制御仮想マシンからのルーティング情報は正確に再同期されません。このため、ルータが ESXi ホスト上に配分したルートを失います。
    • REST リクエストがエラー「 HTTP/1.1 500 内部サーバ エラー」により失敗する
      シングル サインオン (SSO) が正しく構成されていない場合、NSX が認証情報を検証できないため、すべての REST API 呼び出しが失敗します。
    • NSX Edge デバイス間を移動するときに、vSphere Web Client がハングする、または空白のページが表示される
    • HA が有効な論理ルータがアップグレードまたは再デプロイ後、ルートを再配分しない
      High Availability が有効になっている論理ルータをアップグレードまたは再デプロイするとき、ルータはルートを再配分しません。
    • 複数の NSX Edge アップリンク上で OSPF を構成できない
      複数の NSX Edge アップリンク上で OSPF を構成することはできません。
    • IPSec VPN の構成時にエラーが生じる
      IPSec VPN サービスを構成しているときに、エラー「
      [Ipsec] localSubnet: xxx.xxx.xx.x/xx に到達できません。固定ルーティングまたは内部 Edge インターフェイスのサブネットの 1 つを介して到達できる必要があります。」が表示されることがあります。
    • EAM エージェンシーの削除で問題が生じる
      EAM エージェンシーを ESX Agent Manager (EAM) から適切に削除するには、EAM エージェンシーに対応するサービスをデプロイした NSX Manager を使用できる必要があります。
    • ファイアウォール ルールで使用されている論理スイッチを削除する際、警告が表示されない
      論理スイッチはファイアウォール ルールで使用されていても削除できます。ファイアウォール ルールには無効のマークが付きますが、論理スイッチは、ファイアウォール ルールで使用されているという警告なしで削除されます。
    • ロード バランサー プール メンバーに警告メッセージが表示される
      ロード バランサー プール メンバーに警告メッセージが表示されても、トラフィックを処理できます。このメッセージは無視してかまいません。
    • 論理ルータにタグのないインターフェイスを構成できない
      論理ルータが接続する vSphere Distributed Switch の VLAN ID を 0 にすることはできません。
    • IPV6 の L2 VPN は今回のリリースではサポートされていません。
    • ソースまたはターゲットとして無効な論理スイッチを利用するファイアウォール ルールが表示される
      ファイアウォール ルールとは関係なく、論理スイッチを削除できます。論理スイッチの削除前に確認メッセージが表示されないため、ファイアウォール ルールで使用されていることを知らずに論理スイッチを削除してしまう可能性があります。
    • 5.5 から 6.0.x にアップグレードすると、拡張 LACP チーミングが有効になっている場合、VXLAN 接続が失敗する
      データセンターの少なくとも 1 つのクラスタで拡張 LACP チーミングが有効になっているとき、いずれかのクラスタの 2 つのホスト間の通信が影響を受けることがあります。この問題は、NSX 6.0.x から NSX 6.1 にアップグレードしたときには発生しません。
    • ポリシー構成はその構成が変更されるまで更新されません。
    • 出口の最適化を無効にします。
    • 出口の最適化 IP とは異なるロード バランサーの IP を割り当てます。
    • 保存された構成をロードした後、現在のデフォルトのファイアウォール セクションの名前を変更します。
    • ロードした保存済み構成で発行前にデフォルトのセクションの名前を変更します。
    • vDS 上のネットフロー コレクタ ポート構成
    • SNMP ターゲット ポート構成

    •  

    システム要件とインストール

    システム要件とインストール手順の詳細については『 NSX インストールとアップグレード ガイド 』を参照してください。
    VMware 製品の相互運用性マトリクス 』では、VMware vCenter Server など、VMware 製品とコンポーネントの現在および以前のバージョンの互換性について詳細に説明しています。

    解決した問題

    vShield 6.1 リリースでは、次の問題が解決されています。

    既知の問題

    既知の問題は、以下のとおりにグループ化されます。

    インストールとアップグレードの問題

    アプライアンス アップグレードで NSX Edge のバージョンまたは構成がアップグレードされない
    新しい仮想マシンの導入または既存の仮想マシンの置換(サイズ、リソース プール、データストア設定の変更など)を必要とする再導入とアップグレード以外の操作では、アプライアンスが最新のバージョンに置換されますが、完全アップグレードは行われません。
    回避策:NSX Manager をアップグレードしたら、NSX Edge をアップグレードしてから上記の操作を試みます。

    L2 VPN が Edge で有効な場合、NSX Edge のアップグレードに失敗する
    L2 VPN 構成の 5.x または 6.x から 6.1 への更新はサポートされていません。そのため、Edge で L2 VPN が構成されている場合はアップグレードに失敗します。
    回避策:NSX Edge をアップグレードする前に L2 VPN 構成を削除します。アップグレード後、L2 VPN を再構成します。

    SSL VPN がアップグレード通知をリモート クライアントに送信しない
    SSL VPN ゲートウェイはアップグレード通知をユーザーに送信しません。管理者は、SSL VPN ゲートウェイ(サーバ)が更新されたこととリモート ユーザーは自分のクライアントを更新しなければならないことを、リモート ユーザーに手作業で通知する必要があります。

    NSX をバージョン 6.0 から 6.0.x にアップグレードした後、NSX Edge が UI にリストされない
    NSX 6.0 から NSX 6.0x または 6.1 にアップグレードした場合、vSphere Web Client プラグインが正しくアップグレードしていない可能性があります。これにより、NSX Edge がないなど、UI の表示問題が発生することがあります。
    NSX 6.0.1 以降からアップグレードしている場合、この問題は発生しません。
    回避策:以下の手順に従います。

    これにより最新のプラグイン パッケージがデプロイされます。

     

    vSphere Distributed Switch MTU が更新されない
    クラスタの準備時に vSphere Distributed Switch の MTU よりも小さい MTU 値を指定した場合、vSphere Distributed Switch はこの値に更新されません。これは、フレーム サイズがより大きい既存のトラフィックが非意図的にドロップされないようにするためです。
    回避策:クラスタの準備時に指定する MTU が vSphere Distributed Switch の現在の MTU 以上であることを確認します。VXLAN に必要な最小 MTU は 1550 です。

    環境のすべてのクラスタが準備されていない場合、Distributed Firewall のアップグレード メッセージが [インストール] ページの [ホストの準備] タブに表示されない
    ネットワーク仮想化のためにクラスタを準備する場合、Distributed Firewall がこれらのクラスタに対し有効になっています。環境のすべてのクラスタが準備されていない場合、Distributed Firewall のアップグレード メッセージは [ホストの準備] タブに表示されません。
    回避策: 次の REST 呼び出しを使用して、Distributed Firewall をアップグレードします。
    PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

    vCloud Networking and Security 5.5 から NSX へのアップグレード時にサービス グループが Edge Firewall テーブルで展開される
    サービス グループを作成したユーザーがアップグレード時に Edge Firewall テーブルで展開されます。つまり、ファイアウォール テーブルの [サービス] 列にサービス グループ内のすべてのサービスが表示されます。サービス グループがアップグレード後に変更され、サービスが追加または削除されると、これらの変更はファイアウォール テーブルで反映されません。
    回避策:以下の手順に従います。

     

    Guest Introspection のインストールがエラーで失敗する
    クラスタで Guest Introspection をインストールする場合、インストールは次のエラーで失敗します。
    VIB モジュールの無効なフォーマット
    回避策:vCenter Web Client で、[vCenter Home] - [ホストおよびクラスタ] に移動し、「再起動が必要」と表示されるホストを再起動します。

    [インストール] ページの [サービス デプロイ] タブを使用してデプロイされたサービス仮想マシンがオンにならない
    回避策:以下の手順に従います。

     

    6.0.x で作成されたサービス プロファイルがセキュリティ グループと分散ポートグループの両方、または論理スイッチにバインドされる場合、NSX 6.1 へのアップグレード後、Service Composer ファイアウォール ルールが非同期になる
    6.0.x でサービス プロファイルをセキュリティ グループと分散ポートグループの両方、または論理スイッチにバインドした場合、6.1 にアップグレードした後、Service Composer ルールが非同期になります。ルールは Service Composer UI から公開できません。
    回避策:以下の手順に従います。

     

    全般的な問題

    NSX vSphere CPU ライセンスが VM ライセンスとして表示される
    NSX vSphere CPU 資格が [vSphere ライセンス] タブで VM 資格として表示されます。たとえば、100 個の CPU に対するライセンスを所有している場合、UI には 100 台の仮想マシンが表示されます。

    vSphere Web Client 5.5 サーバが再起動し、UI にアクセスできなくなる
    vCenter Server アプライアンスを使用しているか、vCenter Server を仮想マシン上で稼働している場合、アプライアンスまたは仮想マシンが特定の要件を満たさないと問題が生じることがあります。
    回避策:アプライアンスまたは仮想マシンに 12 GB 以上のメモリと論理コア を2 つ以上備えた Intel または AMD の x64 プロセッサ(それぞれの速度が 2 GHz 以上)が搭載されていることを確認してください。

    vSphere Web Client に「 操作を完了できません。詳細はイベント ログを確認してください」というエラーが表示される
    [サービス デプロイ] タブを使用して、Guest Introspection またはパートナー アプライアンスなどのサービスをインストールすると、vSphere Web Client で上記のエラーが表示されることがあります。  このエラーはインストールに影響を与えません。無視できます。

    Guest Introspection およびサードパーティ製セキュリティ ソリューションで保護されたクラスタでホストを削除して再追加できない
    Guest Introspection およびサードパーティ製セキュリティ ソリューションで保護されたクラスタからホストを削除する場合に、vCenter Server からホストを切断して削除すると、同じホストを同じクラスタに再追加しようとしたときに問題が生じることがあります。
    回避策:保護されたクラスタからホストを削除するには、まず、ホストをメンテナンス モードにします。次に、保護されていないクラスタにホストを移動するか、すべてのクラスタの外に移動してから、ホストを切断して削除します。

    NSX Manager に関する問題

    NSX Manager の vMotion に「 仮想イーサネット カード ネットワーク アダプタ 1 はサポートされていません」というエラーが表示される
    このエラーは無視してかまいません。vMotion 後、ネットワークは適切に動作します。

    NSX Manager バックアップのリストア時にサードパーティ製のサービスを削除できない
    サードパーティ製のサービスのデプロイは、リストアされた状態の NSX Manager にサードパーティ製のサービス登録が含まれている場合に限り、vSphere Web Client から削除できます。
    回避策:すべてのサードパーティ製のサービスを登録した後に NSX Manager データベースのバックアップを取ります。

    NSX Edge に関する問題

    論理ルータで Equal-Cost Multi-Path routing (ECMP) を有効にすると、ルータを制御する仮想マシンのファイアウォールが無効になる
    回避策:なし。

    動的ルーティング プロトコルがサブ インターフェイスでサポートされない
    回避策:なし。

    プロトコルを介して学習されたルートを「接続」として追加すると、ローカルの転送情報ベース (FIB) テーブルに、「接続」ルートと「動的に学習」ルートの両方が表示される
    プロトコルを介してすでに学習されたルートを「接続」として追加すると、ローカルの FIB に「接続」ルートと「動的に学習」ルートの両方が表示されます。動的学習ルートは、直接接続ルートに対して優先として表示されます。
    回避策:ルート通知から学習ルートを取り消し、学習ルートは FIB テーブルから削除します。その後、接続ルートのみを構成します。

    1 つのサブ インターフェイスが論理スイッチによってバックアップされている NSX Edge 仮想マシンが vCenter Web Client ユーザー インターフェイスを使用して削除されると、同じポートに接続している新しい仮想マシンに対しデータ パスが機能しないことがある
    Edge 仮想マシンが vCenter Web Client ユーザー インターフェイスを使用して(NSX Manager からではなく)削除されると、不透明チャネル上の dvPort で構成されている vxlan トランクがリセットされません。これは、トランクの構成が NSX Manager で管理されているためです。
    回避策:次の手順に従って、vxlan トランク構成を手動で削除します。

    デフォルトの発信元が有効になっている場合、デフォルト ルートを拒否するための BGP フィルタが適用されない
    NSX Edge で BGP デフォルトの発信元が有効になっている場合、デフォルト ルートが無条件にすべての BGP ネイバーに通知されます。BGP ネイバーでこの BGP スピーカによって通知されたデフォルト ルートをインストールしない場合、BGP ネイバーで受信ポリシーを構成して、デフォルト ルートを拒否する必要があります。
    回避策:適切な BGP ネイバーでデフォルト ルートを拒否するように受信ポリシーを構成します。

    Edge Services Gateway に BGP フィルタの暗黙の拒否ルールが作成されたが、論理ルータには作成されない
    Edge Services Gateway で BGP 送信ネイバー フィルタが構成されると、明示的な許可ポリシーを持つプリフィックスのみが通知されます。このため、暗黙の拒否ルールが自動的に作成されます。論理ルータでは、明示的にブロックされない限りすべてのプリフィックスが通知されます。
    回避策:BGP プロトコルを構成するとき、送信フィルタが作成されてもドロップする必要があるプリフィックスを指定します。

    論理ルータのブリッジまたはテナント名に非 ASCII 文字を追加できない
    NSX コントローラ API は非 ASCII 文字に対応していません。
    回避策:ブリッジおよびテナント名に ASCII 文字を使用します。その後、非 ASCII 文字を含むように名前を編集できます。

    サブインターフェイスで構成された SNAT およびロード バランサー(L4 SNAT 付き)が動作しない
    SNAT ルール構成が NSX Edge 上を通過しますが、このルールのデータ パスが RP フィルタ チェックのせいで動作しません。
    回避策:VMware Support にお問い合わせいただき、NSX Edge の RP フィルタ チェックを緩める方法をお尋ねください。

    L2 VPN 経由で出口の最適化が有効になっている場合、サイト全体に拡張されたプール メンバー付きのロード バランサーがダウンとして表示される
    出口の最適化では、L2 VPN クライアントとサーバの内部 IP は同じになります。このため、プール メンバーからロード バランサーへのパケットは NSX Edge に到達しません。
    回避策:次のいずれかの操作を行います。

    next hop アドレスが指定されていない場合、固定ルートがホストにプッシュされない
    この UI では、next hop アドレスを指定せずに、NSX Edge デバイス上で固定ルートを作成できます。next hop アドレスを指定しない場合、固定ルートはホストにプッシュされません。
    回避策:固定ルートに対し、必ず next hop アドレスを指定します。

    グローバル スコープで定義されたセキュリティ グループまたは他のグループ オブジェクトを使用して、NSX ファイアウォールを構成することができない
    NSX Edge スコープで定義された管理者ユーザーは、グローバル スコープで定義されたオブジェクトにアクセスすることはできません。たとえば、ユーザー abc が Edge スコープで定義され、Security Group sg-1 がグローバル スコープで定義された場合、 abc は NSX Edge のファイアウォール構成で sg-1 を使用することはできません。
    回避策:管理者は、NSX Edge スコープのみで定義されたグループ オブジェクトを使用するか、NSX Edge スコープでグローバル スコープ オブジェクトのコピーを作成する必要があります。

    論理ルータ OSPF が無効になっている場合でも、論理ルータ LIF のルートがアップストリーム Edge Services Gateway により通知される
    論理ルータ OSPF が無効になっている場合でも、アップストリーム Edge Services Gateway は、論理ルータ接続インターフェイスから学習した OSPF 外部 LSA を引き続き通知します。
    回避策:OSPF プロトコルを無効にする前に、OSPF への接続ルートの再配分を手動で無効にし、発行します。これにより、ルートは適切に廃止されます。

    Edge Services Gateway で HA が有効になっている場合、それぞれ 30 秒または 120 秒以外の値に構成された OSPF hello/dead 間隔がフェイルオーバー中にトラフィックの喪失を引き起こす
    OSPF を実行し、HA が有効な状態でプライマリ NSX Edge に障害が発生すると、引き継ぎ待機に必要な時間がグレースフル リスタートのタイムアウトを超過し、OSPF ネイバーで転送情報ベース (FIB) テーブルから学習済みのルートが削除されます。その結果、OSPF が再収束するまで、データプレーンは停止したままになります。
    回避策:すべての隣接ルータでデフォルトの hello/dead 間隔タイムアウトを、hello 間隔は 30 秒に、dead 間隔は 120 秒に設定します。これにより、トラフィックを失うことなく、グレースフル フェイルオーバーを実現できます。

    この UI では、サポートされていなくても論理ルータ インターフェイスに複数の IP アドレスを追加できる
    このリリースでは、論理ルータ インターフェイスへの複数の IP アドレスはサポートされていません。
    回避策:なし。

    ログインまたはログオフ スクリプトを変更するとエラーが表示される
    ログインまたはログオフ スクリプトを変更すると、次のエラーが表示されます:
    ObjectNotFoundException: core-services:202: 要求されたオブジェクト: logon1.logoff が見つかりませんでした。オブジェクト識別子では大文字と小文字が区別されます
    回避策:既存のスクリプトを削除し、パラメータを変更した新しいスクリプトを用意します。

    SSL VPN で証明書失効リスト(CRL)がサポートされない
    CRL を NSX Edge に追加できますが、この CRL は SSL VPN で使用されません。
    回避策:CRL はサポートされていませんが、クライアント証明書認証でユーザー認証を有効にできます。

    外部認証サーバを SSL VPN-Plus に追加するとき、ホスト名ではなく、IP アドレスを使用する必要がある
    外部認証サーバの FQDN またはホスト名を使用することはできません。
    回避策:外部認証サーバの IP アドレスを使用する必要があります。

    ファイアウォールに関する問題

    REST API 呼び出しを使用してファイアウォール構成を削除する場合、保存した構成をロードして発行することができない
    ファイアウォール構成を削除すると、新しいセクション ID で新しいデフォルト セクションが作成されます。保存したドラフト(セクション名は同じだがセクション ID が古い)をロードすると、セクション名が競合し、次のエラーが表示されます:
    重複するキーの値が一意性制約に違反しています firewall_section_name_key
    回避策:次のいずれかの操作を行います。

     

    Distributed Firewall で IPFIX 構成が有効になっている場合、vDS または SNMP のネットフローの ESXi 管理インターフェイスでファイアウォール ポートが削除される場合がある
    IPFIX にコレクタ IP およびポートが定義されている場合、指定された UDP コレクタ ポートの送信方向で ESXi 管理インターフェイスのファイアウォールが開かれています。この操作により、次のサービスの ESXi 管理インターフェイス ファイアウォール上の動的ルールセット構成が事前に ESXi ホスト上で設定されていた場合、削除される可能性があります。

    回避策:動的ルールセットのルールを再追加するには、vCenter Web Client で vDS のネットフロー設定を更新する必要があります。また、esxcli システムの SNMP コマンドを使用して、SNMP ターゲットを再度追加する必要があります。IPFIX 構成が有効になった後 ESXi ホストが再起動される場合、または esx-vsip VIB がホストからアンインストールされている場合、この操作を繰り返す必要があります。

     

    Guest Introspection に関する問題

    古いサービスの仮想マシンが機能していない
    vCenter Server からのホストの削除中にホストに取り残された古いサービスの仮想マシンが、ホストを同じ vCenter Server に戻して追加したときに切断されたままになり、機能することができません。
    回避策:次の手順に従います。