NSX for vSphere 6.1.3 リリース ノート

お問い合わせ

NSX for vSphere 6.1.3 | 2015 年 3 月 23 日 | ビルド 2591148

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

NSX vSphere 6.1.3 には、vSphere 6.0 との互換性があります。 しかし、vSphere 6.0 で導入された新しい vSphere の機能については、NSX vSphere を使用したテストを行っていません。 NSX vSphere がインストールされた環境では、新しい vSphere の機能はサポートされていないため、使用しないでください。 NSX vSphere の、vSphere 6.0に関する具体的な制限については、VMware ナレッジ ベースの記事 2110197 を参照してください。

システム要件とインストール

VMware 製品の相互運用性マトリクス 』では、VMware vCenter Server など、VMware 製品とコンポーネントの現在および以前のバージョンの互換性について詳細に説明しています。

NSX version 6.1.1 からアップグレードする場合、または環境内に Data Security がない場合は、このリリースにアップグレードする手順について『 NSX インストールとアップグレード ガイド』を参照してください。

NSX 6.1.1 よりも前のバージョンからアップグレードする場合、なおかつ環境内に Data Security がある場合は、以下の手順に従ってこのリリースにアップグレードします。

  1. Data Security がインストールされたすべてのクラスタから Data Security をアンインストールします。
  2. NSX Manager をバージョン 6.1.3 にアップグレードします。 詳細については、『 NSX インストールとアップグレード ガイド』を参照してください。
  3. 該当するクラスタで Guest Introspection などのサービスをインストールまたはアップグレードします。
  4. 該当するクラスタに Data Security をインストールします。
  5. 残りのコンポーネントをアップグレードします。 詳細については、『 NSX インストールとアップグレード ガイド』を参照してください。

 

解決した問題

6.1.3リリースでは、次の問題が解決されています。

  • 問題 1407210: 膨大な数の仮想マシンを同時にデプロイするとネットワーク アダプタ接続が失敗する
    デプロイ後の複数仮想マシンのフェイルオーバー試行が HA によって中止され、dvPort データがロードされません。 影響を受けた仮想マシンは、ネットワーク アダプタを切断した状態で開始するようにマークされます。 仮想マシンの構成が完全にロードされる前に、フラグ cleanPowerOff が誤って true に設定されるため、仮想マシンは HA で未保護のままにされます。 これは、hostd プロセスでロード数が非常に多い場合に発生します。
  • 問題 1365993: Distributed Firewall ルールが、ソースとターゲットのいずれかまたは両方のフィールドでセキュリティ グループを使用していると、仮想マシンで ESXi ホストから別のホストへの vMotion 移行後に最大で 30 秒間のネットワーク中断が発生する
    仮想マシンを vMotion で別のホストに移行すると、ターゲット ホストへの送信がファイアウォール ルールおよびコンテナ経由で行われるため、既存のセッションの動作が続行されます。 vMotion 動作の一部として、vCenter は仮想マシンの空の IP アドレスを NSX Manager に送信するため、仮想マシンの IP アドレスはファイアウォール コンテナからクリアされます。その結果、vCenter は IP アドレスを再認識し、NSX Manager に別の通知を送信するため、ファイアウォール コンテナは正しい IP アドレスで更新されます。 IP アドレスのクリアから再入力までの期間は、不正なポリシーがターゲット ホストの仮想マシンに適用される原因となり、接続は切断されます。
  • 問題 1301660: ログインまたはログオフ スクリプトを変更するとエラーが表示される
    ログインまたはログオフ スクリプトを変更すると、次のエラーが表示されます:
    ObjectNotFoundException: core-services:202: 要求されたオブジェクト: logon1.logoff が見つかりませんでした。 オブジェクト識別子では大文字と小文字が区別されます。
  • 問題 1312379: サブ インターフェースで有効になっているときに、プロトコルのアジャセンシが検出される場合と検出されない場合がある
    OSPF で、OSPF アジャセンシが確立せず、ツーウェイでスタックすることがよくあります。
    動的ルーティング プロトコルはサブ インターフェイスではサポートされません。
  • 論理ルータで Equal-Cost Multi-Path routing (ECMP) を有効にすると、ルータを制御する仮想マシンのファイアウォールが無効になる
    ECMP が [グローバル ルーティング] タブで有効にされていると、ファイアウォールは自動的に無効になります。

既知の問題

既知の問題は、以下のとおりにグループ化されます。

インストールとアップグレードの問題

問題 1375343: アップグレード後に SSO を再構成できない
NSX Manager で構成された SSO サーバが vCenter Server でネイティブである場合、vCenter Server のバージョン 6.0 へのアップグレードおよび NSX Manager のバージョン 6.1.3 へのアップグレード後に、SSO 設定を NSX Manager で再構成できません。
回避策: なし。

問題 1396592: vCenter Server 6.0 および ESX 6.0 を使用する場合、バージョン付きのデプロイ仕様で 6.0.x への更新が必要になる。
vCloud Networking and Security に NetX ソリューションを登録されたパートナー様は、対応する OVF に 6.0.x の VersionedDeploymentSpec を含めるために登録を更新してください。
回避策: 基本構成が vSphere 5.5 を使用した 5.5.x で、vCloud Networking and Security から NSX へのアップグレード前にインフラストラクチャをアップグレードしていた場合は、以下の手順に従います。

  1. vSphere を 5.5 から 6.0 にアップグレードします。
  2. 以下の API 呼び出しを使用して、6.0.x のバージョン付きのデプロイ仕様を追加します。
    POST https://<vCNS-IP>/api/2.0/si/service/<service-id>/servicedeploymentspec/versioneddeploymentspec
    <versionedDeploymentSpec>
    <hostVersion>6.0.x</hostVersion>
    <ovfUrl>http://engweb.eng.vmware.com/~netfvt/ovf/Rhel6-32bit-6.1svm/Rhel6-32bit-6.1svm.ovf</ovfUrl>
    <vmciEnabled>true</vmciEnabled>
    </versionedDeploymentSpec>
  3. 以下の REST 呼び出しを使用してサービスを更新します。
    POST https://<vsm-ip>/api/2.0/si/service/config?action=update
  4. 以下の手順で EAM アラームを解決します。
    1. vSphere Web Client で [ホーム] をクリックします。
    2. [管理] をクリックします。
    3. [ソリューション] で、[vCenter Server 拡張機能] を選択します。
    4. [vSphere ESX Agent Manager] をクリックして、[管理] タブをクリックします。
    5. 失敗したエージェンシーのステータスで右クリックして、[すべての問題の解決] を選択します。

 

問題 1393503: NSX vSphere を 6.0.7 から 6.1.3 にアップグレードした後、vSphere Web Client がログイン画面でクラッシュする
VSM を 6.0.7 から 6.1.3 にアップグレードした後、vSphere Web Client UI のログイン画面に例外が表示されます。 ユーザーは、vCenter または NSX Manager のいずれかでログインと操作の実行ができなくなります。
回避策: VCVA に root でログインし、vSphere Web Client サービスを再起動します。

問題 1402307: NSX vSphere のアップグレード プロセス中に vCenter を再起動すると、[クラスタのステータス] に誤った内容が表示される
アップグレード中に NSX が準備されたクラスタが複数ある環境でホストの準備を実行し、1 つ以上のクラスタが準備された後に vCenter Server を再起動した場合、他のクラスタの [クラスタのステータス] に [更新] リンクが表示されず、「準備ができていません」と表示される場合があります。 vCenter のホストにも「再起動が必要です」と表示されることがあります。
回避策: ホストの準備中には vCenter を再起動しないでください。

問題 1288506: vCloud Networking and Security 5.5.3 を NSX vSphere 6.0.5 以降にアップグレードした後、DSA-1024 のキーサイズを持つ SSL 証明書を使用すると、NSX Manager が開始されない
DSA-1024 のキーサイズを持つ SSL 証明書は、NSX vSphere 6.0.5 以降ではサポートされないため、アップグレードは失敗します。
回避策: アップグレードの前に、サポートされているキーサイズを持つ新しい SSL 証明書をインポートします。

問題 1278690: L2 VPN が Edge で有効な場合、NSX Edge のアップグレードに失敗する
L2 VPN 構成の 5.x または 6.0.x から 6.1 への更新はサポートされていません。 そのため、Edge で L2 VPN が構成されている場合はアップグレードに失敗します。
回避策: NSX Edge をアップグレードする前に L2 VPN 構成を削除します。 アップグレード後、L2 VPN を再構成します。

問題 1266433: SSL VPN がアップグレード通知をリモート クライアントに送信しない
SSL VPN ゲートウェイはアップグレード通知をユーザーに送信しません。 管理者は、SSL VPN ゲートウェイ(サーバ)が更新されたこととリモート ユーザーは自分のクライアントを更新しなければならないことを、リモート ユーザーに手作業で通知する必要があります。

問題 1169078: NSX をバージョン 6.0 から 6.0.x または 6.1 にアップグレードした後、NSX Edge が UI にリストされない
NSX 6.0 から NSX 6.0x または 6.1 にアップグレードした場合、vSphere Web Client プラグインが正しくアップグレードされていない可能性があります。 これにより、NSX Edge が表示されないなど、UI の表示問題が発生することがあります。
NSX 6.0.1 以降からアップグレードする場合、この問題は発生しません。
回避策: 以下の手順に従います。

  1. vSphere Server で、次の場所に移動します:
    /var/lib/vmware/vsphere-client/vc-packages/vsphere-client-serenity
  2. 次のフォルダを削除します:
    com.vmware.vShieldManager-6.0.x.1546773
    com.vmware.vShieldManager-6.0.1378053
  3. vSphere Web Client サービスを再起動します。
これにより最新のプラグイン パッケージがデプロイされます。

 

問題 1088913:vSphere Distributed Switch MTU が更新されない
クラスタの準備時に vSphere Distributed Switch の MTU よりも小さい MTU 値を指定した場合、vSphere Distributed Switch はこの値に更新されません。 これは、フレーム サイズがより大きい既存のトラフィックが誤ってドロップされないようにするためです。
回避策: クラスタの準備時に指定する MTU が vSphere Distributed Switch の現在の MTU 以上であることを確認します。 VXLAN に必要な最小 MTU は 1550 です。

問題 1088913: 環境内に準備されていないクラスタがある場合、Distributed Firewall のアップグレード メッセージが [インストール] ページの [ホストの準備] タブに表示されない
ネットワーク仮想化のためにクラスタを準備すると、これらのクラスタで Distributed Firewall が有効になります。 環境内に準備されていないクラスタがある場合、Distributed Firewall のアップグレード メッセージは [ホストの準備] タブに表示されません。
回避策: 次の REST 呼び出しを使用して、Distributed Firewall をアップグレードします。
PUT https://vsm-ip/api/4.0/firewall/globalroot-0/state

問題 1215460: vCloud Networking and Security 5.5 から NSX へのアップグレード時にサービス グループが Edge Firewall テーブルで展開される
ユーザーが作成したサービス グループはアップグレード時に Edge Firewall テーブルで展開されます。つまり、ファイアウォール テーブルの [サービス] 列にサービス グループ内のすべてのサービスが表示されます。 サービス グループがアップグレード後に変更され、サービスが追加または削除されると、これらの変更はファイアウォール テーブルで反映されません。
回避策: 以下の手順に従います。

  1. アップグレード後に [グループ オブジェクト] タブでサービス グループを再度作成します。
  2. 影響を受けるファイアウォール ルールについて [サービス] 列を編集し、該当するサービス グループを指定します。

 

問題 1088497: Guest Introspection のインストールがエラーで失敗する
クラスタで Guest Introspection をインストールする場合、インストールは次のエラーで失敗します。
VIB モジュールの無効なフォーマット
回避策: vCenter Web Client で、[vCenter Home] - [ホストおよびクラスタ] に移動し、「再起動が必要」と表示されるホストを再起動します。

[インストール] ページの [サービス デプロイ] タブを使用してデプロイされたサービス仮想マシンがパワーオンにならない
回避策: 以下の手順に従います。

  1. クラスタの ESX Agents リソース プールからサービス仮想マシンを手動で削除します。
  2. [ ネットワークおよびセキュリティ] をクリックし、[ インストール] をクリックします。
  3. サービス デプロイ タブをクリックします。
  4. 該当するサービスを選択し、 [ 解決法] アイコンをクリックします。
    サービス仮想マシンが再度デプロイされます。

 

問題 1312562: 6.0.x で作成されたサービス プロファイルがセキュリティ グループと分散ポートグループの両方、または論理スイッチにバインドされる場合、NSX 6.1 へのアップグレード後、Service Composer ファイアウォール ルールが非同期になる
6.0.x でサービス プロファイルをセキュリティ グループと分散ポートグループの両方、または論理スイッチにバインドした場合、6.1 にアップグレードした後、Service Composer ルールが非同期になります。 ルールは Service Composer UI から公開できません。
回避策: 以下の手順に従います。

  1. サービス定義 UI を利用し、分散ポートグループまたは論理スイッチからサービス プロファイルをバインド解除します。
  2. 新しいセキュリティ グループを作成し、そのセキュリティ グループのメンバーとして必要な分散ポートグループまたは論理スイッチを設定します。
  3. サービス定義 UI を利用し、サービス プロファイルを新しいセキュリティ グループにバインドします。
  4. Service Composer UI を利用し、ファイアウォール ルールを同期します。

 

全般的な問題

問題 1411125: ゲスト仮想マシンをパワーオンできない
ゲスト仮想マシンをパワーオンするときに、「現在、必要なすべてのエージェント仮想マシンがデプロイされていない」という内容のエラーが表示される場合があります。
回避策: 以下の手順に従います。

  1. vSphere Web Client で [ホーム] をクリックします。
  2. [管理] をクリックします。
  3. [ソリューション] で、[vCenter Server 拡張機能] を選択します。
  4. [vSphere ESX Agent Manager] をクリックして、[管理] タブをクリックします。
  5. [解決] をクリックします。

 

問題 1301627: セキュリティ ポリシー名で 229 文字を超える名前が許容されない
Service Composer の [セキュリティ ポリシー] タブのセキュリティ ポリシー名のフィールドでは、229 文字までが許容されています。 これは、ポリシー名には内部で先頭にプレフィックスが付加されるためです。
回避策: なし。

NSX Manager に関する問題

問題 1386874: vSphere を 6.0 にアップグレードすると、NSX Manager が起動されない
vSphere 6.0 は root ユーザー名を許可しないため、root としてログインできる場合、NSX Manager は開始されません。
回避策: ユーザー名 administrator@vsphere.local でログインします。

問題 1317814: Service Manager の 1 つがダウンしているときにポリシーに変更が加えられると、Service Composer が同期されなくなる
これは、複数のサービス/Service Manager が登録されたインスタンスと、様々なサービスを参照するポリシーが作成されていることに関係しています。 Service Manager の 1 つがダウンしているときに、該当するポリシーに Service Composer で変更を加えると、ダウンしている Service Manager へのコールバックに失敗するため、変更は失敗します。 したがって、Service Composer は同期されなくなります。
回避策: 該当する Service Manger が応答していることを確認し、Service Composer から強制同期を発行してください。

問題 1070905: Guest Introspection およびサードパーティ製セキュリティ ソリューションで保護されたクラスタでホストを削除して再追加できない
Guest Introspection およびサードパーティ製セキュリティ ソリューションで保護されたクラスタからホストを削除する場合に、vCenter Server からホストを切断して削除すると、同じホストを同じクラスタに再追加しようとしたときに問題が生じることがあります。
回避策: 保護されたクラスタからホストを削除するには、まず、ホストをメンテナンス モードにします。 次に、保護されていないクラスタにホストを移動するか、すべてのクラスタの外に移動してから、ホストを切断して削除します。

問題 1027066:NSX Manager の vMotion に「 仮想イーサネット カード ネットワーク アダプタ 1 はサポートされていません」というエラーが表示される
このエラーは無視してかまいません。 vMotion 後、ネットワークは適切に動作します。

問題 1091117: NSX Manager バックアップのリストア後にサードパーティ製のサービスを削除できない
サードパーティ製のサービスのデプロイは、リストアされた状態の NSX Manager にサードパーティ製のサービス登録が含まれている場合に限り、vSphere Web Client から削除できます。
回避策: すべてのサードパーティ製のサービスを登録した後に NSX Manager データベースのバックアップを取ります。

NSX Edge に関する問題

問題 1399955: スタンドアローン NSX Edge のアップグレードがサポートされない
回避策: ユーザーは新しい Edge OVF をデプロイしてアプライアンス設定を再構成する必要があります。

問題 1399863: IPsec VPN チャネルのローカルおよびリモート サブネットにある直接的な集約ネットワークが削除されると、ピア Edge の間接的なサブネットへの集約ルートも表示されない
Edge にデフォルトのゲートウェイがなく、IPsec を構成しているときに、ローカルのサブネットおよびリモート サブネットの一部にあるすべての直接接続のサブネットを削除すると、残ったピアのサブネットに IPsec VPN でアクセスできなくなります。
回避策: NSX Edge の IPsec VPN を無効にしてから再度有効にします。

問題 1395183: SSL VPN Plus のログイン/ログオフ スクリプトの変更が動作しない
スクリプトの変更は NGC UI に正しく反映されますが、ゲートウェイには反映されません。
回避策: 元のスクリプトを削除して再度追加します。

問題 1364996: OS X Yosemite 向けの SSL VPN Mac クライアントに証明書の認証エラーが表示される
Yosemite では /Library/StartupItems/ が起動アイテムとして使用されないため、VMware の起動スクリプトはマシンが起動しても実行されません。
回避策: 以下の手順に従います。

  1. 以下のコマンドを実行して kext-dev-mode を設定します
    sudo nvram boot-args="kext-dev-mode=1"
  2. マシンを再起動します。
  3. クライアントをインストールします。

 

問題 1278437: プロトコルを介して学習されたルートを「接続」として追加すると、ローカルの転送情報ベース (FIB) テーブルに、「接続」ルートと「動的に学習」ルートの両方が表示される
プロトコルを介してすでに学習されたルートを「接続」として追加すると、ローカルの FIB に「接続」ルートと「動的に学習」ルートの両方が表示されます。 動的学習ルートは、直接接続ルートより優先されるルートとして表示されます。
回避策: ルート通知から学習ルートを取り消し、学習ルートは FIB テーブルから削除します。その後、接続ルートのみを構成します。

問題 1288487: 1 つのサブ インターフェイスが論理スイッチによってバックアップされている NSX Edge 仮想マシンが vCenter Web Client ユーザー インターフェイスを使用して削除されると、同じポートに接続している新しい仮想マシンに対しデータ パスが機能しないことがある
Edge 仮想マシンが vCenter Web Client ユーザー インターフェイスを使用して(NSX Manager からではなく)削除されると、不透明チャネル上の dvPort で構成されている vxlan トランクがリセットされません。 これは、トランクの構成が NSX Manager で管理されているためです。
回避策: 次の手順に従って、vxlan トランク構成を手動で削除します。

  1. ブラウザ ウィンドウで次のように入力して、vCenter Managed Object Browser に移動します:
    https:// vc-ip/mob?vmodl=1
  2. 内容 をクリックします。
  3. 下の手順に従って、dvsUuid 値を取得します。
    1. rootFolder リンクをクリックします(例: group-d1(Datacenters))。
    2. データセンター名リンクをクリックします(例: datacenter-1)。
    3. networkFolder リンクをクリックします(例: group-n6)。
    4. DVS 名リンクをクリックします(例: dvs-1)。
    5. uuid の値をコピーします。
  4. DVSManager をクリックし、次に updateOpaqueDataEx をクリックします。
  5. selectionSet に次の XML を追加します。
    <selectionSet xsi:type="DVPortSelection">
            <dvsUuid> value</dvsUuid>
            <portKey> value</portKeyv <!--port number of the DVPG where trunk vnic got connected-->
    </selectionSet>
  6. opaqueDataSpec に次の XML を追加します。
    <opaqueDataSpec>
            <operation>remove</operation>
            <opaqueData>
                <key>com.vmware.net.vxlan.trunkcfg</key>
                <opaqueData></opaqueData>
            </opaqueData>
    </opaqueDataSpec>
  7. isRuntime を [false] に設定します。
  8. メソッドの起動 をクリックします。
  9. 削除済みの Edge 仮想マシンで構成されたトランク ポートごとに手順 5~8 を繰り返します。

デフォルトの発信元が有効になっている場合、デフォルト ルートを拒否するための BGP フィルタが適用されない
NSX Edge で BGP デフォルトの発信元が有効になっている場合、デフォルト ルートが無条件にすべての BGP ネイバーに通知されます。 BGP ネイバーでこの BGP スピーカによって通知されたデフォルト ルートをインストールしない場合、BGP ネイバーでデフォルト ルートを拒否するように受信ポリシーを構成する必要があります。
回避策: 適切な BGP ネイバーでデフォルト ルートを拒否するように受信ポリシーを構成します。

問題 1265605 および 1265548: 論理ルータのブリッジまたはテナント名に非 ASCII 文字を追加できない
NSX コントローラ API は非 ASCII 文字に対応していません。
回避策: ブリッジおよびテナント名に ASCII 文字を使用します。 その後、非 ASCII 文字を含むように名前を編集できます。

問題 1278728: サブ インターフェイスで構成された SNAT およびロード バランサー(L4 SNAT 付き)が動作しない
SNAT ルール構成が NSX Edge に渡されますが、RP フィルタ チェックが原因でこのルールのデータ パスが動作しません。
回避策: VMware Support にお問い合わせいただき、NSX Edge の RP フィルタ チェックを緩和する方法をお尋ねください。

問題 1275788: L2 VPN 経由で出口の最適化が有効になっている場合、プール メンバーがサイト全体に分散されているロード バランサーがダウンとして表示される
出口の最適化では、L2 VPN クライアントとサーバの内部 IP アドレスは同じになります。 このため、プール メンバーからロード バランサーへのパケットは NSX Edge に到達しません。
回避策: 次のいずれかの操作を行います。

  • 出口の最適化を無効にします。
  • 出口の最適化 IP アドレスとは異なる IP アドレスをロード バランサーに割り当てます。

問題 1113491: next hop アドレスが指定されていない場合、固定ルートがホストにプッシュされない
この UI では、next hop アドレスを指定せずに、NSX Edge デバイス上で固定ルートを作成できます。 next hop アドレスを指定しない場合、固定ルートはホストにプッシュされません。
回避策: 固定ルートに対し、必ず next hop アドレスを指定します。

問題 1113755: グローバル スコープで定義されたセキュリティ グループまたは他のグループ オブジェクトを使用して、NSX ファイアウォールを構成することができない
NSX Edge スコープで定義された管理者ユーザーは、グローバル スコープで定義されたオブジェクトにアクセスすることはできません。 たとえば、ユーザー abc が Edge スコープで定義され、Security Group sg-1 がグローバル スコープで定義された場合、 abc は NSX Edge のファイアウォール構成で sg-1 を使用することはできません。
回避策: 管理者は、NSX Edge スコープのみで定義されたグループ オブジェクトを使用するか、NSX Edge スコープでグローバル スコープ オブジェクトのコピーを作成する必要があります。

問題 1089745: 論理ルータ OSPF が無効になっている場合でも、論理ルータ LIF のルートがアップストリーム Edge Services Gateway により通知される
論理ルータ OSPF が無効になっている場合でも、アップストリーム Edge Services Gateway は、論理ルータ接続インターフェイスから学習した OSPF 外部 LSA を引き続き通知します。
回避策: OSPF プロトコルを無効にする前に、OSPF への接続ルートの再配分を手動で無効にし、発行します。 これにより、ルートは適切に廃止されます。

問題 1082549: Edge Services Gateway で HA が有効になっている場合、それぞれ 30 秒または 120 秒以外の値に構成された OSPF hello/dead 間隔がフェイルオーバー中にトラフィックの喪失を引き起こす
OSPF を実行し、HA が有効な状態でプライマリ NSX Edge に障害が発生すると、引き継ぎ待機に必要な時間がグレースフル リスタートのタイムアウトを超過し、OSPF ネイバーで転送情報ベース (FIB) テーブルから学習済みのルートが削除されます。 その結果、OSPF が再収束するまで、データプレーンは停止したままになります。
回避策: すべての隣接ルータでデフォルトの hello 間隔タイムアウトを 30 秒に、dead 間隔タイムアウトを 120 秒に設定します。 これにより、トラフィックを失うことなく、グレースフル フェイルオーバーを実現できます。

問題 1088400: 論理ルータ インターフェイスへの複数の IP アドレスの追加はサポートされていないのに、UI で追加できる
このリリースの論理ルータ インターフェイスは複数の IP アドレスをサポートしていません。
回避策: なし。

問題 1078618: SSL VPN で証明書失効リスト(CRL)がサポートされない
CRL を NSX Edge に追加できますが、この CRL は SSL VPN で使用されません。
回避策: CRL はサポートされていませんが、クライアント証明書認証でユーザー認証を有効にできます。

問題 859909: 外部認証サーバを SSL VPN-Plus に追加するとき、ホスト名ではなく、IP アドレスを使用する必要がある
外部認証サーバの FQDN またはホスト名を使用することはできません。
回避策: 外部認証サーバの IP アドレスを使用する必要があります。

ファイアウォールに関する問題

問題 1109671: REST API 呼び出しを使用してファイアウォール構成を削除する場合、保存した構成をロードして発行することができない
ファイアウォール構成を削除すると、新しいデフォルトのセクションが新しいセクション ID で作成されます。 保存したドラフト(セクション名は同じでセクション ID が古い)をロードすると、セクション名が競合して以下のエラーが表示されます。
重複するキーの値が一意性制約に違反しています firewall_section_name_key
回避策: 次のいずれかの処理を行います。

  • 保存された構成をロードした後、現在のデフォルトのファイアウォール セクションの名前を変更します。
  • ロードした保存済み構成で発行前にデフォルトのセクションの名前を変更します。

 

Distributed Firewall で IPFIX 構成が有効になっている場合、vDS または SNMP のネットフローの ESXi 管理インターフェイスでファイアウォール ポートが削除される場合がある
IPFIX にコレクタ IP およびポートが定義されている場合、指定された UDP コレクタ ポートの送信方向で ESXi 管理インターフェイスのファイアウォールが開かれています。 この操作により、次のサービスの ESXi 管理インターフェイス ファイアウォール上の動的ルールセット構成が事前に ESXi ホスト上で設定されていた場合、削除される可能性があります。

  • vDS 上のネットフロー コレクタ ポート構成
  • SNMP ターゲット ポート構成
回避策: 動的ルールセットのルールを再追加するには、vCenter Web Client で vDS のネットフロー設定を更新する必要があります。 また、esxcli システムの SNMP コマンドを使用して、SNMP ターゲットを再度追加する必要があります。 IPFIX 構成が有効になった後 ESXi ホストが再起動される場合、または esx-vsip VIB がホストからアンインストールされている場合、この操作を繰り返す必要があります。

 

論理スイッチに関する問題

API の呼び出しを同時に使用して膨大な数の論理スイッチを作成すると、一部が失敗することがある
この問題は、以下の API 呼び出しを使用して膨大な数の論理スイッチを作成した場合に発生することがあります。
POST https://<nsxmgr-ip>/api/2.0/vdn/scopes/scopeID/virtualwires
一部の論理スイッチは作成されない可能性があります。
回避策: API 呼び出しを再実行します。

サービス デプロイの問題

問題 1110295: 古いサービスの仮想マシンが機能していない
vCenter Server からのホストの削除中にホストに残された古いサービスの仮想マシンが、ホストを同じ vCenter Server に再追加したときに切断されたままになり、機能することができません。
回避策: 以下の手順に従います。

  1. ホストを保護されたクラスタから保護されていないクラスタまたはすべてのクラスタの外に移動させます。 これにより、サービスの仮想マシンがホストからアンインストールされます。
  2. vCenter Server からホストを削除します。