vShield 5.1 | 2012 年 9 月 10 日 | ビルド 807847

最終更新日: 2012 年 9 月 10 日

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

  • VXLAN ゲートウェイ: vShield Edge は、VXLAN 論理ネットワークを従来の VLAN ネットワークにマッピングする VXLAN ゲートウェイとして機能します。
  • マルチ インターフェイス サポート: 単一の vShield Edge 仮想マシンにおいて、複数の内部インターフェイスおよび外部インターフェイスを使用できます。
  • セカンダリ IP プール: vShield Edge インターフェイスへの非連続の IP ブロック割り当てを可能にします。これは、IP 名前空間の拡張に役立ちます。
  • ロード バランシングの機能拡張: vShield Edge は、機能強化された健全性チェックのオプションとともに、HTTPS および TCP のロード バランシングをサポートします。
  • DNS リレー: vShield Edge を、アプリケーションに対する外部ドメイン名の DNS 名前解決を提供する、転送 DNS サーバとして機能するように構成することが可能です。 クライアント アプリケーションの要求が ISP の DNS サーバに直接転送され、ISP の DNS からの応答をキャッシュします。
  • SSL VPN-Plus: リモート ユーザーはこの機能を使用してプライベートの企業アプリケーションにアクセスできます。
  • vShield Edge 高可用性: 2 台の vShield Edge 仮想マシンをアクティブ - パッシブ構成で作成することができるため、ステートフル フェイルオーバーによるデバイス レベルの復元力の達成およびサービスの可用性の向上が実現します。
  • 新規 vShield Edge CLI コマンド: 構成、機能とシステムに関する情報、ログ記録、トラブルシューティングに対応しています。 SSH CLI およびロール ベースのアクセス制御もサポートしています。
  • vShield Edge は、次の異なる複数のパフォーマンス レベルで利用可能です: [コンパクト] サイズおよび [ラージ] サイズによって、パフォーマンス レベルを選択できます。
  • 機能強化された vShield Edge のログ記録: トラブルシューティングを容易にします。
  • ハードウェア オフロード: vShield Edge は、Intel Westmere チップでのハードウェア アクセラレーションを利用して、AES 暗号化プロセスをオフロードします。
  • サービス挿入フレームワーク: 仮想環境にあらゆるベンダーのネットワーク サービス(WAN 最適化、アプリケーション デリバリ、高度なロード バランシングなど)、およびネットワーク セキュリティ サービス(高度なファイアウォール、侵入防止など)を挿入するための機能を備えています。
  • 新しい vShield App and および vShield Edge ファイアウォールの UI: 簡素化された UI により、ルールの操作が容易になります。
    • 新しいファイアウォール ルールのテーブル ビュー。
    • 複数のオブジェクトをソースおよびターゲットとして追加可能で、作成する必要があるルールの数が少なくなります。
    • 階層 1 アプリケーション サービス グループと vCenter コンテナから事前入力されたオブジェクトにより、ルールの作成が簡単です。
    • アイコン表示を導入したウィザードを介したルールの追加と変更、新規の順番変更オプション、ルールを選択的に有効化するためのオプションなどにより、ルール管理が簡素化されています。
    • ルールのオブジェクトをグループ化、検索、および選択するための新しい方法によって、より簡単にオブジェクトを操作できます。
    • トラフィック パターンに対する、ユーザー操作可能なフロー モニタリングとグラフィカルな洞察が得られます。

システム要件とインストール

システム要件とインストール手順の詳細については、『 vShield インストールとアップグレード ガイド 』を参照してください。

既知の問題

次の既知の問題は、厳密なテストで発見されたものであり、このリリースで起こる可能性のあるいくつかの動作を理解するのに役立ちます。

既知の問題は、以下のとおり、グループ化されます:

全般的な問題

ネットワーク インターフェイスの接続が切断され、再び接続された場合、vShield Manager が到達不能になる
vShield Manager vNic の接続をいったん切断してから再び接続すると、vShield Manager が vCenter Server と同期しなくなります。
回避策: vShield Manager を再起動してください。

vShield の管理者ロールが正常に機能しない
vShield の管理者ロールでは、vShield Edge 上の一部の操作(作成、構成、アップグレード)を実行できません。
回避策: vShield 5.0 または 5.0.1 においてロール委任を vShield の管理者ロールで実施した場合は、該当ユーザーの権限を Enterprise Administrator ロールに上げてください。

VXLAN 仮想ワイヤ用のクラスタを未準備状態にすると、ホストに対する vShield コンポーネントのインストール ステータスが失われる
VXLAN 仮想ワイヤを未準備状態にした後に再起動を行っていない場合、vShield コンポーネント(vShield App、vShield Endpoint、vShield Data Security)のインストール ステータスが正しく表示されません。
回避策: クラスタを未準備状態にした後に、ホストを再起動してください。

アンインストール時に vmservice-vswitch が削除されない
vShield コンポーネントをアンインストールしても vmservice-vswitch は削除されません。vmservice-vswitch は必要に応じて手動で削除できます。

vShield App を同じホストに再インストールすると古いフローがレポートされる
vShield App が同じホストに再インストールされると、以前の vShield App に対してレポートされた仮想マシンのフローが、現在の vShield App でもレポートされます。

vShield Manager に関する問題

vShield Manager を vCenter Server と連動するよう構成するのに非常に時間がかかる
vShield Manager を vCenter Server と連動するように構成すると、UI が更新されません。
回避策: ページを再ロードしてください。

vShield Endpoint に関する問題

SVM の健全性ステータスが正しくない
ホスト上の最後に保護されたゲスト仮想マシンがパワーオフになり、SVM に対する接続がまったく残っていない場合、SVM のステータスは不明になります。しかしながら、[vShield Endpoint の健全性およびアラーム] ページでは、SVM のステータスが間違って緑または赤として表示されます。

同一の UUID を持つ仮想マシンが複数存在する場合に、vShield Endpoint の健全性の監視と vShield Data Security が正しく機能しない
同一の UUID を持つ仮想マシンが複数存在している場合、vShield Endpoint は 1 台のみの仮想マシンが保護されているとレポートし、該当しないオブジェクトに対して vShield Data Security の違反がレポートされる場合があります。
回避策: 仮想マシンをコピーする場合は必ず仮想マシンをコピーしたことを明示するようにして、新規の UUID が生成されるようにします。また、コピー後に、仮想マシンの電源サイクルを(ソフト リブートではなく) 1 回実行します。

vShield App に関する問題

ホストの 1 つが dvSwitch の一部でない場合に vShield App のインストールが失敗する
vShield サービスの仮想マシンのインストールが、特定のシナリオで失敗することがあります。 データセンター内に DRS が有効なクラスタが 2 つあり、各クラスタがそれぞれホストを 2 つ持っているというシナリオを考えてみます。 dvSwitch を作成し、その dvSwitch に各クラスタからホストを 1 つ正常に追加しています。 このときに、前述の作成済み dvSwitch のポート グループ内に新規の仮想マシンをデプロイするか、vShield Edge をその vNIC とともにインストールすると、仮想マシンは作成されず、OVF ファイルがインポートされません。
回避策: DRS が有効の場合、同一のクラスタから少なくとも 2 つのホストを dvSwitch に追加するようにしてください。

vShield Edge に関する問題

vShield Edge が再デプロイされるか、コンパクト、ラージまたは x ラージに変換されると、vShield Edge の統計がリセットされる。
vShield Edge を再デプロイしたり、vShield Edge アプライアンスのサイズや構成を変更すると、vShield Edge 統計がゼロにリセットされます。 また、vShield Edge が HA モードのときに、ダウンしている仮想マシンがあると、統計に間違いが生じる可能性があります。

フル トンネルのログアウト後に Windows 7 64 ビット コンピュータがアクセス不能になる
フル トンネル モードでは、すべてのトラフィックが VPN トンネルを超えて送信されるようデフォルト ゲートウェイが変更されます。 SSL VPN クライアントからログアウトしても、Windows Vista 以降のコンピュータではデフォルト ゲートウェイが元の設定にリストアされません。
回避策: ネットワーク アダプタをいったん無効にして、有効にしてください。

vShield Manager の応答エラーのため、org vdc ネットワークを削除できない
vShield Edge がインストールされているリソース プールを削除することはできません。
回避策: アプライアンスの構成を修正して、リソース プールを削除する前に新しいリソース プールを反映してください。

vShield VXLAN 仮想ワイヤに関する問題

同じ vDS に接続したクラスタ外のホストが同期していないか応答しない場合、クラスタの準備が失敗する
VXLAN 仮想ワイヤの準備時に、vDS MTU 構成がスイッチ構成の一部として設定されます([VXLAN ネットワークのインフラストラクチャの準備] ダイアログ ボックス)。 ホストが vDS から切断されている場合、MTU の値を構成すると、DVS に追加されたホストのサブセットが到達不能な状態のため、vCenter Server からエラーが返されます。 これにより、残りの VXLAN の準備が停止します。
回避策: すべての VXLAN ホストを再接続して、クラスタの準備を再び行ってください。

VXLAN 仮想ワイヤ VIB のアンインストールやアップグレードでホストの再起動が要求される
vShield Manager からデプロイされた場合、アンインストールやアップグレードの事例が ESX Agent Manager エージェンシーのステータスおよび vShield Manager UI に表示されます。
回避策: ホストを再起動することで、VXLAN モジュールのアンインストールまたはアップグレードを続行できるようになります。

VXLAN 仮想ワイヤの準備およびサービス挿入の導入で、有効な vCenter 管理対象 IP と FQDN が要求される
回避策: 有効な vCenter 管理対象 IP アドレスを設定し、FQDN が解決可能または FQDN の設定が解除されていることを確認します。vCenter 管理対象 IP アドレスは [vCenter Server 設定] - [ランタイム設定] にあります。 FQDN は [vCenter Server 設定] - [詳細設定] - [FQDN] で表示可能です。

VXLAN 仮想ワイヤ用にネットワークを準備している際に、複数の VXLAN マルチキャスト アドレス範囲を指定できない
回避策: REST 呼び出しを使用して、複数のマルチキャスト アドレス範囲を指定してください。

vShield Data Security に関する問題

vCenter Server に既に接続されている vShield Manager においてバックアップのリストアが行われると、vShield Data Security アプライアンスが到達不能になる
回避策: 新たにデプロイした、vCenter Server に接続されていない vShield Manager でバックアップをリストアしてください。

少なくとも 1 つの規制を加えるまでは、データ セキュリティ スキャンを開始してはならない
規制をまったく選択せずに新たなデータ セキュリティ スキャンを開始すると、スキャンは実行されますが、違反が検出されません。
回避策: データ セキュリティ スキャンを実行する前に、少なくとも 1 つの規制を加えてください。

州の固有ポリシーがすべての州の米国運転免許証にマッチしてしまう
vShield Data Security で 1 つの米国の州のポリシーを有効にすると、他の州の運転免許証を含んでいるファイルが間違って違反ファイルとして認識されてしまいます。

インストール時に SVM の健全性ステータスが誤った状態になる
vShield Data Security SVM が vShield Manager によってデプロイされている場合、その処理の完了前に SVM に対して警告が出る場合があります。この警告は、SVM が起動して実行状態になると削除されます。

解決した問題

vShield 5.1 リリースでは、次の問題が解決されています。

  • vShield CLI の有効化パスワードが管理者ユーザーによって変更されている場合、そのパスワードは管理者ユーザーだけしか再変更できない
  • 既存のユーザーと同じ名前の新規ユーザーを作成できない
  • ホストがメンテナンス モードになっている場合、vShield App のアンインストールが失敗する
  • インストール中に vShield Edge 仮想マシンの移動が行われると、インストールが失敗する
  • 共通名(CN)に特殊文字が含まれていると VPN 構成が失敗する
  • vShield Endpoint をアンインストールすると vShield Data Security が動作を停止する
  • vShield Manager では表示やレポート用として UTF8 文字エンコードをサポートしない
  • バックアップ構成のリストア後に、vShield Data Security スキャンの開始と停止が機能しない