vCloud Networking and Security 5.1.3 | 2014 年 2 月 11 日 | ビルド 1563888

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

新機能

vCloud Networking and Security 5.1.3 パッチ リリースには、5.1.2.x のすべてのホット フィックス、および数多くの新しいバグ フィックスが含まれています。

システム要件とインストール

システム要件とインストール手順の詳細については、『vShield インストールとアップグレード ガイド』を参照してください。

既知の問題

次の既知の問題は、厳密なテストで発見されたものであり、このリリースで起こる可能性のあるいくつかの動作を理解するのに役立ちます。

既知の問題は、以下のとおり、グループ化されます:

vShield Manager に関する問題

vShield Manager のアップグレードはエラーが表示されて失敗する
vShield Manager が 4.1 から 5.0、さらに 5.1 にアップグレードされると、vShield Manager は vCenter Server に接続できず、UI には内部サーバ エラーが表示されます。
回避策: vCenter Server の認証情報を再入力します。接続が回復されない場合は、vShield Manager を再起動してください。

ポートが正しいフォーマットで入力されているにもかかわらず「データ フォーマットが無効です」というエラーが表示される
サービスを追加/作成しているときに、ポートを正しいフォーマットで入力しているにもかかわらず、「データ フォーマットが無効です」というエラーが表示されます。このエラーは、入力されたポートの数が上限の 15 ポートを超えると、発生することがあります。
回避策:サービスのポートが 15 を超える場合は、複数のサービスを作成してください。

修正または追加されたロールを表示するにはログアウトする必要がある
ユーザーがセッションにログインしている間に自分のロールを追加または修正すると、そのセッションではロールの変更が反映されません。
回避策:いったんログアウトし、再びログインしてから更新されたロールの割り当てを表示します。

ローカル ユーザーの削除または vCenter ユーザーに対するロールの割り当てを実行すると「内部サーバ エラー」と表示される
回避策:削除するユーザー アカウントを無効にします。

vShield App に関する問題

vShield App のアップグレード プロセス中に vCenter Server が使用できなくなると、アップグレードが失敗し、アップデート リンクが利用できない
vShield App アップグレード中にアップデート リンクが利用できない」を参照してください。

ホストに vShield App がインストールされていると、クラスタを準備できない
vShield App がインストールされていると、ホストはメンテナンス モードに切り替わることができないため、VXLAN 用のクラスタの準備に失敗します。

回避策:ホストを手動でメンテナンス モードに切り替えます。手動で起動されると、vShield App Appliance がシャットダウンされ、クラスタの準備を継続できるようになります。完了すると、ホストのメンテナンス モードが終了し、vShield App Appliance は通常どおりに動作を続行します。

 

vShield Edge に関する問題

2 つの異なる機能に別々の証明書を構成できない
2 つの異なる機能に対して別々の証明書を構成することはできません。たとえば、IPsec に証明書 (a)、SSL VPN に証明書 (b) を使用することはできません。
回避策:両方の機能に同じ証明書を使用して、一方の機能に対する証明書を変更します。

vShield Manager が 5.1.3 にアップグレードされ、Edge がまだ 5.0.2 の場合、CSR/証明書は作成できない
vShield Manager を 5.1.3 にアップグレードしても、Edge がまだ下位バージョンである場合、サイズが 512/1024 ビットの CSR を作成することはできません。
回避策:サイズが 2048 ビットおよび 3072 ビットの CSR を作成します。

解決した問題

5.1.3 パッチ リリースでは、次の問題が解決されました。

  • vShield Manager バージョン 5.1.1 では 2 つの中間ルート CA 証明書をインポートできない
  • バージョン 5.1.2a へのアップグレード以降、ルールでのプロビジョニングが増加する
  • 大規模なインベントリに関するトランザクションで DCN スレッドがオブジェクトをフラッシュしている状態ですべて停止するため、vShield Manager の CPU 使用率が 90% を超える
  • Edge TCP のアイドル タイムアウト値は 5.1.3 の REST API を使用して構成できる
  • vShield Manager カーネルが実行されているストレージに問題がある場合、またはディスク タイムアウト値が低いことが原因でストレージが使用できない場合、vShield Manager カーネル パニックが発生する。新しい値は、120 秒に設定されます。
  • セキュリティ グループのメンバーであるポート グループでは、MAC アドレスのグループ化 (mac-set) が更新されない
  • [市区町村名] および [都道府県名] のフィールドが Null の証明書署名要求が生成される
  • vCloud Director ライセンス「vCloud Networking and Security - Networking for VCD」を使用すると、新しい Org VDC 隔離ネットワークが作成できず、エラー「VSM 応答エラー (214):エンティティ vcloud-netsec、機能 vxlan、アドオンへのライセンスがありません」が表示されて失敗する
  • vMotion を使用して仮想マシンを、vShield App をインストールしていない ESXi ホストから vShield App がインストールされた ESXi ホストに移行した後、仮想マシンのネットワーク接続が失われる
  • vShield Manager が VMInfo メッセージで無効な VNIC UUID を送信することが原因で、vShield App のインストールが失敗する
  • vMotion を使用して移行した直後、仮想マシンがネットワークに接続できないか、DHCP アドレスを取得できない。DHCP アドレスを取得できるようにするには、強制同期が必要です。
  • vShield App を同じ ESXi ホストにインストールすると、サードパーティ製アンチウイルス オフロード製品への接続に影響が及ぶ
  • vMotion を使用して移行した直後、仮想マシンがネットワークに接続できないことがある
  • ファイアウォール ルールのプロビジョニングに時間がかかる
  • 短縮されたイーサネット トレーラーが指定されたパケットを含むトラフィックが仮想マシンでブロックされる
  • vSM や vSA のパワーオフ、vSA vnic の切断、ESXi ホストのパワーオフの組み合わせなど、エンド ユーザーの構成に誤りがあるため同期が取れなくなることにより、主要なインフラストラクチャ コンポーネント間で vSA が通信できなくなった後、何もルールが設定されていない、あるいはすべてのルールが通信を許可するように設定されているにもかかわらず、vShield App でトラフィックがブロックされる
  • vSA カーネルが実行されているストレージに問題がある場合、またはディスク タイムアウト値が低いことが原因でストレージが使用できない場合、vSA カーネル パニックが発生する。新しいディスク タイムアウト値は 180 秒に設定されます。
  • クラスタ間で ESXi ホストを移動した結果、vDS 上の仮想マシンでネットワーク接続が失われる
  • vCenter Server オブジェクトから vApp、クラスタ、リソース プールなどの別のオブジェクトに仮想マシンを移動すると、ターゲット オブジェクトに適用されるファイアウォール ルールが継承されない
  • 広い IP 範囲(たとえばクラス A 全体)を使用してルールを定義すると、vShield App Appliance が再起動される
  • 誤った間隔でのセッション タイムアウトにより、トラフィックがドロップされる
  • Flow Monitoring により、物理ソースを起点とする特定の種類のトラフィックについて、ソースとターゲットが逆転していると報告される
  • ファイアウォール ルールの再公開が一定の回数に達した後に、このルールを公開すると、セキュリティ グループが誤って削除される
  • 値の大きい MACset を使用すると、イーサネット (L2) ファイアウォール ルールの公開が失敗する
  • RSA ACE サーバも実行されていると、ロード バランサの仮想 IP (VIP) を vShield Edge に追加できない
  • vShield Edge 構成の変更(再デプロイ、アップグレード、HA イベントの発生)が適用されると、RSA 認証が失敗する
  • パスワード ポリシー内に構成されたパスワードの有効期限のタイムアウトが近づくと、SSL VPN の Mac クライアントがログインできなくなる
  • HA モードで構成された vShield Edge で同時にカーネル パニックが発生する
  • 2 つの異なる IP アドレスとサブネットが、1 つのサブネット (0.0.0.0/32) で定義されている VNIC では vShield Edge DHCP が動作しない
  • HA ペアの両方の vShield Edge がアクティブ モードになる
  • vShield Edge で、メモリ不足 (OoM) 状態になった後、ドロップされた IPSEC VPN トンネルを再確立できない
  • vShield Edge が最初にデプロイされたリソース プールが利用できなくなると、vShield Edge のアップグレードが失敗する
  • SSL VPN サービスを利用した HA 対応の vShield Edge で、高い CPU 使用率が表示され、短期間のうちに何度もフェイルオーバーが行われる
  • UI の DHCP 静的バインド構成で、仮想ワイヤに接続された vShield Edge が空白で表示される
  • vShield Edge でスループットとパフォーマンスが低下する
  • 4 vCPU の vShield Edge をデプロイするためのオプションが追加された
  • SSL L2 VPN トンネル通過時のデータパスの問題
  • vSE L2VPN トンネルに対する SNAT ルールにより、vSE の背後にある VM がパブリック IP に到達できない
  • vShield Edge Appliance でコア ダンプの保存がサポートされていない。CLI に debug crashdump コマンドが追加されました。
  • PFS が有効になっているときに IPsec トンネルが頻繁にドロップされる
  • UI でロード バランサの永続性メソッドを設定または変更しても、変更が確定しない
  • 永続性メソッドが SSL_SESSION_ID に設定されていると、ロード バランサがクラッシュする
  • OSX 10.9 (Mavericks) への SSL VPN クライアントのインストールに失敗する
  • ファイアウォール ルールでセキュリティ グループの使用中に UI と REST 間の動作に一貫性がない
  • vShield Edge の構成/インストール/アップグレードの各ワークフローで次のエラーが報告される
  • VIX エージェントから無効な応答を受信した
  • VIX エージェントが VC に接続されていない
  • 証明書モードの IPsec トンネルが確立できない