NSX for vSphere 6.3.2が2017/6/8にリリースされました。
今回はバグフィックスが中心ですが、かなり大きな修正が入っております。もし、NSX6.3.0や6.3.1を利用されているのであれば、積極的にバージョンアップをしたほうが良いと思われるような内容も多く含まれています。
実際にNSX6.3.2のリリースノート(今日時点では英語ですが)を日本語でまとめてみましたので、それをもとに重要な個所を見ていきたいと思います。(重要と思われる修正番号を赤色にしています)
(参考)NSX for vSphere 6.3.2リリースノート
http://pubs.vmware.com/Release_Notes/en/nsx/6.3.2/releasenotes_nsx_vsphere_632.html
--- NSX for vSphere 6.3.2 Release Notes ---
◆
NSX 6.3.2の一般的な解決済みの問題
修正済みの問題1839275
ハードウェアVTEPスイッチの背後にある物理サーバーとの接続が失われる
ホストVMにデータプレーンとコントロールプレーンの両方が存在し、すべてのネットワークケーブルの物理的な断線によってコントロールプレーンがダウンすると、仮想マシンはハードウェアVTEPスイッチと接続された物理サーバーとの接続を失います。
◆インストールとアップグレードNSX 6.3.2で解決された問題
修正済みの問題1811218
ホスト再起動後に、NSX以外の設定済みvSphere Distributed Switches(VDS)のVMKernelポートが接続を失う。
複数のVDSを持つホストでは、NSXで設定されたVDSのVTEP VMKernelポートと同じdvPort IDを持つ場合、非NSXでのdvSwitchのVMKernelポートはホストの再起動後に接続を失います。
詳細については、
VMwareのKB:2149116を参照してください。
修正済みの問題1850690
ゲストのイントロスペクションUSVMがディスクがいっぱいと報告される
VMware NSX for vSphere 6.3.x環境のGuest Introsepction VMにて、/var/logのディスクスペースがいっぱいになっているか、空き容量が少ないというアラートが表示されます。vRealize Operations Managerまたは仮想マシンのディスク容量を追跡するその他の監視ツールでも、同じアラートが表示されます。
↓
★これは、DeepSecurityなどとのエージェントレスアンチウイルスをしていた場合において影響する問題です。Guest Introspection VAのディスク空き容量が少ないとアラートが出た場合は、まずはNSXのバージョンを確認しましょう。
修正済みの問題1854519
VLANからブリッジドVXLANへの移行後、north-west間の接続が失われます
VMネットワークがVLANからDLR上のブリッジのVXLANに切り替わると、VMへの入力トラフィックは失われます。 6.3.2で修正。
◆NSX 6.3.2で解決されたNSXマネージャの問題
修正済みの問題1814683
複数のHTTPスレッドが認可チェックにスタックしたときにNSXマネージャが応答しなくなる
NSXマネージャが応答しなくなり、再起動する必要があります。
◆NSX 6.3.2におけるネットワークとエッジサービスの解決済みの問題
修正済みの問題1681063
一部のエッジゲートウェイのVPNトンネルステータスがvCloud Directorに正確に反映されていない
vCloud Director(vCD)とNSXは、IPSec VPNトンネルのさまざまなステータスを表示します。 vCDは、トラフィックが流れていてもIPSecトンネルをDOWNとして表示されます。
修正済みの問題1827643
コントローラダウンイベント中のユニキャストフラッディング
コントローラダウンイベントが発生すると、コントローラが停止した直後に、すべてのL3データパケットがその論理スイッチ上のすべてのVTEPに送信されます。
これは、デフォルトのL2 MACエージングタイムがL3 ARPタイムアウトよりも短く、コントローラが使用中のMACテーブルエントリをリフレッシュするために使用できないためです。フラッディングは、その負荷に耐えられない場合NICで送信リセットを引き起こす可能性があります。
これにより、ハートビートプロトコルのパケットドロップが発生し、HAアプリケーションが影響を受ける可能性があります。
たとえば、NSX EdgeアプライアンスとHAを有効にしたDLRは、DLRとECMP ESGの間のOSPFにつながるスプリットブレイン状況に陥り、フラップします。
修正済みの問題1793575
IPハッシュチーミングが選択されている場合、すべてのNSXトラフィックが1つのNICから出力される
NSXポートグループがIPハッシュチーミングポリシー(スタティックEtherChannelまたはLACP)で設定されている場合、
これらのポートグループからのすべてのトラフィックは単一のNICから出力されます。
これによりトラフィックの損失は発生しませんが、使用可能なすべてのリンクにネットワーク負荷が分散されません。
NICの使用が失敗すると、すべてのNSXポートグループがチーム内の別のアクティブなNICにフェールオーバーします。
入力トラフィックは影響を受けず、使用可能なすべてのリンクで受信できます。 6.3.2で修正。
↓
★NSXの設定を行う場合、LACPやイーサチャネル(LAG)を利用している場合が多いかと思いますので、こちらも要チェックです。
修正済みの問題1812445
重複したARP応答を持つ分散論理ルーター(DLR)の物理MACアドレス(PMAC)によってL2VPNブリッジテーブルが影響受ける
ホスト上のL2VPNサーバのvxlanトランクポートは、宛先MACがpMACであるクライアント仮想マシンから送信されたARP応答をドロップしません。これにより、ブリッジ上のMACテーブルがトラフィックを低下させます。
修正済みの問題1806934
OpenswanのCVE-2015-3240によりサービス拒否(DoS)
3.15より前のlibreswanのIKEデーモンとNSSを使用して構築された2.6.45より前のOpenswanは、リモートの攻撃者がIKEパケットのKEペイロードのゼロDH g ^ x値を使ってサービス拒否(アサーションエラーとデーモンの再起動) ができる脆弱性があります。
↓
★Edge Service Gatewayを利用して、IPSECトンネル(VPN)を張っている場合は、こちらの脆弱性に該当しますので、バージョンアップを検討してください
修正済みの問題1811884
論理スイッチがUniversal Synchronization Service(Replicator)ホストで削除されない
Universal Synchronization Service(Replicator)ホストの論理スイッチを削除することはできません。
修正済みの問題1803220
コントローラとホスト間の接続が切断されたときにCDO対応ホストへのVXLAN接続が失われる
Controller Disconnected Operation(CDO)機能により、コントローラクラスタ全体がダウン/到達不能になったときにVXLAN接続が保証されます。
ただし、コントローラクラスタが稼働中でもホストとの接続が失われた場合、コントローラに接続されている他のホストからそのホストに送信されるデータプレーントラフィックは引き続き廃棄されることがあります。
この状態が発生すると、ホストはVNIごとのVTEPリストから削除され、リモートホストから送信されたARPは破棄されます。
コントローラとの接続が失われたホストからのトラフィックの場合、CDO機能により、適切な宛先に確実に到達できるようになります。
修正済みの問題1817673
DLR LIF IPが変更され、以前のIPがVMに割り当てられたときにESXiホストがクラッシュし、ルーティングの問題が発生する
ブリッジがアクティブなホストでパープルスクリーンが表示されます。 IPアドレスが以前のDLR LIFのIPアドレスであるVMと通信するとき、すべてのホストでDLRルーティングの問題が発生します。
↓
VXLAN - VLANブリッジを行っている場合、注意が必要です。
修正済みの問題1825416
フェンス付きvAppのは、vSphere 6.3.xを含むためNSXにアップグレードした後、vCloud Directorでは8.20で失敗します
vCloud Director 8.20でNSX 6.3.xおよびNSX Edge Gatewayを6.3.xにアップグレードすると、フェンス済みvAppが失敗し、フェンス付きネットワーク内の仮想マシンがゲートウェイと通信できなくなります。
修正済みの問題1842337
ECMP ESGのDLR ARP解決に失敗しました。
ECMPのDLRでのARP解決は失敗し、North-Southトラフィックに影響を与えます。
修正済みの問題1834837
VIX通信モードで動作しているすべてのvCNSエッジ(バージョン5.5.4)およびNSXエッジ(6.1.xおよび6.2.x)は、ストレージvMotion後に管理不能になる
MessageBusを通信モードとして実行しているNSXエッジは影響を受けません。
↓
Veeamなどのバックアップソフトウェアで、VIXを利用している場合、こちらに該当する可能性がありますので、こちらも環境によっては注意が必要です。
修正済みの問題1798469
ハイアベイラビリティのステータスが正しく表示されていても、一部のNSXエッジがスプリットブレインシナリオに入ることがある
HAメカニズムの競合状態により、NSX 6.2.5以降にアップグレードされた一部のNSXエッジは、「ハイアベイラビリティステータス」が正しく表示されていてもスプリットブレインシナリオになる可能性があります。 これは、エッジの再デプロイ後にも発生する可能性があります。
↓
Edge Service GatewayをHAモードで利用している場合、こちらも症状が出る可能性がありますので、ESGを利用されている方は、お早目のバージョンアップをお勧めします。
修正済みの問題1828060
強制同期操作中にトラフィックが多い状態でNSX Edgeに接続の問題が発生することがある。
NSX Edgeは、Force Sync操作中にトラフィックが多い場合に接続の問題が発生する可能性があります。
◆NSX 6.3.2におけるセキュリティサービスの解決済みの問題
修正済みの問題1798537
ESXi(vsfwd)のDFWコントローラプロセスでメモリが不足することがある
DFW構成で大量のルールまたは大きなサイズのセキュリティグループが存在する環境では、ESXi(vsfwd)上のDFWコントローラプロセスがメモリ不足になり、ルールをデータパスに公開できません。
↓
分散ファイアーウォールに多くのルールを書く場合、また、Service Composer等で大量のグループオブジェクトを作成している場合には該当する可能性があります。
修正済みの問題1853106
認証がチェックされていないか、PSKモードのIPsec VPNのIPsec設定の変更が変更された場合、UIでエラーが発生する
証明書ベースの認証でIPsec VPNのPSKモード認証がチェックされていないか変更されている場合、「グローバル設定」タブの「証明書と秘密を読み込めませんでした:002忘れた秘密」というエラーが表示されます。
修正済みの問題1725524
Hostdを再起動すると、RabbitMQを使用してデータを送信しているときにvsfwdがクラッシュすることがある
hostdプロセスを再起動する操作によって、vsfwdの接続が再確立されます。 一部のスレッドが古いチャネルを使用してデータを送信している間に、メインスレッドが古い接続をクリアしているときにvsfwdがクラッシュする可能性があります。
修正済みの問題点1800196
Broadcast MACアドレスを持つ多数のIPパケットがDistributed Firewallの拒否ルールと一致するとVMkernelのログ記録が停止する
分散ファイアウォールは、拒否パケットをユニキャストMACアドレスにのみ送信します。 ブロードキャストMACアドレスを持つIPパケットが拒否ルールと一致する場合、拒否パケットは送信されません。 ただし、このイベントはvmkernel.logに記録されます。 ネットワークがこのトラフィックでいっぱいになると、vmkernel.logはログストレスによってメッセージを廃棄し、ログは停止します。 ブロードキャストMACアドレスを持つパケットの拒否は、デバッグがイネーブルの場合にのみロギングされるようになりました。 6.3.2で修正。 ブロードキャストMACアドレスを持つパケットの拒否は、デバッグがイネーブルになっている場合にのみ記録されるようになりました。
↓
ブロードキャスト通信とMACアドレスベースでのフィルターを利用している場合、ログが出なくなる恐れがありますので、こちらも要注意です。
修正済みの問題1807152
VMを1つのクラスタから別の新たに準備されたクラスタに移動すると、appliedToという仮想ワイヤを持つルールはVMに適用されません。
新しいクラスタをデータセンターに追加すると、[仮想ワイヤとして適用]を持つルールのクラスタリストは更新されません。 したがって、VMが古いクラスタから新しく準備されたクラスタに移行されるとき、ルールは適用されません。
修正済みの問題1812467
ネストされたSGの大文字小文字を使用する大規模なVMでのコンテナの更新で、ホストの更新が長く遅延する
ホストにSGがネスト化された大規模なVMがある場合、1回のインベントリ変更によってコンテナの更新がフラッシュされ、最終的にホストに変更が反映されるまでに非常に遅れが生じます。
修正済みの問題1847880
特定のクラスタ内のホストからVIBをアンロードすると、「vmkload_mod:モジュールvsipを削除できません:モジュールの消費されたリソース数がゼロではありません」というエラーが表示される。
VIBのアンインストールがトリガーされ、他のNSX VIBがアンインストールされると、コマンド”esxcli software vib list | grep vsip”にはまだインストールされているesx-vsipが表示されます。
修正済みの問題1812792
分割されたTCPハンドシェイクに関連するDFWパケットの廃棄。
分散ファイアウォールは分割されたTCPハンドシェイクを適切に処理しません。 ウインドウ計算が不正確であるため、今後のパケットドロップにつながるウインドウスケールオプションは無視されます。 これは、最初のSYN ACKパケットが失われ、SYNの再送信によって、分割されたTCPハンドシェイクを引き起こしたチャレンジACKが生成されたために発生していました。
リリースノートにおける、修正情報は、以上となります。
NSX6.3は、Linuxベースのアンチウイルス機能など新機能もありますが、既存機能のブラッシュアップがなされているバージョンとなります。
6.3.2では、かなりのバグが修正されていますので、本番環境でもNSX 6.3.2を利用してもよい状況になったと思います。既存で、NSX6.3.1以下をご利用の方は、ぜひお早目の6.3.2へのバージョンアップをお勧めします。