عدم توافق SSH مع ESXi 6.7P04 (البنية 17167734) والإصدارات الأحدث

المقدمة

توجد مشكلة في قابلية التشغيل البيني للبرامج بين HXDP [3.5(x) و 4.0(x)] و ESXi 6.7P04 (build 17167734) والإصدارات الأحدث.  يجب على العملاء تجنب مجموعة البرامج هذه.

ملاحظة: تمتد هذه المشكلة إلى أي إصدار 6.7 ESXi أعلى من 6.7 P04 

تم حل مشكلة التوافق في HXDP 4.0(2e). لا تؤثر هذه المشكلة على HXDP 4.5(1a) والإصدارات الأحدث. 

المتطلبات

برنامج ESXi 6. 7P04 (بنية 17167734) والإصدارات الأحدث 

الإصدار HXDP - 3.5(x) و 4.0(x)

مزيد من المعلومات

عيب

معرف الخطأ ذي الصلة هو CSCvv88204 - مشكلة التشغيل البيني ل ESXi OpenSSH مع HXDP

يقع الإصدار في ESXi 6.7P04، بسبب VMware الذي يحسن مكتبة OpenSSH إلى: OpenSSH_8.3p1. يعمل هذا الإصدار الجديد من OpenSSH على إزالة دعم طريقة تبادل المفاتيح التي يستخدمها HXDP داخليا عند الاتصال ب ESXi مباشرة عبر SSH. فيما يلي جزء مقتطف من تغييرات OpenSSH يصف التغيير الهائل الذي تم إجراؤه في هذا الإصدار:

ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.

الاستشارة البرمجية

ارجع إلى التوصية الاستشارية للبرامج للحصول على مزيد من التفاصيل - إستشارة برامج Cisco ل ESXi 6.7 P04

المناطق المتأثرة

ستتأثر بعض المناطق الوظيفية ل HX بما في ذلك:

• إنشاء نظام مجموعة جديد (قد يفشل مع فشل التفاوض على الخوارزمية)

• توسيع نظام المجموعة (قد يفشل مع فشل التفاوض على الخوارزمية)

• إعادة تسجيل نظام المجموعة (قد يفشل إعادة تسجيل نظام المجموعة STCLI مع "فشل مفاوضات الخوارزمية") 

• صفحة معلومات النظام في اتصال HX
• قد تفشل الترقيات مع "فشل إنشاء اتصال SSH بالمضيف" أو "الأخطاء التي تم العثور عليها أثناء الترقية"

فشل ترقية ESXi مع إستثناء SSH-

2020-12-16-10:31:04.675 [] [] [vmWare-upgrade-pool-9] ERROR c.s.sysmgmt.stMgr.SshScpUtilImpl - فشل إنشاء اتصال SSH بالمضيف: المضيف غير قابل للوصول، أو في وضع الإغلاق

com.jcraft.jsch.jsChException: فشل التفاوض على الخوارزمية

• مناطق أخرى محتملة

الحل

تم تحديث ملاحظات إصدار HXDP لاستدعاء هذا الإصدار من 6.7 بشكل خاص غير مدعوم في إصداري 3.5(x) و 4.0(x). تم إصلاح هذه المشكلة في حزمة HXDP 4.0 - 4.0(2e) وفي جميع الإصدارات 4.5(1a) والإصدارات الأحدث.

• أستخدم آلية التراجع المضمنة في ESXi للعودة إلى إصدار ESXi متوافق. 
• من الحلول الأخرى المحتملة إعادة تمكين طريقة تبادل المفاتيح التي تمت إزالتها عن طريق تحديث ssh_config على كل مضيف ESXi وإعادة تشغيل خدمة SSH.يوصى بتنفيذ هذا الحل فقط بشكل مؤقت. 

ملاحظة: يجب أن يكون الهدف هو نقل نظام المجموعة إلى إصدار HXDP ثابت وإزالة هذا الحل البديل في أقرب وقت ممكن. يجب ألا تبقى المجموعات في هذه الحالة على المدى البعيد مع إعداد خوارزمية المفاتيح الإضافية هذه التي تمت إضافتها إلى ssh_config. 

خطوات الحلول

إذا لم تكن قادرا على ترقية HXDP إلى إصدار ثابت، أستخدم الحلول التالية -

الحل البديل 1

• أستخدم آلية التراجع المضمنة في ESXi للعودة إلى إصدار ESXi متوافق. ارجع إلى VMware KB - https://kb.vmware.com/s/article/1033604

الحل البديل 2

قم بإعادة تمكين طريقة تبادل المفاتيح التي تمت إزالتها عن طريق تحديث sshd_config على كل مضيف ESXi وإعادة تشغيل خدمة SSH.

• إضافة +diffie-hellman-group14-sha1 إلى خوارزميات KexAlgorithm تحت /etc/ssh/sshd_config على كل مضيف ESXi

# echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config

• تأكد من أن KEXalgorithms +diffie-hellman-group14-sha1 تظهر في /etc/ssh/ssh_config

• إعادة تشغيل عملية ESXi SSH

# /etc/init.d/SSH restart

• إعادة بدء سير العمل الذي فشل مسبقا أو إستئنافه.