Incompatibilidad de SSH con ESXi 6.7P04 (compilación 17167734) y posterior

Opciones de descarga

  • PDF     (576.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (600.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (406.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:22 de marzo de 2021
ID del documento:216554

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Existe un problema de interoperabilidad de software entre HXDP [3.5(x), 4.0(x)] y ESXi 6.7P04 (compilación 17167734) y versiones posteriores.  Los clientes deben evitar esta combinación de software.

    NOTE: Este problema se extiende a cualquier versión 6.7 de ESXi superior a 6.7P04 

    El problema de compatibilidad se resuelve en HXDP 4.0(2e). Este problema no afecta al HXDP 4.5(1a) y posteriores. 

    Requirements

    ESXi 6.7P04 (compilación 17167734) y posterior 

    Versión HXDP - 3.5(x), 4.0(x)

    Más información

    Defecto

    El ID de bug relacionado es CSCvv88204 - Problema de Interoperabilidad OpenSSH de ESXi con HXDP

    El problema ocurre en ESXi 6.7P04, debido a que VMware actualiza la biblioteca openSSH a: OpenSSH_8.3p1. Esta nueva versión de OpenSSH elimina el soporte para el método de intercambio de claves utilizado internamente por HXDP al comunicarse con ESXi directamente a través de SSH. A continuación, un fragmento del registro de cambios de OpenSSH que describe el cambio que se hizo en esa versión:

    ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.

    Asesoramiento de software

    Consulte Asesoramiento de Software para obtener más detalles - Cisco Software Advisory para ESXi 6.7 P04

    Áreas afectadas

    Algunas áreas funcionales de HX se verán afectadas, entre ellas:

    • Creación de clúster nueva (puede fallar con error de negociación de algoritmo)

    • Expansión del clúster (puede fallar con error de negociación del algoritmo)

    • Renegociación del clúster (el registro del clúster de stcli puede fallar con "Error de negociación del algoritmo"

    • Página de información del sistema en HX Connect
    • Las actualizaciones pueden fallar con "Error al establecer la conexión SSH al host" o "Se encontraron errores durante la actualización"

    La actualización de ESXi falla con la excepción ssh-

    2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERROR c.s.sysmgmt.stMgr.SshScpUtilImpl - Error al establecer la conexión SSH al host: El host no se puede alcanzar o está en modo de bloqueo

    com.jcraft.jsch.JSchException: Error en la negociación del algoritmo

    • Potencialmente otras áreas

    Solución Aternativa

    Las notas de la versión HXDP se han actualizado para señalar específicamente que esta versión de 6.7 no se admite en las versiones 3.5(x) y 4.0(x). Este problema se arregla en el parche HXDP 4.0 - 4.0(2e) y en todas las versiones 4.5(1a) y posteriores.

    • Utilice el mecanismo de reversión integrado en ESXi para volver a una versión compatible de ESXi. 
    • Otra solución alternativa posible es volver a habilitar el método de intercambio de claves eliminado actualizando sshd_config en cada host ESXi y reiniciando el servicio SSH. Se recomienda que esta solución alternativa sólo se implemente temporalmente. 

    NOTA: El objetivo debe ser mover el clúster a una versión HXDP fija y eliminar esta solución lo antes posible. Los clústeres no deben permanecer en este estado a largo plazo con esta configuración de algoritmo de clave adicional agregada a sshd_config. 

    Pasos para soluciones alternativas

    Si no puede actualizar HXDP a una versión fija, utilice las siguientes soluciones alternativas:

    Solución alternativa 1

    Solución alternativa 2

    Vuelva a habilitar el método de intercambio de claves eliminado actualizando sshd_config en cada host ESXi y reiniciando el servicio SSH.

    • Agregue +diffie-hellman-group14-sha1 a los algoritmos Kex bajo /etc/ssh/sshd_config en cada host ESXi
    # echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
    • Confirme que KexAlgorithms +diffie-hellman-group14-sha1 se muestre en el archivo /etc/ssh/sshd_config

    • Reiniciar proceso ESXi SSH
    # /etc/init.d/SSH restart

    • Reinicie o reanude el flujo de trabajo que ha fallado anteriormente.
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Avinash Shukla
      Technical Leader
    • Jonathan Gorlin
      Product Manager

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos