Incompatibilité SSH avec ESXi 6.7P04 (build 17167734) et versions ultérieures

Options de téléchargement

  • PDF     (577.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (601.1 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (406.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 mars 2021
ID du document:216554

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Un problème d'interopérabilité logicielle existe entre HXDP [3.5(x), 4.0(x)] et ESXi 6.7P04 (build 17167734) et versions ultérieures.  Les clients doivent éviter cette combinaison de logiciels.

    NOTE: Ce problème est étendu à toute version 6.7 ESXi supérieure à 6.7P04 

    Le problème de compatibilité est résolu dans HXDP 4.0(2e). Ce problème n'a pas d'impact sur HXDP 4.5(1a) et versions ultérieures. 

    Conditions requises

    ESXi 6.7P04 (build 17167734) et ultérieur 

    Version HXDP - 3.5(x), 4.0(x)

    Plus d'informations

    Défaillance

    L'ID de bogue associé est CSCvv88204 - Problème d'interopérabilité ESXi OpenSSH avec HXDP

    Le problème se produit dans ESXi 6.7P04, en raison de la mise à niveau de VMware de la bibliothèque openSSH vers : OpenSSH_8.3p1. Cette nouvelle version d'OpenSSH supprime la prise en charge de la méthode d'échange de clés utilisée en interne par HXDP lors de la communication à ESXi directement via SSH. Ci-dessous, un extrait du fichier de modifications OpenSSH décrivant les changements de rupture effectués dans cette version :

    ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.

    Conseils logiciels

    Référez-vous à Software Advisory pour plus de détails - Cisco Software Advisory pour ESXi 6.7 P04

    Zones touchées

    Certains aspects fonctionnels de HX seront touchés, notamment :

    • Nouvelle création de cluster (peut échouer avec échec de négociation d'algorithme)

    • Extension de cluster (peut échouer avec échec de négociation d'algorithme)

    • Réinscription de cluster (échec de la négociation d'algorithme dans le Registre de cluster stcli)

    • Page Informations système de HX Connect
    • Les mises à niveau peuvent échouer avec « Échec de l'établissement de la connexion SSH à l'hôte » ou « Erreurs détectées lors de la mise à niveau »

    Échec de la mise à niveau ESXi avec ssh exception-

    2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERROR c.s.sysmgmt.stMgr.SshScpUtilImpl - Échec de l'établissement de la connexion SSH à l'hôte : L'hôte n'est pas accessible ou en mode de verrouillage

    com.jcraft.jsch.JSchException : Echec de la négociation d'algorithme

    • Autres zones potentiellement

    Solution de contournement

    Les notes de version HXDP ont été mises à jour pour indiquer spécifiquement que cette version de 6.7 n'est pas prise en charge sur les versions 3.5(x) et 4.0(x). Ce problème est corrigé dans le patch HXDP 4.0 - 4.0(2e) et dans toutes les versions 4.5(1a) et ultérieures.

    • Utilisez le mécanisme de restauration intégré à ESXi pour revenir à une version compatible ESXi. 
    • Une autre solution possible consiste à réactiver la méthode d'échange de clés supprimée en mettant à jour sshd_config sur chaque hôte ESXi et en redémarrant le service SSH. Il est recommandé que cette solution ne soit mise en oeuvre que temporairement. 

    REMARQUE : l'objectif doit être de déplacer le cluster vers une version HXDP fixe et de supprimer cette solution dès que possible. Les clusters ne doivent pas rester dans cet état à long terme avec ce paramètre d'algorithme de clé supplémentaire ajouté à sshd_config. 

    Étapes de contournement

    Si vous ne parvenez pas à mettre à niveau HXDP vers une version fixe, procédez comme suit :

    Solution 1

    Solution 2

    Réactivez la méthode d'échange de clés supprimée en mettant à jour sshd_config sur chaque hôte ESXi et en redémarrant le service SSH.

    • Ajoutez +diffie-hellman-group14-sha1 aux algorithmes KexAlgorithms sous /etc/ssh/sshd_config sur chaque hôte ESXi
    # echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
    • Confirmez que KexAlgorithms +diffie-hellman-group14-sha1 apparaît dans le fichier /etc/ssh/sshd_config

    • Redémarrer le processus ESXi SSH
    # /etc/init.d/SSH restart

    • Redémarrer ou reprendre le workflow précédemment échoué.
    TAC Authored

    Contribution d’experts de Cisco

    • Avinash Shukla
      Technical Leader
    • Jonathan Gorlin
      Product Manager

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits