Incompatibilità SSH con ESXi 6.7P04 (build 17167734) e versioni successive

Opzioni per il download

  • PDF     (577.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (600.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (406.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:22 marzo 2021
ID documento:216554

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Esiste un problema di interoperabilità software tra HXDP [3.5(x), 4.0(x)] ed ESXi 6.7P04 (build 17167734) e versioni successive.  I clienti devono evitare questa combinazione software.

    NOTA: Questo problema è esteso a qualsiasi versione 6.7 ESXi superiore alla 6.7P04 

    Il problema di compatibilità è stato risolto in HXDP 4.0(2e). Questo problema non influisce su HXDP 4.5(1a) e versioni successive. 

    Requisiti

    ESXi 6.7P04 (build 17167734) e versioni successive 

    Versione HXDP - 3.5(x), 4.0(x)

    Ulteriori informazioni

    Difetto

    L'ID bug correlato è CSCv8204 - Problema di interoperabilità ESXi OpenSSH con HXDP

    Il problema si verifica in ESXi 6.7P04, a causa dell'aggiornamento della libreria openSSH da parte di VMware a: OpenSSH_8.3p1. Questa nuova versione di OpenSSH rimuove il supporto per il metodo di scambio delle chiavi utilizzato internamente da HXDP durante la comunicazione con ESXi direttamente tramite SSH. Di seguito è riportato un frammento del log delle modifiche OpenSSH che descrive la modifica sostanziale apportata in quella versione:

    ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.

    Consulenza software

    Per ulteriori informazioni, fare riferimento a Software Advisory - Cisco Software Advisory per ESXi 6.7 P04

    Aree interessate

    Alcune aree funzionali di HX saranno interessate, tra cui:

    • Creazione di un nuovo cluster (potrebbe avere esito negativo con negoziazione dell'algoritmo non riuscita)

    • Espansione del cluster (possibile errore con negoziazione algoritmo non riuscita)

    • Nuova registrazione cluster (la registrazione del cluster stcli potrebbe non riuscire con "Negoziazione algoritmi non riuscita"

    • Pagina delle informazioni di sistema in HX Connect
    • Gli aggiornamenti potrebbero non riuscire con i messaggi "Failed to Establish SSH Connection to host" (Impossibile stabilire la connessione SSH all'host) " o"Errori trovati durante l'aggiornamento" (Errori trovati durante l'aggiornamento)

    L'upgrade di ESXi non riesce con l'eccezione SSH:

    2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERRORE c.s.sysmgmt.stMgr.SshScpUtilImpl - Impossibile stabilire la connessione SSH all'host: Host non raggiungibile o in modalità di blocco

    com.jcraft.jsch.JSchEccezione: Negoziazione algoritmo non riuscita

    • Potenzialmente altre aree

    Soluzione alternativa

    Le note di rilascio di HXDP sono state aggiornate per evidenziare questa versione della versione 6.7 che non è supportata nelle versioni 3.5(x) e 4.0(x). Questo problema è risolto nella patch di HXDP 4.0 - 4.0(2e) e in tutte le versioni 4.5(1a) e successive.

    • Utilizzare il meccanismo di rollback incorporato in ESXi per ripristinare una versione ESXi compatibile. 
    • Un'altra soluzione possibile è riabilitare il metodo di scambio delle chiavi rimosso aggiornando sshd_config su ciascun host ESXi e riavviando il servizio SSH. Si consiglia di implementare questa soluzione solo temporaneamente. 

    NOTA: l'obiettivo dovrebbe essere quello di spostare il cluster in una versione HXDP fissa e rimuovere questa soluzione non appena possibile. I cluster non devono rimanere in questo stato a lungo termine con questa impostazione di algoritmo a chiave aggiuntiva aggiunta a sshd_config. 

    Passi per le soluzioni

    Se non è possibile aggiornare HXDP a una versione fissa, utilizzare le seguenti soluzioni alternative:

    Soluzione 1

    Soluzione 2

    Riabilitare il metodo di scambio delle chiavi rimosso aggiornando sshd_config su ciascun host ESXi e riavviando il servizio SSH.

    • Aggiungere +diffie-hellman-group14-sha1 agli algoritmi Kex sotto /etc/ssh/sshd_config su ciascun host ESXi
    # echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
    • Confermare che KexAlgorithms +diffie-hellman-group14-sha1 sia visualizzato in /etc/ssh/sshd_config

    • Riavviare il processo ESXi SSH
    # /etc/init.d/SSH restart

    • Riavviare o riprendere il flusso di lavoro precedentemente non riuscito.
    TAC Authored

    Contributo dei tecnici Cisco

    • Avinash Shukla
      Responsabile tecnico
    • Jonathan Gorlin
      Product Manager

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti