ESXi 6.7P04(ビルド17167734)以降とのSSH非互換性

ダウンロード オプション

  • PDF     (632.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (596.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (401.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2021 年 3 月 22 日
Document ID:216554

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    HXDP [3.5(x), 4.0(x)]とESXi 6.7P04(ビルド17167734)以降の間にソフトウェアの相互運用性の問題があります。  このソフトウェアの組み合わせは避けてください。

    注:この問題は、6.7P04以降の6.7 ESXiバージョンに拡張されています 

    互換性の問題はHXDP 4.0(2e)で解決されています。 この問題は、HXDP 4.5(1a)以降には影響しません。 

    要件

    ESXi 6.7P04(ビルド17167734)以降 

    HXDPバージョン – 3.5(x)、4.0(x)

    その他の情報

    Defect

    関連するバグIDは CSCvv88204 - HXDPとのESXi OpenSSH相互運用性の問題

    この問題は、VMwareがOpenSSHライブラリをOpenSSH_8.3p1にアップグレードしたためにESXi 6.7P04で発生します。この新しいバージョンのOpenSSHでは、SSHを介してESXiととの通信するときに内部で内部使用キー交換方式がをを使用サポートするをサポートするを削除します。次に、OpenSSHの変更ログからのスニペットを示します。このバージョンで行われた変更を説明しています。

    ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.

    ソフトウェアアドバイザリ

    詳細については、ソフトウェアアドバイザリを参照してください – ESXi 6.7 P04向けシスコソフトウェアアドバイザリ

    影響を受けるエリア

    HXの一部の機能領域には、次のような影響があります。

    • 新規クラスタの作成(アルゴリズムのネゴシエーションが失敗して失敗する可能性があります)

    • クラスタの拡張(アルゴリズムのネゴシエーションが失敗した場合があります)

    • クラスタの再登録(stcliクラスタの再登録が「アルゴリズムネゴシエーションが失敗する」で失敗する場合がある

    • HX Connectのシステム情報ページ
    • 「Failed to Establish SSH Connection to hostまたは「Errors found during upgrade」でアップグレードが失敗する場合があります

    ESXiアップグレードがssh例外で失敗する

    2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERROR c.s.sysmgmt.stMgr.SshScpUtilImpl - Failed to establish SSH connection to host:ホストに到達できないか、ロックダウンモードです

    com.jcraft.jsch.JSchException:アルゴリズムのネゴシエーションが失敗する

    • 潜在的に他の領域

    回避策

    HXDPリリースノートは、3.5(x)および4.0(x)リリースではサポートされていない6.7のこのバージョンを具体的に説明するように更新されています。この問題は、HXDP 4.0パッチ – 4.0(2e)および4.5(1a)以降のすべてのリリースで修正されています。

    • 互換性のあるESXiバージョンにロールバックするには、ESXiに組み込まれたロールバックメカニズムを使用します。 
    • 別の回避策として、削除したキー交換方式を再度有効にし、各ESXiホストのsshd_configを更新してSSHサービスを再起動する方法があります。この回避策は一時的にのみ実装することを推奨します。 

    注:目的は、クラスタを固定HXDPリリースに移動し、できるだけ早くこの回避策を削除することです。sshd_configに追加されたこの追加キーアルゴリズム設定では、クラスタは長期間この状態を維持しないでください。 

    回避策の手順

    HXDPを修正済みリリースにアップグレードできない場合は、次の回避策を使用します。

    回避策 1

    • 互換性のあるESXiバージョンにロールバックするには、ESXiに組み込まれたロールバックメカニズムを使用します。VMware KBを参照:https://kb.vmware.com/s/article/1033604

    回避策 2

    各ESXiホストのsshd_configを更新し、SSHサービスを再起動して、削除したキー交換方式を再度有効にします。

    • 各ESXiホストの/etc/ssh/sshd_configの下のKexAlgorithmsに+diffie-hellman-group14-sha1を追加します
    # echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
    • KexAlgorithms +diffie-hellman-group14-sha1が/etc/ssh/sshd_configに表示されることを確認します

    • ESXi SSHプロセスの再起動
    # /etc/init.d/SSH restart

    • 以前に失敗したワークフローを再起動または再開します。
    TAC Authored

    シスコ エンジニア提供

    • Avinash Shukla
      Technical Leader
    • Jonathan Gorlin
      Product Manager

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています