SSH與ESXi 6.7P04(內部版本17167734)及更高版本不相容
簡介
HXDP [3.5(x), 4.0(x)]和ESXi 6.7P04(內部版本17167734)及更高版本之間存在軟體互操作性問題。 客戶應避免這種軟體組合。
附註:此問題擴展至高於6.7P04的任何6.7 ESXi版本
HXDP 4.0(2e)中解決了相容性問題。 此問題不會影響HXDP 4.5(1a)及更高版本。
需求
ESXi 6.7P04(內部版本17167734及更高版本
HXDP版本 — 3.5(x)、4.0(x)
更多資訊
缺陷
相關錯誤ID為 CSCvv88204 
- ESXi OpenSSH與HXDP的互操作性問題
此問題發生在ESXi 6.7P04中,原因是VMware將openSSH庫升級到:OpenSSH_8.3p1。此新版本的OpenSSH取消了HXDP在直接通過SSH與ESXi通訊時內部使用的金鑰交換方法的支援。下面是OpenSSH changelog中的一個片段,其中描述了在該版本中所做的重大更改:
ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.
軟體諮詢
有關更多詳細資訊,請參閱軟體諮詢 — Cisco ESXi 6.7 P04軟體諮詢
受影響區域
HX的一些功能領域將受到影響,包括:
- 新建群集(可能會因演算法協商失敗而失敗)
- 群集擴展(可能失敗,但演算法協商失敗)
- 群集重新註冊(stcli群集重新註冊可能失敗,並且「演算法協商失敗」)
- HX Connect中的系統資訊頁面
- 升級可能會失敗,出現「Failed to Establish SSH Connection to host」或「Errors found during upgrade」
ESXi升級失敗,出現ssh異常 —
2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9]錯誤c.s.sysmgmt.stMgr.SshScpUtilImpl — 無法建立到主機的SSH連線:主機無法連線或處於封鎖模式
com.jcraft.jsch.JSch異常:演算法協商失敗
- 潛在的其他領域
因應措施
HXDP發行說明已更新,專門指出此版本的6.7在3.5(x)和4.0(x)版本上不受支援。此問題已在HXDP 4.0補丁 — 4.0(2e)和所有版本4.5(1a)及更新版本中修正。
- 使用ESXi中內建的回滾機制回滾到相容的ESXi版本。
- 另一種可能的解決方法是通過在每個ESXi主機上更新sshd_config並重新啟動SSH服務來重新啟用已移除的金鑰交換方法。建議僅臨時實施此解決方法。
注意:目標應該是將群集移至固定HXDP版本,並儘快刪除此解決方法。如果將此額外金鑰演算法設定新增到sshd_config,群集不應長期處於此狀態。
解決方法的步驟
如果無法將HXDP升級到固定版本,請使用以下解決方法 —
解決方法1
- 使用ESXi中內建的回滾機制回滾到相容的ESXi版本。請參閱vmware KB - https://kb.vmware.com/s/article/1033604
解決方法2
通過在每個ESXi主機上更新sshd_config並重新啟動SSH服務,重新啟用已移除的金鑰交換方法。
- 將+diffie-hellman-group14-sha1新增到每個ESXi主機上的/etc/ssh/sshd_config下的KexAlgorithms中
# echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
- 確認KexAlgorithms +diffie-hellman-group14-sha1顯示在/etc/ssh/sshd_config中
- 重新啟動ESXi SSH進程
# /etc/init.d/SSH restart
- 重新啟動或繼續以前失敗的工作流。
意見