SSHのESXi 6.7P04(ビルド17167734)以降との非互換性

ダウンロード オプション

  • PDF     (812.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2021 年 3 月 22 日
Document ID:216554

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    HXDP [3.5(x), 4.0(x)]とESXi 6.7P04(ビルド17167734)以降の間には、ソフトウェアの相互運用性の問題が存在します。  お客様はこのソフトウェアの組み合わせを避ける必要があります。

    注:この問題は、6.7P04より上位の6.7 ESXiバージョンに拡張されます 

    互換性の問題は、HXDP 4.0(2e)で解決されています。 この問題は、HXDP 4.5(1a)以降には影響しません。 

    要 件

    ESXi 6.7P04(ビルド17167734)以降 

    HXDPバージョン – 3.5(x)、4.0(x)

    その他の情報

    Defect

    関連するバグIDは次のとおりです CSCvv88204 - HXDPとのESXi OpenSSHの相互運用性の問題

    この問題は、ESXi 6.7P04で発生します。これは、VMwareがopenSSHライブラリをOpenSSH_8.3p1にアップグレードしたことが原因です。この新しいバージョンのOpenSSHでは、SSH経由でESXiと直接通信する際にHXDPが内部的に使用するキー交換方式がサポートされなくなりました。次に、そのバージョンで行われた機能停止に関する変更を記述したOpenSSHのchangelogからのスニペットを示します。

    ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.

    ソフトウェアアドバイザリ

    詳細についてはソフトウェアアドバイザリを参照:Cisco Software Advisory for ESXi 6.7 P04

    影響を受ける領域

    HXの一部の機能エリアは、次のような影響を受けます。

    • クラスタの新規作成(アルゴリズムネゴシエーションが失敗すると失敗する可能性がある)

    • クラスタの拡張(アルゴリズムネゴシエーションが失敗すると失敗する場合がある)

    • クラスタの再登録(「Algorithm negotiation fail」でstcliクラスタの再登録が失敗する場合がある) 

    • HX Connectのシステム情報ページ
    • アップグレードが「Failed to Establish SSH Connection to host」または「Errors found during upgrade」で失敗することがある

    ESXiのアップグレードがssh exception-

    2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERROR c.s.sysmgmt.stMgr.SshScpUtilImpl - Failed to establish SSH connection to host: Host is not reachable, or in lockdown mode

    com.jcraft.jsch.JSchException:アルゴリズムのネゴシエーションが失敗しました

    • その他の分野の可能性

    回避策

    HXDPリリースノートは、このバージョンの6.7が3.5(x)および4.0(x)リリースではサポートされていないことを明確に示すように更新されています。この問題は、HXDP 4.0パッチ – 4.0(2e)および4.5(1a)以降のすべてのリリースで修正されています。

    • 互換性のあるESXiバージョンにロールバックするには、ESXiに組み込まれているロールバックメカニズムを使用します。 
    • 別の回避策として、各ESXiホストのsshd_configを更新し、SSHサービスを再起動して、削除したキー交換方式を再度有効にすることもできます。この回避策は一時的な場合にのみ実装することを推奨します。 

    注:目標は、クラスタを修正済みのHXDPリリースに移行し、この回避策をできるだけ早く削除することです。クラスタは、この追加キーアルゴリズム設定がsshd_configに追加された状態で長期間保持されないようにする必要があります。 

    回避策の手順

    HXDPを修正済みリリースにアップグレードできない場合は、次の回避策を使用してください。

    回避策 1

    • 互換性のあるESXiバージョンにロールバックするには、ESXiに組み込まれているロールバックメカニズムを使用します。vmwareのKBを参照:https://kb.vmware.com/s/article/1033604

    回避策 2

    各ESXiホストでsshd_configを更新し、SSHサービス再起動して、削除したキー交換方式を再度有効にします。

    • 各ESXiホストの/etc/ssh/sshd_configにあるKexAlgorithmsに+diffie-hellman-group14-sha1を追加します。
    # echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
    • KexAlgorithms +diffie-hellman-group14-sha1が/etc/ssh/sshd_config

    • ESXi SSHプロセスの再起動
    # /etc/init.d/SSH restart

    • 以前に失敗したワークフローを再開します。
    TAC Authored

    シスコ エンジニア提供

    • アヴィナシュ・シュクラ
      テクニカルリーダー
    • ジョナサン・ゴーリン
      製品マネージャ

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています