SSH-incompatibiliteit met ESXi 6.7P04 (build 17167734) en hoger
Inhoud
Inleiding
Er is een probleem met de interoperabiliteit van software tussen HXDP [3.5(x), 4.0(x)] en ESXi 6.7P04 (build 17167734) en hoger. Klanten moeten deze softwarecombinatie vermijden.
OPMERKING: dit probleem wordt uitgebreid naar elke 6.7 ESXi-versie boven 6.7P04
Het compatibiliteitsprobleem is opgelost in HXDP 4.0(2e). Dit probleem heeft geen invloed op HXDP 4.5(1a) en hoger.
Vereisten
ESXi 6.7P04 (build 17167734) en hoger
HXDP-versie - 3.5(x), 4.0(x)
Meer informatie
defect
De bijbehorende bug-ID is CSCvv88204 
- ESXi OpenSSH interoperabiliteitsprobleem met HXDP
Het probleem doet zich voor in ESXi 6.7P04, omdat VMware de openSSH-bibliotheek heeft geüpgraded naar: OpenSSH_8.3p1. Deze nieuwe versie van OpenSSH verwijdert ondersteuning voor de sleuteluitwisselingsmethode die intern door HXDP wordt gebruikt bij het rechtstreeks communiceren met ESXi via SSH. Hieronder volgt een fragment uit de OpenSSH changelog waarin de baanbrekende verandering in die versie wordt beschreven:
ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.
Software Advisory
Raadpleeg Software Advisory voor meer informatie - Cisco Software Advisory voor ESXi 6.7 P04
Betrokken gebieden
Sommige functionele gebieden van HX zullen worden beïnvloed, waaronder:
- Nieuwe clustercreatie (kan mislukken als algoritme-onderhandeling mislukt)
- Clusteruitbreiding (kan mislukken als algoritme-onderhandeling mislukt)
- Herregistratie van clusters (herregistratie van stcli-clusters kan mislukken met "Onderhandeling over algoritme mislukt")
- Systeeminformatiepagina in HX Connect
- Upgrades kunnen mislukken met "Kan geen SSH-verbinding tot stand brengen met host" of "Fouten gevonden tijdens upgrade"
ESXi-upgrade mislukt met ssh-uitzondering
2020-12-16-10:31:04.675 [] [vmware-upgrade-pool-9] FOUT c.s.sysmgmt.stMgr.SshScpUtilImpl - SSH-verbinding met host is niet tot stand gebracht: host is niet bereikbaar of in lockdownmodus
com.jcraft.jsch.JSchException: algoritme onderhandelen mislukt
- Mogelijk andere gebieden
Tijdelijke oplossing
De HXDP release notes zijn bijgewerkt om specifiek te roepen deze versie van 6.7 niet wordt ondersteund op 3.5 (x) en 4.0 (x) releases. Dit probleem is opgelost in de HXDP 4.0-patch - 4.0(2e) en in alle releases 4.5(1a) en hoger.
- Gebruik het rollback-mechanisme dat in ESXi is ingebouwd om terug te rollen naar een compatibele ESXi-versie.
- Een andere mogelijke oplossing is om de verwijderde sleuteluitwisselingsmethode opnieuw in te schakelen door sshd_config op elke ESXi-host bij te werken en de SSH-service opnieuw op te starten. Het wordt aanbevolen om deze workaround alleen tijdelijk te implementeren.
OPMERKING: Het doel moet zijn om het cluster naar een vaste HXDP-release te verplaatsen en deze workaround zo snel mogelijk te verwijderen. Clusters mogen niet op lange termijn in deze toestand blijven met deze extra sleutel algoritme instelling toegevoegd aan sshd_config.
Stappen voor workarounds
Als u HXDP niet kunt upgraden naar een vaste release, gebruikt u de volgende oplossingen:
Workaround 1
- Gebruik het rollback-mechanisme dat in ESXi is ingebouwd om terug te rollen naar een compatibele ESXi-versie. Raadpleeg VMware KB - https://kb.vmware.com/s/article/1033604
Workaround 2
Schakel de verwijderde sleuteluitwisselingsmethode opnieuw in door sshd_config op elke ESXi-host bij te werken en de SSH-service opnieuw te starten.
- Voeg +diffie-hellman-group14-sha1 toe aan de KexAlgorithms onder /etc/ssh/sshd_config op elke ESXi-host
# echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
- Bevestig dat KexAlgorithms +diffie-hellman-group14-sha1 wordt weergegeven in de /etc/ssh/sshd_config
- ESXi SSH-proces opnieuw starten
# /etc/init.d/SSH restart
- De eerder mislukte workflow opnieuw starten of hervatten.
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)