Incompatibilidade de SSH com ESXi 6.7P04 (build 17167734) e posterior
Contents
Introdução
Existe um problema de interoperabilidade de software entre HXDP [3.5(x), 4.0(x)] e ESXi 6.7P04 (build 17167734) e posterior. Os clientes devem evitar essa combinação de software.
NOTE: Esse problema é estendido a qualquer versão do ESXi 6.7 acima de 6.7P04
O problema de compatibilidade foi resolvido no HXDP 4.0(2e). Esse problema não afeta o HXDP 4.5(1a) e posterior.
Requisitos
ESXi 6.7P04 (build 17167734) e posterior
Versão HXDP - 3.5(x), 4.0(x)
Mais informações
Defeito
O ID do bug relacionado é CSCv88204 
- Problema de interoperabilidade do ESXi OpenSSH com HXDP
O problema ocorre no ESXi 6.7P04, devido à atualização da biblioteca openSSH pela VMware para: OpenSSH_8.3p1. Essa nova versão do OpenSSH remove o suporte ao método de troca de chave usado internamente pelo HXDP ao se comunicar com o ESXi diretamente via SSH. Abaixo está um trecho do changelog OpenSSH descrevendo a mudança de ruptura feita nessa versão:
ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.
Consultoria de software
Consulte Software Advisory para obter mais detalhes - Cisco Software Advisory para ESXi 6.7 P04
Áreas Afetadas
Algumas áreas funcionais do HX serão afetadas, incluindo:
- Criação de novo cluster (pode falhar com falha de negociação de algoritmo)
- Expansão de cluster (pode falhar com falha de negociação de algoritmo)
- Novo registro de cluster (o novo registro de cluster stcli pode falhar com "Falha na negociação do algoritmo")
- Página de informações do sistema no HX Connect
- As atualizações podem falhar com "Falha ao estabelecer conexão SSH com o host" ou "Erros encontrados durante a atualização"
O upgrade do ESXi falha com exceção do ssh -
2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERROR c.s.sysmgmt.stMgr.SshScpUtilImpl - Falha ao estabelecer conexão SSH com o host: O host não está acessível ou está no modo de bloqueio
com.jcraft.jsch.JSchExceção: Falha na negociação do algoritmo
- Potencialmente outras áreas
Solução
As notas de versão do HXDP foram atualizadas para destacar especificamente que esta versão do 6.7 não é suportada nas versões 3.5(x) e 4.0(x). Esse problema é corrigido no patch HXDP 4.0 - 4.0(2e) e em todas as versões 4.5(1a) e posteriores.
- Use o mecanismo de reversão integrado ao ESXi para reverter para uma versão compatível do ESXi.
- Outra solução possível é reativar o método de troca de chaves removido, atualizando sshd_config em cada host ESXi e reiniciando o serviço SSH.Recomenda-se que essa solução seja implementada apenas temporariamente.
OBSERVAÇÃO: o objetivo deve ser mover o cluster para uma versão HXDP fixa e remover essa solução assim que possível. Os clusters não devem permanecer nesse estado por muito tempo com essa configuração de algoritmo de chave extra adicionada a sshd_config.
Etapas para Soluções Alternativas
Se você não conseguir atualizar o HXDP para uma versão fixa, use as seguintes soluções alternativas:
Solução 1
- Use o mecanismo de reversão integrado ao ESXi para reverter para uma versão compatível do ESXi. Consulte o KB da vmware - https://kb.vmware.com/s/article/1033604
Solução 2
Reative o método de troca de chave removido, atualizando sshd_config em cada host ESXi e reiniciando o serviço SSH.
- Adicione +diffie-hellman-group14-sha1 aos KexAlgorithms em /etc/ssh/sshd_config em cada host ESXi
# echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
- Confirme se KexAlgorithms +diffie-hellman-group14-sha1 mostra no /etc/ssh/sshd_config
- Reiniciar o processo ESXi SSH
# /etc/init.d/SSH restart
- Reinicie ou retome o fluxo de trabalho que falhou anteriormente.
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)