SSH与ESXi 6.7P04(内部版本17167734)及更高版本不兼容
简介
HXDP [3.5(x), 4.0(x)]和ESXi 6.7P04(内部版本17167734)及更高版本之间存在软件互操作性问题。客户应避免这种软件组合。
NOTE:此问题扩展至高于6.7P04的任何6.7 ESXi版本
在HXDP 4.0(2e)中解决了兼容性问题。 此问题不会影响HXDP 4.5(1a)及更高版本。
要求
ESXi 6.7P04(内部版本17167734)及更高版本
HXDP版本 — 3.5(x)、4.0(x)
更多信息
缺陷
相关的Bug ID为 CSCvv88204 
- ESXi OpenSSH与HXDP的互操作性问题
由于VMware将openSSH库升级到OpenSSH_8.3p1,ESXi 6.7P04中会发生此问题。此新版本的OpenSSH取消了对通过SSH直接与ESXi通信时HXDP在内部使用的密钥交换方法的支持。以下是OpenSSH changelog中的一个片段,用于描述在该版本中所做的突破性更改:
ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.
软件建议
有关详细信息,请参阅软件建议 — 适用于ESXi 6.7 P04的思科软件建议
受影响区域
HX的一些功能领域将受到影响,包括:
- 新建群集(可能会因算法协商失败而失败)
- 集群扩展(可能会因算法协商失败而失败)
- 集群重新注册(stcli集群重新注册可能失败,并出现“算法协商失败”)
- HX Connect中的系统信息页面
- 升级可能会因“无法建立到主机的SSH连接”或“升级过程中发现错误”而失败
ESXi升级失败,SSH异常 —
2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9]错误c.s.sysmgmt.stMgr.SshScpUtilImpl — 无法建立到主机的SSH连接:主机无法访问,或处于锁定模式
com.jcraft.jsch.JSchException:算法协商失败
- 潜在的其他领域
解决方法
HXDP版本说明已更新,专门指出此版本的6.7在3.5(x)和4.0(x)版本上不受支持。此问题已在HXDP 4.0补丁 — 4.0(2e)和所有版本4.5(1a)及更高版本中修复。
- 使用ESXi中内置的回滚机制回滚到兼容的ESXi版本。
- 另一种可能的解决方法是更新每个ESXi主机上的sshd_config并重新启动SSH服务,以重新启用删除的密钥交换方法。建议仅临时实施此解决方法。
注意:目标应该是将群集移至固定HXDP版本,并尽快删除此解决方法。如果向sshd_config添加此额外密钥算法设置,集群不应长期处于此状态。
解决方法的步骤
如果无法将HXDP升级到固定版本,请使用以下解决方法 —
解决方法1
- 使用ESXi中内置的回滚机制回滚到兼容的ESXi版本。请参阅vmware KB - https://kb.vmware.com/s/article/1033604
解决方法2
通过在每个ESXi主机上更新sshd_config并重新启动SSH服务,重新启用删除的密钥交换方法。
- 将+diffie-hellman-group14-sha1添加到每个ESXi主机上/etc/ssh/sshd_config下的KexAlgorithms
# echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
- 确认KexAlgorithms +diffie-hellman-group14-sha1显示在/etc/ssh/sshd_config
- 重新启动ESXi SSH进程
# /etc/init.d/SSH restart
- 重新启动或恢复以前失败的工作流程。
反馈