Introduction
Existe um problema de interoperabilidade de software entre HXDP [3.5(x), 4.0(x)] e ESXi 6.7P04 (build 17167734) e posterior. Os clientes devem evitar essa combinação de software.
NOTE: Este problema é estendido para qualquer versão 6.7 do ESXi acima de 6.7P04
O problema de compatibilidade foi resolvido no HXDP 4.0(2e). Esse problema não afeta o HXDP 4.5(1a) e posterior.
Requirements
ESXi 6.7P04 (build 17167734) e posterior
Versão HXDP - 3.5(x), 4.0(x)
Mais informações
Defeito
O ID do bug relacionado é CSCvv88204 - Problema de interoperabilidade do ESXi OpenSSH com HXDP
O problema ocorre no ESXi 6.7P04, devido à atualização da VMware da biblioteca openSSH para: OpenSSH_8.3p1. Essa nova versão do OpenSSH remove o suporte para o método de troca de chaves usado internamente pelo HXDP ao se comunicar diretamente com o ESXi via SSH. Abaixo está um trecho do registro de alterações do OpenSSH que descreve a alteração de quebra feita nessa versão:
ssh(1), sshd(8): this release removes diffie-hellman-group14-sha1 from the default key exchange proposal for both the client and server.
Consultoria de software
Consulte o Software Advisory para obter mais detalhes - Cisco Software Advisory for ESXi 6.7 P04
Áreas afetadas
Algumas áreas funcionais do HX serão afetadas, incluindo:
- Nova criação de cluster (pode falhar com falha na negociação de algoritmo)
- Expansão do cluster (pode falhar com falha na negociação do algoritmo)
- Registro de cluster reregistrado (o registro de cluster stcli pode falhar com "Falha na negociação de algoritmo")
- Página de informações do sistema no HX Connect
- As atualizações podem falhar com "Falha ao estabelecer conexão SSH com o host" ou "Erros encontrados durante a atualização"
Falha na atualização do ESXi com exceção de SSH-
2020-12-16-10:31:04.675 [] [] [vmware-upgrade-pool-9] ERRO c.s.sysmgmt.stMgr.SshScpUtilImpl - Falha ao estabelecer conexão SSH com o host: O host não pode ser alcançado ou está no modo de bloqueio
com.jcraft.jsch.JSchException: Falha na negociação do algoritmo
- Potencialmente outras áreas
Solução
As notas de versão do HXDP foram atualizadas para chamar especificamente esta versão do 6.7 que não é suportada nas versões 3.5(x) e 4.0(x). Esse problema é corrigido no patch HXDP 4.0 - 4.0(2e) e em todas as versões 4.5(1a) e posteriores.
- Use o mecanismo de reversão integrado ao ESXi para reverter para uma versão compatível do ESXi.
- Outra solução possível é reativar o método de troca de chaves removido atualizando sshd_config em cada host ESXi e reiniciando o serviço SSH.Recomenda-se que essa solução seja implementada apenas temporariamente.
NOTA: o objetivo deve ser mover o cluster para uma versão HXDP fixa e remover essa solução o mais rápido possível. Os clusters não devem permanecer nesse estado a longo prazo com essa configuração extra de algoritmo de chave adicionada a sshd_config.
Etapas para soluções alternativas
Se você não puder atualizar o HXDP para uma versão fixa, use as seguintes soluções alternativas -
Solução 1
Solução 2
Reative o método de troca de chaves removido atualizando sshd_config em cada host ESXi e reiniciando o serviço SSH.
- Adicione +diffie-hellman-group14-sha1 aos KexAlgorithms em /etc/ssh/sshd_config em cada host ESXi
# echo "KexAlgorithms +diffie-hellman-group14-sha1" >> /etc/ssh/sshd_config
- Confirme se KexAlgorithms +diffie-hellman-group14-sha1 aparece no /etc/ssh/sshd_config
- Reiniciar o processo SSH ESXi
# /etc/init.d/SSH restart
- Reinicie ou reinicie o fluxo de trabalho com falha anterior.