下面列出了可迁移的 NSX for vSphere (NSX-v) 功能和配置。
平台支持
有关支持的 ESXi 和 vCenter Server 版本,请参见《VMware 互操作性列表》。
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
vSphere Distributed Switch 上具有 vSAN 或 iSCSI 的 NSX Data Center for vSphere |
是 |
|
预先存在的 NSX-T 配置 |
否 |
部署新的 NSX-T Data Center 环境以作为 NSX Data Center for vSphere 迁移目标。 在导入配置步骤期间,将关闭目标 NSX-T Data Center 环境中的所有 NSX Edge 节点接口。如果已配置并正在使用目标 NSX-T Data Center 环境,启动配置导入将会中断流量。 |
跨 vCenter NSX |
(NSX-T 3.1)否 (NSX-T 3.1.1 及更高版本)是,前提是 NSX-v 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。 |
从 NSX-T 3.1.1 开始,支持迁移单站点 NSX for vSphere 部署,其中包含处于主模式的 NSX Manager,不包含辅助 NSX Manager 并在主站点上具有通用对象。这种单站点 NSX for vSphere 部署将迁移到具有本地对象的单站点 NSX-T 环境(非联合)。 不支持迁移具有主 NSX Manager 和多个辅助 NSX Manager 的真正跨 vCenter NSX-V 部署。迁移协调器仅从具有主要或独立角色的 NSX-V Manager 迁移。您可以通过更改辅助管理器的状态来修改 NSX-V 环境,以便单独迁移每个 NSX-V 环境。 |
具有 Cloud Management Platform、集成堆栈解决方案或 PaaS 解决方案的 NSX Data Center for vSphere |
是 |
如果在支持的拓扑中配置了集成的环境,则支持将 NSX for vSphere 与 vRealize Automation 一起迁移。 有关详细信息,请参见支持与 vRealize Automation 集成的拓扑。 请联系您的 VMware 代表,然后再继续迁移。如果迁移集成的环境,脚本和集成可能会被破坏:
例如:
|
vSphere 和 ESXi 功能
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
ESXi 主机已处于维护模式(无虚拟机) |
是 |
|
网络 I/O 控制 (Network I/O Control, NIOC) 版本 3 |
是 |
|
网络 I/O 控制 (Network I/O Control, NIOC) 版本 2 |
否 |
|
具有预留的 vNIC 的网络 I/O 控制 (NIOC) |
否 |
|
vSphere 标准交换机 |
否 |
不会迁移 VSS 上的虚拟机和 VMkernel 接口。无法迁移应用于 VSS 的 NSX Data Center for vSphere 功能。 |
vSphere Distributed Switch |
是 | |
无状态 ESXi |
否 |
|
主机配置文件 |
否 |
|
ESXi 锁定模式 |
否 |
在 NSX-T 中不受支持。 |
ESXi 主机挂起维护模式任务。 |
否 |
|
vCenter 集群中断开连接的 ESXi 主机 |
否 |
|
vSphere FT |
否 |
|
已完全自动化的 vSphere DRS |
是 |
从 vSphere 7.0 开始受支持 |
vSphere High Availability |
是(使用维护模式时) |
|
流量筛选 ACL |
否 |
|
vSphere 运行状况检查 |
否 |
|
SRIOV |
否 |
|
将 vmknic 固定到物理网卡 |
否 |
|
专用 VLAN |
否 |
|
临时 dvPortGroup |
否 |
|
DirectPath IO |
否 |
|
L2 安全性 |
否 |
|
发现虚拟线路上的交换机 |
否 |
|
硬件网关(将隧道端点与物理交换硬件集成在一起) |
否 |
|
SNMP |
否 |
|
虚拟机中断开连接的 vNIC |
否 |
由于 ESX 6.5 限制,在 DVFilter 上可能具有断开连接的虚拟机的过时条目。要解决该问题,请重新引导虚拟机。 |
4789 以外的 VXLAN 端口号 |
否 |
|
多播筛选模式 |
否 |
|
具有多个 VTEP 的主机 |
是 |
NSX Manager 设备系统配置
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
NTP 服务器/时间设置 |
是 |
|
syslog 服务器配置 |
是 |
|
备份配置 |
是 |
如果需要,请更改 NSX Data Center for vSphere 密码短语以符合 NSX-T Data Center 要求。其长度必须至少为 8 个字符并包含以下内容:
|
FIPS |
否 |
NSX-T 不支持 FIPS 开启/关闭。 |
区域设置 |
否 |
NSX-T 仅支持英语区域设置 |
设备证书 |
否 |
基于角色的访问控制
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
本地用户 |
否 |
|
分配给通过 LDAP 添加的 vCenter 用户的 NSX 角色 |
是 |
必须安装并配置 VMware Identity Manager 以迁移 LDAP 用户的用户角色。 |
分配给 vCenter 组的 NSX 角色 |
否 |
证书
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
证书(服务器证书、CA 签名证书) |
是 |
这仅适用于通过信任库 API 添加的证书。 |
运维
详细信息 |
受支持 |
备注 |
---|---|---|
发现协议 CDP |
否 |
|
发现协议 LLDP |
是 |
默认情况下,将启用侦听模式,并且无法在 NSX-T 中更改该模式。只能修改通告模式。 |
端口镜像:
|
是 |
仅支持迁移 L3 会话类型 |
端口镜像:
|
否 |
|
L2 IPFIX |
是 |
不支持具有 IPFIX 的 LAG |
分布式防火墙 IPFIX |
否 |
|
MAC 学习 |
是 |
您必须启用(接受)伪传输。 |
硬件 VTEP |
否 |
|
混杂模式 |
否 |
|
资源分配 |
否 |
不支持启用了资源分配的 vNIC |
IPFIX - 内部流量 |
否 |
不支持具有内部流量的 IPFIX |
交换机
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
L2 桥接 |
否 |
|
中继 VLAN |
是 |
必须为中继上行链路端口组配置 VLAN 范围 0-4094。 |
VLAN 配置 |
是 |
支持仅具有 VLAN(无 VXLAN)的配置。 |
绑定和故障切换:
|
是 |
支持的负载均衡选项(绑定策略):
不支持其他负载均衡选项。 |
绑定和故障切换:
|
否 |
|
LACP | 是 | 对于 VDS 7.0 及更高版本,在迁移期间不会修改 LACP 功能。对于早期版本的 VDS,新的 N-VDS 交换机将替换 VDS。这将导致在主机迁移期间丢失流量。 LACP 不支持在 DVS 上配置的 IPFIX(而不是 DFW IPFIX) |
交换机安全和 IP 发现
NSX-v 配置 |
支持迁移 |
详细信息 |
---|---|---|
IP 发现(ARP、ND、DHCPv4 和 DHCPv6) |
是 |
以下绑定限制适用于 NSX-T 上的迁移:
|
SpoofGuard(手动、TOFU、已禁用) |
是 |
|
交换机安全(BPDU 筛选器、DHCP 客户端块、DHCP 服务器块、RA 防护) |
是 |
|
将数据路径绑定从 NSX Data Center for vSphere 中的交换机安全模块迁移到 NSX-T 中的交换机安全模块 |
是 |
如果启用了 SpoofGuard,则会从交换机安全模块中迁移绑定以支持 ARP 抑制。 VSIP - 不支持交换机安全,因为 VSIP 绑定将作为静态配置的规则进行迁移。 |
发现配置文件 |
是 |
在迁移后使用逻辑交换机的 IP 发现配置以及全局和集群 ARP 和 DHCP 配置创建 ipdiscovery 配置文件。 |
中央控制平面
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
每个逻辑交换机 (VNI) 和路由域的 VTEP 复制 |
是 |
|
MAC/IP 复制 |
否 |
|
使用多播或混合复制模式的 NSX Data Center for vSphere 传输区域 |
否 |
|
使用单播复制模式的 NSX Data Center for vSphere 传输区域 |
是 |
NSX Edge 功能
有关支持的拓扑的完整详细信息,请参见支持的拓扑。
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
Edge 服务网关和北向路由器或虚拟隧道接口之间的路由 |
是 |
支持 BGP。 支持静态路由。 不支持 OSPF。 |
Edge 服务网关和分布式逻辑路由器之间的路由 |
是 |
在迁移后,将路由转换为静态路由。 |
负载均衡器 |
是 |
请参见支持的拓扑以了解详细信息。 |
VLAN 支持的微分段环境 |
是 |
请参见支持的拓扑以了解详细信息。 |
NAT64 |
否 |
在 NSX-T 中不受支持。 |
Edge 服务网关或分布式逻辑路由器上的节点级别设置 |
否 |
不支持节点级别设置,例如,syslog 或 NTP 服务器。 |
IPv6 |
否 |
|
Edge 服务网关接口的单播反向路径筛选 (Unicast Reverse Path Filter. URPF) 配置 |
否 |
NSX-T 网关接口上的 URPF 设置为“严格”。 |
最大传输单元 (Maximum Transmission Unit, MTU) 配置 Edge 服务网关接口 |
否 |
有关更改 NSX-T 上的默认 MTU 的信息,请参见在迁移 Edge 之前修改 NSX Edge 节点配置。 |
IP 多播路由 |
否 |
|
路由重新分发前缀筛选器 |
否 |
|
默认源 |
否 |
在 NSX-T 中不受支持。 |
Edge 防火墙
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
防火墙区域:显示名称 |
是 |
防火墙区域最多可以具有 1000 个规则。如果某个区域包含超过 1000 个规则,则会将其作为多个区域进行迁移。 |
默认规则的操作 |
是 |
NSX Data Center for vSphere API:GatewayPolicy/action NSX-T API:SecurityPolicy.action |
防火墙全局配置 |
否 |
使用默认超时 |
防火墙规则 |
是 |
NSX Data Center for vSphere API:firewallRule NSX-T API:SecurityPolicy |
防火墙规则:名称 |
是 |
|
防火墙规则:规则标记 |
是 |
NSX Data Center for vSphere API:ruleTag NSX-T API:Rule_tag |
防火墙规则中的源和目标:
|
是 |
NSX Data Center for vSphere API:
NSX-T API:
NSX Data Center for vSphere API:
NSX-T API:
|
防火墙规则源和目标:
|
否 |
|
防火墙规则中的服务(应用程序):
|
是 |
NSX Data Center for vSphere API:
NSX-T API:
|
防火墙规则:匹配转换后的值 |
否 |
“匹配转换后的值”必须为“false”。 |
防火墙规则:方向 |
是 |
两个 API:direction |
防火墙规则:操作 |
是 |
两个 API:action |
防火墙规则:已启用 |
是 |
两个 API:enabled |
防火墙规则:日志记录 |
是 |
NSX Data Center for vSphere API:logging NSX-T API:logged |
防火墙规则:描述 |
是 |
两个 API:description |
Edge NAT
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
NAT 规则 |
是 |
NSX Data Center for vSphere API:natRule NSX-T API:/nat/USER/nat-rules |
NAT 规则:规则标记 |
是 |
NSX Data Center for vSphere API:ruleTag NSX-T API:rule_tag |
NAT 规则:操作 |
是 |
NSX Data Center for vSphere API:action NSX-T API:action |
NAT 规则:原始地址(SNAT 规则的源地址 以及 DNAT 规则的目标地址。) |
是 |
NSX Data Center for vSphere API:originalAddress NSX-T API:source_network(SNAT 规则)或 destination_network(DNAT 规则) |
NAT 规则:转换的地址 |
是 |
NSX Data Center for vSphere API:translatedAddress NSX-T API:translated_network |
NAT 规则:在特定的接口上应用 NAT 规则 |
否 |
“应用于”必须为“任意”。 |
NAT 规则:日志记录 |
是 |
NSX Data Center for vSphere API:loggingEnabled NSX-T API:logging |
NAT 规则:已启用 |
是 |
NSX Data Center for vSphere API:enabled NSX-T API:disabled |
NAT 规则:描述 |
是 |
NSX Data Center for vSphere API:description NSX-T API:description |
NAT 规则:协议 |
是 |
NSX Data Center for vSphere API:protocol NSX-T API:Service |
NAT 规则:原始端口(SNAT 规则的源端口、DNAT 规则的目标端口) |
是 |
NSX Data Center for vSphere API:originalPort NSX-T API:Service |
NAT 规则:转换的端口 |
是 |
NSX Data Center for vSphere API:translatedPort NSX-T API:Translated_ports |
NAT 规则:DNAT 规则中的源地址 |
是 |
NSX Data Center for vSphere API:dnatMatchSourceAddress NSX-T API:source_network |
NAT 规则: SNAT 规则中的目标地址 |
是 |
NSX Data Center for vSphere API:snatMatchDestinationAddress NSX-T API:destination_network |
NAT 规则: DNAT 规则中的源端口 |
是 |
NSX Data Center for vSphere API:dnatMatchSourcePort NSX-T API:Service |
NAT 规则: SNAT 规则中的目标端口 |
是 |
NSX Data Center for vSphere API:snatMatchDestinationPort NSX-T API:Service |
NAT 规则:规则 ID |
是 |
NSX Data Center for vSphere API:ruleID NSX-T API:id 和 display_name |
L2VPN
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
基于 IPSec 的 L2VPN 配置 - 使用预共享密钥 (Pre-Shared Key, PSK) |
是 |
在 L2VPN 上延伸的网络是覆盖网络逻辑交换机时支持。VLAN 网络不支持。 |
基于 IPSec 的 L2VPN 配置 - 使用基于证书的身份验证 |
否 |
|
基于 SSL 的 L2VPN 配置 |
否 |
|
具有本地输出优化的 L2VPN 配置 |
否 |
|
L2VPN 客户端模式 |
否 |
L3VPN
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
不活动对等检测 |
是 |
不活动对等检测在 NSX Data Center for vSphere 和 NSX-T 上支持的选项有所不同。您可能要考虑使用 BGP 以提供更快的聚合,或者配置对等项以执行 DPD(如果支持)。 |
更改了以下项的不活动对等检测 (Dead Peer Detection, dpd) 默认值:
|
否 |
在 NSX-T 中,dpdaction 设置为“restart”并且无法进行更改。 如果将 dpdtimeout 的 NSX Data Center for vSphere 设置设为 0,则会在 NSX-T 中禁用 dpd。否则,将忽略任何 dpdtimeout 设置并使用默认值。 |
更改了以下项的不活动对等检测 (Dead Peer Detection, dpd) 默认值:
|
是 |
NSX Data Center for vSphere dpdelay 映射到 NSX-T dpdinternal。 |
两个或更多会话具有重叠的本地和对等子网。 |
否 |
NSX Data Center for vSphere 支持基于策略的 IPSec VPN 会话,即两个或多个会话的本地和对等子网相互重叠。NSX-T 不支持此行为。开始迁移之前,必须重新配置子网,使它们不重叠。如果此配置问题未解决,“迁移配置”步骤将失败。 |
将对等端点设置为“任意”的 IPSec 会话。 |
否 |
不会迁移配置。 |
对 securelocaltrafficbyip 扩展进行了更改。 |
否 |
NSX-T 服务路由器没有任何需要通过隧道发送的本地生成的流量。 |
对以下扩展进行了更改: auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries |
否 |
在 NSX-T 上不支持这些扩展,并且不会迁移对这些扩展进行的更改。 |
负载均衡器
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
以下内容的监控/运行状况检查:
|
否 |
如果配置了不支持的监控器,则忽略该监控器,并且关联的池没有配置监控器。在迁移完成后,您可以将其连接到新监控器。 |
应用程序规则 |
否 |
NSX Data Center for vSphere 使用基于 HAProxy 的应用程序规则以支持 L7。在 NSX-T 中,这些规则基于 NGINX。无法迁移这些应用程序规则。您必须在迁移后创建新的规则。 |
L7 虚拟服务器端口范围 |
否 |
|
IPv6 |
否 |
如果在虚拟服务器中使用 IPv6,则忽略整个虚拟服务器。 如果在池中使用 IPv6,仍会迁移池,但应移除相关的池成员。 |
URL、URI、HTTPHEADER 算法 |
否 |
如果在池中使用,则不会迁移池。 |
隔离的池 |
否 |
不会迁移池。 |
具有不同监控端口的 LB 池成员 |
否 |
不会迁移具有不同监控端口的池成员。 |
池成员 minConn |
否 |
不会迁移配置。 |
监控扩展 |
否 |
不会迁移配置。 |
SSL sessionID 持久性/表 |
否 |
不会迁移配置,并且关联的虚拟服务器没有持久性设置。 |
MSRDP 持久性/会话表 |
否 |
不会迁移配置,并且关联的虚拟服务器没有持久性设置。 |
Cookie 应用程序会话/会话表 |
否 |
不会迁移配置,并且关联的虚拟服务器没有持久性设置。 |
应用程序持久性 |
否 |
不会迁移配置,并且关联的虚拟服务器没有持久性设置。 |
以下内容的监控:
|
否 |
|
以下内容的监控:
|
是 |
|
Haproxy 优化/IPVS 优化 |
否 |
|
池 IP 筛选器
|
是 |
支持 IPv4 IP 地址。 如果使用“任意”,则仅迁移 IP 池的 IPv4 地址。 |
池 IP 筛选器
|
否 |
|
包含不支持的分组对象的池:
|
否 |
如果池包含不支持的分组对象,则会忽略这些对象,并使用支持的分组对象成员创建池。如果没有支持的分组对象成员,则会创建一个空池。 |
DHCP 和 DNS
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
在分布式逻辑路由器上配置的 DHCP 中继指向在直接连接的 Edge 服务网关上配置的 DHCP 服务器 |
是 |
DHCP 中继服务器 IP 必须是 Edge 服务网关的内部接口 IP 之一。 必须在一个 Edge 服务网关上配置 DHCP 服务器,该网关直接连接到配置了 DHCP 中继的分布式逻辑路由器。 不支持使用 DNAT 转换与 Edge 服务网关内部接口不匹配的 DHCP 中继 IP。 |
仅在分布式逻辑路由器上配置 DHCP 中继,在连接的 Edge 服务网关上没有配置 DHCP 服务器 |
否 |
|
仅在 Edge 服务网关上配置 DHCP 服务器,在连接的分布式逻辑路由器上没有配置 DHCP 中继 |
否 |
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
IP 池 |
是 |
|
静态绑定 |
是 |
|
DHCP 租约 |
是 |
|
常规 DHCP 选项 |
是 |
|
禁用的 DHCP 服务 |
否 |
在 NSX-T 中,您无法禁用 DHCP 服务。如果在 NSX Data Center for vSphere 上具有禁用的 DHCP 服务,则不会迁移该服务。 |
DHCP 选项:“其他” |
否 |
不支持迁移 dhcp 选项中的“其他”字段。 例如,不会迁移 dhcp 选项“80”。 <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
孤立的 ip-pools/bindings |
否 |
如果在 DHCP 服务器上配置了 ip-pools 或 static-bindings,但任何连接的逻辑交换机未使用它们,则会从迁移中跳过这些对象。 |
在具有直接连接的逻辑交换机的 Edge 服务网关上配置了 DHCP |
否 |
在迁移期间,直接连接的 Edge 服务网关接口将作为集中式服务端口进行迁移。不过,NSX-T 在集中式服务端口上不支持 DHCP 服务,因此,不会为这些接口迁移 DHCP 服务配置。 |
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
DNS 视图 |
是 |
仅将第一个 dnsView 迁移到 NSX-T 默认 DNS 转发器区域。 |
DNS 配置 |
是 |
您必须为所有 Edge 节点提供可用的 DNS 侦听器 IP。将在“解决配置”期间显示一条消息,以提示您执行该操作。 |
DNS – L3 VPN |
是 |
您必须将新配置的 NSX-T DNS 侦听器 IP 添加到远程 L3 VPN 前缀列表中。将在“解决配置”期间显示一条消息,以提示您执行该操作。 |
在具有直接连接的逻辑交换机的 Edge 服务网关上配置了 DNS |
否 |
在迁移期间,直接连接的 Edge 服务网关接口将作为集中式服务端口进行迁移。不过,NSX-T 在集中式服务端口上不支持 DNS 服务,因此,不会为这些接口迁移 DNS 服务配置。 |
分布式防火墙 (DFW)
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
基于身份标识的防火墙 |
否 |
|
区域 -
|
是 |
如果防火墙区域具有超过 1000 个规则,则迁移程序在多个区域中迁移规则,每个区域 1000 个规则。 |
通用区域 |
(NSX-T 3.1)否 (NSX-T 3.1.1 及更高版本)是,前提是 NSX-v 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。 |
|
规则 - 源/目标:
|
是 |
|
规则 - 源/目标:
|
是 |
映射到安全组 |
规则 - 源/目标:
|
否 |
|
规则 - 源/目标:
|
(NSX-T 3.1)否 (NSX-T 3.1.1 及更高版本)是,前提是 NSX-v 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。 |
|
规则 - 应用对象:
|
是 |
映射到分布式防火墙 |
规则 - 应用对象:
|
是 |
映射到安全组 |
规则 - 应用对象:
|
否 |
|
规则 - 应用对象:
|
(NSX-T 3.1)否 (NSX-T 3.1.1 及更高版本)是,前提是 NSX-v 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。 |
|
在分布式防火墙中禁用的规则 |
是 |
|
在集群级别禁用分布式防火墙 |
否 |
在 NSX-T 上启用分布式防火墙时,将在所有集群上启用该防火墙。您无法在某些集群上启用该防火墙,而在其他集群上禁用该防火墙。 |
DFW 排除列表 | 否 | 不会迁移 DFW 排除列表。在迁移后,您需要在 NSX-T 上重新创建这些列表。 |
注意:在迁移 DFW 规则时,请务必还要迁移规则引用的对象。如果规则引用的对象不是 NSX-T 网络的一部分,则 NSX-T 无法应用规则。
合作伙伴服务:东西向网络侦测
NSX-v 配置 | 受支持 | 详细信息 |
---|---|---|
服务 |
否 |
不会迁移服务注册。合作伙伴必须在迁移之前在 NSX-T 中注册服务。 |
供应商模板 |
否 |
不会迁移供应商模板。合作伙伴必须在迁移之前在 NSX-T 中注册供应商模板。 |
服务配置文件 |
否 |
不会迁移服务配置文件。您或合作伙伴必须在迁移之前创建服务配置文件。 在迁移的“解决配置”步骤中,迁移协调器提示您将每个 NSX for vSphere 服务配置文件映射到 NSX-T 服务配置文件。如果您跳过映射服务配置文件,则不会迁移使用这些服务配置文件的规则。 迁移协调器在 NSX-T 中为 NSX for vSphere 中的每个服务配置文件创建一个服务链。 服务链是使用以下命名约定创建的: Service-Chain-service_profile_name 在服务链的正向路径和反向路径中使用相同的服务配置文件。 |
服务实例 |
否 |
不会迁移合作伙伴服务虚拟机 (SVM)。无法在 NSX-T 中使用 NSX for vSphere 合作伙伴 SVM。 对于 NSX-T 中的东西向网络侦测服务,必须将合作伙伴服务虚拟机部署在覆盖网络分段上。 |
区域
|
是 |
区域映射到重定向策略。 ID 是由用户定义的,不会在 NSX-T 中自动生成。 如果 NSX for vSphere 中的防火墙区域具有超过 1000 个规则,迁移协调器将在多个区域中迁移规则,每个区域 1000 个规则。 例如,如果一个区域包含 2500 个规则,迁移协调器将创建三个策略:策略 1 具有 1000 个规则,策略 2 具有 1000 个规则,策略 3 具有 500 个规则。 NSX for vSphere 中的有状态或无状态防火墙规则将迁移到 NSX-T 中的有状态或无状态重定向规则。 |
合作伙伴服务:规则 |
||
名称 |
是 |
|
规则 ID |
是 |
规则 ID 是由系统生成的。它可能与 NSX for vSphere 中的规则 ID 不同。 |
反转源 |
是 |
|
反转目标 |
是 |
|
源/目标
|
是 |
|
服务/服务组 |
是 |
有关详细信息,请参见服务和服务组表。 |
高级设置
|
是 |
|
服务配置文件和操作
|
是 |
服务配置文件绑定可以将分布式虚拟端口组 (Distributed Virtual Port Group, DVPG)、逻辑交换机和安全组作为其成员。NSX for vSphere 中的服务配置文件绑定映射到 NSX-T 中的重定向规则的“应用对象”字段。“应用对象”字段仅接受组,该字段确定规则的范围。 在 NSX-T 中,规则重定向是在策略级别完成的。重定向策略中的所有规则具有相同的范围(应用对象)。 NSX-T 重定向规则中的“应用对象”字段最多可以具有 128 个成员。如果服务配置文件绑定中的成员数量超过 128 个,请在开始迁移之前将其减少到 128 个或更少。
例如,假定服务配置文件绑定具有 140 个成员(安全组)。在开始迁移之前,请在
NSX for vSphere 中执行以下步骤:
现在,服务配置文件绑定中的总成员数为 128 个 (127 + 1),这在迁移协调器的最大限制范围内。 |
启用/禁用规则 |
是 |
- 服务分段
- 迁移协调器在您在迁移的“解决配置”步骤中选择的覆盖网络传输区域上创建服务分段。在 NSX for vSphere 环境中,如果 VXLAN 传输区域未准备 NSX for vSphere,迁移协调器将为您提供选择 NSX-T 中的默认覆盖网络传输区域以创建服务分段的选项。如果一个或多个 VXLAN 传输区域准备了 NSX for vSphere,您必须选择任一覆盖网络传输区域以在 NSX-T 中创建服务分段。
- 服务配置文件优先级
- 在 NSX for vSphere 中,服务配置文件具有优先级。如果服务具有多个服务配置文件,并且多个配置文件绑定到同一 vNIC,将在 vNIC 上先应用较高优先级的服务配置文件。但在 NSX-T 中,服务配置文件没有优先级。在多个重定向规则具有相同的“应用对象”设置时,规则顺序决定了先命中哪个规则。换言之,迁移协调器在 NSX-T 规则表中将具有较高配置文件优先级的规则放在具有较低配置文件优先级的规则前面。有关详细示例,请参见 NSX-T Data Center 中迁移的网络侦测规则的顺序中的场景 2。
- 服务优先级
-
为了将流量重定向到多个服务,NSX for vSphere 在服务插入数据路径中使用多个 DVFilter 插槽。一个 DVFilter 插槽用于将流量重定向到一个服务。与低优先级的服务相比,高优先级的服务在插槽中的放置位置更高。在 NSX-T 中,仅使用单个 DVFilter 插槽,它将流量重定向到服务链。在迁移到 NSX-T 后,使用高优先级的合作伙伴服务的规则放在使用低优先级的合作伙伴服务的规则前面。有关详细示例,请参见NSX-T Data Center 中迁移的网络侦测规则的顺序中的场景 3。
迁移协调器不支持将 vNIC 上的流量重定向到多个合作伙伴服务。仅支持重定向到单个合作伙伴服务。虽然所有 NSX for vSphere 规则都会迁移到 NSX-T,但迁移的规则配置使用仅具有一个服务配置文件的服务链。您无法修改重定向规则中使用的现有服务链。
解决办法:要将 vNIC 上的流量重定向到多个服务,请创建新的服务链,并在该服务链中定义服务配置文件的顺序。更新迁移的规则以使用该新服务链。
分组对象和服务编排
IP 集和 MAC 集将作为组迁移到 NSX-T Data Center。请参见 NSX-T Manager Web 界面中的 。
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
IP 集 |
是 |
可以迁移最多具有 200 万个成员(IP 地址、IP 地址子网、IP 范围)的 IP 集。不会迁移具有更多成员的 IP 集。 |
MAC 集 |
是 |
可以迁移最多具有 200 万个成员的 MAC 集。不会迁移具有更多成员的 MAC 集。 |
支持迁移安全组,并具有列出的限制。安全组将作为组迁移到 NSX-T Data Center。请参见 NSX-T Manager Web 界面中的 。
NSX Data Center for vSphere 具有系统定义的安全组和用户定义的安全组。这些组将作为用户定义的组迁移到 NSX-T。
迁移后的总组数可能不等于 NSX-v 上的安全组数。例如,包含虚拟机以作为源的分布式防火墙规则将迁移到包含将虚拟机作为成员的新组的规则。在迁移后,这会增加 NSX-T 上的总组数。
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
具有不存在的成员的安全组 |
否 |
如果安全组的任何成员不存在,则不会迁移安全组。 |
包含具有不支持的成员的安全组的安全组 |
否 |
如果不支持迁移安全组的任何成员,则不会迁移安全组。 如果安全组包含具有不支持的成员的安全组,则不会迁移父安全组。 |
安全组中的排除成员资格 |
否 |
不会迁移直接或间接(通过嵌套)具有排除成员的安全组 |
安全组静态成员资格 |
是 |
安全组最多可以包含 500 个静态成员。不过,如果在分布式防火墙规则中使用安全组,则会添加系统生成的静态成员,从而将有效限制降低到 499 或 498。
如果在“解决配置”步骤期间不存在任何成员,则不会迁移安全组。 |
安全组成员类型(“静态”或“实体属于”):
|
否 |
如果安全组包含任何不支持的成员类型,则不会迁移安全组。 |
安全组成员类型(“静态”或“实体属于”):
|
是 |
安全组、IP 集和 MAC 集将作为组迁移到 NSX-T。如果 NSX for vSphere 安全组包含 IP 集、MAC 集或嵌套安全组以作为静态成员,则会将相应的组添加到父组中。 如果其中的一个静态成员未迁移到 NSX-T,则父安全组不会迁移到 NSX-T。 例如,具有超过 200 万个成员的 IP 集无法迁移到 NSX-T。因此,无法迁移包含的 IP 集具有超过 200 万个成员的安全组。 |
安全组成员类型(“静态”或“实体属于”):
|
是 |
如果安全组包含未迁移到 NSX-T 分段的逻辑交换机,则安全组不会迁移到 NSX-T。 |
安全组成员类型(“静态”或“实体属于”):
|
是 |
如果将安全标记作为静态成员添加到安全组中,或者使用“实体属于”将安全标记作为动态成员添加到安全组中,则要迁移的安全组必须具有安全标记。 如果将安全标记作为动态成员添加到安全组中(不使用“实体属于”),则在迁移安全组之前不会检查安全标记是否存在。 |
安全组成员类型(“静态”或“实体属于”):
|
是 |
|
使用“匹配正则表达式”运算符以查找动态成员资格 |
否 |
这仅影响安全标记和虚拟机名称。“匹配正则表达式”不适用于其他属性。 |
在以下属性的动态成员资格条件中使用其他可用运算符:
|
是 |
虚拟机名称、计算机名称和计算机操作系统名称的可用运算符为“包含”、“结尾为”、“等于”、“不等于”和“开头为”。 安全标记的可用运算符为“包含”、“结尾为”、“等于”和“开头为”。 |
“实体属于”条件 |
是 |
迁移静态成员的相同限制适用于“实体属于”条件。例如,如果安全组在定义中使用“实体属于集群”,则不会迁移安全组。 不会迁移包含使用 AND 合并在一起的“实体属于”条件的安全组。 |
安全组中的动态成员资格条件运算符(AND、OR) |
是。 |
在为 NSX Data Center for vSphere 安全组定义动态成员资格时,您可以配置以下内容:
NSX Data Center for vSphere 不限制动态条件和动态集数,并且您可以使用 AND 和 OR 的任意组合。 在 NSX-T Data Center 中,您可以使用包含五个表达式的组。不会迁移包含超过五个表达式的 NSX Data Center for vSphere 安全组。 可以迁移的安全组示例:
不支持将“实体属于”条件与 AND 运算符一起使用。 不会迁移包含不支持的方案的安全组的所有其他组合或定义。 |
在 NSX Data Center for vSphere 中,安全标记是可应用于虚拟机的对象。在迁移到 NSX-T 时,安全标记是虚拟机的属性。
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
安全标记 |
是 |
如果虚拟机应用了 25 个或更少的安全标记,则支持迁移安全标记。如果应用了超过 25 个安全标记,则不会迁移任何标记。 注意:如果未迁移安全标记,则不会将虚拟机包含在标记成员资格定义的任何组中。 |
服务和服务组将作为服务迁移到 NSX-T Data Center。请参阅 NSX-T Manager Web 界面中的 。
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
服务和服务组(应用程序和应用程序组) |
是 |
大多数默认服务和服务组映射到 NSX-T 服务。如果在 NSX-T 中不存在任何服务或服务组,则会在 NSX-T 中创建新的服务。 |
APP_ALL 和 APP_POP2 服务组 |
否 |
不会迁移这些系统定义的服务组。 |
具有命名冲突的服务和服务组 |
是 |
如果在 NSX-T 中发现修改的服务或服务组存在名称冲突,则会在 NSX-T 中创建一个新服务,其名称格式为:<NSXv-Application-Name> migrated from NSX-V |
将第 2 层服务与其他层中的服务合并在一起的服务组 |
否 |
|
空服务组 |
否 |
NSX-T 不支持空服务。 |
第 2 层服务 |
是 |
NSX Data Center for vSphere 第 2 层服务将作为 NSX-T 服务条目 EtherTypeServiceEntry 进行迁移。 |
第 3 层服务 |
是 |
根据协议,NSX Data Center for vSphere 第 3 层服务将迁移到 NSX-T 服务条目,如下所示:
ICMPTypeServiceEntry
|
第 4 层服务 |
是 |
作为 NSX-T 服务条目 ALGTypeServiceEntry 进行迁移。 |
第 7 层服务 |
是 |
作为 NSX-T 服务条目 Entry PolicyContextProfile 进行迁移 如果 NSX Data Center for vSphere 第 7 层应用程序定义了端口和协议,则会在 NSX-T 中使用相应的端口和协议配置创建一个服务,并将其映射到 PolicyContextProfile。 |
第 7 层服务组 |
否 |
|
包含端口和协议的分布式防火墙、Edge 防火墙或 NAT 规则 |
是 |
NSX-T 需要使用一个服务以创建这些规则。如果具有相应的服务,则会使用该服务。如果没有相应的服务,则会使用规则中指定的端口和协议创建一个服务。 |
NSX-v 配置 |
受支持 |
详细信息 |
---|---|---|
服务编排安全策略 |
是 |
安全策略中定义的防火墙规则将作为分布式防火墙规则迁移到 NSX-T。 不会迁移服务编排安全策略中定义的禁用的防火墙规则。 将会迁移服务编排安全策略中定义的客户机侦测规则或网络侦测规则。 如果服务编排状态为“不同步”,“解决配置”步骤将显示警告。 您可以跳过相关的分布式防火墙区域以跳过迁移服务编排策略。或者,您也可以取消迁移,将服务编排与分布式防火墙同步,然后重新启动迁移。 |
未将服务编排安全策略应用于任何安全组 |
否 |
Active Directory 服务器配置
配置 |
受支持 |
详细信息 |
---|---|---|
Active Directory (AD) 服务器 |
否 |