如果您计划迁移身份防火墙 (IDFW),则需要进行一些准备工作。
在迁移之前,请确保满足以下要求:
- 已在 NSX 中注册在 NSX-V 中注册的 Active Directory (AD) 域。
- 已在 NSX 中注册在 NSX-V 中注册的 LDAP 服务器。
- 已在 NSX 中注册在 NSX-V 中注册的事件日志服务器。
- 已在 NSX 中成功完成对每个新注册的 AD 域的完全同步。
- NSX 支持 NSX-V 中的 IDFW 环境。有关详细信息,请参见《NSX 管理指南》中的身份防火墙支持的配置主题。
请注意以下事项:
- 在迁移过程中,不允许新用户登录。
- NSX 不支持 NSX-V 中的某些 IDFW 规则。无法将这些规则迁移到 NSX。您必须跳过或更改这些规则才能继续迁移。
- 对于基于 IP 的 IDFW 连接,用户必须在迁移后重新登录才能使 IDFW 正常工作。如果您希望在迁移期间保留这些用户的 IDFW 连接,则必须手动为这些用户创建影子防火墙规则。
- 对于基于 SID 的 IDFW 连接,用户无需重新登录,IDFW 即可正常工作。
- 在 NSX 中,可以在全局级别和集群级别配置 IDFW。由于 NSX-V 不支持集群级别的 IDFW,因此在迁移后,将在 NSX 中为所有集群启用 IDFW。
- 如果其他迁移操作未取消部署客户机侦测 (Guest Introspection, GI),则在迁移后,必须手动在 NSX-V 中取消部署 GI。
创建和删除影子防火墙规则
要创建影子防火墙规则,请在导入配置后,在
NSX 中执行以下操作:
- 为目录组创建 IP 集。
- 将 IP 集添加到目录组所属的同一 NS 组。
- 查找用户登录到的虚拟机的 IP 地址。
- 将 IP 地址添加到 IP 集。
迁移虚拟机并从虚拟机中注销用户后,执行以下操作:
- 从 IP 集中移除 IP 地址。
- 从 IP 集中移除所有 IP 地址后,从 NS 组中移除该 IP 集并删除该 IP 集。