下面列出了可迁移的 NSX-V 功能和配置。

平台支持

有关支持的 ESXiVMware vCenter 版本,请参见《VMware 互操作性列表》

NSX-V 配置

受支持

详细信息

vSphere Distributed Switch 上具有 vSAN 或 iSCSI 的 NSX-V

预先存在的 NSX 配置

您必须部署新的 NSX 环境。

如果迁移模式不适用于用户定义的拓扑,则在导入配置步骤期间,NSX 环境中的所有 NSX Edge 节点接口都将关闭。如果 NSX 环境正在使用中,这会中断流量。

跨 vCenter NSX

仅当选择迁移 NSX for vSphere 模式和用户定义的拓扑时才支持迁移。

具有 Cloud Management Platform、集成堆栈解决方案或 PaaS 解决方案的 NSX-V

支持迁移具有 Aria AutomationNSX-V

请联系您的 VMware 代表,然后再继续迁移。如果迁移集成的环境,脚本和集成可能会被破坏:

例如:
  • NSX-V 和 vCloud Director

  • 具有集成堆栈解决方案的 NSX-V

  • 具有 PaaS 解决方案(如 Pivotal Cloud Foundry、RedHat OpenShift)的 NSX-V

  • 具有 Aria Operations 工作流的 NSX-V

vSphere 和 ESXi 功能

NSX-V 配置

受支持

详细信息

ESXi 主机已处于维护模式(无虚拟机)

网络 I/O 控制 (Network I/O Control, NIOC) 版本 3

网络 I/O 控制 (Network I/O Control, NIOC) 版本 2

具有预留的 vNIC 的网络 I/O 控制 (NIOC)

vSphere 标准交换机

不会迁移 VSS 上的虚拟机和 VMkernel 接口。无法迁移应用于 VSS 的 NSX-V 功能。

vSphere Distributed Switch

无状态 ESXi

主机配置文件

ESXi 锁定模式

NSX 中不受支持。

ESXi 主机挂起维护模式任务。

vCenter 集群中断开连接的 ESXi 主机

vSphere FT

已完全自动化的 vSphere DRS

vSphere 7.0 开始受支持

vSphere High Availability

流量筛选 ACL

vSphere 运行状况检查

SRIOV

将 vmknic 固定到物理网卡

专用 VLAN

临时 dvPortGroup

DirectPath IO

L2 安全性

发现虚拟线路上的交换机

硬件网关(将隧道端点与物理交换硬件集成在一起)

SNMP

虚拟机中断开连接的 vNIC

由于 ESX 6.5 限制,在 DVFilter 上可能具有断开连接的虚拟机的过时条目。要解决该问题,请重新引导虚拟机。

4789 以外的 VXLAN 端口号

多播筛选模式

具有多个 VTEP 的主机

NSX Manager 设备系统配置

NSX-V 配置

受支持

详细信息

NTP 服务器/时间设置

syslog 服务器配置

备份配置

如果需要,请更改 NSX-V 密码短语以符合 NSX 要求。其长度必须至少为 8 个字符并包含以下内容:

  • 至少一个小写字母

  • 至少一个大写字母

  • 至少一个数字字符

  • 至少一个特殊字符

FIPS

NSX 不支持 FIPS 开启/关闭。

区域设置

NSX 仅支持英语区域设置

设备证书

基于角色的访问控制

NSX-V 配置

受支持

详细信息

本地用户

分配给通过 LDAP 添加的 vCenter 用户的 NSX 角色

必须安装并配置 VMware Identity Manager 以迁移 LDAP 用户的用户角色。

分配给 vCenter 组的 NSX 角色

证书

NSX-V 配置

受支持

详细信息

证书(服务器证书、CA 签名证书)

这仅适用于通过信任库 API 添加的证书。

迁移期间更改证书

对于除迁移 vSphere 网络连接以外的所有其他迁移模式,均支持在迁移暂停时更改证书。在迁移主机和工作负载的过程中,不支持更改证书。

运维

详细信息

受支持

备注

发现协议 CDP

请参见备注。

是,前提是迁移到 VDS 7.0;否,前提是迁移到 N-VDS。

发现协议 LLDP

默认情况下,将启用侦听模式,并且无法在 NSX 中更改该模式。只能修改通告模式。

端口镜像:

  • 封装的远程镜像源 (L3)

仅支持迁移 L3 会话类型

端口镜像:

  • 分布式端口镜像

  • 远程镜像源

  • 远程镜像目标

  • 分布式端口镜像(传统)

L2 IPFIX

不支持具有 IPFIX 的 LAG

分布式防火墙 IPFIX

MAC 学习

您必须启用(接受)伪传输。

硬件 VTEP

混杂模式

资源分配

不支持启用了资源分配的 vNIC

IPFIX - 内部流量

不支持具有内部流量的 IPFIX

交换机

NSX-V 配置

受支持

详细信息

L2 桥接

中继 VLAN

是(对于就地迁移)

否(对于直接迁移)

必须为中继上行链路端口组配置 VLAN 范围 0-4094。

VLAN 配置

支持仅具有 VLAN(无 VXLAN)的配置。

绑定和故障切换:

  • 负载均衡

  • 上行链路故障切换顺序

支持的负载均衡选项(绑定策略):

  • 使用明确的故障切换顺序

  • 基于源 MAC 哈希的路由

不支持其他负载均衡选项。

绑定和故障切换:

  • 网络故障检测

  • 通知交换机

  • 反向策略

  • 切换顺序

LACP

对于 VDS 7.0 及更高版本,在迁移期间不会修改 LACP 功能。对于早期版本的 VDS,新的 N-VDS 交换机将替换 VDS。这将导致在主机迁移期间丢失流量。

LACP 不支持在 DVS 上配置的 IPFIX(而不是 DFW IPFIX)

交换机安全和 IP 发现

NSX-V 配置

支持迁移

详细信息

IP 发现(ARP、ND、DHCPv4 和 DHCPv6)

以下绑定限制适用于 NSX 上的迁移:

  • 128 - ARP 发现的 IP

  • 128 - DHCPv4 发现的 IP

  • 15 - DHCPv6 发现的 IP

  • 15 - ND 发现的 IP

SpoofGuard(手动、TOFU、已禁用)

交换机安全(BPDU 筛选器、DHCP 客户端块、DHCP 服务器块、RA 防护)

将数据路径绑定从 NSX-V 中的交换机安全模块迁移到 NSX 中的交换机安全模块

如果启用了 SpoofGuard,则会从交换机安全模块中迁移绑定以支持 ARP 抑制。

VSIP - 不支持交换机安全,因为 VSIP 绑定将作为静态配置的规则进行迁移。

发现配置文件

在迁移后使用逻辑交换机的 IP 发现配置以及全局和集群 ARP 和 DHCP 配置创建 ipdiscovery 配置文件。

中央控制平面

NSX-V 配置

受支持

详细信息

每个逻辑交换机 (VNI) 和路由域的 VTEP 复制

MAC/IP 复制

使用多播或混合复制模式的 NSX-V 传输区域

使用单播复制模式的 NSX-V 传输区域

NSX Edge 功能

有关支持的拓扑的完整详细信息,请参见支持的拓扑

NSX-V 配置

受支持

详细信息

Edge 服务网关和北向路由器之间的路由

支持 BGP。

支持静态路由。

支持 OSPF。

Edge 服务网关和分布式逻辑路由器之间的路由

在迁移后,将路由转换为静态路由。

负载均衡器

VLAN 支持的微分段环境

请参见支持的拓扑以了解详细信息。

NAT64

NSX 中不受支持。

Edge 服务网关或分布式逻辑路由器上的节点级别设置

不支持节点级别设置,例如,syslog 或 NTP 服务器。您可以在 NSX Edge 节点上手动配置 syslog 和 NTP。

IPv6

Edge 服务网关接口的单播反向路径筛选 (Unicast Reverse Path Filter. URPF) 配置

NSX 网关接口上的 URPF 设置为“严格”。

最大传输单元 (Maximum Transmission Unit, MTU) 配置 Edge 服务网关接口

有关更改 NSX 上的默认 MTU 的信息,请参见更改全局 MTU 设置

IP 多播路由

路由重新分发前缀筛选器

默认源

NSX 中不受支持。

Edge 防火墙

NSX-V 配置

受支持

详细信息

防火墙区域:显示名称

防火墙区域最多可以具有 1000 个规则。如果某个区域包含超过 1000 个规则,则会将其作为多个区域进行迁移。

默认规则的操作

NSX-V API:GatewayPolicy/action

NSX API:SecurityPolicy.action

防火墙全局配置

使用默认超时

防火墙规则

NSX-V API:firewallRule

NSX API:SecurityPolicy

防火墙规则:名称

防火墙规则:规则标记

NSX-V API:ruleTag

NSX API:Rule_tag

防火墙规则中的源和目标:

  • 分组对象

  • IP 地址

NSX-V API:

  • source/groupingObjectId

  • source/ipAddress

NSX API:

  • source_groups

NSX-V API:

  • destination/groupingObjectId

  • destination/ipAddress

NSX API:

  • destination_groups

防火墙规则源和目标:

  • vNIC 组

防火墙规则中的服务(应用程序):

  • 服务

  • 服务组

  • 协议/端口/源端口

NSX-V API:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

NSX API:

  • 服务

防火墙规则:匹配转换后的值

“匹配转换后的值”必须为“false”。

防火墙规则:方向

两个 API:direction

防火墙规则:操作

两个 API:action

防火墙规则:已启用

两个 API:enabled

防火墙规则:日志记录

NSX-V API:logging

NSX API:logged

防火墙规则:描述

两个 API:description

Edge NAT

NSX-V 配置

受支持

详细信息

NAT 规则

NSX-V API:natRule

NSX API:/nat/USER/nat-rules

NAT 规则:规则标记

NSX-V API:ruleTag

NSX API:rule_tag

NAT 规则:操作

NSX-V API:action

NSX API:action

NAT 规则:原始地址(SNAT 规则的源地址

以及 DNAT 规则的目标地址。)

NSX-V API:originalAddress

NSX API:source_network(SNAT 规则)或 destination_network(DNAT 规则)

NAT 规则:转换的地址

NSX-V API:translatedAddress

NSX API:translated_network

NAT 规则:在特定的接口上应用 NAT 规则

“应用于”必须为“任意”。

NAT 规则:日志记录

NSX-V API:loggingEnabled

NSX API:logging

NAT 规则:已启用

NSX-V API:enabled

NSX API:disabled

NAT 规则:描述

NSX-V API:description

NSX API:description

NAT 规则:协议

NSX-V API:protocol

NSX API:Service

NAT 规则:原始端口(SNAT 规则的源端口、DNAT 规则的目标端口)

NSX-V API:originalPort

NSX API:Service

NAT 规则:转换的端口

NSX-V API:translatedPort

NSX API:Translated_ports

NAT 规则:DNAT 规则中的源地址

NSX-V API:dnatMatchSourceAddress

NSX API:source_network

NAT 规则:

SNAT 规则中的目标地址

NSX-V API:snatMatchDestinationAddress

NSX API:destination_network

NAT 规则:

DNAT 规则中的源端口

NSX-V API:dnatMatchSourcePort

NSX API:Service

NAT 规则:

SNAT 规则中的目标端口

NSX-V API:snatMatchDestinationPort

NSX API:Service

NAT 规则:规则 ID

NSX-V API:ruleID

NSX API:id 和 display_name

L2VPN

NSX-V 配置

受支持

详细信息

基于 IPSec 的 L2VPN 配置 - 使用预共享密钥 (Pre-Shared Key, PSK)

在 L2VPN 上延伸的网络是覆盖网络逻辑交换机时支持。VLAN 网络不支持。

基于 IPSec 的 L2VPN 配置 - 使用基于证书的身份验证

基于 SSL 的 L2VPN 配置

具有本地输出优化的 L2VPN 配置

L2VPN 客户端模式

L3VPN

NSX-V 配置

受支持

详细信息

不活动对等检测

不活动对等检测在 NSX-VNSX 上支持的选项有所不同。您可能要考虑使用 BGP 以提供更快的聚合,或者配置对等体以执行 DPD(如果支持)。

更改了以下项的不活动对等检测 (Dead Peer Detection, dpd) 默认值:

  • dpdtimeout

  • dpdaction

NSX 中,dpdaction 设置为“restart”并且无法进行更改。

如果将 dpdtimeout 的 NSX-V 设置设为 0,则会在 NSX 中禁用 dpd。否则,将忽略任何 dpdtimeout 设置并使用默认值。

更改了以下项的不活动对等检测 (Dead Peer Detection, dpd) 默认值:

  • dpddelay

NSX-V dpdelay 映射到 NSX dpdinternal。

两个或更多会话具有重叠的本地和对等子网。

NSX-V 支持基于策略的 IPSec VPN 会话,即两个或多个会话的本地和对等子网相互重叠。NSX 不支持此行为。开始迁移之前,必须重新配置子网,使它们不重叠。如果此配置问题未解决,“迁移配置”步骤将失败。

将对等端点设置为“任意”的 IPSec 会话。

不会迁移配置。

对 securelocaltrafficbyip 扩展进行了更改。

NSX 服务路由器没有任何需要通过隧道发送的本地生成的流量。

对以下扩展进行了更改:

auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries

NSX 上不支持这些扩展,并且不会迁移对这些扩展进行的更改。

负载均衡器

NSX-V 配置

受支持

详细信息

以下内容的监控/运行状况检查:

  • LDAP

  • DNS

  • MSSQL

查看详细信息。

不会迁移监控器。

应用程序规则

NSX-V 使用基于 HAProxy 的应用程序规则以支持 L7。在 NSX 中,这些规则基于 NGINX。无法迁移这些应用程序规则。您必须在迁移后创建新的规则。

L7 虚拟服务器端口范围

IPv6

如果在虚拟服务器中使用 IPv6,则忽略整个虚拟服务器。

如果在池中使用 IPv6,仍会迁移池,但应移除相关的池成员。

URL、URI、HTTPHEADER 算法

查看详细信息。

不会迁移使用这些算法的池。

隔离的池

具有不同监控端口的 LB 池成员

查看详细信息。

不会迁移具有不同监控端口的池成员。

池成员 minConn

监控扩展

SSL sessionID 持久性/表

MSRDP 持久性/会话表

Cookie 应用程序会话/会话表

应用程序持久性

以下内容的监控:

  • 明确的转义

  • 退出

  • 延迟

以下内容的监控:

  • 发送

  • 预期

  • 超时

  • 间隔

  • 重试次数最大值

Haproxy 优化/IPVS 优化

池 IP 筛选器

  • IPv4 地址

支持 IPv4 IP 地址。

如果使用“任意”,则仅迁移 IP 池的 IPv4 地址。

池 IP 筛选器

  • IPv6 地址

包含不支持的分组对象的池:

  • 集群

  • 数据中心

  • 分布式端口组

  • MAC 集

  • 虚拟应用程序

如果池包含不支持的分组对象,则会忽略这些对象,并使用支持的分组对象成员创建池。如果没有支持的分组对象成员,则会创建一个空池。

DHCP 和 DNS

表 1. DHCP 配置拓扑

NSX-V 配置

受支持

详细信息

在分布式逻辑路由器上配置的 DHCP 中继指向在直接连接的 Edge 服务网关上配置的 DHCP 服务器

DHCP 中继服务器 IP 必须是 Edge 服务网关的内部接口 IP 之一。

必须在一个 Edge 服务网关上配置 DHCP 服务器,该网关直接连接到配置了 DHCP 中继的分布式逻辑路由器。

不支持多个分布式逻辑路由器上的 DHCP 中继配置指向 Edge 服务网关上的同一 DHCP 服务器。

不支持使用 DNAT 转换与 Edge 服务网关内部接口不匹配的 DHCP 中继 IP。

仅在分布式逻辑路由器上配置 DHCP 中继,在连接的 Edge 服务网关上没有配置 DHCP 服务器

仅在 Edge 服务网关上配置 DHCP 服务器,在连接的分布式逻辑路由器上没有配置 DHCP 中继

表 2. DHCP 功能

NSX-V 配置

受支持

详细信息

IP 池

静态绑定

DHCP 租约

常规 DHCP 选项

禁用的 DHCP 服务

NSX 中,您无法禁用 DHCP 服务。如果在 NSX-V 上具有禁用的 DHCP 服务,则不会迁移该服务。

DHCP 选项:“其他”

不支持迁移 dhcp 选项中的“其他”字段。

例如,不会迁移 dhcp 选项“80”。

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

孤立的 ip-pools/bindings

如果在 DHCP 服务器上配置了 ip-pools 或 static-bindings,但任何连接的逻辑交换机未使用它们,则会从迁移中跳过这些对象。

在具有直接连接的逻辑交换机的 Edge 服务网关上配置了 DHCP

在迁移期间,直接连接的 Edge 服务网关接口将作为集中式服务端口进行迁移。不过,NSX 在集中式服务端口上不支持 DHCP 服务,因此,不会为这些接口迁移 DHCP 服务配置。

表 3. DNS 功能

NSX-V 配置

受支持

详细信息

DNS 视图

仅将第一个 dnsView 迁移到 NSX 默认 DNS 转发器区域。

DNS 配置

您必须为所有 Edge 节点提供可用的 DNS 侦听器 IP。将在“解决配置”期间显示一条消息,以提示您执行该操作。

DNS – L3 VPN

您必须将新配置的 NSX DNS 侦听器 IP 添加到远程 L3 VPN 前缀列表中。将在“解决配置”期间显示一条消息,以提示您执行该操作。

在具有直接连接的逻辑交换机的 Edge 服务网关上配置了 DNS

在迁移期间,直接连接的 Edge 服务网关接口将作为集中式服务端口进行迁移。不过,NSX 在集中式服务端口上不支持 DNS 服务,因此,不会为这些接口迁移 DNS 服务配置。

分布式防火墙 (DFW)

NSX-V 配置

受支持

详细信息

身份防火墙

区域 -

  • 名称

  • 描述

  • TCP 严格模式

  • 无状态防火墙

如果防火墙区域具有超过 1000 个规则,则迁移程序在多个区域中迁移规则,每个区域 1000 个规则。

通用区域

是,前提是 NSX-V 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。

规则 - 源/目标:

  • IP 地址/范围/CIDR

  • 逻辑端口

  • 逻辑交换机

规则 - 源/目标:

  • 虚拟机

  • 逻辑端口

  • 安全组/IP 集/MAC 集

映射到安全组

规则 - 源/目标:

  • 集群

  • 数据中心

  • DVPG

  • vSS

  • 主机

规则 - 源/目标:

  • 通用逻辑交换机

是,前提是 NSX-V 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。

规则 - 源/目标:

  • 不在 NSX-V 主机上的虚拟机

NSX 不支持引用未连接到 NSX 端口组或网络的对象。这些对象会在迁移完成后从源或目标中丢失。要避免出现此问题,请在迁移之前使用 NSX-V 中的 IP 地址引用这些对象。

规则 - 应用对象:

  • 任意

映射到分布式防火墙

规则 - 应用对象:

  • 安全组

  • 逻辑端口

  • 逻辑交换机

  • 虚拟机

映射到安全组

规则 - 应用对象:

  • 集群

  • 数据中心

  • DVPG

  • vSS

  • 主机

规则 - 应用对象:

  • 通用逻辑交换机

是,前提是 NSX-V 部署具有处于主模式的 NSX Manager,且没有辅助 NSX Manager。

在分布式防火墙中禁用的规则

在集群级别禁用分布式防火墙

NSX 上启用分布式防火墙时,将在所有集群上启用该防火墙。您无法在某些集群上启用该防火墙,而在其他集群上禁用该防火墙。

DFW 排除列表 不会迁移 DFW 排除列表。在迁移后,您需要在 NSX 上重新创建这些列表。

合作伙伴服务:东西向网络侦测

NSX-V 配置 受支持 详细信息

服务

不会迁移服务注册。合作伙伴必须在迁移之前在 NSX 中注册服务。

供应商模板

不会迁移供应商模板。合作伙伴必须在迁移之前在 NSX 中注册供应商模板。

服务配置文件

不会迁移服务配置文件。您或合作伙伴必须在迁移之前创建服务配置文件。

在迁移的“解决配置”步骤中,系统将提示您将每个 NSX-V 服务配置文件映射到 NSX 服务配置文件。如果您跳过映射服务配置文件,则不会迁移使用这些服务配置文件的规则。

将在 NSX 中为 NSX-V 中的每个服务配置文件创建一个服务链。服务链是使用以下命名约定创建的:

Service-Chain-service_profile_name

在服务链的正向路径和反向路径中使用相同的服务配置文件。

服务实例

不会迁移合作伙伴服务虚拟机 (SVM)。无法在 NSX 中使用 NSX-V 合作伙伴 SVM。

对于 NSX 中的东西向网络侦测服务,必须将合作伙伴服务虚拟机部署在覆盖网络分段上。

区域
  • 名称
  • ID
  • 描述
  • TCP 严格模式
  • 无状态防火墙

区域映射到重定向策略。

ID 是由用户定义的,不会在 NSX 中自动生成。

如果 NSX-V 中的防火墙区域具有超过 1000 个规则,将在多个区域中迁移这些规则,每个区域 1000 个规则。例如,如果一个区域包含 2500 个规则,将创建三个策略:策略 1 具有 1000 个规则,策略 2 具有 1000 个规则,策略 3 具有 500 个规则。

NSX-V 中的有状态或无状态防火墙规则将迁移到 NSX 中的有状态或无状态重定向规则。

合作伙伴服务:规则

名称

规则 ID

规则 ID 是由系统生成的。它可能与 NSX-V 中的规则 ID 不同。

反转源

反转目标

源/目标
  • 虚拟机
  • 安全组
  • IP 集
  • vNIC

服务/服务组

有关详细信息,请参见服务和服务组表。
高级设置
  • 方向
  • 数据包类型
  • 规则标记
  • 注释
  • 日志

服务配置文件和操作
  • 服务名称
  • 服务配置文件
  • 操作
  • 服务配置文件绑定

服务配置文件绑定可以将分布式虚拟端口组 (Distributed Virtual Port Group, DVPG)、逻辑交换机和安全组作为其成员。NSX-V 中的服务配置文件绑定映射到 NSX 中的重定向规则的“应用对象”字段。“应用对象”字段仅接受组,该字段确定规则的范围。

NSX 中,规则重定向是在策略级别完成的。重定向策略中的所有规则具有相同的范围(应用对象)。

NSX 重定向规则中的“应用对象”字段最多可以具有 128 个成员。如果服务配置文件绑定中的成员数量超过 128 个,请在开始迁移之前将其减少到 128 个或更少。

例如,假定服务配置文件绑定具有 140 个成员(安全组)。在开始迁移之前,请在 NSX-V 中执行以下步骤:
  1. 创建虚拟安全组。
  2. 将 13 个安全组移动到该虚拟安全组中。换言之,该虚拟安全组具有 13 个成员。
  3. 从服务配置文件中移除这 13 个安全组的绑定。现在,在服务配置文件绑定中具有 127 个成员 (140-13)。
  4. 将该虚拟安全组添加到服务配置文件绑定中。

现在,服务配置文件绑定中的成员总数为 128 (127 + 1)。

启用/禁用规则

服务分段
将在您在迁移过程的“解决配置”步骤中选择的覆盖网络传输区域内创建服务分段。在 NSX-V 环境中,如果未在 NSX-V 中准备好 VXLAN 传输区域,您可以选择 NSX 中的默认覆盖网络传输区域以创建服务分段。如果一个或多个 VXLAN 传输区域准备了 NSX-V,您必须选择任一覆盖网络传输区域以在 NSX 中创建服务分段。
服务配置文件优先级
NSX-V 中,服务配置文件具有优先级。如果服务具有多个服务配置文件,并且多个配置文件绑定到同一 vNIC,将在 vNIC 上先应用较高优先级的服务配置文件。但在 NSX 中,服务配置文件没有优先级。在多个重定向规则具有相同的“应用对象”设置时,规则顺序决定了先命中哪个规则。也就是说,在 NSX 规则表中,配置文件优先级较高的规则将放在配置文件优先级较低的规则前面。有关详细示例,请参见 NSX 中迁移的网络侦测规则的顺序中的场景 2。
服务优先级

为了将流量重定向到多个服务,NSX-V 在服务插入数据路径中使用多个 DVFilter 插槽。一个 DVFilter 插槽用于将流量重定向到一个服务。与低优先级的服务相比,高优先级的服务在插槽中的放置位置更高。在 NSX 中,仅使用单个 DVFilter 插槽,它将流量重定向到服务链。在迁移到 NSX 后,使用高优先级的合作伙伴服务的规则放在使用低优先级的合作伙伴服务的规则前面。有关详细示例,请参见NSX 中迁移的网络侦测规则的顺序中的场景 3。

不支持将 vNIC 上的流量重定向到多个合作伙伴服务。仅支持重定向到单个合作伙伴服务。虽然所有 NSX-V 规则都会迁移到 NSX,但迁移的规则配置使用仅具有一个服务配置文件的服务链。您无法修改重定向规则中使用的现有服务链。

解决办法:要将 vNIC 上的流量重定向到多个服务,请创建新的服务链,并在该服务链中定义服务配置文件的顺序。更新迁移的规则以使用该新服务链。

连接到虚拟机网络的虚拟机上的网络侦测服务
NSX-V 环境中,如果在连接到虚拟机网络的虚拟机上运行网络侦测服务规则,在迁移主机后不再为这些虚拟机提供安全保护。要确保在迁移主机后在这些虚拟机的 vNIC 上实施网络侦测规则,您必须将这些虚拟机连接到 NSX 分段。

分组对象和服务编排

IP 集和 MAC 集将作为组迁移到 NSX。请参见 NSX Manager Web 界面中的清单 >

表 4. IP 集和 MAC 集

NSX-V 配置

受支持

详细信息

IP 集

可以迁移最多具有 200 万个成员(IP 地址、IP 地址子网、IP 范围)的 IP 集。不会迁移具有更多成员的 IP 集。

MAC 集

可以迁移最多具有 200 万个成员的 MAC 集。不会迁移具有更多成员的 MAC 集。

支持迁移安全组,并具有列出的限制。安全组将作为组迁移到 NSX。请参见 NSX Manager Web 界面中的清单 >

NSX-V 具有系统定义的安全组和用户定义的安全组。这些组将作为用户定义的组迁移到 NSX

迁移后的总组数可能不等于 NSX-V 上的安全组数。例如,包含虚拟机以作为源的分布式防火墙规则将迁移到包含将虚拟机作为成员的新组的规则。在迁移后,这会增加 NSX 上的总组数。

表 5. 安全组

NSX-V 配置

受支持

详细信息

具有不存在的成员的安全组

如果安全组的任何成员不存在,则不会迁移安全组。

包含具有不支持的成员的安全组的安全组

如果不支持迁移安全组的任何成员,则不会迁移安全组。

如果安全组包含具有不支持的成员的安全组,则不会迁移父安全组。

安全组中的排除成员资格

不会迁移直接或间接(通过嵌套)具有排除成员的安全组

安全组静态成员资格

安全组最多可以包含 500 个静态成员。不过,如果在分布式防火墙规则中使用安全组,则会添加系统生成的静态成员,从而将有效限制降低到 499 或 498。

  • 如果在第 2 层或第 3 层规则中使用安全组,则会将一个系统生成的静态成员添加到安全组中。

  • 如果在第 2 层和第 3 层规则中使用安全组,则会添加两个系统生成的静态成员。

如果在“解决配置”步骤期间不存在任何成员,则不会迁移安全组。

安全组成员类型(“静态”或“实体属于”):

  • 集群

  • 数据中心

  • 目录组

  • 分布式端口组

  • 传统端口组/网络

  • 资源池

  • vApp

如果安全组包含任何不支持的成员类型,则不会迁移安全组。

安全组成员类型(“静态”或“实体属于”):

  • 安全组

  • IP 集

  • MAC 集

安全组、IP 集和 MAC 集将作为组迁移到 NSX。如果 NSX-V 安全组包含 IP 集、MAC 集或嵌套安全组以作为静态成员,则会将相应组添加到父组中。

如果其中的一个静态成员未迁移到 NSX,则父安全组不会迁移到 NSX

例如,具有超过 200 万个成员的 IP 集无法迁移到 NSX。因此,无法迁移包含的 IP 集具有超过 200 万个成员的安全组。

安全组成员类型(“静态”或“实体属于”):

  • 逻辑交换机(虚拟线路)

如果安全组包含未迁移到 NSX 分段的逻辑交换机,则安全组不会迁移到 NSX

安全组成员类型(“静态”或“实体属于”):

  • 安全标记

如果将安全标记作为静态成员添加到安全组中,或者使用“实体属于”将安全标记作为动态成员添加到安全组中,则要迁移的安全组必须具有安全标记。

如果将安全标记作为动态成员添加到安全组中(不使用“实体属于”),则在迁移安全组之前不会检查安全标记是否存在。

安全组成员类型(“静态”或“实体属于”):

  • vNIC

  • 虚拟机

  • vNIC 和虚拟机将作为 ExternalIDExpression 进行迁移。

  • 在安全组迁移期间,将忽略孤立的虚拟机(从主机中删除的虚拟机)。

  • NSX 上显示这些组后,将在一段时间后更新虚拟机和 vNIC 成员资格。在此期间,可能具有临时组,并且可能将其临时组显示为成员。不过,在主机迁移完成后,不再显示这些额外的临时组。

使用“匹配正则表达式”运算符以查找动态成员资格

这仅影响安全标记和虚拟机名称。“匹配正则表达式”不适用于其他属性。

在以下属性的动态成员资格条件中使用其他可用运算符:

  • 安全标记

  • 虚拟机名称

  • 计算机名称

  • 计算机操作系统名称

虚拟机名称、计算机名称和计算机操作系统名称的可用运算符为“包含”、“结尾为”、“等于”、“不等于”和“开头为”。

安全标记的可用运算符为“包含”、“结尾为”、“等于”和“开头为”。

“实体属于”条件

迁移静态成员的相同限制适用于“实体属于”条件。例如,如果安全组在定义中使用“实体属于集群”,则不会迁移安全组。

不会迁移包含使用 AND 合并在一起的“实体属于”条件的安全组。

安全组中的动态成员资格条件运算符(AND、OR)

是。

在为 NSX-V 安全组定义动态成员资格时,您可以配置以下内容:

  • 一个或多个动态集。

  • 每个动态集可以包含一个或多个动态成员资格条件。例如,“虚拟机名称包含 web”。

  • 您可以选择是匹配动态集中的任意还是全部动态成员资格条件。

  • 您可以选择在动态集中使用 AND 或 OR 匹配条件。

NSX-V 不限制动态成员资格条件和动态集数,并且您可以使用 AND 和 OR 的任意组合。

NSX 中,您可以使用包含五个表达式的组。不会迁移包含超过五个表达式的 NSX-V 安全组。

可以迁移的安全组示例:

  • 最多 5 个与 OR 相关的动态集,其中的每个动态集包含最多 5 个与 AND 相关的动态成员资格条件(NSX-V 中的“全部”)。

  • 1 个动态集,包含与 OR 相关的 5 个动态成员资格条件(NSX-V 中的“任意”)。

  • 1 个动态集,包含与 AND 相关的 5 个动态成员资格条件(NSX-V 中的“任意”)。所有成员类型必须是相同的。

  • 5 个与 AND 相关的动态集,每个动态集包含恰好 1 个动态成员资格条件。所有成员类型必须是相同的。

不支持将“实体属于”条件与 AND 运算符一起使用。

不会迁移包含不支持的方案的安全组的所有其他组合或定义。

NSX-V 中,安全标记是可应用于虚拟机的对象。在迁移到 NSX 时,安全标记是虚拟机的属性。

表 6. 安全标记

NSX-V 配置

受支持

详细信息

安全标记

如果虚拟机应用了 25 个或更少的安全标记,则支持迁移安全标记。如果应用了超过 25 个安全标记,则不会迁移任何标记。

注意:如果未迁移安全标记,则不会将虚拟机包含在标记成员资格定义的任何组中。

不会迁移未应用于任何虚拟机的安全标记。

服务和服务组将作为服务迁移到 NSX。请参阅 NSX Manager Web 界面中的清单 > 服务

表 7. 服务和服务组

NSX-V 配置

受支持

详细信息

服务和服务组(应用程序和应用程序组)

大多数默认服务和服务组映射到 NSX 服务。如果在 NSX 中不存在任何服务或服务组,则会在 NSX 中创建新的服务。

APP_ALL 和 APP_POP2 服务组

不会迁移这些系统定义的服务组。

具有命名冲突的服务和服务组

如果在 NSX 中发现修改的服务或服务组存在名称冲突,则会在 NSX 中创建一个新服务,其名称格式为:<NSXv-Application-Name> migrated from NSX-V

将第 2 层服务与其他层中的服务合并在一起的服务组

空服务组

NSX 不支持空服务。

第 2 层服务

NSX-V 第 2 层服务将作为 NSX 服务条目 EtherTypeServiceEntry 进行迁移。

第 3 层服务

根据协议,NSX-V 第 3 层服务将迁移到 NSX 服务条目,如下所示:

  • TCP/UDP 协议:L4PortSetServiceEntry

  • ICMP/IPV6ICMP 协议:

ICMPTypeServiceEntry

  • IGMP 协议:IGMPTypeServiceEntry

  • 其他协议:IPProtocolServiceEntry

第 4 层服务

作为 NSX 服务条目 ALGTypeServiceEntry 进行迁移。

第 7 层服务

作为 NSX 服务条目 Entry PolicyContextProfile 进行迁移

如果 NSX-V 第 7 层应用程序定义了端口和协议,则会在 NSX 中使用相应的端口和协议配置创建一个服务,并将其映射到 PolicyContextProfile。

第 7 层服务组

包含端口和协议的分布式防火墙、Edge 防火墙或 NAT 规则

NSX 需要使用一个服务以创建这些规则。如果具有相应的服务,则会使用该服务。如果没有相应的服务,则会使用规则中指定的端口和协议创建一个服务。

表 8. 服务编排

NSX-V 配置

受支持

详细信息

服务编排安全策略

安全策略中定义的防火墙规则将作为分布式防火墙规则迁移到 NSX

不会迁移服务编排安全策略中定义的禁用的防火墙规则。

将会迁移服务编排安全策略中定义的客户机侦测规则或网络侦测规则。

如果服务编排状态为“不同步”,“解决配置”步骤将显示警告。您可以跳过相关的分布式防火墙区域以跳过迁移服务编排策略。或者,您也可以回滚迁移,将服务编排与分布式防火墙同步,然后重新启动迁移。

未将服务编排安全策略应用于任何安全组

Active Directory 服务器配置

配置

受支持

详细信息

Active Directory (AD) 服务器