Wenn Sie die identitätsbasierte Firewall (IDFW) migrieren möchten, sind einige Vorbereitungen erforderlich.
Stellen Sie vor der Migration sicher, dass die folgenden Anforderungen erfüllt sind:
- Die in NSX-V registrierten Active Directory-Domänen (AD) sind in NSX-T registriert.
- Die in NSX-V registrierten LDAP-Server werden in NSX-T registriert.
- Die in NSX-V registrierten Ereignisprotokollserver werden in NSX-T registriert.
- Eine erfolgreiche vollständige Synchronisierung für jede neu registrierte AD-Domäne wird in NSX-T abgeschlossen.
- Die IDFW-Umgebung in NSX-V wird von NSX-T unterstützt. Weitere Informationen finden Sie unterUnterstützte identitätsbasierte Firewall-Konfigurationen im NSX-T Data Center-Administratorhandbuch.
Beachten Sie Folgendes:
- Erlauben Sie während der Migration nicht, dass sich neue Benutzer anmelden.
- Einige IDFW-Regeln in NSX-V werden in NSX-T nicht unterstützt. Diese Regeln können nicht zu NSX-T migriert werden. Sie müssen sie überspringen oder ändern, um die Migration fortzusetzen.
- Für IP-basierte IDFW-Verbindungen müssen sich Benutzer nach der Migration erneut anmelden, damit IDFW funktioniert. Wenn IDFW-Verbindungen für diese Benutzer während der Migration beibehalten werden sollen, müssen Sie manuell Schatten-Firewallregeln für diese Benutzer erstellen.
- Für SID-basierte IDFW-Verbindungen müssen sich Benutzer nicht erneut anmelden, damit IDFW funktioniert.
- In NSX-T kann IDFW auf globaler Ebene und auf Clusterebene konfiguriert werden. Da NSX-V keine Unterstützung für IDFW auf Clusterebene bietet, wird IDFW für alle Cluster nach der Migration in NSX-T aktiviert.
- Sie müssen die Bereitstellung von Guest Introspection (GI) in NSX-V nach der Migration manuell aufheben, wenn die Bereitstellung von GI durch andere Migrationsvorgänge nicht aufgehoben wird.
Erstellen und Löschen einer Schatten-Firewallregel
Um nach dem Importieren der Konfiguration eine Schatten-Firewallregel zu erstellen, führen Sie die folgenden Schritte in
NSX-T aus:
- Erstellen Sie ein IP Set für die Verzeichnisgruppe.
- Fügen Sie das IP Set derselben NSGroup hinzu, zu der die Verzeichnisgruppe gehört.
- Suchen Sie die IP-Adressen der VMs, bei denen Benutzer angemeldet sind.
- Fügen Sie die IP-Adressen zum IP Set hinzu.
Nachdem die VMs migriert und die Benutzer von den VMs abgemeldet wurden, gehen Sie wie folgt vor:
- Entfernen Sie die IP-Adressen aus dem IP Set.
- Nachdem alle IP-Adressen aus dem IP Set entfernt wurden, entfernen Sie das IP Set aus der NSGroup und löschen Sie das IP Set.