A continuación se especifican las funciones y configuraciones de NSX-V que se pueden migrar.

Compatibilidad de plataforma

Consulte las versiones compatibles de ESXi y vCenter Server en la Matriz de interoperabilidad de VMware.

Configuración de NSX-V

Compatible

Detalles

NSX-V con vSAN o iSCSI en vSphere Distributed Switch

Configuración de NSX-T preexistente

No

Debe implementar un nuevo entorno de NSX-T.

Si el modo de migración no es para una topología definida por el usuario, durante el paso Importar configuración, se apagarán todas las interfaces de nodo de NSX-T Edge en el entorno de NSX-T. Si el entorno de NSX-T está en uso, esto interrumpirá el tráfico.

Cross-vCenter NSX

(NSX-T 3.2.1 y versiones posteriores) Sí

(NSX-T 3.2.0) Sí, pero sin instancias secundarias de NSX Manager

(NSX-T 3.2.1 y versiones posteriores) Solo se admite si selecciona el modo Migrar NSX for vSphere y Topología definida por el usuario.

(NSX-T 3.2.0) La migración de una implementación de NSX-V de un solo sitio que contiene una instancia de NSX Manager en modo principal, no se admiten instancias secundarias de NSX Manager con objetos universales en el sitio principal. Una implementación de NSX-V de un solo sitio se migra a un entorno de NSX-T de un solo sitio (no federado) con objetos locales. No se admite la migración de una implementación de Cross-vCenter NSX-V con una instancia principal de NSX Manager y varias instancias secundarias de NSX Manager. Sin embargo, si la instancia principal o secundaria de NSX Manager está establecida en modo de tránsito o independiente, se admitirá la migración.

Dominios de carga de trabajo de VCF (NSX-T 3.2.1 y versiones posteriores) Sí

NSX-V con una plataforma de administración de la nube, una solución integrada de pila o una solución PaaS

Se admite la migración de NSX-V con vRealize Automation.

Póngase en contacto con su representante de VMware antes de continuar con la migración. Los scripts y las integraciones podrían interrumpirse si migra los entornos integrados:

Por ejemplo:
  • NSX-V y vCloud Director

  • NSX-V con solución de pila integrada

  • NSX-V con una solución de PaaS, como Pivotal Cloud Foundry o RedHat OpenShift

  • NSX-V con flujos de trabajo de vRealize Operations

Funciones de vSphere y ESXi

Configuración de NSX-V

Compatible

Detalles

El host ESXi ya está en modo de mantenimiento (sin máquinas virtuales)

Network I/O Control (NIOC ) versión 3

Network I/O Control (NIOC ) versión 2

No

Network I/O control (NIOC) con vNIC con reserva

No

Conmutador estándar de vSphere

No

Las máquinas virtuales y las interfaces de VMkernel de VSS no se migran. No se pueden migrar las funciones de NSX-V que se aplican a VSS.

vSphere Distributed Switch

ESXi sin estado

No

Perfiles de host

No

Modo de bloqueo de ESXi

No

No admitido en NSX-T.

Tarea de modo de mantenimiento pendiente del host ESXi.

No

Host ESXi desconectado en el clúster de vCenter

No

vSphere FT

No

vSphere DRS totalmente automatizado

Se admite a partir de vSphere 7.0

vSphere High Availability

ACL de filtrado de tráfico

No

Comprobación de estado de vSphere

No

SRIOV

No

vmknic anclado a NIC física

No

VLAN privada

No

DvPortGroup efímero

No

DirectPath I/O

No

Seguridad L2

No

Conmutador de aprendizaje en conexión virtual

No

Puerta de enlace de hardware (integración de endpoint de túnel con hardware de conmutación física)

No

SNMP

No

vNIC desconectado en la máquina virtual

No

Debido a las limitaciones de ESX 6.5, pueden aparecer entradas obsoletas en DVFilter para máquinas virtuales desconectadas. Reinicie la máquina virtual como solución alternativa.

Número de puerto VXLAN distinto de 4789

No

Modo de filtrado de multidifusión

No

Hosts con varios VTEP

Configuración del sistema del dispositivo de NSX Manager

Configuración de NSX-V

Compatible

Detalles

Configuración de tiempo/servidor NTP

Configuración de servidor syslog

Configuración de copia de seguridad

Si es necesario, cambie la frase de contraseña de NSX-V para que cumpla los requisitos de NSX-T. Debe tener al menos 8 caracteres e incluir lo siguiente:

  • Al menos una letra en minúscula

  • Al menos una letra en mayúscula

  • Al menos un carácter numérico

  • Al menos un carácter especial

FIPS

No

NSX-T no admite la activación/desactivación de FIPS.

Configuración regional

No

NSX-T solo admite la configuración regional en inglés

Certificado de dispositivo

No

Control de acceso basado en funciones

Configuración de NSX-V

Compatible

Detalles

Usuarios locales

No

Funciones de NSX asignadas a un usuario de vCenter agregado a través de LDAP

VMware Identity Manager debe estar instalado y configurado para migrar las funciones de los usuarios de LDAP.

Funciones de NSX asignadas a un grupo de vCenter

No

Certificados

Configuración de NSX-V

Compatible

Detalles

Certificados (servidor, CA firmada)

Se aplica únicamente a los certificados agregados mediante las API de truststore.

Cambios de certificado durante la migración

(NSX-T 3.2.0) No

(NSX-T 3.2.1 y versiones posteriores) Sí

(NSX-T 3.2.1 y versiones posteriores) Se admiten cambios de certificados cuando la migración está en pausa para todos los modos de migración, excepto para la migración de redes de vSphere. No se admite cuando se migran hosts y cargas de trabajo.

Operaciones

Detalles

Compatible

Notas

CDP del protocolo de detección

Consulte las notas.

Sí, si se migra a VDS 7.0. No, si se migra a N-VDS.

LLDP del protocolo de detección

El modo de escucha está activado de forma predeterminada y no se puede cambiar en NSX-T. Solo se puede modificar el modo de anuncio.

PortMirroring:

  • Origen de creación de reflejo remoto encapsulado (L3)

Solo se admite el tipo de sesión L3 para la migración

PortMirroring:

  • PortMirroring distribuido

  • Origen de creación de reflejo remoto

  • Destino de creación de reflejo remoto

  • Creación de reflejo del puerto distribuido (heredado)

No

IPFIX L2

No se admite LAG con IPFIX

Firewall distribuido de IPFIX

No

Aprendizaje de MAC

Debe habilitar (aceptar) transmisiones falsificadas.

VTEP de hardware

No

Modo promiscuo

No

Asignación de recursos

No

No se admiten vNIC habilitadas con asignación de recursos

IPFIX: flujos internos

No

No se admite IPFIX con flujos internos

Conmutador

Configuración de NSX-V

Compatible

Detalles

Conexión con puentes L2

No

entroncar VLAN

Los grupos de puertos de vínculo superior troncal deben configurarse con un rango 0-4094 de VLAN.

Configuración de VLAN

Solo se admite la configuración con VLAN (no VXLAN).

Formación de equipos y conmutación por error:

  • Equilibrio de carga

  • Orden de conmutación por error de vínculo superior

Opciones admitidas para el equilibrio de carga (directiva de formación de equipos):

  • Utilizar orden explícito de conmutación por error

  • Enrutar según el hash de MAC de origen

No se admiten otras opciones de equilibrio de carga.

Formación de equipos y conmutación por error:

  • Detección de errores de red

  • Notificar a conmutadores

  • Invertir directiva

  • Orden modificable

No

LACP

Para VDS 7.0 y versiones posteriores, la funcionalidad de LACP no se modifica durante la migración. Para versiones anteriores de VDS, un nuevo conmutador N-VDS reemplaza a VDS. Esto provocará una pérdida de tráfico durante la migración del host.

IPFIX configurado en DVS (no IPFIX de DFW) no es compatible con LACP

Seguridad del conmutador y detección de direcciones IP

Configuración de NSX-V

Compatible con migración

Detalles

Detección de IP (ARP, ND, DHCPv4 y DHCPv6)

Los siguientes límites de enlace se aplican en NSX-T para la migración:

  • 128 para IP detectadas de ARP

  • 128 para direcciones IP detectadas por DHCPv4

  • 15 para direcciones IP detectadas por DHCPv6

  • 15 para direcciones IP detectadas por ND

SpoofGuard (manual, TOFU, deshabilitado)

Seguridad de conmutador (filtro BPDU, bloque de cliente DHCP, bloque de servidor DHCP, protección de RA)

Migrar enlaces de rutas de acceso desde el módulo de seguridad del conmutador en NSX-V hasta el módulo de seguridad del conmutador en NSX-T

Si SpoofGuard está habilitado, los enlaces se migran desde el módulo de seguridad del conmutador para admitir la supresión de ARP.

VSIP: la seguridad del conmutador no se admite, ya que los enlaces de VSIP se migran como reglas configuradas estáticamente.

Perfiles de detección

Los perfiles de ipdiscovery se crean después de la migración mediante la configuración de detección de direcciones IP para el conmutador lógico y la configuración de DHCP y ARP de clúster y global.

Plano de control central

Configuración de NSX-V

Compatible

Detalles

Réplica de VTEP por conmutador lógico (VNI) y dominio de enrutamiento

Replicación de MAC/IP

No

Zonas de transporte de NSX-V mediante multidifusión o modo de replicación híbrida

No

Zonas de transporte de NSX-V mediante el modo de replicación de unidifusión

Funciones de NSX Edge

Configuración de NSX-V

Compatible

Detalles

El enrutamiento entre la puerta de enlace de servicios Edge y el enrutador en dirección norte.

Se admite BGP.

Se admiten rutas estáticas.

Se admite OSPF.

Enrutamiento entre la puerta de enlace de servicios Edge y el enrutador lógico distribuido

Las rutas se convierten en rutas estáticas después de la migración.

Equilibrador de carga

Consulte Modos de migración para obtener información detallada.

Entorno de microsegmentación respaldado por VLAN

NAT64

No

No admitido en NSX-T.

Configuración en el nivel de nodo en la puerta de enlace de servicios Edge o enrutador lógico distribuido

No

No se admite la configuración en el nivel del nodo, por ejemplo, syslog o servidor NTP. Puede configurar syslog y NTP manualmente en los nodos de NSX-T Edge.

IPv6

No

Configuración del filtro de ruta inversa de unidifusión (URPF) para interfaces de puerta de enlace de servicios Edge

No

El URPF se establece como Estricto en interfaces de puerta de enlace NSX-T.

Interfaces de puerta de enlace de servicios Edge de la configuración de la unidad de transmisión máxima (MTU)

No

Consulte Cambiar la configuración de MTU global para obtener información sobre cómo cambiar la MTU predeterminada en NSX-T.

Enrutamiento de multidifusión IP

No

Filtros de prefijo de redistribución de rutas

No

default-originate

No

No admitido en NSX-T.

Firewall de Edge

Configuración de NSX-V

Compatible

Detalles

Sección de firewall: nombre para mostrar

Las secciones del firewall pueden tener un máximo de 1000 reglas. Si una sección incluye más de 1000 reglas, se migrará en varias secciones.

Acción para regla predeterminada

API de NSX-V: GatewayPolicy/action

API de NSX-T: SecurityPolicy.action

Configuración global de firewall

No

Se utilizan los tiempos de espera predeterminados

Regla de firewall

API de NSX-V: firewallRule

API de NSX-T: SecurityPolicy

Regla de firewall: nombre

Regla de firewall: etiqueta de regla

API de NSX-V: ruleTag

API de NSX-T: Rule_tag

Orígenes y destinos en las reglas de firewall:

  • Objetos de agrupamiento

  • Direcciones IP

API de NSX-V:

  • source/groupingObjectId

  • source/ipAddress

API de NSX-T:

  • source_groups

API de NSX-V:

  • destination/groupingObjectId

  • destination/ipAddress

API de NSX-T:

  • destination_groups

Orígenes y destinos de reglas de firewall:

  • Grupo de vNIC

No

Servicios (aplicaciones) en reglas de firewall:

  • Servicio

  • Grupo de servicios

  • Protocol/port/source port

API de NSX-V:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

API de NSX-T:

  • Servicios

Regla de firewall: Hacer coincidir con traducida

No

Hacer coincidir con traducida debe ser "false".

Regla de firewall: Dirección

Ambas API: direction

Regla de firewall: Acción

Ambas API: action

Regla de firewall: Habilitada

Ambas API: enabled

Regla de firewall: Registro

API de NSX-V: logging

API de NSX-T: logged

Regla de firewall: Descripción

Ambas API: description

NAT de Edge

Configuración de NSX-V

Compatible

Detalles

Regla NAT

API de NSX-V: natRule

API de NSX-T: /nat/USER/nat-rules

Regla NAT: Etiqueta de regla

API de NSX-V: ruleTag

API de NSX-T: rule_tag

Regla NAT: Acción

API de NSX-V: action

API de NSX-T: action

Regla NAT: Dirección original (dirección de origen para reglas SNAT

y dirección de destino para reglas DNAT).

API de NSX-V: originalAddress

API de NSX-T: source_network para reglas SNAT o destination_network para reglas DNAT

Regla NAT: translatedAddress

API de NSX-V: translatedAddress

API de NSX-T: translated_network

Regla NAT: aplicar regla NAT en una interfaz específica

No

Se debe aplicar como "any".

Regla NAT: Registro

API de NSX-V: loggingEnabled

API de NSX-T: logging

Regla NAT: Habilitada

API de NSX-V: enabled

API de NSX-T: disabled

Regla NAT: Descripción

API de NSX-V: description

API de NSX-T: description

Regla NAT: Protocolo

API de NSX-V: protocol

API de NSX-T: Service

Regla NAT: Puerto original (puerto de origen para reglas SNAT, puerto de destino para reglas DNAT)

API de NSX-V: originalPort

API de NSX-T: Service

Regla NAT: Puerto traducido

API de NSX-V: translatedPort

API de NSX-T: Translated_ports

Regla NAT: Dirección de origen en regla DNAT

API de NSX-V: dnatMatchSourceAddress

API de NSX-T: source_network

Regla NAT:

Dirección de destino en la regla SNAT

API de NSX-V: snatMatchDestinationAddress

API de NSX-T: destination_network

Regla NAT:

Puerto de origen en regla DNAT

API de NSX-V: dnatMatchSourcePort

API de NSX-T: Service

Regla NAT:

Puerto de destino en la regla SNAT

API de NSX-V: snatMatchDestinationPort

API de NSX-T: Service

Regla NAT: identificador de regla

API de NSX-V: ruleID

API de NSX-T: id y display_name

L2VPN

Configuración de NSX-V

Compatible

Detalles

Configuración de L2VPN basada en IPSec con la clave compartida previamente (PSK)

Se admite si las redes que se amplían a L2VPN son un conmutador lógico superpuesto. No se admite con redes VLAN.

Configuración de L2VPN basada en IPSec mediante la autenticación basada en certificados

No

Configuración de L2VPN basada en SSL

No

Configuraciones de L2VPN con optimizaciones de salida local

No

Modo de cliente de L2VPN

No

L3VPN

Configuración de NSX-V

Compatible

Detalles

Dead Peer Detection

La detección de pares muertos admite diferentes opciones en NSX-V y NSX-T. Es posible que desee considerar el uso de BGP para una convergencia más rápida o configurar un elemento del mismo nivel para realizar DPD si se admite.

Se cambiaron los valores predeterminados de Dead Peer Detection (DPD) para:

  • dpdtimeout

  • dpdaction

No

En NSX-T, dpdaction se establece como "restart" y no se puede cambiar.

Si la configuración de NSX-V para dpdtimeout se establece en 0, DPD se deshabilitará en NSX-T. De lo contrario, se ignorará la configuración de dpdtimeout y se utilizará el valor predeterminado.

Se cambiaron los valores predeterminados de Dead Peer Detection (DPD) para:

  • dpddelay 

dpdelay de NSX-V se asigna a dpdinternal de NSX-T.

Superposición de subredes locales y elementos del mismo nivel de dos o más sesiones.

No

NSX-V es compatible con las sesiones de VPN de IPSec basadas en directivas donde las subredes locales y del mismo nivel de dos o más sesiones se superponen entre sí. Este comportamiento no se admite en NSX-T. Debe volver a configurar las subredes para que no se superpongan antes de iniciar la migración. Si no se resuelve este problema de configuración, se produce un error en el paso Migrar configuración.

Las sesiones IPSec con un endpoint del mismo nivel se establecen como "any".

No

La configuración no se migra.

Cambios en la extensión securelocaltrafficbyip.

No

El enrutador de servicio de NSX-T no tiene ningún tráfico generado local que deba enviarse a través del túnel.

Cambios en estas extensiones:

auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configºured, forceencaps,overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric,disablearrivalcheck, failureshunt,leftnexthop, keyingtries

No

Estas extensiones no son compatibles con NSX-T y los cambios no se migran.

Equilibrador de carga

La siguiente tabla se aplica a la migración del equilibrador de carga de NSX-V al equilibrador de carga de NSX-T (NLB) o a NSX-T Advanced Load Balancer (ALB). Para obtener información sobre la migración del equilibrador de carga de NSX-V a ALB, consulte Migrar el equilibrador de carga de NSX-V a Advanced Load Balancer.

Configuración de NSX-V

Compatible

Detalles

Supervisión/comprobaciones de estado para:

  • LDAP

  • DNS

  • MSSQL

Consulte los detalles.

(NLB) Los monitores no se migran.

(ALB) Los monitores LDAP y MSSQL no se migran. El monitor de DNS se migra si ALB tiene una licencia empresarial, pero no si tiene una licencia básica.

Reglas de aplicación

No

NSX-V utiliza reglas de aplicación basadas en HAProxy para admitir L7. En NSX-T, las reglas se basan en NGINX. Las reglas de aplicación no se pueden migrar. Debe crear nuevas reglas después de la migración.

Rango de puertos del servidor virtual L7

(NLB) No

(ALB) Sí

IPv6

No

Si se utiliza IPv6 en el servidor virtual, este se ignorará por completo.

Si se utiliza IPv6 en el grupo, este se migrará, pero el miembro del grupo relacionado se eliminará.

URL, URI, algoritmos de HTTPHEADER

Consulte los detalles.

(NLB) Los grupos con estos algoritmos no se migran.

(ALB) Se admite si ALB tiene una licencia empresarial. Con una licencia básica, se le proporcionarán comentarios para seleccionar un algoritmo diferente.

Grupo aislado

No

Miembro de grupo de LB con un puerto de monitor diferente

Consulte los detalles.

(NLB) El miembro del grupo que tenga un puerto de monitor diferente no se migrará.

(ALB) El miembro del grupo se migra, pero no estará en la configuración del puerto de supervisión.

MinConn de miembro de grupo

No

Extensión del monitor

No

Tabla/persistencia de sessionID de SSL

(NLB) No

(ALB) Sí

Tabla de sesión/persistencia de MSRDP

No

Tabla de sesión/sesión de aplicación de cookies

(NLB) No

(ALB) Sí

Persistencia de aplicaciones

(NLB) No

(ALB) Sí

Supervisar para:

  • Explicit escape

  • Quit

  • Delay

No

Supervisar para:

  • Enviar

  • Expect

  • Timeout

  • Interval

  • maxRetries

Ajuste de HAProxy/ajuste de IPVS

No

Filtro de IP de grupo

  • Direcciones IPv4

Se admiten direcciones IP IPv4.

Si se usa "Any", solo se migrarán las direcciones IPv4 del grupo de direcciones IP.

Filtro de IP de grupo

  • Direcciones IPv6

No

Grupo que contiene un objeto de agrupación no admitido:

  • Clúster

  • Centro de datos

  • Grupo de puertos distribuidos

  • Conjunto de direcciones MAC

  • Aplicación virtual

No

Si un grupo incluye un objeto de agrupamiento no admitido, estos objetos se ignorarán y el grupo se creará con miembros de objetos de agrupamiento compatibles. Si no hay miembros de objetos de agrupamiento compatibles, se creará un grupo vacío.

DHCP y DNS

Tabla 1. Topologías de configuración DHCP

Configuración de NSX-V

Compatible

Detalles

Retransmisión de DHCP configurada en un enrutador lógico distribuido que redirige a un servidor DHCP configurado en una puerta de enlace de servicios Edge conectada directamente

La dirección IP del servidor de retransmisión DHCP debe ser una de las direcciones IP de la interfaz interna de la puerta de enlace de servicios Edge.

El servidor DHCP debe estar configurado en una puerta de enlace de servicios Edge que esté conectada directamente al enrutador lógico distribuido configurado con la retransmisión DHCP.

No se admite el uso de DNAT para traducir una dirección IP de retransmisión DHCP que no coincida con una interfaz interna de la puerta de enlace de servicios Edge.

Retransmisión de DHCP configurada solo en un enrutador lógico distribuido, sin configuración del servidor DHCP en la puerta de enlace de servicios Edge conectados

No

Servidor DHCP configurado solo en la puerta de enlace de servicios Edge, sin configuración de retransmisión de DHCP en el enrutador lógico distribuido conectado

No

Tabla 2. Funciones de DHCP

Configuración de NSX-V

Compatible

Detalles

Grupos de direcciones IP

Enlaces estáticos

Concesiones DHCP

Opciones generales de DHCP

Deshabilitar servicio DHCP

No

En NSX-T, no se puede deshabilitar el servicio DHCP. Si hay un servicio DHCP deshabilitado en NSX-V, este no se migrará.

Opción de DHCP: "other"

No

El campo "other" de las opciones de DHCP no se admite en las migraciones.

Por ejemplo, la opción de DHCP '80' no se migrará.

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

Enlaces/grupos de IP huérfanas

No

Si los enlaces estáticos o grupos de direcciones IP están configurados en un servidor DHCP, pero no los utiliza ningún conmutador lógico conectado, estos objetos se omitirán de la migración.

DHCP configurado en la puerta de enlace del servicios Edge con conmutadores lógicos conectados directamente

No

Durante la migración, las interfaces de puerta de enlace de servicios Edge conectadas directamente se migrarán como puertos de servicio centralizados. Sin embargo, NSX-T no admite el servicio DHCP en un puerto de servicio centralizado, por lo que no se migrará la configuración del servicio DHCP para estas interfaces.

Tabla 3. Características de DNS

Configuración de NSX-V

Compatible

Detalles

Vistas de DNS

Solo se migrará el primer dnsView a la zona del reenviador de DNS predeterminado de NSX-T.

Configuración de DNS

Debe proporcionar las IP de escucha de DNS disponibles para todos los nodos de Edge. Se mostrará un mensaje durante la resolución de la configuración solicitando que introduzca esta información.

DNS – VPN L3

Debe agregar las IP del agente de escucha DNS de NSX-T configuradas recientemente en la lista de prefijos VPN L3 remotos. Se mostrará un mensaje durante la resolución de la configuración solicitando que introduzca esta información.

DNS configurado en la puerta de enlace del servicios Edge con conmutadores lógicos conectados directamente

No

Durante la migración, las interfaces de puerta de enlace de servicios Edge conectadas directamente se migrarán como puertos de servicio centralizados. Sin embargo, NSX-T no admite el servicio DNS en un puerto de servicio centralizado, por lo que no se migrará la configuración del servicio DNS para estas interfaces.

Distributed Firewall (DFW)

Configuración de NSX-V

Compatible

Detalles

Firewall de identidad

Sección -

  • Nombre

  • Descripción

  • TCP estricto

  • Firewall sin estado

Si una sección de firewall tiene más de 1000 reglas, el migrador migrará las reglas en varias secciones de reglas de 1000 cada una.

Secciones universales

Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager.

Regla - Origen/destino:

  • Dirección IP/rango/CIDR

  • Puerto lógico

  • Conmutador lógico

Regla - Origen/destino:

  • VM

  • Puerto lógico

  • Grupo de seguridad/conjunto de direcciones IP/conjunto de direcciones MAC

asigna a un grupo de seguridad

Regla - Origen/destino:

  • Clúster

  • Centro de datos

  • DVPG

  • vSS

  • Host

No

Regla - Origen/destino:

  • Conmutador lógico universal

Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager.

Regla - Se aplica a:

  • ANY

se asigna a firewall distribuido

Regla - Se aplica a:

  • Grupo de seguridad

  • Puerto lógico

  • Conmutador lógico

  • VM

asigna a un grupo de seguridad

Regla - Se aplica a:

  • Clúster

  • Centro de datos

  • DVPG

  • vSS

  • Host

No

Regla - Se aplica a:

  • Conmutador lógico universal

No

Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager.

Regla - Origen/destino:

  • Máquinas virtuales en hosts de NSX-V

No NSX-T no admite la referencia a objetos no conectados a grupos de puertos o redes de NSX-T. Esos objetos se perderán del origen o del destino cuando se complete la migración. Para evitar este problema, utilice las direcciones IP de NSX-V para hacer referencia a esos objetos antes de la migración.

Reglas deshabilitadas en el firewall distribuido

Deshabilitar el firewall distribuido en un nivel de clúster

No

Cuando el firewall distribuido está habilitado en NSX-T, se habilitará en todos los clústeres. No se puede habilitar en algunos clústeres y deshabilitarse en otros.

Lista de exclusiones de DFW No Las listas de exclusión de DFW no se migran. Debe volver a crearlas en NSX-T después de la migración.

Servicios de partners: Introspección de red de este a oeste

Configuración de NSX-V Compatible Detalles

Servicio

No

El registro de servicio no se migra. El partner debe registrar el servicio con NSX-T antes de la migración.

Plantilla de proveedor

No

La plantilla de proveedor no se migra. El partner debe registrar la plantilla del proveedor con NSX-T antes de la migración.

Perfil de servicio

No

Los perfiles de servicio no se migran. Tanto usted como el partner deben crear los perfiles de servicio antes de la migración.

En el paso Resolver configuración de la migración, se le solicitará que asigne cada perfil de servicio de NSX-V a un perfil de servicio de NSX-T. Si omite la asignación de perfiles de servicio, las reglas que usan estos perfiles de servicio no se migrarán.

Se creará una cadena de servicios en NSX-T para cada perfil de servicio en NSX-V. La cadena de servicios se crea con la siguiente Convención de nomenclatura:

Service-Chain-nombre_perfil_servicio

El mismo perfil de servicio se utiliza en la ruta directa y la ruta inversa de la cadena de servicios.

Instancia de servicio

No

Las máquinas virtuales de servicio de partners (SVM) no se migran. Las SVM de partner de NSX-V no se pueden utilizar en NSX-T.

Para el servicio de introspección de red de este a oeste en NSX-T, las máquinas virtuales del servicio de partners deben implementarse en un segmento de superposición.

Sección
  • Nombre
  • ID
  • Descripción
  • TCP estricto
  • Firewall sin estado

Una sección se asigna a una directiva de redireccionamiento.

El identificador está definido por el usuario y no se genera automáticamente en NSX-T.

Si una sección de firewall de NSX-V tiene más de 1000 reglas, las reglas se migrarán en varias secciones de 1000 reglas cada una. Por ejemplo, si una sección contiene 2500 reglas, se crearán tres directivas: la directiva 1 con 1000 reglas, la directiva 2 con 1000 reglas y la directiva 3 con 500 reglas.

Las reglas de firewall con estado o sin estado de NSX-V se migran a reglas de redireccionamiento con estado o sin estado en NSX-T.

Servicios de partners: Reglas

Nombre

Identificador de regla

El identificador de regla es generado por el sistema. Puede ser diferente del identificador de regla de NSX-V.

Negar origen

Negar destino

Origen/Destino
  • VM
  • Grupo de seguridad
  • Conjunto de direcciones IP
  • vNIC

Servicios/grupos de servicios

Para obtener más información, consulte la tabla Servicios y Grupos de servicios.
Configuración avanzada
  • Dirección
  • Tipo de paquete
  • Etiqueta de regla
  • Comentarios
  • Registrar

Perfil de servicio y acción
  • Nombre del servicio
  • Perfil de servicio
  • Acción
  • Enlaces de perfil de servicio

Un enlace de perfil de servicio puede tener grupos de puertos virtuales distribuidos (DVPG), conmutadores lógicos y grupos de seguridad como miembros. Un enlace de perfil de servicio en NSX-V se asigna al campo Se aplica a de una regla de redireccionamiento de NSX-T. El campo Se aplica a solo acepta grupos, y este campo determina el ámbito de la regla.

En NSX-T, el redireccionamiento de reglas se encuentra en el nivel de una directiva. Todas las reglas de una directiva de redireccionamiento tienen el mismo ámbito (Se aplica a).

El campo Se aplica a de una regla de redireccionamiento de NSX-T puede tener un máximo de 128 miembros. Si el número de miembros de un enlace de perfil de servicio supera los 128, redúzcalos a 128 como máximo antes de iniciar la migración.

Por ejemplo, supongamos que un enlace de perfil de servicio tiene 140 miembros (grupos de seguridad). Siga los pasos que se indican a continuación en NSX-V antes de iniciar la migración:
  1. Crear un grupo de seguridad ficticio
  2. Mueva 13 grupos de seguridad a este grupo de seguridad ficticio. En otras palabras, el grupo de seguridad ficticio tiene 13 miembros.
  3. Elimine el enlace de estos 13 grupos de seguridad del perfil de servicio. Ahora tiene 127 miembros en el enlace de perfil de servicio (140-13).
  4. Agregue el grupo de seguridad ficticio al enlace de perfil de servicio.

Ahora, el número total de miembros en el enlace de perfil de servicio es 128 (127 + 1).

Habilitar o deshabilitar regla

Segmento de servicio
Se creará un segmento de servicio en la zona de transporte superpuesta que seleccionó en el paso Resolver configuración de la migración. En el entorno de NSX-V, si la zona de transporte de VXLAN no está preparada con NSX-V, tendrá la opción de seleccionar la zona de transporte de superposición predeterminada en NSX-T para crear el segmento de servicio. Si una o varias zonas de transporte de VXLAN están preparadas con NSX-V, deberá seleccionar una zona de transporte superpuesta para crear el segmento de servicio en NSX-T.
Prioridad de perfil de servicio
En NSX-V, cada perfil de servicio tiene una prioridad. Si un servicio tiene varios perfiles de servicio y hay varios perfiles enlazados a la misma vNIC, el perfil de servicio con una prioridad más alta se aplicará primero en la vNIC. Sin embargo, en NSX-T, los perfiles de servicio no tienen ninguna prioridad. Cuando se aplican varias reglas de redireccionamiento a la configuración, el orden de las reglas decide qué regla se aplica primero. En otras palabras, las reglas con una prioridad de perfil más alta se colocarán antes que las reglas con una prioridad de perfil más baja en la tabla de reglas de NSX-T. Para obtener un ejemplo detallado, consulte el escenario 2 en Orden de las reglas de introspección de red migradas en NSX-T.
Prioridad de servicio

Para redirigir el tráfico a varios servicios, NSX-V usa varias ranuras de DVFilter en la ruta de datos de inserción de servicios. Se utiliza una ranura de DVFilter para redireccionar el tráfico a un servicio. Un servicio con prioridad alta se colocará más arriba en la ranura en comparación con un servicio con una prioridad más baja. En NSX-T, se utiliza una sola ranura de DVFilter y se redirecciona el tráfico a una cadena de servicios. Después de la migración a NSX-T, las reglas que usan un servicio de partners con prioridad más alta se colocan antes que las reglas que usan un servicio de partners con una prioridad más baja. Para obtener un ejemplo detallado, consulte el escenario 3 en Orden de las reglas de introspección de red migradas en NSX-T.

No se admite el redireccionamiento del tráfico en una vNIC a varios servicios de partners. Solo se admite el redireccionamiento a un servicio de partners. A pesar de que todas las reglas de NSX-V se migran a NSX-T, las configuraciones de reglas migradas usan una cadena de servicios con un solo perfil de servicio. No se puede modificar una cadena de servicios existente que se utiliza en las reglas de redireccionamiento.

Solución alternativa: Para redirigir el tráfico de una vNIC a varios servicios, cree una nueva cadena de servicios y defina el orden de los perfiles de servicio en la cadena de servicios. Actualice las reglas migradas para utilizar esta nueva cadena de servicios.

Servicio de introspección de red en las máquinas virtuales conectadas a una red de máquina virtual
En el entorno de NSX-V, si las reglas de servicio de introspección de red se ejecutan en máquinas virtuales que están conectadas a una red de máquinas virtuales, estas máquinas virtuales pierden la protección de seguridad después de la migración del host. Para garantizar que las reglas de introspección de red se apliquen en la VNIC de estas máquinas virtuales después de la migración de hosts, debe conectar estas máquinas virtuales a un segmento de NSX-T.

Objetos de agrupamiento y Service Composer

Los conjuntos de direcciones IP y MAC se migran a NSX-T como grupos. Consulte Grupos de > inventario en la interfaz web de NSX-T Manager.

Tabla 4. Conjuntos de direcciones IP y MAC

Configuración de NSX-V

Compatible

Detalles

Conjuntos de direcciones IP

Los conjuntos de direcciones IP con un máximo de 2 millones de miembros (direcciones IP, subredes de direcciones IP y rangos de IP) se pueden migrar. Sin embargo, los conjuntos de direcciones IP con más miembros no se pueden migrar.

Conjuntos de direcciones MAC

Los conjuntos de direcciones MAC con un máximo de 2 millones de miembros se pueden migrar. Sin embargo, los conjuntos de direcciones MAC con más miembros no se pueden migrar.

Los grupos de seguridad son compatibles para la migración con las limitaciones especificadas. Los grupos de seguridad se migran a NSX-T como grupos. Consulte Grupos de > inventario en la interfaz web de NSX-T Manager.

NSX-V tiene grupos de seguridad definidos por el sistema y definidos por el usuario. Todos se migran a NSX-T como grupos definidos por el usuario.

Es posible que el número total de "grupos" después de la migración no sea igual al número de grupos de seguridad en NSX-V. Por ejemplo, una regla de firewall distribuido que contenga una máquina virtual como su origen, se migrará a una regla que contenga un grupo nuevo con la máquina virtual como miembro. Esto aumentará el número total de grupos en NSX-T después de la migración.

Tabla 5. Grupos de seguridad

Configuración de NSX-V

Compatible

Detalles

Grupo de seguridad con miembros que no existen

No

Si alguno de los miembros del grupo de seguridad no existe, no se migrará el grupo de seguridad.

Grupo de seguridad que contiene un grupo de seguridad con miembros no admitidos

No

Si no se admite la migración de algún miembro del grupo de seguridad, no se migrará el grupo de seguridad.

Si un grupo de seguridad contiene un grupo de seguridad con miembros no admitidos, el grupo de seguridad principal no se migrará.

Excluir pertenencia al grupo de seguridad

No

Los grupos de seguridad con un miembro excluido directa o indirectamente (mediante anidamiento), no se migrarán

Miembro estático de grupo de seguridad

Un grupo de seguridad puede contener hasta 500 miembros estáticos. Sin embargo, los miembros estáticos generados por el sistema se agregarán si el grupo de seguridad se utiliza en las reglas de firewall distribuido, lo que reducirá el límite efectivo a 499 o 498.

  • Si el grupo de seguridad se utiliza en las reglas de capa 2 o 3, se agregará un miembro estático generado por el sistema al grupo de seguridad.

  • Si el grupo de seguridad se utiliza en las reglas de capa 2 y 3, se agregarán dos miembros estáticos generados por el sistema.

Si no existe ningún miembro durante el paso Resolver configuración, no se migrará el grupo de seguridad.

Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):

  • Clúster

  • Centro de datos

  • Grupo de directorios

  • Grupo de puertos distribuidos

  • Redes/Grupo de puertos heredados

  • Grupo de recursos

  • vApp

No

Si un grupo de seguridad contiene alguno de los tipos de miembro no admitidos, el grupo de seguridad no se migrará.

Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):

  • Grupo de seguridad

  • Conjuntos de direcciones IP

  • Conjuntos de direcciones MAC

Los grupos de seguridad y los conjuntos de direcciones IP y MAC se migran a NSX-T como grupos. Si un grupo de seguridad de NSX-V contiene un conjunto de direcciones IP, un conjunto de direcciones MAC o un grupo de seguridad anidado como miembro estático, los grupos correspondientes se agregarán al grupo principal.

Si uno de estos miembros estáticos no se migró a NSX-T, el grupo de seguridad principal no se migrará a NSX-T.

Por ejemplo, un conjunto de direcciones IP con más de 2 millones miembros no puede migrar a NSX-T. Por lo tanto, un grupo de seguridad que contenga un conjunto de direcciones IP con más de 2 millones miembros no se puede migrar.

Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):

  • Conmutador lógico (conexión virtual)

Si un grupo de seguridad contiene conmutadores lógicos que no se migran a segmentos de NSX-T, el grupo de seguridad no se migrará a NSX-T.

Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):

  • Etiqueta de seguridad

Si se agrega una etiqueta de seguridad al grupo de seguridad como miembro estático o dinámico que utiliza Entidad pertenece a, debe existir la etiqueta de seguridad para que se migre el grupo de seguridad.

Si la etiqueta de seguridad se agrega al grupo de seguridad como miembro dinámico (sin usar Entidad pertenece a), no se comprobará la existencia de la etiqueta de seguridad antes de migrar el grupo de seguridad.

Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):

  • vNIC

  • Máquina virtual

  • Las vNIC y las máquinas virtuales se migran como ExternalIDExpression.

  • Las máquinas virtuales huérfanas (las máquinas virtuales eliminadas de los hosts) se ignoran durante la migración del grupo de seguridad.

  • Una vez que los grupos aparezcan en NSX-T, las pertenencias a máquinas virtuales y vNIC se actualizarán después de un tiempo. Durante este tiempo intermedio, puede haber grupos temporales, y sus grupos temporales pueden aparecer como miembros. Sin embargo, una vez que la migración del host haya finalizado, estos grupos temporales adicionales se dejarán de ver.

Utilizar el operador "Coincide con expresión regular" para la pertenencia dinámica

No

Esto solo afecta a la etiqueta de seguridad y al nombre de la máquina virtual. El operador "Coincide con expresión regular" no está disponible para otros atributos.

Uso de otros operadores disponibles para los criterios dinámicos de pertenencia para atributos:

  • Etiqueta de seguridad

  • Nombre de máquina virtual

  • Nombre del equipo

  • Nombre del sistema operativo del equipo

Los operadores disponibles para el nombre de la máquina virtual, el nombre del equipo y el nombre del sistema operativo del equipo son Contiene, Termina con, Es igual a, No es igual a y Empieza por.

Los operadores disponibles para la etiqueta de seguridad son Contiene, Termina con, Es igual a y Empieza por.

Criterio Entidad pertenece a

Para el criterio Entidad pertenece a, se aplican las mismas limitaciones que para migrar miembros estáticos. Por ejemplo, si tiene un grupo de seguridad que usa Entidad que pertenece a un clúster en la definición, el grupo de seguridad no se migrará.

Los grupos de seguridad que contengan el criterio Entidad pertenecen a y estén combinados con AND no se migrarán.

Operadores de criterios dinámicos de pertenencia (AND, OR) en el grupo de seguridad

Sí.

Al definir la pertenencia dinámica a un grupo de seguridad de NSX-V, puede configurar lo siguiente:

  • Uno o varios conjuntos dinámicos.

  • Cada conjunto dinámico puede contener uno o varios criterios dinámicos. Por ejemplo, "El nombre de la máquina virtual contiene web".

  • Puede seleccionar si desea encontrar coincidencias con cualquiera de los criterios dinámicos de un conjunto dinámico o con todos ellos.

  • Puede seleccionar si desea encontrar coincidencias con AND o OR en todos los conjuntos dinámicos.

NSX-V no limita el número de criterios dinámicos o conjuntos dinámicos, y puede incluir combinaciones de AND y OR.

En NSX-T, puede tener un grupo con cinco expresiones. Los grupos de seguridad de NSX-V que contengan más de cinco expresiones no se migrarán.

Ejemplos de grupos de seguridad que se pueden migrar:

  • Hasta 5 conjuntos dinámicos relacionados con OR donde cada conjunto dinámico contiene hasta 5 criterios dinámicos relacionados con AND (todos en NSX-V).

  • 1 conjunto dinámico que contiene 5 criterios dinámicos relacionados con OR (cualquiera en NSX-V).

  • 1 conjunto dinámico que contiene 5 criterios dinámicos relacionados con AND (todos en NSX-V). Todos los miembros deben ser del mismo tipo.

  • 5 conjuntos dinámicos relacionados con AND y cada conjunto dinámico con exactamente 1 criterio dinámico. Todos los miembros deben ser del mismo tipo.

No se admite el uso de los criterios "Entidad pertenece a" con operadores AND.

Las demás combinaciones o definiciones de un grupo de seguridad que contengan escenarios no admitidos no se migrarán.

En NSX-V, las etiquetas de seguridad son objetos que se pueden aplicar a las máquinas virtuales. Cuando se migran a NSX-T, las etiquetas de seguridad son atributos de una máquina virtual.

Tabla 6. Etiquetas de seguridad

Configuración de NSX-V

Compatible

Detalles

Etiquetas de seguridad

Si una máquina virtual tiene 25 etiquetas de seguridad o menos aplicadas, se admite la migración de etiquetas de seguridad. Si se aplican más de 25 etiquetas de seguridad, no se migrará ninguna etiqueta.

Nota: Si no se migran etiquetas de seguridad, la máquina virtual no se incluye en ninguno de los grupos definidos por la pertenencia a etiquetas.

Las etiquetas de seguridad que no se aplican a ninguna máquina virtual no se migran.

Los servicios y los grupos de servicios se migran a NSX-T como servicios. Consulte Inventario > Servicios en la interfaz web de NSX-T Manager.

Tabla 7. Servicios y grupos de servicios

Configuración de NSX-V

Compatible

Detalles

Servicios y grupos de servicios (aplicaciones y grupos de aplicaciones)

La mayoría de los grupos de servicios y servicios predeterminados se asignan a los servicios de NSX-T. Si algún servicio o grupo de servicios no está presente en NSX-T, se creará un nuevo servicio en NSX-T.

Grupos de servicios APP_ALL y APP_POP2

No

Estos grupos de servicios definidos por el sistema no se migran.

Servicios y grupos de servicios con conflictos de nomenclatura

Si se identifica un conflicto de nombres en NSX-T para un servicio o grupo de servicios modificados, se creará un nuevo servicio en NSX-T con un nombre en formato: <NSXv-Nombre-Aplicación> migrado desde NSX-V

Grupos de servicios que combinan servicios de capa 2 con servicios de otras capas

No

Grupos de servicios vacíos

No

NSX-T no admite servicios vacíos.

Servicios de capa 2

Los servicios de capa 2 de NSX-V se migran como la entrada de servicio EtherTypeServiceEntry de NSX-T.

Servicios de capa 3

Según el protocolo, los servicios de capa 3 de NSX-V se migran a la entrada de servicio NSX-T de la siguiente forma:

  • Protocolo TCP/UDP: L4PortSetServiceEntry

  • Protocolo ICMP/IPV6ICMP:

ICMPTypeServiceEntry

  • Protocolo IGMP: IGMPTypeServiceEntry

  • Otros protocolos: IPProtocolServiceEntry

Servicios de capa 4

Migrado como servicio de entrada ALGTypeServiceEntry de NSX-T.

Servicios de capa 7

Migrado como servicio de entrada PolicyContextProfile de NSX-T

Si una aplicación de NSX-V de capa 7 tiene un puerto y un protocolo definidos, se creará un servicio en NSX-T con la configuración adecuada de protocolo y puerto, y se asignará a PolicyContextProfile.

Grupos de servicios de capa 7

No

Firewall distribuido, firewall de Edge o reglas NAT que contienen el puerto y el protocolo

NSX-T requiere un servicio para crear estas reglas. Si existe un servicio adecuado, se utilizará. Si no existe ningún servicio adecuado, se creará un servicio mediante el puerto y el protocolo especificados en la regla.

Tabla 8. Service Composer

Configuración de NSX-V

Compatible

Detalles

Políticas de seguridad de Service Composer

Las reglas de firewall definidas en una directiva de seguridad se migrarán a NSX-T como reglas de firewall distribuido.

Las reglas de firewall deshabilitadas definidas en una directiva de seguridad de Service Composer no se migrarán.

Las reglas de Guest Introspection o introspección de red definidas en una directiva de seguridad de Service Composer se migrarán.

Si el estado de Service Composer no está sincronizado, el paso Resolver configuración mostrará una advertencia. Puede omitir la migración de las directivas de Service Composer omitiendo las secciones Network Introspection del firewall distribuido. De forma alternativa, puede revertir la migración, obtener Service Composer en sincronización con el firewall distribuido y reiniciar la migración.

Las directivas de seguridad de Service Composer no se aplican a ningún grupo de seguridad

No

Configuración de servidor de Active Directory

Configuración

Compatible

Detalles

Servidor de Active Directory (AD)

No