A continuación se especifican las funciones y configuraciones de NSX-V que se pueden migrar.
Compatibilidad de plataforma
Consulte las versiones compatibles de ESXi y vCenter Server en la Matriz de interoperabilidad de VMware.
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
NSX-V con vSAN o iSCSI en vSphere Distributed Switch |
Sí |
|
Configuración de NSX-T preexistente |
No |
Debe implementar un nuevo entorno de NSX-T. Si el modo de migración no es para una topología definida por el usuario, durante el paso Importar configuración, se apagarán todas las interfaces de nodo de NSX-T Edge en el entorno de NSX-T. Si el entorno de NSX-T está en uso, esto interrumpirá el tráfico. |
Cross-vCenter NSX |
(NSX-T 3.2.1 y versiones posteriores) Sí (NSX-T 3.2.0) Sí, pero sin instancias secundarias de NSX Manager |
(NSX-T 3.2.1 y versiones posteriores) Solo se admite si selecciona el modo Migrar NSX for vSphere y Topología definida por el usuario. (NSX-T 3.2.0) La migración de una implementación de NSX-V de un solo sitio que contiene una instancia de NSX Manager en modo principal, no se admiten instancias secundarias de NSX Manager con objetos universales en el sitio principal. Una implementación de NSX-V de un solo sitio se migra a un entorno de NSX-T de un solo sitio (no federado) con objetos locales. No se admite la migración de una implementación de Cross-vCenter NSX-V con una instancia principal de NSX Manager y varias instancias secundarias de NSX Manager. Sin embargo, si la instancia principal o secundaria de NSX Manager está establecida en modo de tránsito o independiente, se admitirá la migración. |
Dominios de carga de trabajo de VCF | (NSX-T 3.2.1 y versiones posteriores) Sí | |
NSX-V con una plataforma de administración de la nube, una solución integrada de pila o una solución PaaS |
Sí |
Se admite la migración de NSX-V con vRealize Automation. Póngase en contacto con su representante de VMware antes de continuar con la migración. Los scripts y las integraciones podrían interrumpirse si migra los entornos integrados:
Por ejemplo:
|
Funciones de vSphere y ESXi
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
El host ESXi ya está en modo de mantenimiento (sin máquinas virtuales) |
Sí |
|
Network I/O Control (NIOC ) versión 3 |
Sí |
|
Network I/O Control (NIOC ) versión 2 |
No |
|
Network I/O control (NIOC) con vNIC con reserva |
No |
|
Conmutador estándar de vSphere |
No |
Las máquinas virtuales y las interfaces de VMkernel de VSS no se migran. No se pueden migrar las funciones de NSX-V que se aplican a VSS. |
vSphere Distributed Switch |
Sí | |
ESXi sin estado |
No |
|
Perfiles de host |
No |
|
Modo de bloqueo de ESXi |
No |
No admitido en NSX-T. |
Tarea de modo de mantenimiento pendiente del host ESXi. |
No |
|
Host ESXi desconectado en el clúster de vCenter |
No |
|
vSphere FT |
No |
|
vSphere DRS totalmente automatizado |
Sí |
Se admite a partir de vSphere 7.0 |
vSphere High Availability |
Sí |
|
ACL de filtrado de tráfico |
No |
|
Comprobación de estado de vSphere |
No |
|
SRIOV |
No |
|
vmknic anclado a NIC física |
No |
|
VLAN privada |
No |
|
DvPortGroup efímero |
No |
|
DirectPath I/O |
No |
|
Seguridad L2 |
No |
|
Conmutador de aprendizaje en conexión virtual |
No |
|
Puerta de enlace de hardware (integración de endpoint de túnel con hardware de conmutación física) |
No |
|
SNMP |
No |
|
vNIC desconectado en la máquina virtual |
No |
Debido a las limitaciones de ESX 6.5, pueden aparecer entradas obsoletas en DVFilter para máquinas virtuales desconectadas. Reinicie la máquina virtual como solución alternativa. |
Número de puerto VXLAN distinto de 4789 |
No |
|
Modo de filtrado de multidifusión |
No |
|
Hosts con varios VTEP |
Sí |
Configuración del sistema del dispositivo de NSX Manager
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Configuración de tiempo/servidor NTP |
Sí |
|
Configuración de servidor syslog |
Sí |
|
Configuración de copia de seguridad |
Sí |
Si es necesario, cambie la frase de contraseña de NSX-V para que cumpla los requisitos de NSX-T. Debe tener al menos 8 caracteres e incluir lo siguiente:
|
FIPS |
No |
NSX-T no admite la activación/desactivación de FIPS. |
Configuración regional |
No |
NSX-T solo admite la configuración regional en inglés |
Certificado de dispositivo |
No |
Control de acceso basado en funciones
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Usuarios locales |
No |
|
Funciones de NSX asignadas a un usuario de vCenter agregado a través de LDAP |
Sí |
VMware Identity Manager debe estar instalado y configurado para migrar las funciones de los usuarios de LDAP. |
Funciones de NSX asignadas a un grupo de vCenter |
No |
Certificados
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Certificados (servidor, CA firmada) |
Sí |
Se aplica únicamente a los certificados agregados mediante las API de truststore. |
Cambios de certificado durante la migración |
(NSX-T 3.2.0) No (NSX-T 3.2.1 y versiones posteriores) Sí |
(NSX-T 3.2.1 y versiones posteriores) Se admiten cambios de certificados cuando la migración está en pausa para todos los modos de migración, excepto para la migración de redes de vSphere. No se admite cuando se migran hosts y cargas de trabajo. |
Operaciones
Detalles |
Compatible |
Notas |
---|---|---|
CDP del protocolo de detección |
Consulte las notas. |
Sí, si se migra a VDS 7.0. No, si se migra a N-VDS. |
LLDP del protocolo de detección |
Sí |
El modo de escucha está activado de forma predeterminada y no se puede cambiar en NSX-T. Solo se puede modificar el modo de anuncio. |
PortMirroring:
|
Sí |
Solo se admite el tipo de sesión L3 para la migración |
PortMirroring:
|
No |
|
IPFIX L2 |
Sí |
No se admite LAG con IPFIX |
Firewall distribuido de IPFIX |
No |
|
Aprendizaje de MAC |
Sí |
Debe habilitar (aceptar) transmisiones falsificadas. |
VTEP de hardware |
No |
|
Modo promiscuo |
No |
|
Asignación de recursos |
No |
No se admiten vNIC habilitadas con asignación de recursos |
IPFIX: flujos internos |
No |
No se admite IPFIX con flujos internos |
Conmutador
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Conexión con puentes L2 |
No |
|
entroncar VLAN |
Sí |
Los grupos de puertos de vínculo superior troncal deben configurarse con un rango 0-4094 de VLAN. |
Configuración de VLAN |
Sí |
Solo se admite la configuración con VLAN (no VXLAN). |
Formación de equipos y conmutación por error:
|
Sí |
Opciones admitidas para el equilibrio de carga (directiva de formación de equipos):
No se admiten otras opciones de equilibrio de carga. |
Formación de equipos y conmutación por error:
|
No |
|
LACP | Sí | Para VDS 7.0 y versiones posteriores, la funcionalidad de LACP no se modifica durante la migración. Para versiones anteriores de VDS, un nuevo conmutador N-VDS reemplaza a VDS. Esto provocará una pérdida de tráfico durante la migración del host. IPFIX configurado en DVS (no IPFIX de DFW) no es compatible con LACP |
Seguridad del conmutador y detección de direcciones IP
Configuración de NSX-V |
Compatible con migración |
Detalles |
---|---|---|
Detección de IP (ARP, ND, DHCPv4 y DHCPv6) |
Sí |
Los siguientes límites de enlace se aplican en NSX-T para la migración:
|
SpoofGuard (manual, TOFU, deshabilitado) |
Sí |
|
Seguridad de conmutador (filtro BPDU, bloque de cliente DHCP, bloque de servidor DHCP, protección de RA) |
Sí |
|
Migrar enlaces de rutas de acceso desde el módulo de seguridad del conmutador en NSX-V hasta el módulo de seguridad del conmutador en NSX-T |
Sí |
Si SpoofGuard está habilitado, los enlaces se migran desde el módulo de seguridad del conmutador para admitir la supresión de ARP. VSIP: la seguridad del conmutador no se admite, ya que los enlaces de VSIP se migran como reglas configuradas estáticamente. |
Perfiles de detección |
Sí |
Los perfiles de ipdiscovery se crean después de la migración mediante la configuración de detección de direcciones IP para el conmutador lógico y la configuración de DHCP y ARP de clúster y global. |
Plano de control central
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Réplica de VTEP por conmutador lógico (VNI) y dominio de enrutamiento |
Sí |
|
Replicación de MAC/IP |
No |
|
Zonas de transporte de NSX-V mediante multidifusión o modo de replicación híbrida |
No |
|
Zonas de transporte de NSX-V mediante el modo de replicación de unidifusión |
Sí |
Funciones de NSX Edge
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
El enrutamiento entre la puerta de enlace de servicios Edge y el enrutador en dirección norte. |
Sí |
Se admite BGP. Se admiten rutas estáticas. Se admite OSPF. |
Enrutamiento entre la puerta de enlace de servicios Edge y el enrutador lógico distribuido |
Sí |
Las rutas se convierten en rutas estáticas después de la migración. |
Equilibrador de carga |
Sí |
Consulte Modos de migración para obtener información detallada. |
Entorno de microsegmentación respaldado por VLAN |
Sí |
|
NAT64 |
No |
No admitido en NSX-T. |
Configuración en el nivel de nodo en la puerta de enlace de servicios Edge o enrutador lógico distribuido |
No |
No se admite la configuración en el nivel del nodo, por ejemplo, syslog o servidor NTP. Puede configurar syslog y NTP manualmente en los nodos de NSX-T Edge. |
IPv6 |
No |
|
Configuración del filtro de ruta inversa de unidifusión (URPF) para interfaces de puerta de enlace de servicios Edge |
No |
El URPF se establece como Estricto en interfaces de puerta de enlace NSX-T. |
Interfaces de puerta de enlace de servicios Edge de la configuración de la unidad de transmisión máxima (MTU) |
No |
Consulte Cambiar la configuración de MTU global para obtener información sobre cómo cambiar la MTU predeterminada en NSX-T. |
Enrutamiento de multidifusión IP |
No |
|
Filtros de prefijo de redistribución de rutas |
No |
|
default-originate |
No |
No admitido en NSX-T. |
Firewall de Edge
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Sección de firewall: nombre para mostrar |
Sí |
Las secciones del firewall pueden tener un máximo de 1000 reglas. Si una sección incluye más de 1000 reglas, se migrará en varias secciones. |
Acción para regla predeterminada |
Sí |
API de NSX-V: GatewayPolicy/action API de NSX-T: SecurityPolicy.action |
Configuración global de firewall |
No |
Se utilizan los tiempos de espera predeterminados |
Regla de firewall |
Sí |
API de NSX-V: firewallRule API de NSX-T: SecurityPolicy |
Regla de firewall: nombre |
Sí |
|
Regla de firewall: etiqueta de regla |
Sí |
API de NSX-V: ruleTag API de NSX-T: Rule_tag |
Orígenes y destinos en las reglas de firewall:
|
Sí |
API de NSX-V:
API de NSX-T:
API de NSX-V:
API de NSX-T:
|
Orígenes y destinos de reglas de firewall:
|
No |
|
Servicios (aplicaciones) en reglas de firewall:
|
Sí |
API de NSX-V:
API de NSX-T:
|
Regla de firewall: Hacer coincidir con traducida |
No |
Hacer coincidir con traducida debe ser "false". |
Regla de firewall: Dirección |
Sí |
Ambas API: direction |
Regla de firewall: Acción |
Sí |
Ambas API: action |
Regla de firewall: Habilitada |
Sí |
Ambas API: enabled |
Regla de firewall: Registro |
Sí |
API de NSX-V: logging API de NSX-T: logged |
Regla de firewall: Descripción |
Sí |
Ambas API: description |
NAT de Edge
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Regla NAT |
Sí |
API de NSX-V: natRule API de NSX-T: /nat/USER/nat-rules |
Regla NAT: Etiqueta de regla |
Sí |
API de NSX-V: ruleTag API de NSX-T: rule_tag |
Regla NAT: Acción |
Sí |
API de NSX-V: action API de NSX-T: action |
Regla NAT: Dirección original (dirección de origen para reglas SNAT y dirección de destino para reglas DNAT). |
Sí |
API de NSX-V: originalAddress API de NSX-T: source_network para reglas SNAT o destination_network para reglas DNAT |
Regla NAT: translatedAddress |
Sí |
API de NSX-V: translatedAddress API de NSX-T: translated_network |
Regla NAT: aplicar regla NAT en una interfaz específica |
No |
Se debe aplicar como "any". |
Regla NAT: Registro |
Sí |
API de NSX-V: loggingEnabled API de NSX-T: logging |
Regla NAT: Habilitada |
Sí |
API de NSX-V: enabled API de NSX-T: disabled |
Regla NAT: Descripción |
Sí |
API de NSX-V: description API de NSX-T: description |
Regla NAT: Protocolo |
Sí |
API de NSX-V: protocol API de NSX-T: Service |
Regla NAT: Puerto original (puerto de origen para reglas SNAT, puerto de destino para reglas DNAT) |
Sí |
API de NSX-V: originalPort API de NSX-T: Service |
Regla NAT: Puerto traducido |
Sí |
API de NSX-V: translatedPort API de NSX-T: Translated_ports |
Regla NAT: Dirección de origen en regla DNAT |
Sí |
API de NSX-V: dnatMatchSourceAddress API de NSX-T: source_network |
Regla NAT: Dirección de destino en la regla SNAT |
Sí |
API de NSX-V: snatMatchDestinationAddress API de NSX-T: destination_network |
Regla NAT: Puerto de origen en regla DNAT |
Sí |
API de NSX-V: dnatMatchSourcePort API de NSX-T: Service |
Regla NAT: Puerto de destino en la regla SNAT |
Sí |
API de NSX-V: snatMatchDestinationPort API de NSX-T: Service |
Regla NAT: identificador de regla |
Sí |
API de NSX-V: ruleID API de NSX-T: id y display_name |
L2VPN
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Configuración de L2VPN basada en IPSec con la clave compartida previamente (PSK) |
Sí |
Se admite si las redes que se amplían a L2VPN son un conmutador lógico superpuesto. No se admite con redes VLAN. |
Configuración de L2VPN basada en IPSec mediante la autenticación basada en certificados |
No |
|
Configuración de L2VPN basada en SSL |
No |
|
Configuraciones de L2VPN con optimizaciones de salida local |
No |
|
Modo de cliente de L2VPN |
No |
L3VPN
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Dead Peer Detection |
Sí |
La detección de pares muertos admite diferentes opciones en NSX-V y NSX-T. Es posible que desee considerar el uso de BGP para una convergencia más rápida o configurar un elemento del mismo nivel para realizar DPD si se admite. |
Se cambiaron los valores predeterminados de Dead Peer Detection (DPD) para:
|
No |
En NSX-T, dpdaction se establece como "restart" y no se puede cambiar. Si la configuración de NSX-V para dpdtimeout se establece en 0, DPD se deshabilitará en NSX-T. De lo contrario, se ignorará la configuración de dpdtimeout y se utilizará el valor predeterminado. |
Se cambiaron los valores predeterminados de Dead Peer Detection (DPD) para:
|
Sí |
dpdelay de NSX-V se asigna a dpdinternal de NSX-T. |
Superposición de subredes locales y elementos del mismo nivel de dos o más sesiones. |
No |
NSX-V es compatible con las sesiones de VPN de IPSec basadas en directivas donde las subredes locales y del mismo nivel de dos o más sesiones se superponen entre sí. Este comportamiento no se admite en NSX-T. Debe volver a configurar las subredes para que no se superpongan antes de iniciar la migración. Si no se resuelve este problema de configuración, se produce un error en el paso Migrar configuración. |
Las sesiones IPSec con un endpoint del mismo nivel se establecen como "any". |
No |
La configuración no se migra. |
Cambios en la extensión securelocaltrafficbyip. |
No |
El enrutador de servicio de NSX-T no tiene ningún tráfico generado local que deba enviarse a través del túnel. |
Cambios en estas extensiones: auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configºured, forceencaps,overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric,disablearrivalcheck, failureshunt,leftnexthop, keyingtries |
No |
Estas extensiones no son compatibles con NSX-T y los cambios no se migran. |
Equilibrador de carga
La siguiente tabla se aplica a la migración del equilibrador de carga de NSX-V al equilibrador de carga de NSX-T (NLB) o a NSX-T Advanced Load Balancer (ALB). Para obtener información sobre la migración del equilibrador de carga de NSX-V a ALB, consulte Migrar el equilibrador de carga de NSX-V a Advanced Load Balancer.
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Supervisión/comprobaciones de estado para:
|
Consulte los detalles. |
(NLB) Los monitores no se migran. (ALB) Los monitores LDAP y MSSQL no se migran. El monitor de DNS se migra si ALB tiene una licencia empresarial, pero no si tiene una licencia básica. |
Reglas de aplicación |
No |
NSX-V utiliza reglas de aplicación basadas en HAProxy para admitir L7. En NSX-T, las reglas se basan en NGINX. Las reglas de aplicación no se pueden migrar. Debe crear nuevas reglas después de la migración. |
Rango de puertos del servidor virtual L7 |
(NLB) No (ALB) Sí |
|
IPv6 |
No |
Si se utiliza IPv6 en el servidor virtual, este se ignorará por completo. Si se utiliza IPv6 en el grupo, este se migrará, pero el miembro del grupo relacionado se eliminará. |
URL, URI, algoritmos de HTTPHEADER |
Consulte los detalles. |
(NLB) Los grupos con estos algoritmos no se migran. (ALB) Se admite si ALB tiene una licencia empresarial. Con una licencia básica, se le proporcionarán comentarios para seleccionar un algoritmo diferente. |
Grupo aislado |
No |
|
Miembro de grupo de LB con un puerto de monitor diferente |
Consulte los detalles. |
(NLB) El miembro del grupo que tenga un puerto de monitor diferente no se migrará. (ALB) El miembro del grupo se migra, pero no estará en la configuración del puerto de supervisión. |
MinConn de miembro de grupo |
No |
|
Extensión del monitor |
No |
|
Tabla/persistencia de sessionID de SSL |
(NLB) No (ALB) Sí |
|
Tabla de sesión/persistencia de MSRDP |
No |
|
Tabla de sesión/sesión de aplicación de cookies |
(NLB) No (ALB) Sí |
|
Persistencia de aplicaciones |
(NLB) No (ALB) Sí |
|
Supervisar para:
|
No |
|
Supervisar para:
|
Sí |
|
Ajuste de HAProxy/ajuste de IPVS |
No |
|
Filtro de IP de grupo
|
Sí |
Se admiten direcciones IP IPv4. Si se usa "Any", solo se migrarán las direcciones IPv4 del grupo de direcciones IP. |
Filtro de IP de grupo
|
No |
|
Grupo que contiene un objeto de agrupación no admitido:
|
No |
Si un grupo incluye un objeto de agrupamiento no admitido, estos objetos se ignorarán y el grupo se creará con miembros de objetos de agrupamiento compatibles. Si no hay miembros de objetos de agrupamiento compatibles, se creará un grupo vacío. |
DHCP y DNS
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Retransmisión de DHCP configurada en un enrutador lógico distribuido que redirige a un servidor DHCP configurado en una puerta de enlace de servicios Edge conectada directamente |
Sí |
La dirección IP del servidor de retransmisión DHCP debe ser una de las direcciones IP de la interfaz interna de la puerta de enlace de servicios Edge. El servidor DHCP debe estar configurado en una puerta de enlace de servicios Edge que esté conectada directamente al enrutador lógico distribuido configurado con la retransmisión DHCP. No se admite el uso de DNAT para traducir una dirección IP de retransmisión DHCP que no coincida con una interfaz interna de la puerta de enlace de servicios Edge. |
Retransmisión de DHCP configurada solo en un enrutador lógico distribuido, sin configuración del servidor DHCP en la puerta de enlace de servicios Edge conectados |
No |
|
Servidor DHCP configurado solo en la puerta de enlace de servicios Edge, sin configuración de retransmisión de DHCP en el enrutador lógico distribuido conectado |
No |
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Grupos de direcciones IP |
Sí |
|
Enlaces estáticos |
Sí |
|
Concesiones DHCP |
Sí |
|
Opciones generales de DHCP |
Sí |
|
Deshabilitar servicio DHCP |
No |
En NSX-T, no se puede deshabilitar el servicio DHCP. Si hay un servicio DHCP deshabilitado en NSX-V, este no se migrará. |
Opción de DHCP: "other" |
No |
El campo "other" de las opciones de DHCP no se admite en las migraciones. Por ejemplo, la opción de DHCP '80' no se migrará. <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
Enlaces/grupos de IP huérfanas |
No |
Si los enlaces estáticos o grupos de direcciones IP están configurados en un servidor DHCP, pero no los utiliza ningún conmutador lógico conectado, estos objetos se omitirán de la migración. |
DHCP configurado en la puerta de enlace del servicios Edge con conmutadores lógicos conectados directamente |
No |
Durante la migración, las interfaces de puerta de enlace de servicios Edge conectadas directamente se migrarán como puertos de servicio centralizados. Sin embargo, NSX-T no admite el servicio DHCP en un puerto de servicio centralizado, por lo que no se migrará la configuración del servicio DHCP para estas interfaces. |
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Vistas de DNS |
Sí |
Solo se migrará el primer dnsView a la zona del reenviador de DNS predeterminado de NSX-T. |
Configuración de DNS |
Sí |
Debe proporcionar las IP de escucha de DNS disponibles para todos los nodos de Edge. Se mostrará un mensaje durante la resolución de la configuración solicitando que introduzca esta información. |
DNS – VPN L3 |
Sí |
Debe agregar las IP del agente de escucha DNS de NSX-T configuradas recientemente en la lista de prefijos VPN L3 remotos. Se mostrará un mensaje durante la resolución de la configuración solicitando que introduzca esta información. |
DNS configurado en la puerta de enlace del servicios Edge con conmutadores lógicos conectados directamente |
No |
Durante la migración, las interfaces de puerta de enlace de servicios Edge conectadas directamente se migrarán como puertos de servicio centralizados. Sin embargo, NSX-T no admite el servicio DNS en un puerto de servicio centralizado, por lo que no se migrará la configuración del servicio DNS para estas interfaces. |
Distributed Firewall (DFW)
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Firewall de identidad |
Sí |
|
Sección -
|
Sí |
Si una sección de firewall tiene más de 1000 reglas, el migrador migrará las reglas en varias secciones de reglas de 1000 cada una. |
Secciones universales |
Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager. |
|
Regla - Origen/destino:
|
Sí |
|
Regla - Origen/destino:
|
Sí |
asigna a un grupo de seguridad |
Regla - Origen/destino:
|
No |
|
Regla - Origen/destino:
|
Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager. |
|
Regla - Se aplica a:
|
Sí |
se asigna a firewall distribuido |
Regla - Se aplica a:
|
Sí |
asigna a un grupo de seguridad |
Regla - Se aplica a:
|
No |
|
Regla - Se aplica a:
|
No Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager. |
|
Regla - Origen/destino:
|
No | NSX-T no admite la referencia a objetos no conectados a grupos de puertos o redes de NSX-T. Esos objetos se perderán del origen o del destino cuando se complete la migración. Para evitar este problema, utilice las direcciones IP de NSX-V para hacer referencia a esos objetos antes de la migración. |
Reglas deshabilitadas en el firewall distribuido |
Sí |
|
Deshabilitar el firewall distribuido en un nivel de clúster |
No |
Cuando el firewall distribuido está habilitado en NSX-T, se habilitará en todos los clústeres. No se puede habilitar en algunos clústeres y deshabilitarse en otros. |
Lista de exclusiones de DFW | No | Las listas de exclusión de DFW no se migran. Debe volver a crearlas en NSX-T después de la migración. |
Servicios de partners: Introspección de red de este a oeste
Configuración de NSX-V | Compatible | Detalles |
---|---|---|
Servicio |
No |
El registro de servicio no se migra. El partner debe registrar el servicio con NSX-T antes de la migración. |
Plantilla de proveedor |
No |
La plantilla de proveedor no se migra. El partner debe registrar la plantilla del proveedor con NSX-T antes de la migración. |
Perfil de servicio |
No |
Los perfiles de servicio no se migran. Tanto usted como el partner deben crear los perfiles de servicio antes de la migración. En el paso Resolver configuración de la migración, se le solicitará que asigne cada perfil de servicio de NSX-V a un perfil de servicio de NSX-T. Si omite la asignación de perfiles de servicio, las reglas que usan estos perfiles de servicio no se migrarán. Se creará una cadena de servicios en NSX-T para cada perfil de servicio en NSX-V. La cadena de servicios se crea con la siguiente Convención de nomenclatura: Service-Chain-nombre_perfil_servicio El mismo perfil de servicio se utiliza en la ruta directa y la ruta inversa de la cadena de servicios. |
Instancia de servicio |
No |
Las máquinas virtuales de servicio de partners (SVM) no se migran. Las SVM de partner de NSX-V no se pueden utilizar en NSX-T. Para el servicio de introspección de red de este a oeste en NSX-T, las máquinas virtuales del servicio de partners deben implementarse en un segmento de superposición. |
Sección
|
Sí |
Una sección se asigna a una directiva de redireccionamiento. El identificador está definido por el usuario y no se genera automáticamente en NSX-T. Si una sección de firewall de NSX-V tiene más de 1000 reglas, las reglas se migrarán en varias secciones de 1000 reglas cada una. Por ejemplo, si una sección contiene 2500 reglas, se crearán tres directivas: la directiva 1 con 1000 reglas, la directiva 2 con 1000 reglas y la directiva 3 con 500 reglas. Las reglas de firewall con estado o sin estado de NSX-V se migran a reglas de redireccionamiento con estado o sin estado en NSX-T. |
Servicios de partners: Reglas |
||
Nombre |
Sí |
|
Identificador de regla |
Sí |
El identificador de regla es generado por el sistema. Puede ser diferente del identificador de regla de NSX-V. |
Negar origen |
Sí |
|
Negar destino |
Sí |
|
Origen/Destino
|
Sí |
|
Servicios/grupos de servicios |
Sí |
Para obtener más información, consulte la tabla Servicios y Grupos de servicios. |
Configuración avanzada
|
Sí |
|
Perfil de servicio y acción
|
Sí |
Un enlace de perfil de servicio puede tener grupos de puertos virtuales distribuidos (DVPG), conmutadores lógicos y grupos de seguridad como miembros. Un enlace de perfil de servicio en NSX-V se asigna al campo Se aplica a de una regla de redireccionamiento de NSX-T. El campo Se aplica a solo acepta grupos, y este campo determina el ámbito de la regla. En NSX-T, el redireccionamiento de reglas se encuentra en el nivel de una directiva. Todas las reglas de una directiva de redireccionamiento tienen el mismo ámbito (Se aplica a). El campo Se aplica a de una regla de redireccionamiento de NSX-T puede tener un máximo de 128 miembros. Si el número de miembros de un enlace de perfil de servicio supera los 128, redúzcalos a 128 como máximo antes de iniciar la migración.
Por ejemplo, supongamos que un enlace de perfil de servicio tiene 140 miembros (grupos de seguridad). Siga los pasos que se indican a continuación en
NSX-V antes de iniciar la migración:
Ahora, el número total de miembros en el enlace de perfil de servicio es 128 (127 + 1). |
Habilitar o deshabilitar regla |
Sí |
- Segmento de servicio
- Se creará un segmento de servicio en la zona de transporte superpuesta que seleccionó en el paso Resolver configuración de la migración. En el entorno de NSX-V, si la zona de transporte de VXLAN no está preparada con NSX-V, tendrá la opción de seleccionar la zona de transporte de superposición predeterminada en NSX-T para crear el segmento de servicio. Si una o varias zonas de transporte de VXLAN están preparadas con NSX-V, deberá seleccionar una zona de transporte superpuesta para crear el segmento de servicio en NSX-T.
- Prioridad de perfil de servicio
- En NSX-V, cada perfil de servicio tiene una prioridad. Si un servicio tiene varios perfiles de servicio y hay varios perfiles enlazados a la misma vNIC, el perfil de servicio con una prioridad más alta se aplicará primero en la vNIC. Sin embargo, en NSX-T, los perfiles de servicio no tienen ninguna prioridad. Cuando se aplican varias reglas de redireccionamiento a la configuración, el orden de las reglas decide qué regla se aplica primero. En otras palabras, las reglas con una prioridad de perfil más alta se colocarán antes que las reglas con una prioridad de perfil más baja en la tabla de reglas de NSX-T. Para obtener un ejemplo detallado, consulte el escenario 2 en Orden de las reglas de introspección de red migradas en NSX-T.
- Prioridad de servicio
-
Para redirigir el tráfico a varios servicios, NSX-V usa varias ranuras de DVFilter en la ruta de datos de inserción de servicios. Se utiliza una ranura de DVFilter para redireccionar el tráfico a un servicio. Un servicio con prioridad alta se colocará más arriba en la ranura en comparación con un servicio con una prioridad más baja. En NSX-T, se utiliza una sola ranura de DVFilter y se redirecciona el tráfico a una cadena de servicios. Después de la migración a NSX-T, las reglas que usan un servicio de partners con prioridad más alta se colocan antes que las reglas que usan un servicio de partners con una prioridad más baja. Para obtener un ejemplo detallado, consulte el escenario 3 en Orden de las reglas de introspección de red migradas en NSX-T.
No se admite el redireccionamiento del tráfico en una vNIC a varios servicios de partners. Solo se admite el redireccionamiento a un servicio de partners. A pesar de que todas las reglas de NSX-V se migran a NSX-T, las configuraciones de reglas migradas usan una cadena de servicios con un solo perfil de servicio. No se puede modificar una cadena de servicios existente que se utiliza en las reglas de redireccionamiento.
Solución alternativa: Para redirigir el tráfico de una vNIC a varios servicios, cree una nueva cadena de servicios y defina el orden de los perfiles de servicio en la cadena de servicios. Actualice las reglas migradas para utilizar esta nueva cadena de servicios.
- Servicio de introspección de red en las máquinas virtuales conectadas a una red de máquina virtual
- En el entorno de NSX-V, si las reglas de servicio de introspección de red se ejecutan en máquinas virtuales que están conectadas a una red de máquinas virtuales, estas máquinas virtuales pierden la protección de seguridad después de la migración del host. Para garantizar que las reglas de introspección de red se apliquen en la VNIC de estas máquinas virtuales después de la migración de hosts, debe conectar estas máquinas virtuales a un segmento de NSX-T.
Objetos de agrupamiento y Service Composer
Los conjuntos de direcciones IP y MAC se migran a NSX-T como grupos. Consulte en la interfaz web de NSX-T Manager.
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Conjuntos de direcciones IP |
Sí |
Los conjuntos de direcciones IP con un máximo de 2 millones de miembros (direcciones IP, subredes de direcciones IP y rangos de IP) se pueden migrar. Sin embargo, los conjuntos de direcciones IP con más miembros no se pueden migrar. |
Conjuntos de direcciones MAC |
Sí |
Los conjuntos de direcciones MAC con un máximo de 2 millones de miembros se pueden migrar. Sin embargo, los conjuntos de direcciones MAC con más miembros no se pueden migrar. |
Los grupos de seguridad son compatibles para la migración con las limitaciones especificadas. Los grupos de seguridad se migran a NSX-T como grupos. Consulte en la interfaz web de NSX-T Manager.
NSX-V tiene grupos de seguridad definidos por el sistema y definidos por el usuario. Todos se migran a NSX-T como grupos definidos por el usuario.
Es posible que el número total de "grupos" después de la migración no sea igual al número de grupos de seguridad en NSX-V. Por ejemplo, una regla de firewall distribuido que contenga una máquina virtual como su origen, se migrará a una regla que contenga un grupo nuevo con la máquina virtual como miembro. Esto aumentará el número total de grupos en NSX-T después de la migración.
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Grupo de seguridad con miembros que no existen |
No |
Si alguno de los miembros del grupo de seguridad no existe, no se migrará el grupo de seguridad. |
Grupo de seguridad que contiene un grupo de seguridad con miembros no admitidos |
No |
Si no se admite la migración de algún miembro del grupo de seguridad, no se migrará el grupo de seguridad. Si un grupo de seguridad contiene un grupo de seguridad con miembros no admitidos, el grupo de seguridad principal no se migrará. |
Excluir pertenencia al grupo de seguridad |
No |
Los grupos de seguridad con un miembro excluido directa o indirectamente (mediante anidamiento), no se migrarán |
Miembro estático de grupo de seguridad |
Sí |
Un grupo de seguridad puede contener hasta 500 miembros estáticos. Sin embargo, los miembros estáticos generados por el sistema se agregarán si el grupo de seguridad se utiliza en las reglas de firewall distribuido, lo que reducirá el límite efectivo a 499 o 498.
Si no existe ningún miembro durante el paso Resolver configuración, no se migrará el grupo de seguridad. |
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):
|
No |
Si un grupo de seguridad contiene alguno de los tipos de miembro no admitidos, el grupo de seguridad no se migrará. |
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):
|
Sí |
Los grupos de seguridad y los conjuntos de direcciones IP y MAC se migran a NSX-T como grupos. Si un grupo de seguridad de NSX-V contiene un conjunto de direcciones IP, un conjunto de direcciones MAC o un grupo de seguridad anidado como miembro estático, los grupos correspondientes se agregarán al grupo principal. Si uno de estos miembros estáticos no se migró a NSX-T, el grupo de seguridad principal no se migrará a NSX-T. Por ejemplo, un conjunto de direcciones IP con más de 2 millones miembros no puede migrar a NSX-T. Por lo tanto, un grupo de seguridad que contenga un conjunto de direcciones IP con más de 2 millones miembros no se puede migrar. |
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):
|
Sí |
Si un grupo de seguridad contiene conmutadores lógicos que no se migran a segmentos de NSX-T, el grupo de seguridad no se migrará a NSX-T. |
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):
|
Sí |
Si se agrega una etiqueta de seguridad al grupo de seguridad como miembro estático o dinámico que utiliza Entidad pertenece a, debe existir la etiqueta de seguridad para que se migre el grupo de seguridad. Si la etiqueta de seguridad se agrega al grupo de seguridad como miembro dinámico (sin usar Entidad pertenece a), no se comprobará la existencia de la etiqueta de seguridad antes de migrar el grupo de seguridad. |
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a):
|
Sí |
|
Utilizar el operador "Coincide con expresión regular" para la pertenencia dinámica |
No |
Esto solo afecta a la etiqueta de seguridad y al nombre de la máquina virtual. El operador "Coincide con expresión regular" no está disponible para otros atributos. |
Uso de otros operadores disponibles para los criterios dinámicos de pertenencia para atributos:
|
Sí |
Los operadores disponibles para el nombre de la máquina virtual, el nombre del equipo y el nombre del sistema operativo del equipo son Contiene, Termina con, Es igual a, No es igual a y Empieza por. Los operadores disponibles para la etiqueta de seguridad son Contiene, Termina con, Es igual a y Empieza por. |
Criterio Entidad pertenece a |
Sí |
Para el criterio Entidad pertenece a, se aplican las mismas limitaciones que para migrar miembros estáticos. Por ejemplo, si tiene un grupo de seguridad que usa Entidad que pertenece a un clúster en la definición, el grupo de seguridad no se migrará. Los grupos de seguridad que contengan el criterio Entidad pertenecen a y estén combinados con AND no se migrarán. |
Operadores de criterios dinámicos de pertenencia (AND, OR) en el grupo de seguridad |
Sí. |
Al definir la pertenencia dinámica a un grupo de seguridad de NSX-V, puede configurar lo siguiente:
NSX-V no limita el número de criterios dinámicos o conjuntos dinámicos, y puede incluir combinaciones de AND y OR. En NSX-T, puede tener un grupo con cinco expresiones. Los grupos de seguridad de NSX-V que contengan más de cinco expresiones no se migrarán. Ejemplos de grupos de seguridad que se pueden migrar:
No se admite el uso de los criterios "Entidad pertenece a" con operadores AND. Las demás combinaciones o definiciones de un grupo de seguridad que contengan escenarios no admitidos no se migrarán. |
En NSX-V, las etiquetas de seguridad son objetos que se pueden aplicar a las máquinas virtuales. Cuando se migran a NSX-T, las etiquetas de seguridad son atributos de una máquina virtual.
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Etiquetas de seguridad |
Sí |
Si una máquina virtual tiene 25 etiquetas de seguridad o menos aplicadas, se admite la migración de etiquetas de seguridad. Si se aplican más de 25 etiquetas de seguridad, no se migrará ninguna etiqueta. Nota: Si no se migran etiquetas de seguridad, la máquina virtual no se incluye en ninguno de los grupos definidos por la pertenencia a etiquetas. Las etiquetas de seguridad que no se aplican a ninguna máquina virtual no se migran. |
Los servicios y los grupos de servicios se migran a NSX-T como servicios. Consulte en la interfaz web de NSX-T Manager.
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Servicios y grupos de servicios (aplicaciones y grupos de aplicaciones) |
Sí |
La mayoría de los grupos de servicios y servicios predeterminados se asignan a los servicios de NSX-T. Si algún servicio o grupo de servicios no está presente en NSX-T, se creará un nuevo servicio en NSX-T. |
Grupos de servicios APP_ALL y APP_POP2 |
No |
Estos grupos de servicios definidos por el sistema no se migran. |
Servicios y grupos de servicios con conflictos de nomenclatura |
Sí |
Si se identifica un conflicto de nombres en NSX-T para un servicio o grupo de servicios modificados, se creará un nuevo servicio en NSX-T con un nombre en formato: <NSXv-Nombre-Aplicación> migrado desde NSX-V |
Grupos de servicios que combinan servicios de capa 2 con servicios de otras capas |
No |
|
Grupos de servicios vacíos |
No |
NSX-T no admite servicios vacíos. |
Servicios de capa 2 |
Sí |
Los servicios de capa 2 de NSX-V se migran como la entrada de servicio EtherTypeServiceEntry de NSX-T. |
Servicios de capa 3 |
Sí |
Según el protocolo, los servicios de capa 3 de NSX-V se migran a la entrada de servicio NSX-T de la siguiente forma:
ICMPTypeServiceEntry
|
Servicios de capa 4 |
Sí |
Migrado como servicio de entrada ALGTypeServiceEntry de NSX-T. |
Servicios de capa 7 |
Sí |
Migrado como servicio de entrada PolicyContextProfile de NSX-T Si una aplicación de NSX-V de capa 7 tiene un puerto y un protocolo definidos, se creará un servicio en NSX-T con la configuración adecuada de protocolo y puerto, y se asignará a PolicyContextProfile. |
Grupos de servicios de capa 7 |
No |
|
Firewall distribuido, firewall de Edge o reglas NAT que contienen el puerto y el protocolo |
Sí |
NSX-T requiere un servicio para crear estas reglas. Si existe un servicio adecuado, se utilizará. Si no existe ningún servicio adecuado, se creará un servicio mediante el puerto y el protocolo especificados en la regla. |
Configuración de NSX-V |
Compatible |
Detalles |
---|---|---|
Políticas de seguridad de Service Composer |
Sí |
Las reglas de firewall definidas en una directiva de seguridad se migrarán a NSX-T como reglas de firewall distribuido. Las reglas de firewall deshabilitadas definidas en una directiva de seguridad de Service Composer no se migrarán. Las reglas de Guest Introspection o introspección de red definidas en una directiva de seguridad de Service Composer se migrarán. Si el estado de Service Composer no está sincronizado, el paso Resolver configuración mostrará una advertencia. Puede omitir la migración de las directivas de Service Composer omitiendo las secciones Network Introspection del firewall distribuido. De forma alternativa, puede revertir la migración, obtener Service Composer en sincronización con el firewall distribuido y reiniciar la migración. |
Las directivas de seguridad de Service Composer no se aplican a ningún grupo de seguridad |
No |
Configuración de servidor de Active Directory
Configuración |
Compatible |
Detalles |
---|---|---|
Servidor de Active Directory (AD) |
No |