Si tiene pensado migrar el firewall de identidad (IDFW), se requieren algunas preparaciones.
Antes de la migración, asegúrese de que se cumplan los siguientes requisitos:
- Los dominios de Active Directory (AD) registrados en NSX-V están registrados en NSX-T.
- Los servidores LDAP registrados en NSX-V están registrados en NSX-T.
- Los servidores de registro de eventos registrados en NSX-V están registrados en NSX-T.
- Se completó correctamente la sincronización completa de cada dominio de AD recién registrado en NSX-T.
- El entorno de IDFW en NSX-V es compatible con NSX-T. Para obtener más información, consulte el tema Configuraciones admitidas del firewall de identidad en la Guía de administración de NSX-T Data Center.
Tenga en cuenta lo siguiente:
- Durante la migración, no permita que los nuevos usuarios inicien sesión.
- Algunas reglas de IDFW en NSX-V no se admiten en NSX-T. Estas reglas no se pueden migrar a NSX-T. Debe omitirlos o cambiarlos para continuar con la migración.
- Para las conexiones de IDFW basadas en IP, los usuarios deben volver a iniciar sesión después de la migración para que IDFW funcione. Si desea que las conexiones de IDFW para estos usuarios se mantengan durante la migración, deberá crear manualmente reglas de firewall instantáneas para estos usuarios.
- Para las conexiones de IDFW basadas en SID, no es necesario que los usuarios vuelvan a iniciar sesión para que IDFW funcione.
- En NSX-T, IDFW puede configurarse a nivel global y a nivel de clúster. Debido a que NSX-V no admite IDFW en el nivel de clúster, IDFW se habilitará para todos los clústeres de NSX-T después de la migración.
- Debe anular manualmente la implementación de Guest Introspection (GI) en NSX-V después de la migración si otras operaciones de migración no anulan la implementación de GI.
Crear y eliminar una regla de firewall de sombra
Para crear una regla de firewall de sombra, después de importar la configuración, haga lo siguiente en
NSX-T:
- Cree un conjunto de direcciones IP para el grupo de directorios.
- Agregue el conjunto de direcciones IP al mismo NSGroup al que pertenece el grupo de directorios.
- Busque las direcciones IP de las máquinas virtuales en las que los usuarios iniciaron sesión.
- Agregue las direcciones IP al conjunto de direcciones IP.
Después de migrar las máquinas virtuales y cerrar la sesión de los usuarios en las máquinas virtuales, haga lo siguiente:
- Elimine las direcciones IP del conjunto de direcciones IP.
- Después de eliminar todas las direcciones IP del conjunto de direcciones IP, elimine el conjunto de direcciones IP del NSGroup y elimine el conjunto de direcciones IP.