Si vous prévoyez de migrer le pare-feu d'identité (IDFW), certaines préparations sont requises.
Avant la migration, assurez-vous que les conditions suivantes sont remplies :
- Les domaines Active Directory (AD) enregistrés dans NSX-V sont enregistrés dans NSX.
- Les serveurs LDAP enregistrés dans NSX-V sont enregistrés dans NSX.
- Les serveurs de journaux des événements enregistrés dans NSX-V sont enregistrés dans NSX.
- Une synchronisation complète réussie pour chaque domaine AD récemment enregistré est effectuée dans NSX.
- L'environnement IDFW dans NSX-V est pris en charge par NSX. Pour plus d'informations, reportez-vous à la rubrique Configurations prises en charge par le pare-feu d'identité dans le Guide d'administration de NSX.
Notez les points suivants :
- Pendant la migration, n'autorisez pas les nouveaux utilisateurs à se connecter.
- Certaines règles IDFW dans NSX-V ne sont pas prises en charge dans NSX. Ces règles ne peuvent pas être migrées vers NSX. Vous devez les ignorer ou les modifier pour poursuivre la migration.
- Pour les connexions IDFW basées sur IP, les utilisateurs doivent se reconnecter après la migration pour qu'IDFW fonctionne. Si vous souhaitez que les connexions IDFW de ces utilisateurs soient conservées pendant la migration, vous devez créer manuellement des règles de pare-feu fantômes pour ces utilisateurs.
- Pour les connexions IDFW basées sur SID, les utilisateurs n'ont pas besoin de se reconnecter pour qu'IDFW fonctionne.
- Dans NSX, IDFW peut être configuré au niveau global et au niveau du cluster. Étant donné que NSX-V ne prend pas en charge IDFW au niveau du cluster, après la migration, IDFW sera activé pour tous les clusters de NSX.
- Vous devez annuler manuellement le déploiement de Guest Introspection (GI) dans NSX-V après la migration si GI n'est pas annulé par d'autres opérations de migration.
Création et suppression d'une règle de pare-feu fantôme
Pour créer une règle de pare-feu fantôme, une fois la configuration importée, procédez comme suit dans
NSX :
- Créez un ensemble d'adresses IP pour le groupe d'annuaires.
- Ajoutez l'adresse IP au même NSGroup auquel appartient le groupe d'annuaires.
- Recherchez les adresses IP des machines virtuelles auxquelles les utilisateurs sont connectés.
- Ajoutez les adresses IP à l'ensemble d'adresses IP.
Une fois les machines virtuelles migrées et les utilisateurs déconnectés des machines virtuelles, procédez comme suit :
- Supprimez les adresses IP de l'ensemble d'adresses IP.
- Une fois toutes les adresses IP supprimées de l'ensemble d'adresses IP, supprimez l'adresse IP du NSGroup et supprimez l'ensemble d'adresses IP.