Informazioni dettagliate sul supporto delle funzionalità per la migrazione

Supporto delle piattaforme

Per le versioni supportate di ESXi e vCenter Server, vedere Matrici di interoperabilità VMware.


Configurazione di NSX-V	Supportato	Dettagli
NSX-V con vSAN o iSCSI su vSphere Distributed Switch	Sì
Configurazione NSX-T preesistente	No	È necessario distribuire un nuovo ambiente NSX-T. Se la modalità di migrazione non è per una topologia definita dall'utente, durante il passaggio Importa configurazione, tutte le interfacce dei nodi di NSX-T Edge nell'ambiente NSX-T vengono arrestate. Se l'ambiente NSX-T è in uso, il traffico verrà interrotto.
NSX con vCenter incrociati	(NSX-T 3.2.1 e versioni successive) Sì (NSX-T 3.2.0) Sì, ma senza NSX Manager secondari	(NSX-T 3.2.1 e versioni successive) Supportata solo se si sceglie la modalità Esegui la migrazione di NSX for vSphere e la Topologia definita dall'utente. (NSX-T 3.2.0) È supportata la migrazione della distribuzione NSX-V di un singolo sito che contiene un NSX Manager nel nodo primario, nessun NSX Manager secondario e con oggetti universali nel sito primario. Tale distribuzione di un singolo sito NSX-V viene migrata in un singolo ambiente NSX-T di sito (non federato) con oggetti locali. La migrazione di una distribuzione con vCenter incrociati NSX-V con un NSX Manager primario e più NSX Manager secondari non è supportata. Tuttavia, se l'NSX Manager primario o secondario è impostato su una modalità autonoma o di transito, la migrazione è supportata.
Domini carico di lavoro VCF	(NSX-T 3.2.1 e versioni successive) Sì
NSX-V con Cloud Management Platform, una soluzione stack integrata o una soluzione PaaS	Sì	La migrazione di NSX-V con vRealize Automation è supportata. Prima di procedere con la migrazione, contattare il rappresentante VMware. Gli script e le integrazioni potrebbero interrompersi se si esegue la migrazione degli ambienti integrati: Ad esempio: NSX-V e vCloud Director NSX-V con una soluzione stack integrata NSX-V con una soluzione PaaS come Pivotal Cloud Foundry, RedHat OpenShift NSX-V con workflow vRealize Operations

Funzionalità vSphere e ESXi


Configurazione di NSX-V	Supportato	Dettagli
Host ESXi già in modalità di manutenzione (nessuna macchina virtuale)	Sì
Network I/O Control (NIOC) versione 3	Sì
Network I/O Control (NIOC) versione 2	No
Network I/O Control (NIOC) con vNIC con prenotazione	No
Commutatore vSphere Standard	No	Le macchine virtuali e le interfacce VMkernel su VSS non vengono migrate. Le funzionalità di NSX-V applicate a VSS non possono essere migrate.
vSphere Distributed Switch	Sì
ESXi stateless	No
Profili host	No
Modalità di blocco ESXi	No	Non supportata in NSX-T.
Host ESXi in attesa di attività in modalità di manutenzione.	No
Host ESXi disconnesso nel cluster vCenter	No
vSphere FT	No
vSphere DRS completamente automatizzato	Sì	Avvio supportato in vSphere 7.0
vSphere High Availability	Sì
ACL per il filtro del traffico	No
Controllo dello stato vSphere	No
SRIOV	No
Pinning vmknic a una NIC fisica	No
VLAN privata	No
dvPortGroup temporaneo	No
DirectPath IO	No
Sicurezza L2	No
Commutatore di apprendimento su collegamento virtuale	No
Gateway hardware (integrazione dell'endpoint Tunnel con hardware di commutazione fisico)	No
SNMP	No
vNIC disconnessa nella macchina virtuale	No	A causa della limitazione di ESX 6.5, potrebbero essere presenti voci non recenti in DVFilter per le macchine virtuali disconnesse. Riavviare la macchina virtuale come soluzione alternativa.
Numero di porta VXLAN diverso da 4789	No
Modalità filtro multicast	No
Host con più VTEPs	Sì

Configurazione del sistema dell'appliance NSX Manager


Configurazione di NSX-V	Supportato	Dettagli
Server NTP/impostazione ora	Sì
Configurazione server syslog	Sì
Configurazione backup	Sì	Se necessario, modificare la passphrase di NSX-V in modo che corrisponda ai requisiti di NSX-T. Deve essere composta da almeno 8 caratteri e contenere quanto segue: Almeno una lettera minuscola Almeno una lettera maiuscola Almeno un carattere numerico Almeno un carattere speciale
FIPS	No	Attivazione/disattivazione FIPS non supportata da NSX-T.
Impostazioni internazionali	No	NSX-T supporta solo le impostazioni internazionali della lingua inglese
Certificato dell'appliance	No

Controllo degli accessi in base al ruolo


Configurazione di NSX-V	Supportato	Dettagli
Utenti locali	No
Ruoli NSX assegnati a un utente vCenter aggiunto tramite LDAP	Sì	Per eseguire la migrazione dei ruoli per gli utenti LDAP, è necessario che VMware Identity Manager sia installato e configurato.
Ruoli NSX assegnati a un gruppo vCenter	No

Certificati


Configurazione di NSX-V	Supportato	Dettagli
Certificati (Server, firmato da CA)	Sì	Applicabile solo ai certificati aggiunti tramite le API truststore.
Modifiche del certificato durante la migrazione	(NSX-T 3.2.0) No (NSX-T 3.2.1 e versioni successive) Sì	(NSX-T 3.2.1 e versioni successive) Le modifiche ai certificati sono supportate quando la migrazione è sospesa per tutte le modalità di migrazione, ad eccezione della migrazione di vSphere Networking. Non sono supportate quando vengono migrati host e carichi di lavoro.

Operazioni


Dettagli	Supportato	Note
Protocollo di individuazione CDP	Vedere le note.	Sì, se si esegue la migrazione a VDS 7.0. No, se si esegue la migrazione a N-VDS.
Protocollo di individuazione LLDP	Sì	La modalità di ascolto è attivata per impostazione predefinita e non può essere modificata in NSX-T. È possibile modificare solo la modalità Annuncia.
PortMirroring: Origine del mirroring remoto incapsulato (L3)	Sì	Per la migrazione è supportato solo il tipo di sessione L3
PortMirroring: Distributed PortMirroring Origine del mirroring remoto Destinazione del mirroring remoto Mirroring della porta distribuita (legacy)	No
L2 IPFIX	Sì	LAG con IPFIX non è supportato
Distributed Firewall IPFIX	No
Acquisizione MAC	Sì	È necessario abilitare (accettare) le trasmissioni contraffatte.
VTEP hardware	No
Modalità promiscua	No
Allocazione risorse	No	La vNIC abilitata con l'allocazione delle risorse non è supportata
IPFIX: flussi interni	No	IPFIX con i flussi interni non è supportato

Commutatore


Configurazione di NSX-V	Supportato	Dettagli
Bridging L2	No
VLAN trunk	Sì	I gruppi di porte di uplink trunk devono essere configurati con un intervallo VLAN compreso tra 0 e 4094.
Configurazione VLAN	Sì	È supportata la configurazione con una sola VLAN (nessuna VXLAN).
Raggruppamento e failover: Bilanciamento del carico Ordine di failover uplink	Sì	Opzioni supportate per il bilanciamento del carico (criterio di raggruppamento): Usa ordine di failover esplicito Route in base all'hash MAC di origine Le opzioni di bilanciamento del carico non sono supportate.
Raggruppamento e failover: Rilevamento errori di rete Invia notifica ai commutatori Criterio inverso Ordine di ripristino	No
LACP	Sì	Per VDS 7.0 e versioni successive, la funzionalità LACP non viene modificata durante la migrazione. Per le versioni precedenti di VDS, un nuovo commutatore N-VDS sostituisce il VDS. Ciò causerà una perdita di traffico durante la migrazione dell'host. IPFIX configurato in DVS (non DFW IPFIX) non è supportato con LACP

Sicurezza commutatore e individuazione IP


Configurazione di NSX-V	Compatibile con la migrazione	Dettagli
Individuazione IP (ARP, ND, DHCPv4 e DHCPv6)	Sì	Per la migrazione si applicano i seguenti limiti di binding su NSX-T: 128 per IP rilevati tramite ARP 128 per IP rilevati tramite DHCPv4 15 per IP rilevati tramite DHCPv6 15 per IP rilevati tramite ND
SpoofGuard (Manuale, TOFU, Disabilitato)	Sì
Sicurezza del commutatore (filtro BPDU, blocco client DHCP, blocco server DHCP, controllo RA)	Sì
Migrazione dei binding datapath dal modulo Sicurezza commutatore di NSX-V al modulo Sicurezza commutatore di NSX-T	Sì	Se SpoofGuard è abilitato, i binding vengono migrati dal modulo Sicurezza commutatore per supportare la soppressione ARP. VSIP - Il modulo Sicurezza commutatore non è supportato perché i binding VSIP vengono migrati come regole configurate staticamente.
Profili di individuazione	Sì	I profili di rilevamento IP vengono creati dopo la migrazione utilizzando la configurazione di individuazione IP per il commutatore logico e la configurazione ARP e DHCP globale e cluster.

Piano di controllo centrale


Configurazione di NSX-V	Supportato	Dettagli
Replica VTEP per commutatore logico (VNI) e dominio di routing	Sì
Replica MAC/IP	No
Zone di trasporto NSX-V che utilizzano la modalità di replica multicast o ibrida	No
Zone di trasporto NSX-V che utilizzano la modalità di replica unicast	Sì

NSX Edge Funzionalità


Configurazione di NSX-V	Supportato	Dettagli
Routing tra il gateway dei servizi Edge e il router con direzione nord	Sì	BGP è supportato. Le route statiche sono supportate. OSPF è supportato.
Routing tra il gateway dei servizi Edge e il router logico distribuito	Sì	Le route vengono convertite in route statiche dopo la migrazione.
Bilanciamento del carico	Sì	Per dettagli, consultare Modalità di migrazione.
Ambiente di micro-segmentazione con supporto VLAN	Sì
NAT64	No	Non supportata in NSX-T.
Impostazioni a livello di nodo nel gateway dei servizi Edge o nel router logico distribuito	No	Le impostazioni a livello di nodo, ad esempio syslog o server NTP, non sono supportate. È possibile configurare manualmente syslog e NTP nei nodi NSX-T Edge.
IPv6	No
Configurazione URPF (Unicast Reverse Path Filter) per le interfacce gateway dei servizi Edge	No	L'URPF sulle interfacce del gateway NSX-T è impostato su Strict.
Interfacce gateway dei servizi Edge della configurazione MTU (Maximum Transmission Unit)	No	Vedere Modifica delle impostazioni MTU globaliper informazioni sulla modifica della MTU predefinita in NSX-T.
Routing multicast IP	No
Filtri prefissi di ridistribuzione route	No
Invio predefinito	No	Non supportata in NSX-T.

Firewall Edge


Configurazione di NSX-V	Supportato	Dettagli
Sezione Firewall: nome visualizzato	Sì	Le sezioni del firewall possono includere al massimo 1000 regole. Se una sezione contiene più di 1000 regole, viene migrata come più sezioni.
Azione per la regola predefinita	Sì	API NSX-V: GatewayPolicy/action API NSX-T: SecurityPolicy.action
Configurazione globale firewall	No	Timeout predefiniti utilizzati
Regola firewall	Sì	API NSX-V: firewallRule API NSX-T: SecurityPolicy
Regola firewall: name	Sì
Regola firewall: rule tag	Sì	API NSX-V: ruleTag API NSX-T: Rule_tag
Origini e destinazioni nelle regole del firewall: Raggruppamento di oggetti Indirizzi IP	Sì	API NSX-V: source/groupingObjectId source/ipAddress API NSX-T: source_groups API NSX-V: destination/groupingObjectId destination/ipAddress API NSX-T: destination_groups
Origini e destinazioni delle regole firewall: Gruppo di vNIC	No
Servizi (applicazioni) nelle regole firewall: Servizio Gruppo di servizi Protocollo/porta/porta di origine	Sì	API NSX-V: application/applicationId application/service/protocol application/service/port application/service/sourcePort API NSX-T: Servizi
Regola firewall: Match translated	No	La corrispondenza con convertito deve essere 'false'.
Regola firewall: Direction	Sì	Entrambe le API: direction
Regola firewall: Action	Sì	Entrambe le API: action
Regola firewall: Enabled	Sì	Entrambe le API: enabled
Regola firewall: Logging	Sì	API NSX-V: logging API NSX-T: logged
Regola firewall: Description	Sì	Entrambe le API: description

Edge NAT


Configurazione di NSX-V	Supportato	Dettagli
Regola NAT	Sì	API NSX-V: natRule API NSX-T: /nat/USER/nat-rules
Regola NAT: tag regola	Sì	API NSX-V: ruleTag API NSX-T: rule_tag
Regola NAT: azione	Sì	API NSX-V: action API NSX-T: action
Regola NAT: indirizzo originale (indirizzo di origine per le regole SNAT e indirizzo di destinazione per le regole DNAT).	Sì	API NSX-V: originalAddress API NSX-T: source_network per la regola SNAT o destination_network per la regola DNAT
Regola NAT: translatedAddress	Sì	API NSX-V: translatedAddress API NSX-T: translated_network
Regola NAT: applicazione di una regola NAT a un'interfaccia specifica	No	Si applica a deve essere "any".
Regola NAT: registrazione	Sì	API NSX-V: loggingEnabled API NSX-T: logging
Regola NAT: abilitata	Sì	API NSX-V: enabled API NSX-T: disabled
Regola NAT: descrizione	Sì	API NSX-V: description API NSX-T: description
Regola NAT: protocollo	Sì	API NSX-V: protocol API NSX-T: Service
Regola NAT: porta originale (porta di origine per le regole SNAT, porta di destinazione per le regole DNAT)	Sì	API NSX-V: originalPort API NSX-T: Service
Regola NAT: porta convertita	Sì	API NSX-V: translatedPort API NSX-T: Translated_ports
Regola NAT: indirizzo di origine nella regola DNAT	Sì	API NSX-V: dnatMatchSourceAddress API NSX-T: source_network
Regola NAT: Indirizzo di destinazione nella regola SNAT	Sì	API NSX-V: snatMatchDestinationAddress API NSX-T: destination_network
Regola NAT: Porta di origine nella regola DNAT	Sì	API NSX-V: dnatMatchSourcePort API NSX-T: Service
Regola NAT: Porta di destinazione nella regola SNAT	Sì	API NSX-V: snatMatchDestinationPort API NSX-T: Service
Regola NAT: ID regola	Sì	API NSX-V: ruleID API NSX-T: id e display_name

VPN L2


Configurazione di NSX-V	Supportato	Dettagli
Configurazione VPN L2 basata su IPSec mediante chiave PSK (Pre-Shared Key)	Sì	Supportata se la rete da estendere su VPN L2 è un commutatore logico di overlay. Non supportata per le reti VLAN.
Configurazione VPN L2 basata su IPSec che utilizza l'autenticazione basata su certificato	No
Configurazione VPN L2 basata su SSL	No
Configurazioni VPN L2 con ottimizzazioni dei punti di uscita locali	No
Modalità client VPN L2	No

L3VPN


Configurazione di NSX-V	Supportato	Dettagli
Dead Peer Detection	Sì	Dead Peer Detection supporta opzioni diverse su NSX-V e NSX-T. È consigliabile utilizzare BGP per una convergenza più rapida o configurare un peer per eseguire il metodo DPD, se supportato.
Valori predefiniti DPD (Dead Peer Detection) modificati per: dpdtimeout dpdaction	No	In NSX-T, dpdaction è impostato su "restart" e non può essere modificato. Se in NSX-V il parametro dpdtimeout è impostato su 0, il metodo dpd è disabilitato in NSX-T. In caso contrario, tutte le impostazioni di dpdtimeout verranno ignorate e verrà utilizzato il valore predefinito.
Valori predefiniti DPD (Dead Peer Detection) modificati per: dpddelay	Sì	NSX-V dpdelay viene mappato a NSX-T dpdinternal.
Sovrapposizione di subnet locali e peer di due o più sessioni.	No	NSX-V supporta le sessioni VPN IPSec basate su criteri in cui le subnet locali e peer di due o più sessioni si sovrappongono tra loro. Questo comportamento non è supportato in NSX-T. È necessario riconfigurare le subnet in modo che non si sovrappongano prima di avviare la migrazione. Se questo problema di configurazione non viene risolto, il passaggio Migra configurazione non riesce.
Sessioni IPSec con endpoint peer impostato su "any".	No	La configurazione non viene migrata.
Modifiche all'estensione securelocaltrafficbyip.	No	Il router di servizio NSX-T non presenta alcun traffico generato localmente che deve essere inviato tramite tunnel.
Modifiche a queste estensioni: auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configured, forceencaps, overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric, disablearrivalcheck, failureshunt, leftnexthop, keyingtries	No	Tali estensioni non sono supportate in NSX-T e le relative modifiche non vengono migrate.

Bilanciamento del carico

La tabella seguente è applicabile alla migrazione del bilanciamento del carico NSX-V a NSX-T Advanced Load Balancer (NLB) o NSX-T Advanced Load Balancer (ALB). Per informazioni sulla migrazione del bilanciamento del carico NSX-V ad ALB, vedere Migrazione del bilanciamento del carico di NSX-V all'Advanced Load Balancer.


Configurazione di NSX-V	Supportato	Dettagli
Monitoraggio/controlli dell'integrità per: LDAP DNS MSSQL	Vedere i dettagli.	(NLB) I monitor non vengono migrati. (ALB) I monitor LDAP e MSSQL non vengono migrati. Il monitor DNS viene migrato se ALB dispone di una licenza Enterprise, ma non se dispone di una licenza di base.
Regole di applicazione	No	NSX-V utilizza regole di applicazione basate su HAProxy per supportare L7. In NSX-T, le regole sono basate su NGINX. Le regole di applicazione non possono essere migrate. È necessario creare nuove regole dopo la migrazione.
Intervallo di porte del server virtuale L7	(NLB) No (ALB) Sì
IPv6	No	Se si utilizza IPv6 in un server virtuale, l'intero server virtuale verrà ignorato. Se IPv6 viene utilizzato nel pool, il pool verrà comunque migrato, ma il membro del pool correlato verrà rimosso.
Algoritmi URL, URI, HTTPHEADER	Vedere i dettagli.	(NLB) I pool con questi algoritmi non vengono migrati. (ALB) Supportato se ALB dispone di una licenza aziendale. Con una licenza di base, verrà fornito un feedback per la selezione di un algoritmo diverso.
Pool isolato	No
Membro del pool LB con porta di monitoraggio diversa	Vedere i dettagli.	(NLB) Il membro del pool con una porta di monitoraggio diversa non viene migrato. (ALB) Il membro del pool viene migrato ma non sarà presente nella configurazione della porta di monitoraggio.
minConn membro del pool	No
Estensione monitor	No
Persistenza/tabella sessionID SSL	(NLB) No (ALB) Sì
Persistenza/tabella sessione MSRDP	No
Sessione/tabella sessione app cookie	(NLB) No (ALB) Sì
Persistenza app	(NLB) No (ALB) Sì
Monitoraggio per: Escape esplicito Esci Ritardo	No
Monitoraggio per: Invia Previsto Timeout Intervallo maxRetries	Sì
Ottimizzazione haproxy/IPVS	No
Filtro IP pool Indirizzi IPv4	Sì	Sono supportati indirizzi IP IPv4. Se viene utilizzato Any, gli indirizzi IPv4 del pool di IP vengono migrati.
Filtro IP pool Indirizzi IPv6	No
Pool contenente un oggetto di raggruppamento non supportato: Cluster Data center Gruppo di porte distribuito Set di MAC App virtuale	No	Se un pool include un oggetto di raggruppamento non supportato, tali oggetti vengono ignorati e il pool viene creato con membri di oggetti di raggruppamento supportati. Se non sono presenti membri di oggetti di raggruppamento supportati, viene creato un pool vuoto.

DHCP e DNS

Tabella 1. Topologie di configurazione DHCP
Configurazione di NSX-V	Supportato	Dettagli
Inoltro DHCP configurato nel router logico distribuito che punta a un server DHCP configurato in un gateway dei servizi Edge connesso direttamente	Sì	L'IP del server di trasmissione DHCP deve essere uno degli IP dell'interfaccia interna del gateway dei servizi Edge. Il server DHCP deve essere configurato in un gateway dei servizi Edge direttamente connesso al router logico distribuito configurato con l'inoltro DHCP. Non è supportato l'utilizzo di DNAT per convertire un IP di inoltro DHCP che non corrisponde a un'interfaccia interna del gateway dei servizi Edge.
Inoltro DHCP configurato solo nel router logico distribuito, nessuna configurazione del server DHCP nel gateway dei servizi Edge connesso	No
Server DHCP configurato solo nel gateway dei servizi Edge, nessuna configurazione di inoltro DHCP nel router logico distribuito connesso	No

Tabella 2. Funzionalità DHCP
Configurazione di NSX-V	Supportato	Dettagli
Pool di IP	Sì
Binding statici	Sì
Lease DHCP	Sì
Opzioni DHCP generali	Sì
Servizio DHCP disabilitato	No	In NSX-T non è possibile disabilitare il servizio DHCP. Se in NSX-V è presente un servizio DHCP disabilitato, non viene migrato.
Opzione DHCP: "altro"	No	Il campo "altro" nelle opzioni DHCP non è supportato per la migrazione. Ad esempio, l'opzione dhcp "80" non viene migrata. <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions>
Pool di IP/binding orfani	No	Se i pool di ip o i binding statici sono configurati in un server DHCP ma non vengono utilizzati da alcun commutatore logico connesso, questi oggetti vengono ignorati durante la migrazione.
DHCP configurato nel gateway dei servizi Edge con commutatori logici connessi direttamente	No	Durante la migrazione, le interfacce del Gateway dei servizi Edge connesse direttamente vengono migrate come porte di servizio centralizzate. Tuttavia, NSX-T non supporta il servizio DHCP su una porta di servizio centralizzata, quindi la configurazione del servizio DHCP non viene migrata per queste interfacce.

Tabella 3. Funzionalità DNS
Configurazione di NSX-V	Supportato	Dettagli
Visualizzazioni DNS	Sì	Solo la prima istanza di dnsView viene migrata nella zona di inoltro DNS predefinita NSX-T.
Configurazione DNS	Sì	È necessario specificare gli IP del listener DNS disponibili per tutti i nodi Edge. Durante la richiesta di risoluzione della configurazione viene visualizzato un messaggio.
DNS – L3 VPN	Sì	È necessario aggiungere gli IP del listener DNS NSX-T appena configurati nell'elenco dei prefissi VPN L3 remoti. Durante la richiesta di risoluzione della configurazione viene visualizzato un messaggio.
DNS configurato nel Gateway dei servizi Edge con commutatori logici connessi direttamente	No	Durante la migrazione, le interfacce del Gateway dei servizi Edge connesse direttamente vengono migrate come porte di servizio centralizzate. Tuttavia, NSX-T non supporta il servizio DNS su una porta di servizio centralizzata, quindi la configurazione del servizio DNS non viene migrata per queste interfacce.

Firewall distribuito (DFW)


Configurazione di NSX-V	Supportato	Dettagli
Firewall identità	Sì
Sezione - Nome Descrizione TCP restrittivo Firewall stateless	Sì	Se una sezione firewall contiene più di 1000 regole, lo strumento di migrazione delle regole verrà eseguito in più sezioni di 1000 regole ciascuna.
Sezioni universali	Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari.
Regola - Origine/Destinazione: Indirizzo IP/Intervallo/CIDR Porta logica Commutatore logico	Sì
Regola - Origine/Destinazione: VM Porta logica Gruppo di sicurezza/Set di IP/Set di MAC	Sì	Mappata a Gruppo di sicurezza
Regola - Origine/Destinazione: Cluster Data center DVPG vSS Host	No
Regola - Origine/Destinazione: Commutatore logico universale	Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari.
Regola - Applicata a: Qualsiasi	Sì	Mappa a firewall distribuito
Regola - Applicata a: Gruppo di sicurezza Porta logica Commutatore logico VM	Sì	Mappata a Gruppo di sicurezza
Regola - Applicata a: Cluster Data center DVPG vSS Host	No
Regola - Applicata a: Commutatore logico universale	No Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari.
Regola - Origine/Destinazione: Macchine virtuali non sugli host NSX-V	No	NSX-T non supporta il riferimento a oggetti non connessi a gruppi di porte o reti NSX-T. Tali oggetti andranno persi dall'origine o dalla destinazione al termine della migrazione. Per evitare questo problema, utilizzare gli indirizzi IP in NSX-V per fare riferimento a tali oggetti prima della migrazione.
Regole disabilitate nel firewall distribuito	Sì
Disabilitazione del firewall distribuito a livello di cluster	No	Quando il firewall distribuito è abilitato su NSX-T, è abilitato in tutti i cluster. Non è possibile abilitarlo in alcuni cluster e disabilitarlo in altri.
Elenco di esclusione DFW	No	Gli elenchi di esclusione DFW non vengono migrati. È necessario crearli di nuovo in NSX-T dopo la migrazione.

Servizi partner: Network Introspection est-ovest


Configurazione di NSX-V	Supportato	Dettagli
Servizio	No	La registrazione del servizio non viene migrata. Il partner deve registrare il servizio in NSX-T prima della migrazione.
Modello fornitore	No	Il modello del fornitore non viene migrato. Prima della migrazione, il partner deve registrare il modello del fornitore in NSX-T.
Profilo di servizio	No	I profili di servizio non vengono migrati. Prima della migrazione, è necessario che l'utente o il partner crei i profili del servizio. Nel passaggio Risolvi configurazione della migrazione, viene richiesto di mappare ogni profilo di servizio NSX-V a un profilo di servizio NSX-T. Se si ignora la mappatura dei profili di servizio, le regole che utilizzano questi profili di servizio non vengono migrate. Per ogni profilo di servizio in NSX-T verrà creata una catena di servizi in NSX-V. La catena di servizi viene creata con la seguente convenzione di denominazione: Service-Chain-`service_profile_name` Lo stesso profilo di servizio viene utilizzato nel percorso di inoltro e nel percorso inverso della catena di servizi.
Istanza di servizio	No	Le macchine virtuali del servizio partner (SVMs) non vengono migrate. Le SVM partner NSX-V non possono essere utilizzate in NSX-T. Per il servizio Network Introspection est-ovest in NSX-T, le macchine virtuali del servizio partner devono essere distribuite in un segmento di overlay.
Sezione Nome ID Descrizione TCP restrittivo Firewall stateless	Sì	Una sezione viene mappata a un criterio di reindirizzamento. L'ID è definito dall'utente e non viene generato automaticamente in NSX-T. La sezione firewall in NSX-V include più di 1000 regole. Le regole verranno migrate in più sezioni di 1000 regole ciascuna. Ad esempio, se una sezione contiene 2500 regole, vengono creati tre criteri: criterio 1 con 1000 regole, criterio 2 con 1000 regole e criterio 3 con 500 regole. Le regole del firewall stateful o stateless in NSX-V vengono migrate come regole di reindirizzamento stateful o stateless in NSX-T.
Servizi partner: Regole
Nome	Sì
ID regola	Sì	L'ID regola viene generato dal sistema. In NSX-V, può essere diverso dall'ID regola.
Nega origine	Sì
Nega destinazione	Sì
Origine/destinazione VM Gruppo di sicurezza Set di IP vNIC	Sì
Servizi/Gruppi di servizi	Sì	Per informazioni dettagliate, vedere la tabella Servizi e gruppi di servizi.
Impostazioni avanzate Direzione Tipo di pacchetto Tag regola Commenti Registro	Sì
Profilo di servizio e azione Nome servizio Profilo di servizio Azione Binding del profilo di servizio	Sì	Un binding del profilo del servizio può includere come membri gruppi di porte virtuali distribuiti (DVPG), commutatori logici e gruppi di sicurezza. Il binding di un profilo di servizio in NSX-V viene mappato al campo Si applica a di una regola di reindirizzamento in NSX-T. Il campo Si applica a accetta solo gruppi e determina l'ambito della regola. In NSX-T, il reindirizzamento delle regole è al livello di un criterio. Tutte le regole in un criterio di reindirizzamento hanno lo stesso ambito (Si applica a). Il campo Si applica a in una regola di reindirizzamento NSX-T può includere al massimo 128 membri. Se il numero di membri in un binding del profilo di servizio è superiore a 128, ridurli a <= 128 prima di avviare la migrazione. Si supponga, ad esempio, che il binding di un profilo di servizio includa 140 membri (gruppi di sicurezza). Prima di avviare la migrazione, eseguire i passaggi seguenti in NSX-V: Creare un gruppo di sicurezza fittizio. Spostare 13 gruppi di sicurezza in questo gruppo di sicurezza fittizio. In altre parole, il gruppo di sicurezza fittizio include 13 membri. Rimuovere il binding di questi 13 gruppi di sicurezza dal profilo di servizio. Ora sono presenti 127 membri nel binding del profilo di servizio (140-13). Aggiungere il gruppo di sicurezza fittizio al binding del profilo di servizio. Ora, il numero totale di membri nel binding del profilo di servizio è 128 (127 + 1).
Abilita/Disabilita regola	Sì

Segmento di servizio: Un segmento di servizio verrà creato nella zona di trasporto overlay selezionata nel passaggio Risolvi configurazione della migrazione. Nell'ambiente di NSX-V, se la zona di trasporto VXLAN non è preparata con NSX-V, è possibile selezionare la zona di trasporto overlay predefinita in NSX-T per creare il segmento di servizio. Se una o più zone di trasporto VXLAN sono preparate con NSX-V, è necessario selezionare una zona di trasporto overlay per creare il segmento di servizio in NSX-T.

Priorità dei profili di servizio: In NSX-V, un profilo di servizio ha una priorità. Se un servizio ha più profili di servizio e più profili sono associati alla stessa vNIC, il profilo del servizio con priorità più alta viene applicato per primo alla vNIC. Tuttavia, in NSX-T, il profilo di servizio non ha una priorità. Quando più regole di reindirizzamento hanno la stessa impostazione Si applica a, l'ordine delle regole determina quale regola viene eseguita per prima. In altre parole, le regole con una priorità di profilo più alta verranno posizionate prima delle regole con una priorità di profilo più bassa nella tabella delle regole NSX-T. Per un esempio dettagliato, vedere lo scenario 2 in Ordine delle regole di Network Introspection migrate in NSX-T.

Precedenza servizio

Per reindirizzare il traffico a più servizi, NSX-V utilizza più slot DVFilter nel percorso dei dati di inserimento del servizio. Un slot DVFilter viene utilizzato per reindirizzare il traffico a un servizio. Un servizio con precedenza alta viene posizionato più in alto nello slot rispetto a un servizio con precedenza bassa. In NSX-T viene utilizzato solo un singolo slot DVFilter, che reindirizza il traffico a una catena di servizi. Dopo la migrazione a NSX-T, le regole che utilizzano un servizio partner con precedenza più alta vengono posizionate prima delle regole che utilizzano un servizio partner con una precedenza inferiore. Per un esempio dettagliato, vedere lo scenario 3 in Ordine delle regole di Network Introspection migrate in NSX-T.

Il reindirizzamento del traffico su una vNIC a più servizi partner non è supportato. Il reindirizzamento a un solo servizio partner è supportato. Sebbene tutte le regole NSX-V vengano migrate in NSX-T, le configurazioni delle regole migrate utilizzano una catena di servizi con un solo profilo di servizio. Non è possibile modificare una catena di servizi esistente utilizzata nelle regole di reindirizzamento.

Soluzione: per reindirizzare il traffico di una vNIC a più servizi, creare una nuova catena di servizi e definire l'ordine dei profili di servizio in tale catena. Aggiornare le regole migrate in modo che utilizzino questa nuova catena di servizi.

Servizio Network Introspection sulle macchine virtuali connesse a una rete di macchine virtuali: Nell'ambiente NSX-V, se le regole del servizio Network Introspection sono in esecuzione su macchine virtuali connesse a una rete di macchine virtuali, queste macchine virtuali non sono più protette dopo la migrazione dell'host. Per assicurarsi che le regole di Network Introspection vengano applicate alle vNIC di queste macchine virtuali dopo la migrazione dell'host, è necessario connettere tali macchine virtuali a un segmento NSX-T.

Raggruppamento di oggetti e Service Composer

I set di IP e i set di MAC vengono migrati in NSX-T come gruppi. Vedere Inventario > Gruppi nell'interfaccia Web di NSX-T Manager.

Tabella 4. Set di IP e set di MAC
Configurazione di NSX-V	Supportato	Dettagli
Set di IP	Sì	È possibile migrare i set di IP con un massimo di 2 milioni di membri (indirizzi IP, subnet degli indirizzi IP, intervalli IP). I set di IP che contengono più membri non vengono migrati.
Set di MAC	Sì	È possibile migrare i set di MAC con un massimo di 2 milioni di membri. I set di MAC che contengono più membri non vengono migrati.

È possibile migrare i gruppi di sicurezza ma con le limitazioni elencate di seguito. I gruppi di sicurezza vengono migrati in NSX-T come gruppi. Vedere Inventario > Gruppi nell'interfaccia Web di NSX-T Manager.

NSX-V include gruppi di sicurezza definiti dal sistema e dall'utente. Questi elementi vengono migrati in NSX-T come gruppi definiti dall'utente.

Il numero totale di gruppi di sicurezza dopo la migrazione potrebbe non essere uguale al numero di gruppi di sicurezza presenti in NSX-V. Ad esempio, una regola del firewall distribuito contenente una macchina virtuale come origine viene migrata in una regola contenente un nuovo gruppo con la macchina virtuale come membro. Questo comporta un aumento del numero totale di gruppi in NSX-T dopo la migrazione.

Tabella 5. Gruppi di sicurezza
Configurazione di NSX-V	Supportato	Dettagli
Gruppo di sicurezza con membri che non esistono	No	Se uno dei membri del gruppo di sicurezza non esiste, il gruppo di sicurezza non viene migrato.
Gruppo di sicurezza che contiene un gruppo di sicurezza con membri non supportati	No	Se il gruppo di sicurezza include membri che non possono essere migrati, il gruppo di sicurezza non viene migrato. Se un gruppo di sicurezza contiene un gruppo di sicurezza con membri non supportati, il gruppo di sicurezza principale non viene migrato.
Escludere l'appartenenza al gruppo di sicurezza	No	I gruppi di sicurezza con membri esclusi direttamente o indirettamente (tramite nidificazione) non vengono migrati
Appartenenza statica ai gruppi di sicurezza	Sì	Un gruppo di sicurezza può contenere fino a 500 membri statici. Tuttavia, i membri statici generati dal sistema vengono aggiunti se il gruppo di sicurezza viene utilizzato nelle regole del firewall distribuito, riducendo il limite effettivo a 499 o 498. Se il gruppo di sicurezza viene utilizzato nelle regole di livello 2 o di livello 3, al gruppo di sicurezza viene aggiunto un membro statico generato dal sistema. Se il gruppo di sicurezza viene utilizzato nelle regole di livello 2 e di livello 3, vengono aggiunti due membri statici generati dal sistema. Se durante il passaggio Risolvi configurazione non sono presenti dei membri, il gruppo di sicurezza non viene migrato.
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a): Cluster Data center Gruppo di directory Gruppo di porte distribuito Gruppo di porte/rete legacy Pool di risorse vApp	No	Un gruppo di sicurezza contiene uno dei tipi di membri non supportati. Il gruppo di sicurezza non viene migrato.
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a): Gruppo di sicurezza Set di IP Set di MAC	Sì	Gruppi di sicurezza, set di IP e set di MAC vengono migrati in NSX-T come gruppi. Se un gruppo di sicurezza NSX-V contiene un set di IP, un set di MAC o un gruppo di sicurezza nidificato come membro statico, i gruppi corrispondenti vengono aggiunti al gruppo principale. Se uno di questi membri statici non è stato migrato in NSX-T, il gruppo di sicurezza principale non viene migrato a NSX-T. Ad esempio, un set di IP con più di 2 milioni di membri non può migrare a NSX-T. Non è quindi possibile eseguire la migrazione di un gruppo di sicurezza che contiene un set di IP con più di 2 milioni di membri.
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a): Commutatore logico (collegamento virtuale)	Sì	Se un gruppo di sicurezza contiene commutatori logici che non vengono migrati ai segmenti NSX-T, il gruppo di sicurezza non esegue la migrazione a NSX-T.
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a): Tag di sicurezza	Sì	Se al gruppo di sicurezza viene aggiunto un tag di sicurezza come membro statico o come membro dinamico utilizzando Entità appartiene a, è necessario che il tag di sicurezza esista per consentire la migrazione del gruppo di sicurezza. Se il tag di sicurezza viene aggiunto al gruppo di sicurezza come membro dinamico (non utilizzando Entità appartiene a), l'esistenza del tag di sicurezza non viene controllata prima della migrazione del gruppo di sicurezza.
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a): vNIC Macchina virtuale	Sì	Le vNIC e le macchine virtuali vengono migrate come ExternalIDExpression. Le macchine virtuali orfane (macchine virtuali eliminate dagli host) vengono ignorate durante la migrazione del gruppo di sicurezza. Una volta che i gruppi vengono visualizzati in NSX-T, le appartenenze alla macchina virtuale e alla vNIC verranno aggiornate dopo qualche minuto. Durante questo periodo intermedio, possono essere presenti gruppi temporanei e i relativi gruppi temporanei possono essere visualizzati come membri. Tuttavia, una volta terminata la migrazione dell'host, questi gruppi temporanei aggiuntivi non verranno più visualizzati.
Utilizzo dell'operatore "Corrisponde all'espressione regolare" per l'appartenenza dinamica	No	Riguarda solo Tag di sicurezza e Nome macchina virtuale. "Corrisponde all'espressione regolare" non è disponibile per altri attributi.
Utilizzo di altri operatori disponibili per i criteri di appartenenza dinamica per gli attributi: Tag di sicurezza Nome macchina virtuale Nome computer Nome sistema operativo del computer	Sì	Gli operatori disponibili per Nome macchina virtuale, Nome computer e Nome sistema operativo del computer sono Contiene, Termina con, Uguale a, Non uguale a, Inizia con. Gli operatori disponibili per Tag di sicurezza sono Contiene, Termina con, Uguale a, Inizia con.
Criteri di Entità appartiene a	Sì	Le stesse limitazioni per la migrazione dei membri statici si applicano ai criteri di Entità appartiene a. Ad esempio, se un gruppo di sicurezza utilizza Entità appartiene a un cluster nella definizione, il gruppo di sicurezza non viene migrato. I gruppi di sicurezza che contengono criteri Entità appartiene a combinati con AND non vengono migrati.
Operatori dei criteri di appartenenza dinamica (AND, OR) nel gruppo di sicurezza	Sì.	Quando si definisce l'appartenenza dinamica per un gruppo di sicurezza NSX-V, è possibile configurare quanto segue: Uno o più set dinamici. Ogni set dinamico può contenere uno o più criteri dinamici. Ad esempio, "Nome macchina virtuale contiene web". È possibile scegliere di soddisfare uno o tutti i criteri dinamici all'interno di un set dinamico. È possibile scegliere di cercare corrispondenze con AND o OR in tutti i set dinamici. NSX-V non limita il numero di criteri dinamici e set dinamici e consente l'utilizzo di qualsiasi combinazione di AND e OR. In NSX-T, è possibile utilizzare un gruppo con cinque espressioni. I gruppi di sicurezza NSX-V che contengono più di cinque espressioni non vengono migrati. Esempi di gruppi di sicurezza di cui è possibile eseguire la migrazione: Fino a 5 set dinamici collegati con OR in cui ogni set dinamico contiene fino a 5 criteri dinamici collegati con AND ("Tutti" in NSX-V). 1 set dinamico contenente 5 criteri dinamici collegati con OR ("Qualsiasi" in NSX-V). 1 set dinamico contenente 5 criteri dinamici collegati con AND ("Tutti" in NSX-V). Tutti i membri devono essere dello stesso tipo. 5 set dinamici collegati con AND e ogni set dinamico contiene esattamente 1 criterio dinamico. Tutti i membri devono essere dello stesso tipo. L'utilizzo dei criteri "Entità appartiene a" con gli operatori AND non è supportato. Tutte le altre combinazioni o definizioni di un gruppo di sicurezza contenenti scenari non supportati non vengono migrate.

In NSX-V, i tag di sicurezza sono oggetti che possono essere applicati alle macchine virtuali. Quando vengono migrati a NSX-T, i tag di sicurezza sono attributi di una macchina virtuale.

Tabella 6. Tag di sicurezza
Configurazione di NSX-V	Supportato	Dettagli
Tag di sicurezza	Sì	In una macchina virtuale sono applicati al massimo 25 tag di sicurezza. La migrazione dei tag di sicurezza è supportata. Se vengono applicati più di 25 tag di sicurezza, non viene migrato alcun tag. Nota: se non vengono migrati tag di sicurezza, la macchina virtuale non viene inclusa in nessuno dei gruppi definiti dall'appartenenza ai tag. I tag di sicurezza che non vengono applicati ad alcuna macchina virtuale non vengono migrati.

I servizi e i gruppi di servizi vengono migrati in NSX-T come servizi. Vedere Inventario > Servizi nell'interfaccia Web di NSX-T Manager.

Tabella 7. Servizi e gruppi di servizi
Configurazione di NSX-V	Supportato	Dettagli
Servizi e gruppi di servizi (applicazioni e gruppi di applicazioni)	Sì	La maggior parte dei servizi e dei gruppi di servizi predefiniti viene mappata ai servizi NSX-T. Se un servizio o un gruppo di servizi non è presente in NSX-T, viene creato un nuovo servizio in NSX-T.
Gruppi di servizi APP_ALL e APP_POP2	No	Questi gruppi di servizi definiti dal sistema non vengono migrati.
Servizi e gruppi di servizi con conflitti di denominazione	Sì	Se in NSX-T viene identificato un conflitto di nomi per un servizio o un gruppo di servizi modificato, viene creato un nuovo servizio in NSX-T con un nome nel formato <NSXv-Application-Name> migrato da NSX-V
Gruppi di servizi che combinano servizi di livello 2 con servizi di altri livelli	No
Gruppi di servizi vuoti	No	NSX-T non supporta i servizi vuoti.
Servizi di livello 2	Sì	I servizi di livello 2 di NSX-V vengono migrati come voce del servizio EtherTypeServiceEntry di NSX-T.
Servizi di livello 3	Sì	In base al protocollo, i servizi di livello 3 di NSX-V vengono migrati nella voce del servizio NSX-T come segue: Protocollo TCP/UDP: L4PortSetServiceEntry Protocollo ICMP/IPV6ICMP: ICMPTypeServiceEntry Protocollo IGMP: IGMPTypeServiceEntry Altri protocolli: IPProtocolServiceEntry
Servizi di livello 4	Sì	Migrati come voce del servizio NSX-T ALGTypeServiceEntry.
Servizi di livello 7	Sì	Migrati come voce del servizio NSX-T PolicyContextProfile Se per un'applicazione NSX-V di livello 7 sono stati definiti una porta e un protocollo, in NSX-T viene creato un servizio, con la configurazione appropriata della porta e del protocollo, mappato a PolicyContextProfile.
Gruppi di servizi di livello 7	No
Regole per firewall distribuito, firewall Edge o NAT con porte e protocolli	Sì	NSX-T richiede un servizio per la creazione di queste regole. Se esiste un servizio appropriato, viene utilizzato. Se non esiste alcun servizio appropriato, il servizio viene creato utilizzando la porta e il protocollo specificati nella regola.

Tabella 8. Service Composer
Configurazione di NSX-V	Supportato	Dettagli
Criteri di sicurezza di Service Composer	Sì	Le regole del firewall definite in un criterio di sicurezza vengono migrate in NSX-T come regole del firewall distribuito. Le regole del firewall disabilitate definite in un criterio di sicurezza Service Composer non vengono migrate. Le regole di Guest Introspection o di Network Introspection definite in un criterio di sicurezza di Service Composer vengono migrate. Se lo stato di Service Composer non è sincronizzato, il passaggio Risolvi configurazione mostra un avviso. È possibile ignorare la migrazione dei criteri di Service Composer saltando le sezioni relative al firewall distribuito. In alternativa, è possibile eseguire il rollback della migrazione, procedere alla sincronizzazione di Service Composer con il firewall distribuito e riavviare la migrazione.
Criteri di sicurezza di Service Composer non applicati ad alcun gruppo di sicurezza	No

Configurazione server di Active Directory


Configurazione	Supportato	Dettagli
Server Active Directory (AD)	No