Se si intende eseguire la migrazione del firewall identità (IDFW), sono necessarie alcune preparazioni.
Prima della migrazione, assicurarsi che siano soddisfatti i requisiti seguenti:
- I domini Active Directory (AD) registrati in NSX-V sono registrati in NSX-T.
- I server LDAP registrati in NSX-V sono registrati in NSX-T.
- I server dei registri eventi registrati in NSX-V sono registrati in NSX-T.
- In NSX-T viene completata una sincronizzazione completa corretta per ogni dominio AD appena registrato.
- L'ambiente IDFW in NSX-V è supportato da NSX-T. Per ulteriori informazioni, vedere l'argomento Configurazioni supportate dal firewall di identità nella Guida all'amministrazione di NSX-T Data Center.
Si tenga presente quanto segue:
- Durante la migrazione, non consentire l'accesso ai nuovi utenti.
- Alcune regole IDFW in NSX-V non sono supportate in NSX-T. Tali regole non possono essere migrate in NSX-T. Per continuare la migrazione, è necessario ignorarle o modificarle.
- Per le connessioni IDFW basate su IP, gli utenti devono eseguire nuovamente l'accesso dopo la migrazione affinché IDFW funzioni. Se si desidera mantenere le connessioni IDFW per questi utenti durante la migrazione, è necessario creare manualmente le regole del firewall shadow per questi utenti.
- Per le connessioni IDFW basate su SID, gli utenti non devono eseguire nuovamente l'accesso affinché IDFW funzioni.
- In NSX-T, IDFW può essere configurato a livello globale e a livello di cluster. Poiché NSX-V non supporta IDFW a livello di cluster, dopo la migrazione, IDFW verrà abilitato per tutti i cluster in NSX-T.
- È necessario annullare manualmente la distribuzione di Guest Introspection (GI) in NSX-V dopo la migrazione se tale distribuzione non viene annullata da altre operazioni di migrazione.
Creazione ed eliminazione di una regola del firewall shadow
Per creare una regola del firewall shadow, dopo aver importato la configurazione, eseguire le operazioni seguenti in
NSX-T:
- Creare un set di IP per il gruppo di directory.
- Aggiungere il set di IP allo stesso NSGroup a cui appartiene il gruppo di directory.
- Individuare gli indirizzi IP delle macchine virtuali a cui sono connessi gli utenti.
- Aggiungere gli indirizzi IP al set di IP.
Dopo la migrazione delle macchine virtuali e la disconnessione degli utenti dalle macchine virtuali, eseguire le operazioni seguenti:
- Rimuovere gli indirizzi IP dal set di IP.
- Dopo aver rimosso tutti gli indirizzi IP dal set di IP, rimuovere il set di IP da NSGroup ed eliminare il set di IP.