Di seguito sono elencate le funzionalità e le configurazioni di NSX-V che è possibile migrare.

Supporto delle piattaforme

Per le versioni supportate di ESXi e VMware vCenter, vedere Matrici di interoperabilità VMware.

Configurazione di NSX-V

Supportato

Dettagli

NSX-V con vSAN o iSCSI su vSphere Distributed Switch

Configurazione NSX preesistente

No

È necessario distribuire un nuovo ambiente NSX.

Se la modalità di migrazione non è per una topologia definita dall'utente, durante il passaggio Importa configurazione, tutte le interfacce dei nodi di NSX Edge nell'ambiente NSX vengono arrestate. Se l'ambiente NSX è in uso, il traffico verrà interrotto.

NSX con vCenter incrociati

Supportata solo se si sceglie la modalità Esegui la migrazione di NSX for vSphere e la Topologia definita dall'utente.

NSX-V con Cloud Management Platform, una soluzione stack integrata o una soluzione PaaS

La migrazione di NSX-V con Aria Automation è supportata.

Prima di procedere con la migrazione, contattare il rappresentante VMware. Gli script e le integrazioni potrebbero interrompersi se si esegue la migrazione degli ambienti integrati:

Ad esempio:
  • NSX-V e vCloud Director

  • NSX-V con una soluzione stack integrata

  • NSX-V con una soluzione PaaS come Pivotal Cloud Foundry, RedHat OpenShift

  • NSX-V con workflow di Aria Operations

Funzionalità vSphere e ESXi

Configurazione di NSX-V

Supportato

Dettagli

Host ESXi già in modalità di manutenzione (nessuna macchina virtuale)

Network I/O Control (NIOC) versione 3

Network I/O Control (NIOC) versione 2

No

Network I/O Control (NIOC) con vNIC con prenotazione

No

Commutatore vSphere Standard

No

Le macchine virtuali e le interfacce VMkernel su VSS non vengono migrate. Le funzionalità di NSX-V applicate a VSS non possono essere migrate.

vSphere Distributed Switch

ESXi stateless

No

Profili host

No

Modalità di blocco ESXi

No

Non supportata in NSX.

Host ESXi in attesa di attività in modalità di manutenzione.

No

Host ESXi disconnesso nel cluster vCenter

No

vSphere FT

No

vSphere DRS completamente automatizzato

Avvio supportato in vSphere 7.0

vSphere High Availability

ACL per il filtro del traffico

No

Controllo dello stato vSphere

No

SRIOV

No

Pinning vmknic a una NIC fisica

No

VLAN privata

No

dvPortGroup temporaneo

No

DirectPath IO

No

Sicurezza L2

No

Commutatore di apprendimento su collegamento virtuale

No

Gateway hardware (integrazione dell'endpoint Tunnel con hardware di commutazione fisico)

No

SNMP

No

vNIC disconnessa nella macchina virtuale

No

A causa della limitazione di ESX 6.5, potrebbero essere presenti voci non recenti in DVFilter per le macchine virtuali disconnesse. Riavviare la macchina virtuale come soluzione alternativa.

Numero di porta VXLAN diverso da 4789

No

Modalità filtro multicast

No

Host con più VTEPs

Configurazione del sistema dell'appliance NSX Manager

Configurazione di NSX-V

Supportato

Dettagli

Server NTP/impostazione ora

Configurazione server syslog

Configurazione backup

Se necessario, modificare la passphrase di NSX-V in modo che corrisponda ai requisiti di NSX. Deve essere composta da almeno 8 caratteri e contenere quanto segue:

  • Almeno una lettera minuscola

  • Almeno una lettera maiuscola

  • Almeno un carattere numerico

  • Almeno un carattere speciale

FIPS

No

Attivazione/disattivazione FIPS non supportata da NSX.

Impostazioni internazionali

No

NSX supporta solo le impostazioni internazionali della lingua inglese

Certificato dell'appliance

No

Controllo degli accessi in base al ruolo

Configurazione di NSX-V

Supportato

Dettagli

Utenti locali

No

Ruoli NSX assegnati a un utente vCenter aggiunto tramite LDAP

Per eseguire la migrazione dei ruoli per gli utenti LDAP, è necessario che VMware Identity Manager sia installato e configurato.

Ruoli NSX assegnati a un gruppo vCenter

No

Certificati

Configurazione di NSX-V

Supportato

Dettagli

Certificati (Server, firmato da CA)

Applicabile solo ai certificati aggiunti tramite le API truststore.

Modifiche del certificato durante la migrazione

Le modifiche ai certificati sono supportate quando la migrazione è sospesa per tutte le modalità di migrazione, ad eccezione della migrazione di vSphere Networking. Non sono supportate quando vengono migrati host e carichi di lavoro.

Operazioni

Dettagli

Supportato

Note

Protocollo di individuazione CDP

Vedere le note.

Sì, se si esegue la migrazione a VDS 7.0. No, se si esegue la migrazione a N-VDS.

Protocollo di individuazione LLDP

La modalità di ascolto è attivata per impostazione predefinita e non può essere modificata in NSX. È possibile modificare solo la modalità Annuncia.

PortMirroring:

  • Origine del mirroring remoto incapsulato (L3)

Per la migrazione è supportato solo il tipo di sessione L3

PortMirroring:

  • Distributed PortMirroring

  • Origine del mirroring remoto

  • Destinazione del mirroring remoto

  • Mirroring della porta distribuita (legacy)

No

L2 IPFIX

LAG con IPFIX non è supportato

Distributed Firewall IPFIX

No

Acquisizione MAC

È necessario abilitare (accettare) le trasmissioni contraffatte.

VTEP hardware

No

Modalità promiscua

No

Allocazione risorse

No

La vNIC abilitata con l'allocazione delle risorse non è supportata

IPFIX: flussi interni

No

IPFIX con i flussi interni non è supportato

Commutatore

Configurazione di NSX-V

Supportato

Dettagli

Bridging L2

No

VLAN trunk

Sì per la migrazione sul posto

No per la migrazione lift-and-shift

I gruppi di porte di uplink trunk devono essere configurati con un intervallo VLAN compreso tra 0 e 4094.

Configurazione VLAN

È supportata la configurazione con una sola VLAN (nessuna VXLAN).

Raggruppamento e failover:

  • Bilanciamento del carico

  • Ordine di failover uplink

Opzioni supportate per il bilanciamento del carico (criterio di raggruppamento):

  • Usa ordine di failover esplicito

  • Route in base all'hash MAC di origine

Le opzioni di bilanciamento del carico non sono supportate.

Raggruppamento e failover:

  • Rilevamento errori di rete

  • Invia notifica ai commutatori

  • Criterio inverso

  • Ordine di ripristino

No

LACP

Per VDS 7.0 e versioni successive, la funzionalità LACP non viene modificata durante la migrazione. Per le versioni precedenti di VDS, un nuovo commutatore N-VDS sostituisce il VDS. Ciò causerà una perdita di traffico durante la migrazione dell'host.

IPFIX configurato in DVS (non DFW IPFIX) non è supportato con LACP

Sicurezza commutatore e individuazione IP

Configurazione di NSX-V

Compatibile con la migrazione

Dettagli

Individuazione IP (ARP, ND, DHCPv4 e DHCPv6)

Per la migrazione si applicano i seguenti limiti di binding su NSX:

  • 128 per IP rilevati tramite ARP

  • 128 per IP rilevati tramite DHCPv4

  • 15 per IP rilevati tramite DHCPv6

  • 15 per IP rilevati tramite ND

SpoofGuard (Manuale, TOFU, Disabilitato)

Sicurezza del commutatore (filtro BPDU, blocco client DHCP, blocco server DHCP, controllo RA)

Migrazione dei binding datapath dal modulo Sicurezza commutatore di NSX-V al modulo Sicurezza commutatore di NSX

Se SpoofGuard è abilitato, i binding vengono migrati dal modulo Sicurezza commutatore per supportare la soppressione ARP.

VSIP - Il modulo Sicurezza commutatore non è supportato perché i binding VSIP vengono migrati come regole configurate staticamente.

Profili di individuazione

I profili di rilevamento IP vengono creati dopo la migrazione utilizzando la configurazione di individuazione IP per il commutatore logico e la configurazione ARP e DHCP globale e cluster.

Piano di controllo centrale

Configurazione di NSX-V

Supportato

Dettagli

Replica VTEP per commutatore logico (VNI) e dominio di routing

Replica MAC/IP

No

Zone di trasporto NSX-V che utilizzano la modalità di replica multicast o ibrida

No

Zone di trasporto NSX-V che utilizzano la modalità di replica unicast

NSX Edge Funzionalità

Per informazioni dettagliate sulle topologie supportate, vedere Topologie supportate.

Configurazione di NSX-V

Supportato

Dettagli

Routing tra il gateway dei servizi Edge e il router con direzione nord

BGP è supportato.

Le route statiche sono supportate.

OSPF è supportato.

Routing tra il gateway dei servizi Edge e il router logico distribuito

Le route vengono convertite in route statiche dopo la migrazione.

Bilanciamento del carico

Ambiente di micro-segmentazione con supporto VLAN

Per i dettagli, vedere Topologie supportate.

NAT64

No

Non supportata in NSX.

Impostazioni a livello di nodo nel gateway dei servizi Edge o nel router logico distribuito

No

Le impostazioni a livello di nodo, ad esempio syslog o server NTP, non sono supportate. È possibile configurare manualmente syslog e NTP nei nodi Edge NSX.

IPv6

No

Configurazione URPF (Unicast Reverse Path Filter) per le interfacce gateway dei servizi Edge

No

L'URPF sulle interfacce del gateway NSX è impostato su Strict.

Interfacce gateway dei servizi Edge della configurazione MTU (Maximum Transmission Unit)

No

Vedere Modifica delle impostazioni MTU globaliper informazioni sulla modifica della MTU predefinita in NSX.

Routing multicast IP

No

Filtri prefissi di ridistribuzione route

No

Invio predefinito

No

Non supportata in NSX.

Firewall Edge

Configurazione di NSX-V

Supportato

Dettagli

Sezione Firewall: nome visualizzato

Le sezioni del firewall possono includere al massimo 1000 regole. Se una sezione contiene più di 1000 regole, viene migrata come più sezioni.

Azione per la regola predefinita

API NSX-V: GatewayPolicy/action

API NSX: SecurityPolicy.action

Configurazione globale firewall

No

Timeout predefiniti utilizzati

Regola firewall

API NSX-V: firewallRule

API NSX: SecurityPolicy

Regola firewall: name

Regola firewall: rule tag

API NSX-V: ruleTag

API NSX: Rule_tag

Origini e destinazioni nelle regole del firewall:

  • Raggruppamento di oggetti

  • Indirizzi IP

API NSX-V:

  • source/groupingObjectId

  • source/ipAddress

API NSX:

  • source_groups

API NSX-V:

  • destination/groupingObjectId

  • destination/ipAddress

API NSX:

  • destination_groups

Origini e destinazioni delle regole firewall:

  • Gruppo di vNIC

No

Servizi (applicazioni) nelle regole firewall:

  • Servizio

  • Gruppo di servizi

  • Protocollo/porta/porta di origine

API NSX-V:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

API NSX:

  • Servizi

Regola firewall: Match translated

No

La corrispondenza con convertito deve essere 'false'.

Regola firewall: Direction

Entrambe le API: direction

Regola firewall: Action

Entrambe le API: action

Regola firewall: Enabled

Entrambe le API: enabled

Regola firewall: Logging

API NSX-V: logging

API NSX: logged

Regola firewall: Description

Entrambe le API: description

Edge NAT

Configurazione di NSX-V

Supportato

Dettagli

Regola NAT

API NSX-V: natRule

API NSX: /nat/USER/nat-rules

Regola NAT: tag regola

API NSX-V: ruleTag

API NSX: rule_tag

Regola NAT: azione

API NSX-V: action

API NSX: action

Regola NAT: indirizzo originale (indirizzo di origine per le regole SNAT

e indirizzo di destinazione per le regole DNAT).

API NSX-V: originalAddress

API NSX: source_network per la regola SNAT o destination_network per la regola DNAT

Regola NAT: translatedAddress

API NSX-V: translatedAddress

API NSX: translated_network

Regola NAT: applicazione di una regola NAT a un'interfaccia specifica

No

Si applica a deve essere "any".

Regola NAT: registrazione

API NSX-V: loggingEnabled

API NSX: logging

Regola NAT: abilitata

API NSX-V: enabled

API NSX: disabled

Regola NAT: descrizione

API NSX-V: description

API NSX: description

Regola NAT: protocollo

API NSX-V: protocol

API NSX: Service

Regola NAT: porta originale (porta di origine per le regole SNAT, porta di destinazione per le regole DNAT)

API NSX-V: originalPort

API NSX: Service

Regola NAT: porta convertita

API NSX-V: translatedPort

API NSX: Translated_ports

Regola NAT: indirizzo di origine nella regola DNAT

API NSX-V: dnatMatchSourceAddress

API NSX: source_network

Regola NAT:

Indirizzo di destinazione nella regola SNAT

API NSX-V: snatMatchDestinationAddress

API NSX: destination_network

Regola NAT:

Porta di origine nella regola DNAT

API NSX-V: dnatMatchSourcePort

API NSX: Service

Regola NAT:

Porta di destinazione nella regola SNAT

API NSX-V: snatMatchDestinationPort

API NSX: Service

Regola NAT: ID regola

API NSX-V: ruleID

API NSX: id e display_name

VPN L2

Configurazione di NSX-V

Supportato

Dettagli

Configurazione VPN L2 basata su IPSec mediante chiave PSK (Pre-Shared Key)

Supportata se la rete da estendere su VPN L2 è un commutatore logico di overlay. Non supportata per le reti VLAN.

Configurazione VPN L2 basata su IPSec che utilizza l'autenticazione basata su certificato

No

Configurazione VPN L2 basata su SSL

No

Configurazioni VPN L2 con ottimizzazioni dei punti di uscita locali

No

Modalità client VPN L2

No

L3VPN

Configurazione di NSX-V

Supportato

Dettagli

Dead Peer Detection

Dead Peer Detection supporta opzioni diverse su NSX-V e NSX. È consigliabile utilizzare BGP per una convergenza più rapida o configurare un peer per eseguire il metodo DPD, se supportato.

Valori predefiniti DPD (Dead Peer Detection) modificati per:

  • dpdtimeout

  • dpdaction

No

In NSX, dpdaction è impostato su "restart" e non può essere modificato.

Se in NSX-V il parametro dpdtimeout è impostato su 0, il metodo dpd è disabilitato in NSX. In caso contrario, tutte le impostazioni di dpdtimeout verranno ignorate e verrà utilizzato il valore predefinito.

Valori predefiniti DPD (Dead Peer Detection) modificati per:

  • dpddelay 

NSX-V dpdelay viene mappato a NSX dpdinternal.

Sovrapposizione di subnet locali e peer di due o più sessioni.

No

NSX-V supporta le sessioni VPN IPSec basate su criteri in cui le subnet locali e peer di due o più sessioni si sovrappongono tra loro. Questo comportamento non è supportato in NSX. È necessario riconfigurare le subnet in modo che non si sovrappongano prima di avviare la migrazione. Se questo problema di configurazione non viene risolto, il passaggio Migra configurazione non riesce.

Sessioni IPSec con endpoint peer impostato su "any".

No

La configurazione non viene migrata.

Modifiche all'estensione securelocaltrafficbyip.

No

Il router di servizio NSX non presenta alcun traffico generato localmente che deve essere inviato tramite tunnel.

Modifiche a queste estensioni:

auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configured, forceencaps, overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric, disablearrivalcheck, failureshunt, leftnexthop, keyingtries

No

Tali estensioni non sono supportate in NSX e le relative modifiche non vengono migrate.

Bilanciamento del carico

Configurazione di NSX-V

Supportato

Dettagli

Monitoraggio/controlli dell'integrità per:

  • LDAP

  • DNS

  • MSSQL

Vedere i dettagli.

I monitor non vengono migrati.

Regole di applicazione

No

NSX-V utilizza regole di applicazione basate su HAProxy per supportare L7. In NSX, le regole sono basate su NGINX. Le regole di applicazione non possono essere migrate. È necessario creare nuove regole dopo la migrazione.

Intervallo di porte del server virtuale L7

No

IPv6

No

Se si utilizza IPv6 in un server virtuale, l'intero server virtuale verrà ignorato.

Se IPv6 viene utilizzato nel pool, il pool verrà comunque migrato, ma il membro del pool correlato verrà rimosso.

Algoritmi URL, URI, HTTPHEADER

Vedere i dettagli.

I pool con questi algoritmi non vengono migrati.

Pool isolato

No

Membro del pool LB con porta di monitoraggio diversa

Vedere i dettagli.

Il membro del pool con una porta di monitoraggio diversa non viene migrato.

minConn membro del pool

No

Estensione monitor

No

Persistenza/tabella sessionID SSL

No

Persistenza/tabella sessione MSRDP

No

Sessione/tabella sessione app cookie

No

Persistenza app

No

Monitoraggio per:

  • Escape esplicito

  • Esci

  • Ritardo

No

Monitoraggio per:

  • Invia

  • Previsto

  • Timeout

  • Intervallo

  • maxRetries

Ottimizzazione haproxy/IPVS

No

Filtro IP pool

  • Indirizzi IPv4

Sono supportati indirizzi IP IPv4.

Se viene utilizzato Any, gli indirizzi IPv4 del pool di IP vengono migrati.

Filtro IP pool

  • Indirizzi IPv6

No

Pool contenente un oggetto di raggruppamento non supportato:

  • Cluster

  • Data center

  • Gruppo di porte distribuito

  • Set di MAC

  • App virtuale

No

Se un pool include un oggetto di raggruppamento non supportato, tali oggetti vengono ignorati e il pool viene creato con membri di oggetti di raggruppamento supportati. Se non sono presenti membri di oggetti di raggruppamento supportati, viene creato un pool vuoto.

DHCP e DNS

Tabella 1. Topologie di configurazione DHCP

Configurazione di NSX-V

Supportato

Dettagli

Inoltro DHCP configurato nel router logico distribuito che punta a un server DHCP configurato in un gateway dei servizi Edge connesso direttamente

L'IP del server di trasmissione DHCP deve essere uno degli IP dell'interfaccia interna del gateway dei servizi Edge.

Il server DHCP deve essere configurato in un gateway dei servizi Edge direttamente connesso al router logico distribuito configurato con l'inoltro DHCP.

L'inoltro DHCP configurato su più router logici distribuiti che puntano allo stesso server DHCP configurato in un gateway dei servizi Edge non è supportato.

Non è supportato l'utilizzo di DNAT per convertire un IP di inoltro DHCP che non corrisponde a un'interfaccia interna del gateway dei servizi Edge.

Inoltro DHCP configurato solo nel router logico distribuito, nessuna configurazione del server DHCP nel gateway dei servizi Edge connesso

No

Server DHCP configurato solo nel gateway dei servizi Edge, nessuna configurazione di inoltro DHCP nel router logico distribuito connesso

No

Tabella 2. Funzionalità DHCP

Configurazione di NSX-V

Supportato

Dettagli

Pool di IP

Binding statici

Lease DHCP

Opzioni DHCP generali

Servizio DHCP disabilitato

No

In NSX non è possibile disabilitare il servizio DHCP. Se in NSX-V è presente un servizio DHCP disabilitato, non viene migrato.

Opzione DHCP: "altro"

No

Il campo "altro" nelle opzioni DHCP non è supportato per la migrazione.

Ad esempio, l'opzione dhcp "80" non viene migrata.

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

Pool di IP/binding orfani

No

Se i pool di ip o i binding statici sono configurati in un server DHCP ma non vengono utilizzati da alcun commutatore logico connesso, questi oggetti vengono ignorati durante la migrazione.

DHCP configurato nel gateway dei servizi Edge con commutatori logici connessi direttamente

No

Durante la migrazione, le interfacce del Gateway dei servizi Edge connesse direttamente vengono migrate come porte di servizio centralizzate. Tuttavia, NSX non supporta il servizio DHCP su una porta di servizio centralizzata, quindi la configurazione del servizio DHCP non viene migrata per queste interfacce.

Tabella 3. Funzionalità DNS

Configurazione di NSX-V

Supportato

Dettagli

Visualizzazioni DNS

Solo la prima istanza di dnsView viene migrata nella zona di inoltro DNS predefinita NSX.

Configurazione DNS

È necessario specificare gli IP del listener DNS disponibili per tutti i nodi Edge. Durante la richiesta di risoluzione della configurazione viene visualizzato un messaggio.

DNS – L3 VPN

È necessario aggiungere gli IP del listener DNS NSX appena configurati nell'elenco dei prefissi VPN L3 remoti. Durante la richiesta di risoluzione della configurazione viene visualizzato un messaggio.

DNS configurato nel Gateway dei servizi Edge con commutatori logici connessi direttamente

No

Durante la migrazione, le interfacce del Gateway dei servizi Edge connesse direttamente vengono migrate come porte di servizio centralizzate. Tuttavia, NSX non supporta il servizio DNS su una porta di servizio centralizzata, quindi la configurazione del servizio DNS non viene migrata per queste interfacce.

Firewall distribuito (DFW)

Configurazione di NSX-V

Supportato

Dettagli

Firewall identità

Sezione -

  • Nome

  • Descrizione

  • TCP restrittivo

  • Firewall stateless

Se una sezione firewall contiene più di 1000 regole, lo strumento di migrazione delle regole verrà eseguito in più sezioni di 1000 regole ciascuna.

Sezioni universali

Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari.

Regola - Origine/Destinazione:

  • Indirizzo IP/Intervallo/CIDR

  • Porta logica

  • Commutatore logico

Regola - Origine/Destinazione:

  • Macchina virtuale

  • Porta logica

  • Gruppo di sicurezza/Set di IP/Set di MAC

Mappata a Gruppo di sicurezza

Regola - Origine/Destinazione:

  • Cluster

  • Data center

  • DVPG

  • vSS

  • Host

No

Regola - Origine/Destinazione:

  • Commutatore logico universale

Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari.

Regola - Origine/Destinazione:

  • Macchine virtuali non sugli host NSX-V

No NSX non supporta il riferimento a oggetti non connessi a gruppi di porte o reti NSX. Tali oggetti andranno persi dall'origine o dalla destinazione al termine della migrazione. Per evitare questo problema, utilizzare gli indirizzi IP in NSX-V per fare riferimento a tali oggetti prima della migrazione.

Regola - Applicata a:

  • Qualsiasi

Mappa a firewall distribuito

Regola - Applicata a:

  • Gruppo di sicurezza

  • Porta logica

  • Commutatore logico

  • Macchina virtuale

Mappata a Gruppo di sicurezza

Regola - Applicata a:

  • Cluster

  • Data center

  • DVPG

  • vSS

  • Host

No

Regola - Applicata a:

  • Commutatore logico universale

No

Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari.

Regole disabilitate nel firewall distribuito

Disabilitazione del firewall distribuito a livello di cluster

No

Quando il firewall distribuito è abilitato su NSX, è abilitato in tutti i cluster. Non è possibile abilitarlo in alcuni cluster e disabilitarlo in altri.

Elenco di esclusione DFW No Gli elenchi di esclusione DFW non vengono migrati. È necessario crearli di nuovo in NSX dopo la migrazione.

Servizi partner: Network Introspection est-ovest

Configurazione di NSX-V Supportato Dettagli

Servizio

No

La registrazione del servizio non viene migrata. Il partner deve registrare il servizio in NSX prima della migrazione.

Modello fornitore

No

Il modello del fornitore non viene migrato. Prima della migrazione, il partner deve registrare il modello del fornitore in NSX.

Profilo di servizio

No

I profili di servizio non vengono migrati. Prima della migrazione, è necessario che l'utente o il partner crei i profili del servizio.

Nel passaggio Risolvi configurazione della migrazione, viene richiesto di mappare ogni profilo di servizio NSX-V a un profilo di servizio NSX. Se si ignora la mappatura dei profili di servizio, le regole che utilizzano questi profili di servizio non vengono migrate.

Per ogni profilo di servizio in NSX verrà creata una catena di servizi in NSX-V. La catena di servizi viene creata con la seguente convenzione di denominazione:

Service-Chain-service_profile_name

Lo stesso profilo di servizio viene utilizzato nel percorso di inoltro e nel percorso inverso della catena di servizi.

Istanza di servizio

No

Le macchine virtuali del servizio partner (SVMs) non vengono migrate. Le SVM partner NSX-V non possono essere utilizzate in NSX.

Per il servizio Network Introspection est-ovest in NSX, le macchine virtuali del servizio partner devono essere distribuite in un segmento di overlay.

Sezione
  • Nome
  • ID
  • Descrizione
  • TCP restrittivo
  • Firewall stateless

Una sezione viene mappata a un criterio di reindirizzamento.

L'ID è definito dall'utente e non viene generato automaticamente in NSX.

La sezione firewall in NSX-V include più di 1000 regole. Le regole verranno migrate in più sezioni di 1000 regole ciascuna. Ad esempio, se una sezione contiene 2500 regole, vengono creati tre criteri: criterio 1 con 1000 regole, criterio 2 con 1000 regole e criterio 3 con 500 regole.

Le regole del firewall stateful o stateless in NSX-V vengono migrate come regole di reindirizzamento stateful o stateless in NSX.

Servizi partner: Regole

Nome

ID regola

L'ID regola viene generato dal sistema. In NSX-V, può essere diverso dall'ID regola.

Nega origine

Nega destinazione

Origine/destinazione
  • Macchina virtuale
  • Gruppo di sicurezza
  • Set di IP
  • vNIC

Servizi/Gruppi di servizi

Per informazioni dettagliate, vedere la tabella Servizi e gruppi di servizi.
Impostazioni avanzate
  • Direzione
  • Tipo di pacchetto
  • Tag regola
  • Commenti
  • Registro

Profilo di servizio e azione
  • Nome servizio
  • Profilo di servizio
  • Azione
  • Binding del profilo di servizio

Un binding del profilo del servizio può includere come membri gruppi di porte virtuali distribuiti (DVPG), commutatori logici e gruppi di sicurezza. Il binding di un profilo di servizio in NSX-V viene mappato al campo Si applica a di una regola di reindirizzamento in NSX. Il campo Si applica a accetta solo gruppi e determina l'ambito della regola.

In NSX, il reindirizzamento delle regole è al livello di un criterio. Tutte le regole in un criterio di reindirizzamento hanno lo stesso ambito (Si applica a).

Il campo Si applica a in una regola di reindirizzamento NSX può includere al massimo 128 membri. Se il numero di membri in un binding del profilo di servizio è superiore a 128, ridurli a <= 128 prima di avviare la migrazione.

Si supponga, ad esempio, che il binding di un profilo di servizio includa 140 membri (gruppi di sicurezza). Prima di avviare la migrazione, eseguire i passaggi seguenti in NSX-V:
  1. Creare un gruppo di sicurezza fittizio.
  2. Spostare 13 gruppi di sicurezza in questo gruppo di sicurezza fittizio. In altre parole, il gruppo di sicurezza fittizio include 13 membri.
  3. Rimuovere il binding di questi 13 gruppi di sicurezza dal profilo di servizio. Ora sono presenti 127 membri nel binding del profilo di servizio (140-13).
  4. Aggiungere il gruppo di sicurezza fittizio al binding del profilo di servizio.

Ora, il numero totale di membri nel binding del profilo di servizio è 128 (127 + 1).

Abilita/Disabilita regola

Segmento di servizio
Un segmento di servizio verrà creato nella zona di trasporto overlay selezionata nel passaggio Risolvi configurazione della migrazione. Nell'ambiente di NSX-V, se la zona di trasporto VXLAN non è preparata con NSX-V, è possibile selezionare la zona di trasporto overlay predefinita in NSX per creare il segmento di servizio. Se una o più zone di trasporto VXLAN sono preparate con NSX-V, è necessario selezionare una zona di trasporto overlay per creare il segmento di servizio in NSX.
Priorità dei profili di servizio
In NSX-V, un profilo di servizio ha una priorità. Se un servizio ha più profili di servizio e più profili sono associati alla stessa vNIC, il profilo del servizio con priorità più alta viene applicato per primo alla vNIC. Tuttavia, in NSX, il profilo di servizio non ha una priorità. Quando più regole di reindirizzamento hanno la stessa impostazione Si applica a, l'ordine delle regole determina quale regola viene eseguita per prima. In altre parole, le regole con una priorità di profilo più alta verranno posizionate prima delle regole con una priorità di profilo più bassa nella tabella delle regole NSX. Per un esempio dettagliato, vedere lo scenario 2 in Ordine delle regole di Network Introspection migrate in NSX.
Precedenza servizio

Per reindirizzare il traffico a più servizi, NSX-V utilizza più slot DVFilter nel percorso dei dati di inserimento del servizio. Un slot DVFilter viene utilizzato per reindirizzare il traffico a un servizio. Un servizio con precedenza alta viene posizionato più in alto nello slot rispetto a un servizio con precedenza bassa. In NSX viene utilizzato solo un singolo slot DVFilter, che reindirizza il traffico a una catena di servizi. Dopo la migrazione a NSX, le regole che utilizzano un servizio partner con precedenza più alta vengono posizionate prima delle regole che utilizzano un servizio partner con una precedenza inferiore. Per un esempio dettagliato, vedere lo scenario 3 in Ordine delle regole di Network Introspection migrate in NSX.

Il reindirizzamento del traffico su una vNIC a più servizi partner non è supportato. Il reindirizzamento a un solo servizio partner è supportato. Sebbene tutte le regole NSX-V vengano migrate in NSX, le configurazioni delle regole migrate utilizzano una catena di servizi con un solo profilo di servizio. Non è possibile modificare una catena di servizi esistente utilizzata nelle regole di reindirizzamento.

Soluzione: per reindirizzare il traffico di una vNIC a più servizi, creare una nuova catena di servizi e definire l'ordine dei profili di servizio in tale catena. Aggiornare le regole migrate in modo che utilizzino questa nuova catena di servizi.

Servizio Network Introspection sulle macchine virtuali connesse a una rete di macchine virtuali
Nell'ambiente NSX-V, se le regole del servizio Network Introspection sono in esecuzione su macchine virtuali connesse a una rete di macchine virtuali, queste macchine virtuali non sono più protette dopo la migrazione dell'host. Per assicurarsi che le regole di Network Introspection vengano applicate alle vNIC di queste macchine virtuali dopo la migrazione dell'host, è necessario connettere tali macchine virtuali a un segmento NSX.

Raggruppamento di oggetti e Service Composer

I set di IP e i set di MAC vengono migrati in NSX come gruppi. Vedere Inventario > Gruppi nell'interfaccia Web di NSX Manager.

Tabella 4. Set di IP e set di MAC

Configurazione di NSX-V

Supportato

Dettagli

Set di IP

È possibile migrare i set di IP con un massimo di 2 milioni di membri (indirizzi IP, subnet degli indirizzi IP, intervalli IP). I set di IP che contengono più membri non vengono migrati.

Set di MAC

È possibile migrare i set di MAC con un massimo di 2 milioni di membri. I set di MAC che contengono più membri non vengono migrati.

È possibile migrare i gruppi di sicurezza ma con le limitazioni elencate di seguito. I gruppi di sicurezza vengono migrati in NSX come gruppi. Vedere Inventario > Gruppi nell'interfaccia Web di NSX Manager.

NSX-V include gruppi di sicurezza definiti dal sistema e dall'utente. Questi elementi vengono migrati in NSX come gruppi definiti dall'utente.

Il numero totale di gruppi di sicurezza dopo la migrazione potrebbe non essere uguale al numero di gruppi di sicurezza presenti in NSX-V. Ad esempio, una regola del firewall distribuito contenente una macchina virtuale come origine viene migrata in una regola contenente un nuovo gruppo con la macchina virtuale come membro. Questo comporta un aumento del numero totale di gruppi in NSX dopo la migrazione.

Tabella 5. Gruppi di sicurezza

Configurazione di NSX-V

Supportato

Dettagli

Gruppo di sicurezza con membri che non esistono

No

Se uno dei membri del gruppo di sicurezza non esiste, il gruppo di sicurezza non viene migrato.

Gruppo di sicurezza che contiene un gruppo di sicurezza con membri non supportati

No

Se il gruppo di sicurezza include membri che non possono essere migrati, il gruppo di sicurezza non viene migrato.

Se un gruppo di sicurezza contiene un gruppo di sicurezza con membri non supportati, il gruppo di sicurezza principale non viene migrato.

Escludere l'appartenenza al gruppo di sicurezza

No

I gruppi di sicurezza con membri esclusi direttamente o indirettamente (tramite nidificazione) non vengono migrati

Appartenenza statica ai gruppi di sicurezza

Un gruppo di sicurezza può contenere fino a 500 membri statici. Tuttavia, i membri statici generati dal sistema vengono aggiunti se il gruppo di sicurezza viene utilizzato nelle regole del firewall distribuito, riducendo il limite effettivo a 499 o 498.

  • Se il gruppo di sicurezza viene utilizzato nelle regole di livello 2 o di livello 3, al gruppo di sicurezza viene aggiunto un membro statico generato dal sistema.

  • Se il gruppo di sicurezza viene utilizzato nelle regole di livello 2 e di livello 3, vengono aggiunti due membri statici generati dal sistema.

Se durante il passaggio Risolvi configurazione non sono presenti dei membri, il gruppo di sicurezza non viene migrato.

Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):

  • Cluster

  • Data center

  • Gruppo di directory

  • Gruppo di porte distribuito

  • Gruppo di porte/rete legacy

  • Pool di risorse

  • vApp

No

Un gruppo di sicurezza contiene uno dei tipi di membri non supportati. Il gruppo di sicurezza non viene migrato.

Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):

  • Gruppo di sicurezza

  • Set di IP

  • Set di MAC

Gruppi di sicurezza, set di IP e set di MAC vengono migrati in NSX come gruppi. Se un gruppo di sicurezza NSX-V contiene un set di IP, un set di MAC o un gruppo di sicurezza nidificato come membro statico, i gruppi corrispondenti vengono aggiunti al gruppo principale.

Se uno di questi membri statici non è stato migrato in NSX, il gruppo di sicurezza principale non viene migrato a NSX.

Ad esempio, un set di IP con più di 2 milioni di membri non può migrare a NSX. Non è quindi possibile eseguire la migrazione di un gruppo di sicurezza che contiene un set di IP con più di 2 milioni di membri.

Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):

  • Commutatore logico (collegamento virtuale)

Se un gruppo di sicurezza contiene commutatori logici che non vengono migrati ai segmenti NSX, il gruppo di sicurezza non esegue la migrazione a NSX.

Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):

  • Tag di sicurezza

Se al gruppo di sicurezza viene aggiunto un tag di sicurezza come membro statico o come membro dinamico utilizzando Entità appartiene a, è necessario che il tag di sicurezza esista per consentire la migrazione del gruppo di sicurezza.

Se il tag di sicurezza viene aggiunto al gruppo di sicurezza come membro dinamico (non utilizzando Entità appartiene a), l'esistenza del tag di sicurezza non viene controllata prima della migrazione del gruppo di sicurezza.

Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):

  • vNIC

  • Macchina virtuale

  • Le vNIC e le macchine virtuali vengono migrate come ExternalIDExpression.

  • Le macchine virtuali orfane (macchine virtuali eliminate dagli host) vengono ignorate durante la migrazione del gruppo di sicurezza.

  • Una volta che i gruppi vengono visualizzati in NSX, le appartenenze alla macchina virtuale e alla vNIC verranno aggiornate dopo qualche minuto. Durante questo periodo intermedio, possono essere presenti gruppi temporanei e i relativi gruppi temporanei possono essere visualizzati come membri. Tuttavia, una volta terminata la migrazione dell'host, questi gruppi temporanei aggiuntivi non verranno più visualizzati.

Utilizzo dell'operatore "Corrisponde all'espressione regolare" per l'appartenenza dinamica

No

Riguarda solo Tag di sicurezza e Nome macchina virtuale. "Corrisponde all'espressione regolare" non è disponibile per altri attributi.

Utilizzo di altri operatori disponibili per i criteri di appartenenza dinamica per gli attributi:

  • Tag di sicurezza

  • Nome macchina virtuale

  • Nome computer

  • Nome sistema operativo del computer

Gli operatori disponibili per Nome macchina virtuale, Nome computer e Nome sistema operativo del computer sono Contiene, Termina con, Uguale a, Non uguale a, Inizia con.

Gli operatori disponibili per Tag di sicurezza sono Contiene, Termina con, Uguale a, Inizia con.

Criteri di Entità appartiene a

Le stesse limitazioni per la migrazione dei membri statici si applicano ai criteri di Entità appartiene a. Ad esempio, se un gruppo di sicurezza utilizza Entità appartiene a un cluster nella definizione, il gruppo di sicurezza non viene migrato.

I gruppi di sicurezza che contengono criteri Entità appartiene a combinati con AND non vengono migrati.

Operatori dei criteri di appartenenza dinamica (AND, OR) nel gruppo di sicurezza

Sì.

Quando si definisce l'appartenenza dinamica per un gruppo di sicurezza NSX-V, è possibile configurare quanto segue:

  • Uno o più set dinamici.

  • Ogni set dinamico può contenere uno o più criteri dinamici. Ad esempio, "Nome macchina virtuale contiene web".

  • È possibile scegliere di soddisfare uno o tutti i criteri dinamici all'interno di un set dinamico.

  • È possibile scegliere di cercare corrispondenze con AND o OR in tutti i set dinamici.

NSX-V non limita il numero di criteri dinamici e set dinamici e consente l'utilizzo di qualsiasi combinazione di AND e OR.

In NSX, è possibile utilizzare un gruppo con cinque espressioni. I gruppi di sicurezza NSX-V che contengono più di cinque espressioni non vengono migrati.

Esempi di gruppi di sicurezza di cui è possibile eseguire la migrazione:

  • Fino a 5 set dinamici collegati con OR in cui ogni set dinamico contiene fino a 5 criteri dinamici collegati con AND ("Tutti" in NSX-V).

  • 1 set dinamico contenente 5 criteri dinamici collegati con OR ("Qualsiasi" in NSX-V).

  • 1 set dinamico contenente 5 criteri dinamici collegati con AND ("Tutti" in NSX-V). Tutti i membri devono essere dello stesso tipo.

  • 5 set dinamici collegati con AND e ogni set dinamico contiene esattamente 1 criterio dinamico. Tutti i membri devono essere dello stesso tipo.

L'utilizzo dei criteri "Entità appartiene a" con gli operatori AND non è supportato.

Tutte le altre combinazioni o definizioni di un gruppo di sicurezza contenenti scenari non supportati non vengono migrate.

In NSX-V, i tag di sicurezza sono oggetti che possono essere applicati alle macchine virtuali. Quando vengono migrati a NSX, i tag di sicurezza sono attributi di una macchina virtuale.

Tabella 6. Tag di sicurezza

Configurazione di NSX-V

Supportato

Dettagli

Tag di sicurezza

In una macchina virtuale sono applicati al massimo 25 tag di sicurezza. La migrazione dei tag di sicurezza è supportata. Se vengono applicati più di 25 tag di sicurezza, non viene migrato alcun tag.

Nota: se non vengono migrati tag di sicurezza, la macchina virtuale non viene inclusa in nessuno dei gruppi definiti dall'appartenenza ai tag.

I tag di sicurezza che non vengono applicati ad alcuna macchina virtuale non vengono migrati.

I servizi e i gruppi di servizi vengono migrati in NSX come servizi. Vedere Inventario > Servizi nell'interfaccia Web di NSX Manager.

Tabella 7. Servizi e gruppi di servizi

Configurazione di NSX-V

Supportato

Dettagli

Servizi e gruppi di servizi (applicazioni e gruppi di applicazioni)

La maggior parte dei servizi e dei gruppi di servizi predefiniti viene mappata ai servizi NSX. Se un servizio o un gruppo di servizi non è presente in NSX, viene creato un nuovo servizio in NSX.

Gruppi di servizi APP_ALL e APP_POP2

No

Questi gruppi di servizi definiti dal sistema non vengono migrati.

Servizi e gruppi di servizi con conflitti di denominazione

Se in NSX viene identificato un conflitto di nomi per un servizio o un gruppo di servizi modificato, viene creato un nuovo servizio in NSX con un nome nel formato <NSXv-Application-Name> migrato da NSX-V

Gruppi di servizi che combinano servizi di livello 2 con servizi di altri livelli

No

Gruppi di servizi vuoti

No

NSX non supporta i servizi vuoti.

Servizi di livello 2

I servizi di livello 2 di NSX-V vengono migrati come voce del servizio EtherTypeServiceEntry di NSX.

Servizi di livello 3

In base al protocollo, i servizi di livello 3 di NSX-V vengono migrati nella voce del servizio NSX come segue:

  • Protocollo TCP/UDP: L4PortSetServiceEntry

  • Protocollo ICMP/IPV6ICMP:

ICMPTypeServiceEntry

  • Protocollo IGMP: IGMPTypeServiceEntry

  • Altri protocolli: IPProtocolServiceEntry

Servizi di livello 4

Migrati come voce del servizio NSX ALGTypeServiceEntry.

Servizi di livello 7

Migrati come voce del servizio NSX PolicyContextProfile

Se per un'applicazione NSX-V di livello 7 sono stati definiti una porta e un protocollo, in NSX viene creato un servizio, con la configurazione appropriata della porta e del protocollo, mappato a PolicyContextProfile.

Gruppi di servizi di livello 7

No

Regole per firewall distribuito, firewall Edge o NAT con porte e protocolli

NSX richiede un servizio per la creazione di queste regole. Se esiste un servizio appropriato, viene utilizzato. Se non esiste alcun servizio appropriato, il servizio viene creato utilizzando la porta e il protocollo specificati nella regola.

Tabella 8. Service Composer

Configurazione di NSX-V

Supportato

Dettagli

Criteri di sicurezza di Service Composer

Le regole del firewall definite in un criterio di sicurezza vengono migrate in NSX come regole del firewall distribuito.

Le regole del firewall disabilitate definite in un criterio di sicurezza Service Composer non vengono migrate.

Le regole di Guest Introspection o di Network Introspection definite in un criterio di sicurezza di Service Composer vengono migrate.

Se lo stato di Service Composer non è sincronizzato, il passaggio Risolvi configurazione mostra un avviso. È possibile ignorare la migrazione dei criteri di Service Composer saltando le sezioni relative al firewall distribuito. In alternativa, è possibile eseguire il rollback della migrazione, procedere alla sincronizzazione di Service Composer con il firewall distribuito e riavviare la migrazione.

Criteri di sicurezza di Service Composer non applicati ad alcun gruppo di sicurezza

No

Configurazione server di Active Directory

Configurazione

Supportato

Dettagli

Server Active Directory (AD)

No