Di seguito sono elencate le funzionalità e le configurazioni di NSX-V che è possibile migrare.
Supporto delle piattaforme
Per le versioni supportate di ESXi e VMware vCenter, vedere Matrici di interoperabilità VMware.
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
NSX-V con vSAN o iSCSI su vSphere Distributed Switch |
Sì |
|
Configurazione NSX preesistente |
No |
È necessario distribuire un nuovo ambiente NSX. Se la modalità di migrazione non è per una topologia definita dall'utente, durante il passaggio Importa configurazione, tutte le interfacce dei nodi di NSX Edge nell'ambiente NSX vengono arrestate. Se l'ambiente NSX è in uso, il traffico verrà interrotto. |
NSX con vCenter incrociati |
Sì |
Supportata solo se si sceglie la modalità Esegui la migrazione di NSX for vSphere e la Topologia definita dall'utente. |
NSX-V con Cloud Management Platform, una soluzione stack integrata o una soluzione PaaS |
Sì |
La migrazione di NSX-V con Aria Automation è supportata. Prima di procedere con la migrazione, contattare il rappresentante VMware. Gli script e le integrazioni potrebbero interrompersi se si esegue la migrazione degli ambienti integrati:
Ad esempio:
|
Funzionalità vSphere e ESXi
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Host ESXi già in modalità di manutenzione (nessuna macchina virtuale) |
Sì |
|
Network I/O Control (NIOC) versione 3 |
Sì |
|
Network I/O Control (NIOC) versione 2 |
No |
|
Network I/O Control (NIOC) con vNIC con prenotazione |
No |
|
Commutatore vSphere Standard |
No |
Le macchine virtuali e le interfacce VMkernel su VSS non vengono migrate. Le funzionalità di NSX-V applicate a VSS non possono essere migrate. |
vSphere Distributed Switch |
Sì | |
ESXi stateless |
No |
|
Profili host |
No |
|
Modalità di blocco ESXi |
No |
Non supportata in NSX. |
Host ESXi in attesa di attività in modalità di manutenzione. |
No |
|
Host ESXi disconnesso nel cluster vCenter |
No |
|
vSphere FT |
No |
|
vSphere DRS completamente automatizzato |
Sì |
Avvio supportato in vSphere 7.0 |
vSphere High Availability |
Sì |
|
ACL per il filtro del traffico |
No |
|
Controllo dello stato vSphere |
No |
|
SRIOV |
No |
|
Pinning vmknic a una NIC fisica |
No |
|
VLAN privata |
No |
|
dvPortGroup temporaneo |
No |
|
DirectPath IO |
No |
|
Sicurezza L2 |
No |
|
Commutatore di apprendimento su collegamento virtuale |
No |
|
Gateway hardware (integrazione dell'endpoint Tunnel con hardware di commutazione fisico) |
No |
|
SNMP |
No |
|
vNIC disconnessa nella macchina virtuale |
No |
A causa della limitazione di ESX 6.5, potrebbero essere presenti voci non recenti in DVFilter per le macchine virtuali disconnesse. Riavviare la macchina virtuale come soluzione alternativa. |
Numero di porta VXLAN diverso da 4789 |
No |
|
Modalità filtro multicast |
No |
|
Host con più VTEPs |
Sì |
Configurazione del sistema dell'appliance NSX Manager
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Server NTP/impostazione ora |
Sì |
|
Configurazione server syslog |
Sì |
|
Configurazione backup |
Sì |
Se necessario, modificare la passphrase di NSX-V in modo che corrisponda ai requisiti di NSX. Deve essere composta da almeno 8 caratteri e contenere quanto segue:
|
FIPS |
No |
Attivazione/disattivazione FIPS non supportata da NSX. |
Impostazioni internazionali |
No |
NSX supporta solo le impostazioni internazionali della lingua inglese |
Certificato dell'appliance |
No |
Controllo degli accessi in base al ruolo
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Utenti locali |
No |
|
Ruoli NSX assegnati a un utente vCenter aggiunto tramite LDAP |
Sì |
Per eseguire la migrazione dei ruoli per gli utenti LDAP, è necessario che VMware Identity Manager sia installato e configurato. |
Ruoli NSX assegnati a un gruppo vCenter |
No |
Certificati
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Certificati (Server, firmato da CA) |
Sì |
Applicabile solo ai certificati aggiunti tramite le API truststore. |
Modifiche del certificato durante la migrazione |
Sì |
Le modifiche ai certificati sono supportate quando la migrazione è sospesa per tutte le modalità di migrazione, ad eccezione della migrazione di vSphere Networking. Non sono supportate quando vengono migrati host e carichi di lavoro. |
Operazioni
Dettagli |
Supportato |
Note |
---|---|---|
Protocollo di individuazione CDP |
Vedere le note. |
Sì, se si esegue la migrazione a VDS 7.0. No, se si esegue la migrazione a N-VDS. |
Protocollo di individuazione LLDP |
Sì |
La modalità di ascolto è attivata per impostazione predefinita e non può essere modificata in NSX. È possibile modificare solo la modalità Annuncia. |
PortMirroring:
|
Sì |
Per la migrazione è supportato solo il tipo di sessione L3 |
PortMirroring:
|
No |
|
L2 IPFIX |
Sì |
LAG con IPFIX non è supportato |
Distributed Firewall IPFIX |
No |
|
Acquisizione MAC |
Sì |
È necessario abilitare (accettare) le trasmissioni contraffatte. |
VTEP hardware |
No |
|
Modalità promiscua |
No |
|
Allocazione risorse |
No |
La vNIC abilitata con l'allocazione delle risorse non è supportata |
IPFIX: flussi interni |
No |
IPFIX con i flussi interni non è supportato |
Commutatore
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Bridging L2 |
No |
|
VLAN trunk |
Sì per la migrazione sul posto No per la migrazione lift-and-shift |
I gruppi di porte di uplink trunk devono essere configurati con un intervallo VLAN compreso tra 0 e 4094. |
Configurazione VLAN |
Sì |
È supportata la configurazione con una sola VLAN (nessuna VXLAN). |
Raggruppamento e failover:
|
Sì |
Opzioni supportate per il bilanciamento del carico (criterio di raggruppamento):
Le opzioni di bilanciamento del carico non sono supportate. |
Raggruppamento e failover:
|
No |
|
LACP | Sì | Per VDS 7.0 e versioni successive, la funzionalità LACP non viene modificata durante la migrazione. Per le versioni precedenti di VDS, un nuovo commutatore N-VDS sostituisce il VDS. Ciò causerà una perdita di traffico durante la migrazione dell'host. IPFIX configurato in DVS (non DFW IPFIX) non è supportato con LACP |
Sicurezza commutatore e individuazione IP
Configurazione di NSX-V |
Compatibile con la migrazione |
Dettagli |
---|---|---|
Individuazione IP (ARP, ND, DHCPv4 e DHCPv6) |
Sì |
Per la migrazione si applicano i seguenti limiti di binding su NSX:
|
SpoofGuard (Manuale, TOFU, Disabilitato) |
Sì |
|
Sicurezza del commutatore (filtro BPDU, blocco client DHCP, blocco server DHCP, controllo RA) |
Sì |
|
Migrazione dei binding datapath dal modulo Sicurezza commutatore di NSX-V al modulo Sicurezza commutatore di NSX |
Sì |
Se SpoofGuard è abilitato, i binding vengono migrati dal modulo Sicurezza commutatore per supportare la soppressione ARP. VSIP - Il modulo Sicurezza commutatore non è supportato perché i binding VSIP vengono migrati come regole configurate staticamente. |
Profili di individuazione |
Sì |
I profili di rilevamento IP vengono creati dopo la migrazione utilizzando la configurazione di individuazione IP per il commutatore logico e la configurazione ARP e DHCP globale e cluster. |
Piano di controllo centrale
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Replica VTEP per commutatore logico (VNI) e dominio di routing |
Sì |
|
Replica MAC/IP |
No |
|
Zone di trasporto NSX-V che utilizzano la modalità di replica multicast o ibrida |
No |
|
Zone di trasporto NSX-V che utilizzano la modalità di replica unicast |
Sì |
NSX Edge Funzionalità
Per informazioni dettagliate sulle topologie supportate, vedere Topologie supportate.
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Routing tra il gateway dei servizi Edge e il router con direzione nord |
Sì |
BGP è supportato. Le route statiche sono supportate. OSPF è supportato. |
Routing tra il gateway dei servizi Edge e il router logico distribuito |
Sì |
Le route vengono convertite in route statiche dopo la migrazione. |
Bilanciamento del carico |
Sì |
|
Ambiente di micro-segmentazione con supporto VLAN |
Sì |
Per i dettagli, vedere Topologie supportate. |
NAT64 |
No |
Non supportata in NSX. |
Impostazioni a livello di nodo nel gateway dei servizi Edge o nel router logico distribuito |
No |
Le impostazioni a livello di nodo, ad esempio syslog o server NTP, non sono supportate. È possibile configurare manualmente syslog e NTP nei nodi Edge NSX. |
IPv6 |
No |
|
Configurazione URPF (Unicast Reverse Path Filter) per le interfacce gateway dei servizi Edge |
No |
L'URPF sulle interfacce del gateway NSX è impostato su Strict. |
Interfacce gateway dei servizi Edge della configurazione MTU (Maximum Transmission Unit) |
No |
Vedere Modifica delle impostazioni MTU globaliper informazioni sulla modifica della MTU predefinita in NSX. |
Routing multicast IP |
No |
|
Filtri prefissi di ridistribuzione route |
No |
|
Invio predefinito |
No |
Non supportata in NSX. |
Firewall Edge
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Sezione Firewall: nome visualizzato |
Sì |
Le sezioni del firewall possono includere al massimo 1000 regole. Se una sezione contiene più di 1000 regole, viene migrata come più sezioni. |
Azione per la regola predefinita |
Sì |
API NSX-V: GatewayPolicy/action API NSX: SecurityPolicy.action |
Configurazione globale firewall |
No |
Timeout predefiniti utilizzati |
Regola firewall |
Sì |
API NSX-V: firewallRule API NSX: SecurityPolicy |
Regola firewall: name |
Sì |
|
Regola firewall: rule tag |
Sì |
API NSX-V: ruleTag API NSX: Rule_tag |
Origini e destinazioni nelle regole del firewall:
|
Sì |
API NSX-V:
API NSX:
API NSX-V:
API NSX:
|
Origini e destinazioni delle regole firewall:
|
No |
|
Servizi (applicazioni) nelle regole firewall:
|
Sì |
API NSX-V:
API NSX:
|
Regola firewall: Match translated |
No |
La corrispondenza con convertito deve essere 'false'. |
Regola firewall: Direction |
Sì |
Entrambe le API: direction |
Regola firewall: Action |
Sì |
Entrambe le API: action |
Regola firewall: Enabled |
Sì |
Entrambe le API: enabled |
Regola firewall: Logging |
Sì |
API NSX-V: logging API NSX: logged |
Regola firewall: Description |
Sì |
Entrambe le API: description |
Edge NAT
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Regola NAT |
Sì |
API NSX-V: natRule API NSX: /nat/USER/nat-rules |
Regola NAT: tag regola |
Sì |
API NSX-V: ruleTag API NSX: rule_tag |
Regola NAT: azione |
Sì |
API NSX-V: action API NSX: action |
Regola NAT: indirizzo originale (indirizzo di origine per le regole SNAT e indirizzo di destinazione per le regole DNAT). |
Sì |
API NSX-V: originalAddress API NSX: source_network per la regola SNAT o destination_network per la regola DNAT |
Regola NAT: translatedAddress |
Sì |
API NSX-V: translatedAddress API NSX: translated_network |
Regola NAT: applicazione di una regola NAT a un'interfaccia specifica |
No |
Si applica a deve essere "any". |
Regola NAT: registrazione |
Sì |
API NSX-V: loggingEnabled API NSX: logging |
Regola NAT: abilitata |
Sì |
API NSX-V: enabled API NSX: disabled |
Regola NAT: descrizione |
Sì |
API NSX-V: description API NSX: description |
Regola NAT: protocollo |
Sì |
API NSX-V: protocol API NSX: Service |
Regola NAT: porta originale (porta di origine per le regole SNAT, porta di destinazione per le regole DNAT) |
Sì |
API NSX-V: originalPort API NSX: Service |
Regola NAT: porta convertita |
Sì |
API NSX-V: translatedPort API NSX: Translated_ports |
Regola NAT: indirizzo di origine nella regola DNAT |
Sì |
API NSX-V: dnatMatchSourceAddress API NSX: source_network |
Regola NAT: Indirizzo di destinazione nella regola SNAT |
Sì |
API NSX-V: snatMatchDestinationAddress API NSX: destination_network |
Regola NAT: Porta di origine nella regola DNAT |
Sì |
API NSX-V: dnatMatchSourcePort API NSX: Service |
Regola NAT: Porta di destinazione nella regola SNAT |
Sì |
API NSX-V: snatMatchDestinationPort API NSX: Service |
Regola NAT: ID regola |
Sì |
API NSX-V: ruleID API NSX: id e display_name |
VPN L2
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Configurazione VPN L2 basata su IPSec mediante chiave PSK (Pre-Shared Key) |
Sì |
Supportata se la rete da estendere su VPN L2 è un commutatore logico di overlay. Non supportata per le reti VLAN. |
Configurazione VPN L2 basata su IPSec che utilizza l'autenticazione basata su certificato |
No |
|
Configurazione VPN L2 basata su SSL |
No |
|
Configurazioni VPN L2 con ottimizzazioni dei punti di uscita locali |
No |
|
Modalità client VPN L2 |
No |
L3VPN
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Dead Peer Detection |
Sì |
Dead Peer Detection supporta opzioni diverse su NSX-V e NSX. È consigliabile utilizzare BGP per una convergenza più rapida o configurare un peer per eseguire il metodo DPD, se supportato. |
Valori predefiniti DPD (Dead Peer Detection) modificati per:
|
No |
In NSX, dpdaction è impostato su "restart" e non può essere modificato. Se in NSX-V il parametro dpdtimeout è impostato su 0, il metodo dpd è disabilitato in NSX. In caso contrario, tutte le impostazioni di dpdtimeout verranno ignorate e verrà utilizzato il valore predefinito. |
Valori predefiniti DPD (Dead Peer Detection) modificati per:
|
Sì |
NSX-V dpdelay viene mappato a NSX dpdinternal. |
Sovrapposizione di subnet locali e peer di due o più sessioni. |
No |
NSX-V supporta le sessioni VPN IPSec basate su criteri in cui le subnet locali e peer di due o più sessioni si sovrappongono tra loro. Questo comportamento non è supportato in NSX. È necessario riconfigurare le subnet in modo che non si sovrappongano prima di avviare la migrazione. Se questo problema di configurazione non viene risolto, il passaggio Migra configurazione non riesce. |
Sessioni IPSec con endpoint peer impostato su "any". |
No |
La configurazione non viene migrata. |
Modifiche all'estensione securelocaltrafficbyip. |
No |
Il router di servizio NSX non presenta alcun traffico generato localmente che deve essere inviato tramite tunnel. |
Modifiche a queste estensioni: auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configured, forceencaps, overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric, disablearrivalcheck, failureshunt, leftnexthop, keyingtries |
No |
Tali estensioni non sono supportate in NSX e le relative modifiche non vengono migrate. |
Bilanciamento del carico
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Monitoraggio/controlli dell'integrità per:
|
Vedere i dettagli. |
I monitor non vengono migrati. |
Regole di applicazione |
No |
NSX-V utilizza regole di applicazione basate su HAProxy per supportare L7. In NSX, le regole sono basate su NGINX. Le regole di applicazione non possono essere migrate. È necessario creare nuove regole dopo la migrazione. |
Intervallo di porte del server virtuale L7 |
No |
|
IPv6 |
No |
Se si utilizza IPv6 in un server virtuale, l'intero server virtuale verrà ignorato. Se IPv6 viene utilizzato nel pool, il pool verrà comunque migrato, ma il membro del pool correlato verrà rimosso. |
Algoritmi URL, URI, HTTPHEADER |
Vedere i dettagli. |
I pool con questi algoritmi non vengono migrati. |
Pool isolato |
No |
|
Membro del pool LB con porta di monitoraggio diversa |
Vedere i dettagli. |
Il membro del pool con una porta di monitoraggio diversa non viene migrato. |
minConn membro del pool |
No |
|
Estensione monitor |
No |
|
Persistenza/tabella sessionID SSL |
No |
|
Persistenza/tabella sessione MSRDP |
No |
|
Sessione/tabella sessione app cookie |
No |
|
Persistenza app |
No |
|
Monitoraggio per:
|
No |
|
Monitoraggio per:
|
Sì |
|
Ottimizzazione haproxy/IPVS |
No |
|
Filtro IP pool
|
Sì |
Sono supportati indirizzi IP IPv4. Se viene utilizzato Any, gli indirizzi IPv4 del pool di IP vengono migrati. |
Filtro IP pool
|
No |
|
Pool contenente un oggetto di raggruppamento non supportato:
|
No |
Se un pool include un oggetto di raggruppamento non supportato, tali oggetti vengono ignorati e il pool viene creato con membri di oggetti di raggruppamento supportati. Se non sono presenti membri di oggetti di raggruppamento supportati, viene creato un pool vuoto. |
DHCP e DNS
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Inoltro DHCP configurato nel router logico distribuito che punta a un server DHCP configurato in un gateway dei servizi Edge connesso direttamente |
Sì |
L'IP del server di trasmissione DHCP deve essere uno degli IP dell'interfaccia interna del gateway dei servizi Edge. Il server DHCP deve essere configurato in un gateway dei servizi Edge direttamente connesso al router logico distribuito configurato con l'inoltro DHCP. L'inoltro DHCP configurato su più router logici distribuiti che puntano allo stesso server DHCP configurato in un gateway dei servizi Edge non è supportato. Non è supportato l'utilizzo di DNAT per convertire un IP di inoltro DHCP che non corrisponde a un'interfaccia interna del gateway dei servizi Edge. |
Inoltro DHCP configurato solo nel router logico distribuito, nessuna configurazione del server DHCP nel gateway dei servizi Edge connesso |
No |
|
Server DHCP configurato solo nel gateway dei servizi Edge, nessuna configurazione di inoltro DHCP nel router logico distribuito connesso |
No |
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Pool di IP |
Sì |
|
Binding statici |
Sì |
|
Lease DHCP |
Sì |
|
Opzioni DHCP generali |
Sì |
|
Servizio DHCP disabilitato |
No |
In NSX non è possibile disabilitare il servizio DHCP. Se in NSX-V è presente un servizio DHCP disabilitato, non viene migrato. |
Opzione DHCP: "altro" |
No |
Il campo "altro" nelle opzioni DHCP non è supportato per la migrazione. Ad esempio, l'opzione dhcp "80" non viene migrata. <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
Pool di IP/binding orfani |
No |
Se i pool di ip o i binding statici sono configurati in un server DHCP ma non vengono utilizzati da alcun commutatore logico connesso, questi oggetti vengono ignorati durante la migrazione. |
DHCP configurato nel gateway dei servizi Edge con commutatori logici connessi direttamente |
No |
Durante la migrazione, le interfacce del Gateway dei servizi Edge connesse direttamente vengono migrate come porte di servizio centralizzate. Tuttavia, NSX non supporta il servizio DHCP su una porta di servizio centralizzata, quindi la configurazione del servizio DHCP non viene migrata per queste interfacce. |
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Visualizzazioni DNS |
Sì |
Solo la prima istanza di dnsView viene migrata nella zona di inoltro DNS predefinita NSX. |
Configurazione DNS |
Sì |
È necessario specificare gli IP del listener DNS disponibili per tutti i nodi Edge. Durante la richiesta di risoluzione della configurazione viene visualizzato un messaggio. |
DNS – L3 VPN |
Sì |
È necessario aggiungere gli IP del listener DNS NSX appena configurati nell'elenco dei prefissi VPN L3 remoti. Durante la richiesta di risoluzione della configurazione viene visualizzato un messaggio. |
DNS configurato nel Gateway dei servizi Edge con commutatori logici connessi direttamente |
No |
Durante la migrazione, le interfacce del Gateway dei servizi Edge connesse direttamente vengono migrate come porte di servizio centralizzate. Tuttavia, NSX non supporta il servizio DNS su una porta di servizio centralizzata, quindi la configurazione del servizio DNS non viene migrata per queste interfacce. |
Firewall distribuito (DFW)
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Firewall identità |
Sì |
|
Sezione -
|
Sì |
Se una sezione firewall contiene più di 1000 regole, lo strumento di migrazione delle regole verrà eseguito in più sezioni di 1000 regole ciascuna. |
Sezioni universali |
Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari. |
|
Regola - Origine/Destinazione:
|
Sì |
|
Regola - Origine/Destinazione:
|
Sì |
Mappata a Gruppo di sicurezza |
Regola - Origine/Destinazione:
|
No |
|
Regola - Origine/Destinazione:
|
Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari. |
|
Regola - Origine/Destinazione:
|
No | NSX non supporta il riferimento a oggetti non connessi a gruppi di porte o reti NSX. Tali oggetti andranno persi dall'origine o dalla destinazione al termine della migrazione. Per evitare questo problema, utilizzare gli indirizzi IP in NSX-V per fare riferimento a tali oggetti prima della migrazione. |
Regola - Applicata a:
|
Sì |
Mappa a firewall distribuito |
Regola - Applicata a:
|
Sì |
Mappata a Gruppo di sicurezza |
Regola - Applicata a:
|
No |
|
Regola - Applicata a:
|
No Sì se nella distribuzione NSX-V è presente un NSX Manager in modalità primaria e non sono presenti NSX Manager secondari. |
|
Regole disabilitate nel firewall distribuito |
Sì |
|
Disabilitazione del firewall distribuito a livello di cluster |
No |
Quando il firewall distribuito è abilitato su NSX, è abilitato in tutti i cluster. Non è possibile abilitarlo in alcuni cluster e disabilitarlo in altri. |
Elenco di esclusione DFW | No | Gli elenchi di esclusione DFW non vengono migrati. È necessario crearli di nuovo in NSX dopo la migrazione. |
Servizi partner: Network Introspection est-ovest
Configurazione di NSX-V | Supportato | Dettagli |
---|---|---|
Servizio |
No |
La registrazione del servizio non viene migrata. Il partner deve registrare il servizio in NSX prima della migrazione. |
Modello fornitore |
No |
Il modello del fornitore non viene migrato. Prima della migrazione, il partner deve registrare il modello del fornitore in NSX. |
Profilo di servizio |
No |
I profili di servizio non vengono migrati. Prima della migrazione, è necessario che l'utente o il partner crei i profili del servizio. Nel passaggio Risolvi configurazione della migrazione, viene richiesto di mappare ogni profilo di servizio NSX-V a un profilo di servizio NSX. Se si ignora la mappatura dei profili di servizio, le regole che utilizzano questi profili di servizio non vengono migrate. Per ogni profilo di servizio in NSX verrà creata una catena di servizi in NSX-V. La catena di servizi viene creata con la seguente convenzione di denominazione: Service-Chain-service_profile_name Lo stesso profilo di servizio viene utilizzato nel percorso di inoltro e nel percorso inverso della catena di servizi. |
Istanza di servizio |
No |
Le macchine virtuali del servizio partner (SVMs) non vengono migrate. Le SVM partner NSX-V non possono essere utilizzate in NSX. Per il servizio Network Introspection est-ovest in NSX, le macchine virtuali del servizio partner devono essere distribuite in un segmento di overlay. |
Sezione
|
Sì |
Una sezione viene mappata a un criterio di reindirizzamento. L'ID è definito dall'utente e non viene generato automaticamente in NSX. La sezione firewall in NSX-V include più di 1000 regole. Le regole verranno migrate in più sezioni di 1000 regole ciascuna. Ad esempio, se una sezione contiene 2500 regole, vengono creati tre criteri: criterio 1 con 1000 regole, criterio 2 con 1000 regole e criterio 3 con 500 regole. Le regole del firewall stateful o stateless in NSX-V vengono migrate come regole di reindirizzamento stateful o stateless in NSX. |
Servizi partner: Regole |
||
Nome |
Sì |
|
ID regola |
Sì |
L'ID regola viene generato dal sistema. In NSX-V, può essere diverso dall'ID regola. |
Nega origine |
Sì |
|
Nega destinazione |
Sì |
|
Origine/destinazione
|
Sì |
|
Servizi/Gruppi di servizi |
Sì |
Per informazioni dettagliate, vedere la tabella Servizi e gruppi di servizi. |
Impostazioni avanzate
|
Sì |
|
Profilo di servizio e azione
|
Sì |
Un binding del profilo del servizio può includere come membri gruppi di porte virtuali distribuiti (DVPG), commutatori logici e gruppi di sicurezza. Il binding di un profilo di servizio in NSX-V viene mappato al campo Si applica a di una regola di reindirizzamento in NSX. Il campo Si applica a accetta solo gruppi e determina l'ambito della regola. In NSX, il reindirizzamento delle regole è al livello di un criterio. Tutte le regole in un criterio di reindirizzamento hanno lo stesso ambito (Si applica a). Il campo Si applica a in una regola di reindirizzamento NSX può includere al massimo 128 membri. Se il numero di membri in un binding del profilo di servizio è superiore a 128, ridurli a <= 128 prima di avviare la migrazione.
Si supponga, ad esempio, che il binding di un profilo di servizio includa 140 membri (gruppi di sicurezza). Prima di avviare la migrazione, eseguire i passaggi seguenti in
NSX-V:
Ora, il numero totale di membri nel binding del profilo di servizio è 128 (127 + 1). |
Abilita/Disabilita regola |
Sì |
- Segmento di servizio
- Un segmento di servizio verrà creato nella zona di trasporto overlay selezionata nel passaggio Risolvi configurazione della migrazione. Nell'ambiente di NSX-V, se la zona di trasporto VXLAN non è preparata con NSX-V, è possibile selezionare la zona di trasporto overlay predefinita in NSX per creare il segmento di servizio. Se una o più zone di trasporto VXLAN sono preparate con NSX-V, è necessario selezionare una zona di trasporto overlay per creare il segmento di servizio in NSX.
- Priorità dei profili di servizio
- In NSX-V, un profilo di servizio ha una priorità. Se un servizio ha più profili di servizio e più profili sono associati alla stessa vNIC, il profilo del servizio con priorità più alta viene applicato per primo alla vNIC. Tuttavia, in NSX, il profilo di servizio non ha una priorità. Quando più regole di reindirizzamento hanno la stessa impostazione Si applica a, l'ordine delle regole determina quale regola viene eseguita per prima. In altre parole, le regole con una priorità di profilo più alta verranno posizionate prima delle regole con una priorità di profilo più bassa nella tabella delle regole NSX. Per un esempio dettagliato, vedere lo scenario 2 in Ordine delle regole di Network Introspection migrate in NSX.
- Precedenza servizio
-
Per reindirizzare il traffico a più servizi, NSX-V utilizza più slot DVFilter nel percorso dei dati di inserimento del servizio. Un slot DVFilter viene utilizzato per reindirizzare il traffico a un servizio. Un servizio con precedenza alta viene posizionato più in alto nello slot rispetto a un servizio con precedenza bassa. In NSX viene utilizzato solo un singolo slot DVFilter, che reindirizza il traffico a una catena di servizi. Dopo la migrazione a NSX, le regole che utilizzano un servizio partner con precedenza più alta vengono posizionate prima delle regole che utilizzano un servizio partner con una precedenza inferiore. Per un esempio dettagliato, vedere lo scenario 3 in Ordine delle regole di Network Introspection migrate in NSX.
Il reindirizzamento del traffico su una vNIC a più servizi partner non è supportato. Il reindirizzamento a un solo servizio partner è supportato. Sebbene tutte le regole NSX-V vengano migrate in NSX, le configurazioni delle regole migrate utilizzano una catena di servizi con un solo profilo di servizio. Non è possibile modificare una catena di servizi esistente utilizzata nelle regole di reindirizzamento.
Soluzione: per reindirizzare il traffico di una vNIC a più servizi, creare una nuova catena di servizi e definire l'ordine dei profili di servizio in tale catena. Aggiornare le regole migrate in modo che utilizzino questa nuova catena di servizi.
- Servizio Network Introspection sulle macchine virtuali connesse a una rete di macchine virtuali
- Nell'ambiente NSX-V, se le regole del servizio Network Introspection sono in esecuzione su macchine virtuali connesse a una rete di macchine virtuali, queste macchine virtuali non sono più protette dopo la migrazione dell'host. Per assicurarsi che le regole di Network Introspection vengano applicate alle vNIC di queste macchine virtuali dopo la migrazione dell'host, è necessario connettere tali macchine virtuali a un segmento NSX.
Raggruppamento di oggetti e Service Composer
I set di IP e i set di MAC vengono migrati in NSX come gruppi. Vedere nell'interfaccia Web di NSX Manager.
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Set di IP |
Sì |
È possibile migrare i set di IP con un massimo di 2 milioni di membri (indirizzi IP, subnet degli indirizzi IP, intervalli IP). I set di IP che contengono più membri non vengono migrati. |
Set di MAC |
Sì |
È possibile migrare i set di MAC con un massimo di 2 milioni di membri. I set di MAC che contengono più membri non vengono migrati. |
È possibile migrare i gruppi di sicurezza ma con le limitazioni elencate di seguito. I gruppi di sicurezza vengono migrati in NSX come gruppi. Vedere nell'interfaccia Web di NSX Manager.
NSX-V include gruppi di sicurezza definiti dal sistema e dall'utente. Questi elementi vengono migrati in NSX come gruppi definiti dall'utente.
Il numero totale di gruppi di sicurezza dopo la migrazione potrebbe non essere uguale al numero di gruppi di sicurezza presenti in NSX-V. Ad esempio, una regola del firewall distribuito contenente una macchina virtuale come origine viene migrata in una regola contenente un nuovo gruppo con la macchina virtuale come membro. Questo comporta un aumento del numero totale di gruppi in NSX dopo la migrazione.
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Gruppo di sicurezza con membri che non esistono |
No |
Se uno dei membri del gruppo di sicurezza non esiste, il gruppo di sicurezza non viene migrato. |
Gruppo di sicurezza che contiene un gruppo di sicurezza con membri non supportati |
No |
Se il gruppo di sicurezza include membri che non possono essere migrati, il gruppo di sicurezza non viene migrato. Se un gruppo di sicurezza contiene un gruppo di sicurezza con membri non supportati, il gruppo di sicurezza principale non viene migrato. |
Escludere l'appartenenza al gruppo di sicurezza |
No |
I gruppi di sicurezza con membri esclusi direttamente o indirettamente (tramite nidificazione) non vengono migrati |
Appartenenza statica ai gruppi di sicurezza |
Sì |
Un gruppo di sicurezza può contenere fino a 500 membri statici. Tuttavia, i membri statici generati dal sistema vengono aggiunti se il gruppo di sicurezza viene utilizzato nelle regole del firewall distribuito, riducendo il limite effettivo a 499 o 498.
Se durante il passaggio Risolvi configurazione non sono presenti dei membri, il gruppo di sicurezza non viene migrato. |
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):
|
No |
Un gruppo di sicurezza contiene uno dei tipi di membri non supportati. Il gruppo di sicurezza non viene migrato. |
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):
|
Sì |
Gruppi di sicurezza, set di IP e set di MAC vengono migrati in NSX come gruppi. Se un gruppo di sicurezza NSX-V contiene un set di IP, un set di MAC o un gruppo di sicurezza nidificato come membro statico, i gruppi corrispondenti vengono aggiunti al gruppo principale. Se uno di questi membri statici non è stato migrato in NSX, il gruppo di sicurezza principale non viene migrato a NSX. Ad esempio, un set di IP con più di 2 milioni di membri non può migrare a NSX. Non è quindi possibile eseguire la migrazione di un gruppo di sicurezza che contiene un set di IP con più di 2 milioni di membri. |
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):
|
Sì |
Se un gruppo di sicurezza contiene commutatori logici che non vengono migrati ai segmenti NSX, il gruppo di sicurezza non esegue la migrazione a NSX. |
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):
|
Sì |
Se al gruppo di sicurezza viene aggiunto un tag di sicurezza come membro statico o come membro dinamico utilizzando Entità appartiene a, è necessario che il tag di sicurezza esista per consentire la migrazione del gruppo di sicurezza. Se il tag di sicurezza viene aggiunto al gruppo di sicurezza come membro dinamico (non utilizzando Entità appartiene a), l'esistenza del tag di sicurezza non viene controllata prima della migrazione del gruppo di sicurezza. |
Tipi di membri del gruppo di sicurezza (Statico o Entità appartiene a):
|
Sì |
|
Utilizzo dell'operatore "Corrisponde all'espressione regolare" per l'appartenenza dinamica |
No |
Riguarda solo Tag di sicurezza e Nome macchina virtuale. "Corrisponde all'espressione regolare" non è disponibile per altri attributi. |
Utilizzo di altri operatori disponibili per i criteri di appartenenza dinamica per gli attributi:
|
Sì |
Gli operatori disponibili per Nome macchina virtuale, Nome computer e Nome sistema operativo del computer sono Contiene, Termina con, Uguale a, Non uguale a, Inizia con. Gli operatori disponibili per Tag di sicurezza sono Contiene, Termina con, Uguale a, Inizia con. |
Criteri di Entità appartiene a |
Sì |
Le stesse limitazioni per la migrazione dei membri statici si applicano ai criteri di Entità appartiene a. Ad esempio, se un gruppo di sicurezza utilizza Entità appartiene a un cluster nella definizione, il gruppo di sicurezza non viene migrato. I gruppi di sicurezza che contengono criteri Entità appartiene a combinati con AND non vengono migrati. |
Operatori dei criteri di appartenenza dinamica (AND, OR) nel gruppo di sicurezza |
Sì. |
Quando si definisce l'appartenenza dinamica per un gruppo di sicurezza NSX-V, è possibile configurare quanto segue:
NSX-V non limita il numero di criteri dinamici e set dinamici e consente l'utilizzo di qualsiasi combinazione di AND e OR. In NSX, è possibile utilizzare un gruppo con cinque espressioni. I gruppi di sicurezza NSX-V che contengono più di cinque espressioni non vengono migrati. Esempi di gruppi di sicurezza di cui è possibile eseguire la migrazione:
L'utilizzo dei criteri "Entità appartiene a" con gli operatori AND non è supportato. Tutte le altre combinazioni o definizioni di un gruppo di sicurezza contenenti scenari non supportati non vengono migrate. |
In NSX-V, i tag di sicurezza sono oggetti che possono essere applicati alle macchine virtuali. Quando vengono migrati a NSX, i tag di sicurezza sono attributi di una macchina virtuale.
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Tag di sicurezza |
Sì |
In una macchina virtuale sono applicati al massimo 25 tag di sicurezza. La migrazione dei tag di sicurezza è supportata. Se vengono applicati più di 25 tag di sicurezza, non viene migrato alcun tag. Nota: se non vengono migrati tag di sicurezza, la macchina virtuale non viene inclusa in nessuno dei gruppi definiti dall'appartenenza ai tag. I tag di sicurezza che non vengono applicati ad alcuna macchina virtuale non vengono migrati. |
I servizi e i gruppi di servizi vengono migrati in NSX come servizi. Vedere nell'interfaccia Web di NSX Manager.
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Servizi e gruppi di servizi (applicazioni e gruppi di applicazioni) |
Sì |
La maggior parte dei servizi e dei gruppi di servizi predefiniti viene mappata ai servizi NSX. Se un servizio o un gruppo di servizi non è presente in NSX, viene creato un nuovo servizio in NSX. |
Gruppi di servizi APP_ALL e APP_POP2 |
No |
Questi gruppi di servizi definiti dal sistema non vengono migrati. |
Servizi e gruppi di servizi con conflitti di denominazione |
Sì |
Se in NSX viene identificato un conflitto di nomi per un servizio o un gruppo di servizi modificato, viene creato un nuovo servizio in NSX con un nome nel formato <NSXv-Application-Name> migrato da NSX-V |
Gruppi di servizi che combinano servizi di livello 2 con servizi di altri livelli |
No |
|
Gruppi di servizi vuoti |
No |
NSX non supporta i servizi vuoti. |
Servizi di livello 2 |
Sì |
I servizi di livello 2 di NSX-V vengono migrati come voce del servizio EtherTypeServiceEntry di NSX. |
Servizi di livello 3 |
Sì |
In base al protocollo, i servizi di livello 3 di NSX-V vengono migrati nella voce del servizio NSX come segue:
ICMPTypeServiceEntry
|
Servizi di livello 4 |
Sì |
Migrati come voce del servizio NSX ALGTypeServiceEntry. |
Servizi di livello 7 |
Sì |
Migrati come voce del servizio NSX PolicyContextProfile Se per un'applicazione NSX-V di livello 7 sono stati definiti una porta e un protocollo, in NSX viene creato un servizio, con la configurazione appropriata della porta e del protocollo, mappato a PolicyContextProfile. |
Gruppi di servizi di livello 7 |
No |
|
Regole per firewall distribuito, firewall Edge o NAT con porte e protocolli |
Sì |
NSX richiede un servizio per la creazione di queste regole. Se esiste un servizio appropriato, viene utilizzato. Se non esiste alcun servizio appropriato, il servizio viene creato utilizzando la porta e il protocollo specificati nella regola. |
Configurazione di NSX-V |
Supportato |
Dettagli |
---|---|---|
Criteri di sicurezza di Service Composer |
Sì |
Le regole del firewall definite in un criterio di sicurezza vengono migrate in NSX come regole del firewall distribuito. Le regole del firewall disabilitate definite in un criterio di sicurezza Service Composer non vengono migrate. Le regole di Guest Introspection o di Network Introspection definite in un criterio di sicurezza di Service Composer vengono migrate. Se lo stato di Service Composer non è sincronizzato, il passaggio Risolvi configurazione mostra un avviso. È possibile ignorare la migrazione dei criteri di Service Composer saltando le sezioni relative al firewall distribuito. In alternativa, è possibile eseguire il rollback della migrazione, procedere alla sincronizzazione di Service Composer con il firewall distribuito e riavviare la migrazione. |
Criteri di sicurezza di Service Composer non applicati ad alcun gruppo di sicurezza |
No |
Configurazione server di Active Directory
Configurazione |
Supportato |
Dettagli |
---|---|---|
Server Active Directory (AD) |
No |