プラットフォーム サポート
サポートされる ESXi と vCenter Server のバージョンについては、http://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php#interop&175=&1=&2= にある VMware 相互運用性マトリックスを参照してください。
構成 |
サポート |
詳細 |
---|---|---|
vSphere Distributed Switch の vSAN または iSCSI を使用する NSX Data Center for vSphere |
○ |
|
既存の NSX-T 構成 |
× |
NSX Data Center for vSphere 移行のターゲットとなる新しい NSX-T Data Center 環境を展開します。 [構成のインポート] のステップで、ターゲットの NSX-T Data Center 環境のすべての NSX Edge ノード インターフェイスがシャットダウンされます。ターゲット NSX-T Data Center 環境が構成済みで、すでに使用されている場合、構成のインポートを開始するとトラフィックが中断されます。 |
Cross-vCenter NSX |
× |
|
Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX Data Center for vSphere |
× |
移行を続行する前に、VMware の担当者にお問い合わせください。移行すると、スクリプトおよび統合が中断することがあります。 次はその例です。
|
vSphere と ESXi の機能
構成 |
サポート |
詳細 |
---|---|---|
すでにメンテナンス モードになっている ESXi ホスト(仮想マシンなし) |
○ |
|
Network I/O Control (NIOC) バージョン 3 |
○ |
|
Network I/O Control (NIOC) バージョン 2 |
× |
|
Network I/O Control (NIOC) と vNIC の予約 |
× |
|
vSphere 標準スイッチ |
× |
VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX Data Center for vSphere の機能は移行できません。 |
vSphere Distributed Switch |
○ | |
ステートレス ESXi |
× |
|
ホスト プロファイル |
× |
|
ESXi ロックダウン モード |
× |
NSX-T ではサポートされていません。 |
メンテナンス モードのタスクが保留中の ESXi ホスト。 |
× |
|
vCenter Server クラスタ内で切断されている ESXi ホスト |
× |
|
vSphere FT |
× |
|
完全に自動化された vSphere DRS |
○ |
vSphere 7.0 以降でサポートされています。 |
vSphere High Availability |
× |
|
トラフィック フィルタリングの ACL |
× |
|
vSphere 健全性チェック |
× |
|
SRIOV |
× |
|
物理 NIC に固定された vmknic |
× |
|
プライベート VLAN |
× |
|
短期 dvPortGroup |
× |
|
DirectPath I/O |
× |
|
L2 セキュリティ |
× |
|
仮想ワイヤーでのスイッチの学習 |
× |
|
ハードウェア ゲートウェイ(物理スイッチング ハードウェアとトンネル エンドポイントの統合) |
× |
|
SNMP |
× |
|
仮想マシンでの vNIC の切断 |
× |
ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。 |
4789 以外の VXLAN ポート番号 |
× |
|
マルチキャスト フィルタリング モード |
× |
|
複数の VTEP を持つホスト |
× |
ホストに構成できる VTEP インターフェイスは 1 つだけです。つまり、1 台のホストで移行できる TCP/IP スタック vxlan のインターフェイスは 1 つだけです。 |
NSX Manager アプライアンスのシステム構成
構成 |
サポート |
詳細 |
---|---|---|
NTP サーバ/時間設定 |
○ |
|
Syslog サーバの構成 |
○ |
|
構成のバックアップ |
○ |
必要に応じて、NSX-T Data Center の要件に合わせて NSX Data Center for vSphere のパスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。
|
FIPS |
× |
NSX-T では FIPS のオン/オフはサポートされていません。 |
ロケール |
× |
NSX-T は、英語ロケールのみをサポートします。 |
アプライアンスの証明書 |
× |
ロールベースのアクセス コントロール
構成 |
サポート |
詳細 |
---|---|---|
ローカル ユーザー |
× |
|
LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール |
○ |
LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。 |
vCenter Server グループに割り当てられた NSX ロール |
× |
証明書
構成 |
サポート |
詳細 |
---|---|---|
証明書(サーバ、CA 署名済み) |
○ |
トラストストア API を介して追加された証明書にのみ適用されます。 |
運用
詳細 |
サポート |
メモ |
---|---|---|
検出プロトコル CDP |
× |
|
検出プロトコル LLDP |
○ |
リッスン モードはデフォルトでオンになっています。NSX-T では変更できません。アドバタイズ モードのみを変更できます。 |
PortMirroring:
|
○ |
移行では L3 セッション タイプのみがサポートされます。 |
PortMirroring:
|
× |
|
L2 IPFIX |
○ |
IPFIX の Lag はサポートされていません。 |
分散ファイアウォールからの IPFIX 設定 |
× |
|
MAC ラーニング |
○ |
偽装転送を有効にする(受け入れる)必要があります。 |
ハードウェア VTEP |
× |
|
無作為検出モード |
× |
|
リソース割り当て |
× |
リソース割り当てが有効な vNIC はサポートされていません。 |
IPFIX – 内部フロー |
× |
内部フローを使用する IPFIX はサポートされていません。 |
スイッチ
構成 |
サポート |
詳細 |
---|---|---|
L2 ブリッジ |
× |
|
トランク VLAN |
○ |
トランク アップリンク ポート グループは、0 ~ 4094 の VLAN 範囲で構成する必要があります。 |
VLAN 構成 |
○ |
VLAN 構成の Lag のみがサポートされていません。 |
チーミングとフェイルオーバー:
|
○ |
ロード バランシングでサポートされるオプション(チーミング ポリシー):
他のロード バランシング オプションはサポートされていません。 |
チーミングとフェイルオーバー:
|
× |
スイッチのセキュリティと IP 検出
構成 |
サポート |
詳細 |
---|---|---|
IP 検出(ARP、ND、DHCPv4、DHCPv6) |
○ |
移行では、次のバインドの上限が NSX-T に適用されます。
|
SpoofGuard(手動、TOFU、無効) |
○ |
|
スイッチ セキュリティ(BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード) |
○ |
|
NSX Data Center for vSphere のスイッチ セキュリティ モジュールから NSX-T のスイッチ セキュリティ モジュールへのデータパス バインドの移行 |
○ |
SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。 VSIP:VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。 |
検出プロファイル |
○ |
移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。 |
中央制御プレーン
構成 |
サポート |
詳細 |
---|---|---|
論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション |
○ |
|
MAC/IP レプリケーション |
× |
|
マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX Data Center for vSphere トランスポート ゾーン |
× |
|
ユニキャスト レプリケーション モードを使用した NSX Data Center for vSphere トランスポート ゾーン |
○ |
NSX Edge の機能
サポートされるトポロジの詳細については、サポートされているトポロジを参照してください。
構成 |
サポート |
詳細 |
---|---|---|
Edge Service Gateway と North バウンド ルーターまたは仮想トンネル インターフェイス間のルーティング |
○ |
BGP がサポートされます。 スタティック ルートがサポートされます。 OSFP はサポートされていません。 |
Edge Services Gateway と分散論理ルーター間のルーティング |
○ |
移行後に、ルートがスタティック ルートに変換されます。 |
ロード バランサ |
○ |
詳細については、サポートされているトポロジを参照してください。 |
VLAN でバッキングされたマイクロセグメンテーション環境 |
○ |
詳細については、サポートされているトポロジを参照してください。 |
NAT64 |
× |
NSX-T ではサポートされていません。 |
Edge Services Gateway または分散論理ルーターのノード レベルの設定。 |
× |
Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。 |
IPv6 |
× |
|
Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成 |
× |
NSX-T ゲートウェイ インターフェイスの URPF は Strict に設定されています。 |
Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成 |
× |
NSX-T のデフォルト MTU の変更方法については、Edge の移行前の NSX Edge ノード構成の変更を参照してください。 |
IP マルチキャスト ルーティング |
× |
|
ルート再配分プレフィックス フィルタ |
× |
|
デフォルトの発信元 |
× |
NSX-T ではサポートされていません。 |
Edge ファイアウォール
構成 |
サポート |
詳細 |
---|---|---|
ファイアウォール セクション:表示名 |
○ |
ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。 |
デフォルト ルールのアクション |
○ |
NSX Data Center for vSphere API:GatewayPolicy/action NSX-T API:SecurityPolicy.action |
ファイアウォールのグローバル構成 |
× |
デフォルトのタイムアウトが使用されます |
ファイアウォール ルール |
○ |
NSX Data Center for vSphere API:firewallRule NSX-T API:SecurityPolicy |
ファイアウォール ルール:名前 |
○ |
|
ファイアウォール ルール:ルール タグ |
○ |
NSX Data Center for vSphere API:ruleTag NSX-T API:Rule_tag |
ファイアウォール ルールの送信元と宛先:
|
○ |
NSX Data Center for vSphere API:
NSX-T API:
NSX Data Center for vSphere API:
NSX-T API:
|
ファイアウォール ルールの送信元と宛先:
|
× |
|
ファイアウォール ルールのサービス(アプリケーション):
|
○ |
NSX Data Center for vSphere API:
NSX-T API:
|
ファイアウォール ルール:変換後と一致 |
× |
[変換後と一致] は false にする必要があります。 |
ファイアウォール ルール:方向 |
○ |
両方の API:方向 |
ファイアウォール ルール:アクション |
○ |
両方の API:アクション |
ファイアウォール ルール:有効 |
○ |
両方の API:有効 |
ファイアウォール ルール:ログの記録 |
○ |
NSX Data Center for vSphere API:logging NSX-T API:logged |
ファイアウォール ルール:説明 |
○ |
両方の API:説明 |
Edge NAT
構成 |
サポート |
詳細 |
---|---|---|
NAT ルール |
○ |
NSX Data Center for vSphere API:natRule NSX-T API:/nat/USER/nat-rules |
NAT ルール:ルール タグ |
○ |
NSX Data Center for vSphere API:ruleTag NSX-T API:rule_tag |
NAT ルール:アクション |
○ |
NSX Data Center for vSphere API:action NSX-T API:action |
NAT ルール:元のアドレス(SNAT ルールの送信元アドレス、DNAT ルールの宛先アドレス)。 |
○ |
NSX Data Center for vSphere API:originalAddress NSX-T API:ource_network(SNAT ルール)または destination_network(DNAT ルール) |
NAT ルール:translatedAddress |
○ |
NSX Data Center for vSphere API:translatedAddress NSX-T API:translated_network |
NAT ルール:特定のインターフェイスへの NAT ルールの適用 |
× |
適用先は「any」にする必要があります。 |
NAT ルール:ログの記録 |
○ |
NSX Data Center for vSphere API:loggingEnabled NSX-T API:logging |
NAT ルール:有効 |
○ |
NSX Data Center for vSphere API:enabled NSX-T API:disabled |
NAT ルール:説明 |
○ |
NSX Data Center for vSphere API:description NSX-T API:description |
NAT ルール:プロトコル |
○ |
NSX Data Center for vSphere API:protocol NSX-T API:Service |
NAT ルール:元のポート(SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート) |
○ |
NSX Data Center for vSphere API:originalPort NSX-T API:Service |
NAT ルール:変換後のポート |
○ |
NSX Data Center for vSphere API:translatedPort NSX-T API:Translated_ports |
NAT ルール:DNAT ルールの送信元アドレス |
○ |
NSX Data Center for vSphere API:dnatMatchSourceAddress NSX-T API:source_network |
NAT ルール: SNAT ルールの宛先アドレス |
○ |
NSX Data Center for vSphere API:snatMatchDestinationAddress NSX-T API:destination_network |
NAT ルール: DNAT ルールの送信元ポート |
○ |
NSX Data Center for vSphere API:dnatMatchSourcePort NSX-T API:Service |
NAT ルール: SNAT ルールの宛先ポート |
○ |
NSX Data Center for vSphere API:snatMatchDestinationPort NSX-T API:Service |
NAT ルール:ルール ID |
○ |
NSX Data Center for vSphere API:ruleID NSX-T API:id と display_name |
L2 VPN
構成 |
サポート |
詳細 |
---|---|---|
事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成 |
○ |
L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。 |
証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成 |
× |
|
SSL に基づく L2 VPN 構成 |
× |
|
Local Egress を最適化した L2 VPN 構成 |
× |
|
L2 VPN クライアント モード |
× |
L3 VPN
構成 |
サポート |
詳細 |
---|---|---|
Dead Peer Detection |
○ |
Dead Peer Detection では、NSX Data Center for vSphere と NSX-T のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。 |
変更後の Dead Peer Detection (DPD) のデフォルト値:
|
× |
NSX-T では、dpdaction は restart に設定されます。この設定は変更できません。 dpdtimeout の NSX Data Center for vSphere 設定が 0 に設定されている場合、NSX-T で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。 |
変更後の Dead Peer Detection (DPD) のデフォルト値:
|
○ |
NSX Data Center for vSphere dpdelay が NSX-T dpdinternal にマッピングされます。 |
2 つ以上のセッションのローカル サブネットとピア サブネットの重複。 |
× |
NSX Data Center for vSphere は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX-T ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。 |
ピア エンドポイントが any に設定されている IPsec セッション。 |
× |
構成は移行されません。 |
拡張機能 securelocaltrafficbyip に対する変更。 |
× |
NSX-T サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。 |
次の拡張機能に対する変更: auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries |
× |
これらの拡張機能は NSX-T ではサポートされていないため、変更は移行されません。 |
ロード バランサ
構成 |
サポート |
詳細 |
---|---|---|
モニタリング/健全性チェックの対象:
|
× |
サポート対象外のモニターが構成されている場合、モニターは無視され、関連付けられたプールにモニターは構成されません。移行の完了後に、新しいモニターに接続できます。 |
アプリケーション ルール |
× |
L7 をサポートするため、NSX Data Center for vSphere は、HAProxy に基づいてアプリケーション ルールを使用します。NSX-T では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。 |
L7 仮想サーバのポート範囲 |
× |
|
IPv6 |
× |
仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。 プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。 |
URL、URI、HTTPHEADER アルゴリズム |
× |
プールで使用されている場合、プールは移行されません。 |
隔離されたプール |
× |
プールは移行されません。 |
異なるモニター ポートを持つ LB プール メンバー |
× |
モニター ポートが異なるプール メンバーは移行されません。 |
プール メンバーの minConn |
× |
構成は移行されません。 |
モニタリングの拡張機能 |
× |
構成は移行されません。 |
SSL セッション ID のパーシステンス/テーブル |
× |
構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。 |
MSRDP パーシステンス/セッション テーブル |
× |
構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。 |
Cookie アプリケーション セッション/セッション テーブル |
× |
構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。 |
アプリケーションのパーシステンス |
× |
構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。 |
モニタリング対象:
|
× |
|
モニタリング対象:
|
○ |
|
Haproxy/IPVS の調整 |
× |
|
プール IP フィルタ
|
○ |
IPv4 IP アドレスがサポートされます。 Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。 |
プール IP フィルタ
|
× |
|
サポートされていないグループ オブジェクトを含むプール:
|
× |
サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。 |
DHCP および DNS
構成 |
サポート |
詳細 |
---|---|---|
分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している |
○ |
DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。 DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。 DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。 |
DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない |
× |
|
DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない |
× |
構成 |
サポート |
詳細 |
---|---|---|
IP アドレス プール |
○ |
|
静的割り当て |
○ |
|
DHCP リース |
○ |
|
全般的な DHCP オプション |
○ |
|
無効になっている DHCP サービス |
× |
NSX-T では、DHCP サービスを無効にすることはできません。NSX Data Center for vSphere で無効になっている DHCP サービスは移行されません。 |
DHCP オプション:その他 |
× |
DHCP オプションの [その他] フィールドは移行されません。 たとえば、DHCP オプション 80 は移行されません。 <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
実体のない IP プール/バインド |
× |
DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。 |
論理スイッチが直接接続している Edge Service Gateway の DHCP 構成 |
× |
移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。 |
構成 |
サポート |
詳細 |
---|---|---|
DNS ビュー |
○ |
最初の dnsView のみが NSX-T のデフォルトの DNS フォワーダ ゾーンに移行されます。 |
DNS 構成 |
○ |
すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。 |
DNS – L3 VPN |
○ |
新しく構成した NSX-T DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。 |
論理スイッチが直接接続している Edge Service Gateway の DNS 構成 |
× |
移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。 |
分散ファイアウォール
構成 |
サポート |
詳細 |
---|---|---|
ID ベースのファイアウォール |
× |
|
セクション -
|
○ |
ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。 |
ユニバーサル セクション |
× |
|
ルール – 送信元/宛先:
|
○ |
|
ルール – 送信元/宛先:
|
○ |
セキュリティ グループにマッピング |
ルール – 送信元/宛先:
|
× |
|
ルール - 適用先:
|
○ |
分散ファイアウォールにマッピング |
ルール - 適用先:
|
○ |
セキュリティ グループにマッピング |
ルール - 適用先:
|
× |
|
分散ファイアウォールで無効になっているルール |
○ |
|
クラスタ レベルでの分散ファイアウォールの無効化 |
× |
NSX-T で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。 |
オブジェクトと Service Composer のグループ化
IP セットと MAC セットは、グループとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、 の順に移動して確認してください。
構成 |
サポート |
詳細 |
---|---|---|
IP セット |
○ |
メンバー数が 200 万までの IP セット(IP アドレス、IP アドレス サブネット、IP 範囲)を移行できます。これより多いメンバー数の IP セットは移行されません。 |
MAC セット |
○ |
メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。 |
セキュリティ グループは、上記の制限付きで移行されます。セキュリティ グループは、グループとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX Data Center for vSphere には、システム定義とユーザー定義のセキュリティ グループがあります。これらはすべて、ユーザー定義のグループとして NSX-T に移行されます。
移行後のグループの合計数が、NSX for vSphere のセキュリティ グループの数と一致しないことがあります。たとえば、仮想マシンがソースとして設定されている分散ファイアウォール ルールの場合、仮想マシンをメンバーとして持つ新しいグループのルールに移行されます。これにより、移行後の NSX-T のグループの合計数が増加します。
構成 |
サポート |
詳細 |
---|---|---|
メンバーが存在しないセキュリティ グループ |
× |
セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。 |
サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ |
× |
セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。 セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。 |
セキュリティ グループ内のメンバーシップの除外 |
× |
除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。 |
セキュリティ グループの静的メンバーシップ |
○ |
セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。
構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
× |
セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ グループ、IP セット、MAC セットは、グループとして NSX-T に移行されます。NSX for vSphere セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。 これらの静的メンバーのいずれかが NSX-T に移行されなかった場合、親のセキュリティ グループは NSX-T に移行されません。 たとえば、メンバーが 200 万を超える IP セットを NSX-T に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ グループに、NSX-T セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX-T に移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。 エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
|
動的メンバーシップに「正規表現に一致」演算子を使用 |
× |
これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。 |
属性の動的メンバーシップ基準に使用可能な他の演算子を使用:
|
○ |
仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。 セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。 |
「エンティティの所属先」基準 |
○ |
静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。 「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。 |
セキュリティ グループ内の動的なメンバーシップ基準に対する演算子(AND、OR) |
はい |
NSX Data Center for vSphere セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。
NSX Data Center for vSphere では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。 NSX-T Data Center では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX Data Center for vSphere セキュリティ グループは移行されません。 移行可能なセキュリティ グループの例:
AND 演算子と「エンティティの所属先」条件を使用することはできません。 サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。 |
NSX Data Center for vSphere では、セキュリティ タグは仮想マシンに適用できるオブジェクトになります。NSX-T に移行すると、セキュリティ タグは仮想マシンの属性になります。
構成 |
サポート |
詳細 |
---|---|---|
セキュリティ タグ |
○ |
仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。 注:セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。 |
サービスとサービス グループは、サービスとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、 の順に移動して確認してください。
構成 |
サポート |
詳細 |
---|---|---|
サービスとサービス グループ(アプリケーションとアプリケーション グループ) |
○ |
デフォルトのサービスとサービス グループの大半は、NSX-T サービスにマッピングされます。NSX-T にサービスまたはサービス グループが存在しない場合、NSX-T で新しいサービスが作成されます。 |
APP_ALL と APP_POP2 サービス グループ |
× |
これらのシステム定義のサービス グループは移行されません。 |
名前が競合するサービスとサービス グループ |
○ |
NSX-T で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX-T で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。 |
レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ |
× |
|
空のサービス グループ |
× |
NSX-T は、空のサービスをサポートしていません。 |
レイヤー 2 サービス |
○ |
NSX Data Center for vSphere レイヤー 2 サービスは NSX-T サービス エントリ EtherTypeServiceEntry として移行されます。 |
レイヤー 3 サービス |
○ |
プロトコルに応じて、NSX Data Center for vSphere レイヤー 3 サービスは、次のように NSX-T サービス エントリに移行されます。
ICMPTypeServiceEntry
|
レイヤー 4 サービス |
○ |
NSX-T サービス エントリ ALGTypeServiceEntry として移行されます。 |
レイヤー 7 サービス |
○ |
NSX-T サービス エントリ PolicyContextProfile として移行されます。 NSX Data Center for vSphere レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX-T にサービスが作成され、PolicyContextProfile にマッピングされます。 |
レイヤー 7 サービス グループ |
× |
|
ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール |
○ |
NSX-T では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。 |
構成 |
サポート |
詳細 |
---|---|---|
Service Composer セキュリティ ポリシー |
○ |
セキュリティ ポリシーで定義されたファイアウォール ルールは、分散ファイアウォール ルールとして NSX-T に移行されます。 Service Composer セキュリティ ポリシーで定義されている無効なファイアウォール ルールは移行されません。 Service Composer セキュリティ ポリシーで定義されているゲスト イントロスペクション ルールまたはネットワーク イントロスペクション ルールは移行されません。 Service Composer の状態が同期されていない場合、[構成の解決] の手順で警告が表示されます。 Service Composer ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をキャンセルし、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。 |
セキュリティ グループに適用されない Service Composer セキュリティ ポリシー |
× |
Active Directory サーバの構成
構成 |
サポート |
詳細 |
---|---|---|
Active Directory (AD) サーバ |
× |