プラットフォーム サポート

サポートされる ESXivCenter Server のバージョンについては、http://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php#interop&175=&1=&2= にある VMware 相互運用性マトリックスを参照してください。

構成

サポート

詳細

vSphere Distributed Switch の vSAN または iSCSI を使用する NSX Data Center for vSphere

既存の NSX-T 構成

×

NSX Data Center for vSphere 移行のターゲットとなる新しい NSX-T Data Center 環境を展開します。

[構成のインポート] のステップで、ターゲットの NSX-T Data Center 環境のすべての NSX Edge ノード インターフェイスがシャットダウンされます。ターゲット NSX-T Data Center 環境が構成済みで、すでに使用されている場合、構成のインポートを開始するとトラフィックが中断されます。

Cross-vCenter NSX

×

Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX Data Center for vSphere

×

移行を続行する前に、VMware の担当者にお問い合わせください。移行すると、スクリプトおよび統合が中断することがあります。

次はその例です。

  • NSX Data Center for vSphere と vRealize Automation

  • NSX for vSphere と VMware Integrated Openstack

  • NSX for vSphere と vCloud Director

  • 統合スタック ソリューションを使用した NSX for vSphere

  • NSX for vSphere と、Pivotal Cloud Foundry、RedHat OpenShift などの PaaS ソリューション

  • vRealize Operations ワークフローを使用した NSX for vSphere

vSphere と ESXi の機能

構成

サポート

詳細

すでにメンテナンス モードになっている ESXi ホスト(仮想マシンなし)

Network I/O Control (NIOC) バージョン 3

Network I/O Control (NIOC) バージョン 2

×

Network I/O Control (NIOC) と vNIC の予約

×

vSphere 標準スイッチ

×

VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX Data Center for vSphere の機能は移行できません。

vSphere Distributed Switch

ステートレス ESXi

×

ホスト プロファイル

×

ESXi ロックダウン モード

×

NSX-T ではサポートされていません。

メンテナンス モードのタスクが保留中の ESXi ホスト。

×

vCenter Server クラスタ内で切断されている ESXi ホスト

×

vSphere FT

×

完全に自動化された vSphere DRS

vSphere 7.0 以降でサポートされています。

vSphere High Availability

×

トラフィック フィルタリングの ACL

×

vSphere 健全性チェック

×

SRIOV

×

物理 NIC に固定された vmknic

×

プライベート VLAN

×

短期 dvPortGroup

×

DirectPath I/O

×

L2 セキュリティ

×

仮想ワイヤーでのスイッチの学習

×

ハードウェア ゲートウェイ(物理スイッチング ハードウェアとトンネル エンドポイントの統合)

×

SNMP

×

仮想マシンでの vNIC の切断

×

ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。

4789 以外の VXLAN ポート番号

×

マルチキャスト フィルタリング モード

×

複数の VTEP を持つホスト

×

ホストに構成できる VTEP インターフェイスは 1 つだけです。つまり、1 台のホストで移行できる TCP/IP スタック vxlan のインターフェイスは 1 つだけです。

NSX Manager アプライアンスのシステム構成

構成

サポート

詳細

NTP サーバ/時間設定

Syslog サーバの構成

構成のバックアップ

必要に応じて、NSX-T Data Center の要件に合わせて NSX Data Center for vSphere のパスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。

  • 1 文字以上の小文字

  • 1 文字以上の大文字

  • 1 文字以上の数字

  • 1 文字以上の特殊文字

FIPS

×

NSX-T では FIPS のオン/オフはサポートされていません。

ロケール

×

NSX-T は、英語ロケールのみをサポートします。

アプライアンスの証明書

×

ロールベースのアクセス コントロール

構成

サポート

詳細

ローカル ユーザー

×

LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール

LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。

vCenter Server グループに割り当てられた NSX ロール

×

証明書

構成

サポート

詳細

証明書(サーバ、CA 署名済み)

トラストストア API を介して追加された証明書にのみ適用されます。

運用

詳細

サポート

メモ

検出プロトコル CDP

×

検出プロトコル LLDP

リッスン モードはデフォルトでオンになっています。NSX-T では変更できません。アドバタイズ モードのみを変更できます。

PortMirroring:

  • カプセル化されたリモート ミラーリング ソース (L3)

移行では L3 セッション タイプのみがサポートされます。

PortMirroring:

  • 分散 PortMirroring

  • リモート ミラーリング ソース

  • リモート ミラーリング ターゲット

  • 分散ポート ミラーリング(レガシー)

×

L2 IPFIX

IPFIX の Lag はサポートされていません。

分散ファイアウォールからの IPFIX 設定

×

MAC ラーニング

偽装転送を有効にする(受け入れる)必要があります。

ハードウェア VTEP

×

無作為検出モード

×

リソース割り当て

×

リソース割り当てが有効な vNIC はサポートされていません。

IPFIX – 内部フロー

×

内部フローを使用する IPFIX はサポートされていません。

スイッチ

構成

サポート

詳細

L2 ブリッジ

×

トランク VLAN

トランク アップリンク ポート グループは、0 ~ 4094 の VLAN 範囲で構成する必要があります。

VLAN 構成

VLAN 構成の Lag のみがサポートされていません。

チーミングとフェイルオーバー:

  • ロード バランシング

  • アップリンク フェイルオーバー順序:

ロード バランシングでサポートされるオプション(チーミング ポリシー):

  • 明示的なフェイルオーバー順序を使用

  • 発信元 MAC ハッシュに基づいたルート

他のロード バランシング オプションはサポートされていません。

チーミングとフェイルオーバー:

  • ネットワーク障害検出

  • スイッチへの通知

  • リバース ポリシー

  • ロール順序

×

スイッチのセキュリティと IP 検出

構成

サポート

詳細

IP 検出(ARP、ND、DHCPv4、DHCPv6)

移行では、次のバインドの上限が NSX-T に適用されます。

  • ARP で検出された IP の場合 128

  • DHCPv4 で検出された IP の場合 128

  • DHCPv6 で検出された IP の場合 15

  • ND で検出された IP の場合 15

SpoofGuard(手動、TOFU、無効)

スイッチ セキュリティ(BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード)

NSX Data Center for vSphere のスイッチ セキュリティ モジュールから NSX-T のスイッチ セキュリティ モジュールへのデータパス バインドの移行

SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。

VSIP:VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。

検出プロファイル

移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。

中央制御プレーン

構成

サポート

詳細

論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション

MAC/IP レプリケーション

×

マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX Data Center for vSphere トランスポート ゾーン

×

ユニキャスト レプリケーション モードを使用した NSX Data Center for vSphere トランスポート ゾーン

NSX Edge の機能

サポートされるトポロジの詳細については、サポートされているトポロジを参照してください。

構成

サポート

詳細

Edge Service Gateway と North バウンド ルーターまたは仮想トンネル インターフェイス間のルーティング

BGP がサポートされます。

スタティック ルートがサポートされます。

OSFP はサポートされていません。

Edge Services Gateway と分散論理ルーター間のルーティング

移行後に、ルートがスタティック ルートに変換されます。

ロード バランサ

詳細については、サポートされているトポロジを参照してください。

VLAN でバッキングされたマイクロセグメンテーション環境

詳細については、サポートされているトポロジを参照してください。

NAT64

×

NSX-T ではサポートされていません。

Edge Services Gateway または分散論理ルーターのノード レベルの設定。

×

Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。

IPv6

×

Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成

×

NSX-T ゲートウェイ インターフェイスの URPF は Strict に設定されています。

Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成

×

NSX-T のデフォルト MTU の変更方法については、Edge の移行前の NSX Edge ノード構成の変更を参照してください。

IP マルチキャスト ルーティング

×

ルート再配分プレフィックス フィルタ

×

デフォルトの発信元

×

NSX-T ではサポートされていません。

Edge ファイアウォール

構成

サポート

詳細

ファイアウォール セクション:表示名

ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。

デフォルト ルールのアクション

NSX Data Center for vSphere API:GatewayPolicy/action

NSX-T API:SecurityPolicy.action

ファイアウォールのグローバル構成

×

デフォルトのタイムアウトが使用されます

ファイアウォール ルール

NSX Data Center for vSphere API:firewallRule

NSX-T API:SecurityPolicy

ファイアウォール ルール:名前

ファイアウォール ルール:ルール タグ

NSX Data Center for vSphere API:ruleTag

NSX-T API:Rule_tag

ファイアウォール ルールの送信元と宛先:

  • グループ オブジェクト

  • IP アドレス

NSX Data Center for vSphere API:

  • source/groupingObjectId

  • source/ipAddress

NSX-T API:

  • source_groups

NSX Data Center for vSphere API:

  • destination/groupingObjectId

  • destination/ipAddress

NSX-T API:

  • destination_groups

ファイアウォール ルールの送信元と宛先:

  • vNIC グループ

×

ファイアウォール ルールのサービス(アプリケーション):

  • サービス

  • サービス グループ

  • プロトコル/ポート/送信元ポート

NSX Data Center for vSphere API:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

NSX-T API:

  • サービス

ファイアウォール ルール:変換後と一致

×

[変換後と一致] は false にする必要があります。

ファイアウォール ルール:方向

両方の API:方向

ファイアウォール ルール:アクション

両方の API:アクション

ファイアウォール ルール:有効

両方の API:有効

ファイアウォール ルール:ログの記録

NSX Data Center for vSphere API:logging

NSX-T API:logged

ファイアウォール ルール:説明

両方の API:説明

Edge NAT

構成

サポート

詳細

NAT ルール

NSX Data Center for vSphere API:natRule

NSX-T API:/nat/USER/nat-rules

NAT ルール:ルール タグ

NSX Data Center for vSphere API:ruleTag

NSX-T API:rule_tag

NAT ルール:アクション

NSX Data Center for vSphere API:action

NSX-T API:action

NAT ルール:元のアドレス(SNAT

ルールの送信元アドレス、DNAT ルールの宛先アドレス)。

NSX Data Center for vSphere API:originalAddress

NSX-T API:ource_network(SNAT ルール)または destination_network(DNAT ルール)

NAT ルール:translatedAddress

NSX Data Center for vSphere API:translatedAddress

NSX-T API:translated_network

NAT ルール:特定のインターフェイスへの NAT ルールの適用

×

適用先は「any」にする必要があります。

NAT ルール:ログの記録

NSX Data Center for vSphere API:loggingEnabled

NSX-T API:logging

NAT ルール:有効

NSX Data Center for vSphere API:enabled

NSX-T API:disabled

NAT ルール:説明

NSX Data Center for vSphere API:description

NSX-T API:description

NAT ルール:プロトコル

NSX Data Center for vSphere API:protocol

NSX-T API:Service

NAT ルール:元のポート(SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート)

NSX Data Center for vSphere API:originalPort

NSX-T API:Service

NAT ルール:変換後のポート

NSX Data Center for vSphere API:translatedPort

NSX-T API:Translated_ports

NAT ルール:DNAT ルールの送信元アドレス

NSX Data Center for vSphere API:dnatMatchSourceAddress

NSX-T API:source_network

NAT ルール:

SNAT ルールの宛先アドレス

NSX Data Center for vSphere API:snatMatchDestinationAddress

NSX-T API:destination_network

NAT ルール:

DNAT ルールの送信元ポート

NSX Data Center for vSphere API:dnatMatchSourcePort

NSX-T API:Service

NAT ルール:

SNAT ルールの宛先ポート

NSX Data Center for vSphere API:snatMatchDestinationPort

NSX-T API:Service

NAT ルール:ルール ID

NSX Data Center for vSphere API:ruleID

NSX-T API:id と display_name

L2 VPN

構成

サポート

詳細

事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成

L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。

証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成

×

SSL に基づく L2 VPN 構成

×

Local Egress を最適化した L2 VPN 構成

×

L2 VPN クライアント モード

×

L3 VPN

構成

サポート

詳細

Dead Peer Detection

Dead Peer Detection では、NSX Data Center for vSphereNSX-T のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。

変更後の Dead Peer Detection (DPD) のデフォルト値:

  • dpdtimeout

  • dpdaction

×

NSX-T では、dpdaction は restart に設定されます。この設定は変更できません。

dpdtimeout の NSX Data Center for vSphere 設定が 0 に設定されている場合、NSX-T で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。

変更後の Dead Peer Detection (DPD) のデフォルト値:

  • dpddelay

NSX Data Center for vSphere dpdelay が NSX-T dpdinternal にマッピングされます。

2 つ以上のセッションのローカル サブネットとピア サブネットの重複。

×

NSX Data Center for vSphere は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX-T ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。

ピア エンドポイントが any に設定されている IPsec セッション。

×

構成は移行されません。

拡張機能 securelocaltrafficbyip に対する変更。

×

NSX-T サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。

次の拡張機能に対する変更:

auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries

×

これらの拡張機能は NSX-T ではサポートされていないため、変更は移行されません。

ロード バランサ

構成

サポート

詳細

モニタリング/健全性チェックの対象:

  • LDAP

  • DNS

  • MSSQL

×

サポート対象外のモニターが構成されている場合、モニターは無視され、関連付けられたプールにモニターは構成されません。移行の完了後に、新しいモニターに接続できます。

アプリケーション ルール

×

L7 をサポートするため、NSX Data Center for vSphere は、HAProxy に基づいてアプリケーション ルールを使用します。NSX-T では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。

L7 仮想サーバのポート範囲

×

IPv6

×

仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。

プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。

URL、URI、HTTPHEADER アルゴリズム

×

プールで使用されている場合、プールは移行されません。

隔離されたプール

×

プールは移行されません。

異なるモニター ポートを持つ LB プール メンバー

×

モニター ポートが異なるプール メンバーは移行されません。

プール メンバーの minConn

×

構成は移行されません。

モニタリングの拡張機能

×

構成は移行されません。

SSL セッション ID のパーシステンス/テーブル

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

MSRDP パーシステンス/セッション テーブル

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

Cookie アプリケーション セッション/セッション テーブル

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

アプリケーションのパーシステンス

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

モニタリング対象:

  • 明示的なエスケープ

  • 終了

  • 遅延

×

モニタリング対象:

  • 送信

  • 期待値

  • タイムアウト

  • 間隔

  • maxRetries

Haproxy/IPVS の調整

×

プール IP フィルタ

  • IPv4 アドレス

IPv4 IP アドレスがサポートされます。

Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。

プール IP フィルタ

  • IPv6 アドレス

×

サポートされていないグループ オブジェクトを含むプール:

  • クラスタ

  • データセンター

  • 分散ポート グループ

  • MAC セット

  • 仮想アプリケーション

×

サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。

DHCP および DNS

表 1. DHCP 構成トポロジ

構成

サポート

詳細

分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している

DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。

DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。

DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。

DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない

×

DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない

×

表 2. DHCP 機能

構成

サポート

詳細

IP アドレス プール

静的割り当て

DHCP リース

全般的な DHCP オプション

無効になっている DHCP サービス

×

NSX-T では、DHCP サービスを無効にすることはできません。NSX Data Center for vSphere で無効になっている DHCP サービスは移行されません。

DHCP オプション:その他

×

DHCP オプションの [その他] フィールドは移行されません。

たとえば、DHCP オプション 80 は移行されません。

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

実体のない IP プール/バインド

×

DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。

論理スイッチが直接接続している Edge Service Gateway の DHCP 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。

表 3. DNS 機能

構成

サポート

詳細

DNS ビュー

最初の dnsView のみが NSX-T のデフォルトの DNS フォワーダ ゾーンに移行されます。

DNS 構成

すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

DNS – L3 VPN

新しく構成した NSX-T DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

論理スイッチが直接接続している Edge Service Gateway の DNS 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。

分散ファイアウォール

構成

サポート

詳細

ID ベースのファイアウォール

×

セクション -

  • 表示名

  • 説明

  • Tcp_strict

  • ステートレス

ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。

ユニバーサル セクション

×

ルール – 送信元/宛先:

  • IP アドレス/範囲/CIDR

  • 論理ポート

  • 論理スイッチ

ルール – 送信元/宛先:

  • 仮想マシン

  • 論理ポート

  • セキュリティ グループ/IP セット/MAC セット

セキュリティ グループにマッピング

ルール – 送信元/宛先:

  • クラスタ

  • データセンター

  • DVPG

  • vSS

  • ホスト

  • ユニバーサル論理スイッチ

×

ルール - 適用先:

  • 任意

分散ファイアウォールにマッピング

ルール - 適用先:

  • セキュリティ グループ

  • 論理ポート

  • 論理スイッチ

  • 仮想マシン

セキュリティ グループにマッピング

ルール - 適用先:

  • クラスタ

  • データセンター

  • DVPG

  • vSS

  • ホスト

  • ユニバーサル論理スイッチ

×

分散ファイアウォールで無効になっているルール

クラスタ レベルでの分散ファイアウォールの無効化

×

NSX-T で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。

オブジェクトと Service Composer のグループ化

IP セットと MAC セットは、グループとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、[インベントリ] > [グループ] の順に移動して確認してください。

表 4. IP セットと MAC セット

構成

サポート

詳細

IP セット

メンバー数が 200 万までの IP セット(IP アドレス、IP アドレス サブネット、IP 範囲)を移行できます。これより多いメンバー数の IP セットは移行されません。

MAC セット

メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。

セキュリティ グループは、上記の制限付きで移行されます。セキュリティ グループは、グループとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、[インベントリ] > [グループ] の順に移動して確認してください。

NSX Data Center for vSphere には、システム定義とユーザー定義のセキュリティ グループがあります。これらはすべて、ユーザー定義のグループとして NSX-T に移行されます。

移行後のグループの合計数が、NSX for vSphere のセキュリティ グループの数と一致しないことがあります。たとえば、仮想マシンがソースとして設定されている分散ファイアウォール ルールの場合、仮想マシンをメンバーとして持つ新しいグループのルールに移行されます。これにより、移行後の NSX-T のグループの合計数が増加します。

表 5. セキュリティ グループ

構成

サポート

詳細

メンバーが存在しないセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。

サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。

セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。

セキュリティ グループ内のメンバーシップの除外

×

除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。

セキュリティ グループの静的メンバーシップ

セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。

  • セキュリティ グループがレイヤー 2 またはレイヤー 3 のいずれかのルールで使用されている場合、システムによって生成された 1 つの静的メンバーがセキュリティ グループに追加されます。

  • セキュリティ グループがレイヤー 2 とレイヤー 3 の両方のルールで使用されている場合、システム生成の静的メンバーが 2 つ追加されます。

構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • クラスタ

  • データセンター

  • ディレクトリ グループ

  • 分散ポート グループ

  • レガシー ポート グループ/ネットワーク

  • リソース プール

  • vApp

×

セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • セキュリティ グループ

  • IP セット

  • MAC セット

セキュリティ グループ、IP セット、MAC セットは、グループとして NSX-T に移行されます。NSX for vSphere セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。

これらの静的メンバーのいずれかが NSX-T に移行されなかった場合、親のセキュリティ グループは NSX-T に移行されません。

たとえば、メンバーが 200 万を超える IP セットを NSX-T に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • 論理スイッチ(仮想ワイヤー)

セキュリティ グループに、NSX-T セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX-T に移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • セキュリティ タグ

セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。

エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • vNIC

  • 仮想マシン

  • vNIC と仮想マシンは、ExternalIDExpression として移行されます。

  • セキュリティ グループを移行するときに、実体のない仮想マシン(ホストから削除された仮想マシン)は無視されます。

  • NSX-T にグループが表示されてから、しばらくすると、仮想マシンと vNIC のメンバーシップが更新されます。この間、一時的なグループが存在し、その一時グループがメンバーとして表示される場合があります。ただし、ホストの移行が完了すると、これらの一時グループは表示されなくなります。

動的メンバーシップに「正規表現に一致」演算子を使用

×

これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。

属性の動的メンバーシップ基準に使用可能な他の演算子を使用:

  • セキュリティ タグ

  • 仮想マシン名

  • コンピュータ名

  • コンピュータ OS 名

仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。

セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。

「エンティティの所属先」基準

静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。

「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。

セキュリティ グループ内の動的なメンバーシップ基準に対する演算子(AND、OR)

はい

NSX Data Center for vSphere セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。

  • 1 つ以上の動的セット。

  • 各動的セットには、1 つ以上の動的基準を含めることができます。たとえば、「Web を含む仮想マシン名」と指定します。

  • 動的セット内の任意またはすべての動的基準と照合するかどうかを選択できます。

  • 動的セットで AND または OR を使用して照合を行うこともできます。

NSX Data Center for vSphere では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。

NSX-T Data Center では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX Data Center for vSphere セキュリティ グループは移行されません。

移行可能なセキュリティ グループの例:

  • OR で関連付けられた 5 つの動的セット。各動的セットには、AND で関連付けられた動的基準を 5 つまで使用できます(NSX Data Center for vSphere の場合は All)。

  • OR で関連付けられた 5 つの動的基準を含む 1 つの動的セット(NSX Data Center for vSphere の場合は Any)。

  • AND で関連付けられた 5 つの動的基準を含む 1 つの動的セット(NSX Data Center for vSphere の場合は All)。すべてのメンバータイプが同一である必要があります。

  • AND で関連付けれた 5 つの動的セット。各動的セットで使用できる動的基準は 1 つだけです。すべてのメンバータイプが同一である必要があります。

AND 演算子と「エンティティの所属先」条件を使用することはできません。

サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。

NSX Data Center for vSphere では、セキュリティ タグは仮想マシンに適用できるオブジェクトになります。NSX-T に移行すると、セキュリティ タグは仮想マシンの属性になります。

表 6. セキュリティ タグ

構成

サポート

詳細

セキュリティ タグ

仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。

注:セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。

サービスとサービス グループは、サービスとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、[インベントリ] > [サービス] の順に移動して確認してください。

表 7. サービスとサービス グループ

構成

サポート

詳細

サービスとサービス グループ(アプリケーションとアプリケーション グループ)

デフォルトのサービスとサービス グループの大半は、NSX-T サービスにマッピングされます。NSX-T にサービスまたはサービス グループが存在しない場合、NSX-T で新しいサービスが作成されます。

APP_ALL と APP_POP2 サービス グループ

×

これらのシステム定義のサービス グループは移行されません。

名前が競合するサービスとサービス グループ

NSX-T で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX-T で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。

レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ

×

空のサービス グループ

×

NSX-T は、空のサービスをサポートしていません。

レイヤー 2 サービス

NSX Data Center for vSphere レイヤー 2 サービスは NSX-T サービス エントリ EtherTypeServiceEntry として移行されます。

レイヤー 3 サービス

プロトコルに応じて、NSX Data Center for vSphere レイヤー 3 サービスは、次のように NSX-T サービス エントリに移行されます。

  • TCP/UDP プロトコル:L4PortSetServiceEntry

  • ICMP/IPV6ICMP プロトコル:

ICMPTypeServiceEntry

  • IGMP プロトコル:IGMPTypeServiceEntry

  • その他のプロトコル:IPProtocolServiceEntry

レイヤー 4 サービス

NSX-T サービス エントリ ALGTypeServiceEntry として移行されます。

レイヤー 7 サービス

NSX-T サービス エントリ PolicyContextProfile として移行されます。

NSX Data Center for vSphere レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX-T にサービスが作成され、PolicyContextProfile にマッピングされます。

レイヤー 7 サービス グループ

×

ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール

NSX-T では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。

表 8. Service Composer

構成

サポート

詳細

Service Composer セキュリティ ポリシー

セキュリティ ポリシーで定義されたファイアウォール ルールは、分散ファイアウォール ルールとして NSX-T に移行されます。

Service Composer セキュリティ ポリシーで定義されている無効なファイアウォール ルールは移行されません。

Service Composer セキュリティ ポリシーで定義されているゲスト イントロスペクション ルールまたはネットワーク イントロスペクション ルールは移行されません。

Service Composer の状態が同期されていない場合、[構成の解決] の手順で警告が表示されます。

Service Composer ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をキャンセルし、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。

セキュリティ グループに適用されない Service Composer セキュリティ ポリシー

×

Active Directory サーバの構成

構成

サポート

詳細

Active Directory (AD) サーバ

×