移行可能な NSX for vSphere(NSX-v)の機能と構成は次のとおりです。

プラットフォーム サポート

サポートされる ESXivCenter Server のバージョンについては、VMware 相互運用性マトリックスを参照してください。

NSX-v 構成

サポート

詳細

vSphere Distributed Switch の vSAN または iSCSI を使用する NSX Data Center for vSphere

既存の NSX-T 構成

×

NSX Data Center for vSphere 移行のターゲットとなる新しい NSX-T Data Center 環境を展開します。

[構成のインポート] のステップで、ターゲットの NSX-T Data Center 環境のすべての NSX Edge ノード インターフェイスがシャットダウンされます。ターゲット NSX-T Data Center 環境が構成済みで、すでに使用されている場合、構成のインポートを開始するとトラフィックが中断されます。

Cross-vCenter NSX

(NSX-T 3.1) ×

NSX-T 3.1.1 以降)○(NSX-v 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

NSX-T 3.1.1 以降では、プライマリ モードの NSX Manager とプライマリ サイト上のユニバーサル オブジェクト含むがセカンダリ NSX Manager を含まない、単一サイトの NSX for vSphere 展開の移行がサポートされています。このような単一サイトの NSX for vSphere の展開は、ローカル オブジェクトを使用する単一サイトの NSX-T 環境(非統合)に移行されます。

プライマリ NSX Manager と複数のセカンダリ NSX Manager を使用した真の Cross-vCenter NSX-V 環境の移行はサポートされていません。Migration Coordinator は、プライマリまたはスタンドアローンのロールを持つ NSX-V Manager からのみ移行されます。NSX-V 環境を変更するには、セカンダリ マネージャの状態を変更して 各 NSX-V 環境を個別に移行します。

Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX Data Center for vSphere

サポートされているトポロジで統合環境が構成されている場合、vRealize AutomationNSX for vSphere の移行を行うことができます。

詳細については、vRealize Automation との統合がサポートされているトポロジを参照してください。

移行を続行する前に、VMware の担当者にお問い合わせください。統合環境を移行する場合、スクリプトおよび統合が中断することがあります。

次はその例です。
  • NSX for vSphere と VMware Integrated Openstack

  • NSX for vSphere と vCloud Director

  • 統合スタック ソリューションを使用した NSX for vSphere

  • NSX for vSphere と、Pivotal Cloud Foundry、RedHat OpenShift などの PaaS ソリューション

  • vRealize Operations ワークフローを使用した NSX for vSphere

vSphere と ESXi の機能

NSX-v 構成

サポート

詳細

すでにメンテナンス モードになっている ESXi ホスト(仮想マシンなし)

Network I/O Control (NIOC) バージョン 3

Network I/O Control (NIOC) バージョン 2

×

Network I/O Control (NIOC) と vNIC の予約

×

vSphere 標準スイッチ

×

VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX Data Center for vSphere の機能は移行できません。

vSphere Distributed Switch

ステートレス ESXi

×

ホスト プロファイル

×

ESXi ロックダウン モード

×

NSX-T ではサポートされていません。

メンテナンス モードのタスクが保留中の ESXi ホスト。

×

vCenter Server クラスタ内で切断されている ESXi ホスト

×

vSphere FT

×

完全に自動化された vSphere DRS

vSphere 7.0 以降でサポートされています。

vSphere High Availability

○(メンテナンス モードが使用されている場合)

トラフィック フィルタリングの ACL

×

vSphere 健全性チェック

×

SRIOV

×

物理 NIC に固定された vmknic

×

プライベート VLAN

×

短期 dvPortGroup

×

DirectPath I/O

×

L2 セキュリティ

×

仮想ワイヤーでのスイッチの学習

×

ハードウェア ゲートウェイ(物理スイッチング ハードウェアとトンネル エンドポイントの統合)

×

SNMP

×

仮想マシンでの vNIC の切断

×

ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。

4789 以外の VXLAN ポート番号

×

マルチキャスト フィルタリング モード

×

複数の VTEP を持つホスト

NSX Manager アプライアンスのシステム構成

NSX-v 構成

サポート

詳細

NTP サーバ/時間設定

Syslog サーバの構成

構成のバックアップ

必要に応じて、NSX-T Data Center の要件に合わせて NSX Data Center for vSphere のパスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。

  • 1 文字以上の小文字

  • 1 文字以上の大文字

  • 1 文字以上の数字

  • 1 文字以上の特殊文字

FIPS

×

NSX-T では FIPS のオン/オフはサポートされていません。

ロケール

×

NSX-T は、英語ロケールのみをサポートします。

アプライアンスの証明書

×

ロールベースのアクセス コントロール

NSX-v 構成

サポート

詳細

ローカル ユーザー

×

LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール

LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。

vCenter Server グループに割り当てられた NSX ロール

×

証明書

NSX-v 構成

サポート

詳細

証明書(サーバ、CA 署名済み)

トラストストア API を介して追加された証明書にのみ適用されます。

運用

詳細

サポート

メモ

検出プロトコル CDP

×

検出プロトコル LLDP

リッスン モードはデフォルトでオンになっています。NSX-T では変更できません。アドバタイズ モードのみを変更できます。

PortMirroring:

  • カプセル化されたリモート ミラーリング ソース (L3)

移行では L3 セッション タイプのみがサポートされます。

PortMirroring:

  • 分散 PortMirroring

  • リモート ミラーリング ソース

  • リモート ミラーリング ターゲット

  • 分散ポート ミラーリング(レガシー)

×

L2 IPFIX

IPFIX の LAG はサポートされていません。

分散ファイアウォールからの IPFIX 設定

×

MAC ラーニング

偽装転送を有効にする(受け入れる)必要があります。

ハードウェア VTEP

×

無作為検出モード

×

リソース割り当て

×

リソース割り当てが有効な vNIC はサポートされていません。

IPFIX – 内部フロー

×

内部フローを使用する IPFIX はサポートされていません。

スイッチ

NSX-v 構成

サポート

詳細

L2 ブリッジ

×

トランク VLAN

トランク アップリンク ポート グループは、0 ~ 4094 の VLAN 範囲で構成する必要があります。

VLAN 構成

VLAN のみ(VXLAN なし)の構成がサポートされます。

チーミングとフェイルオーバー:

  • ロード バランシング

  • アップリンク フェイルオーバー順序:

ロード バランシングでサポートされるオプション(チーミング ポリシー):

  • 明示的なフェイルオーバー順序を使用

  • 発信元 MAC ハッシュに基づいたルート

  • 送信元ポート(NSX-T 3.1.3 以降)。

他のロード バランシング オプションはサポートされていません。

チーミングとフェイルオーバー:

  • ネットワーク障害検出

  • スイッチへの通知

  • リバース ポリシー

  • ロール順序

×

LACP

VDS 7.0 以降では、移行中に LACP 機能は変更されません。VDS の以前のバージョンでは、新しい N-VDS スイッチが VDS に置き換わります。これにより、ホストの移行中にトラフィックが失われます。

(DFW IPFIX ではなく)分散仮想スイッチで構成された IPFIX は LACP でサポートされていません。

スイッチのセキュリティと IP 検出

NSX-v 構成

移行のサポート

詳細

IP 検出(ARP、ND、DHCPv4、DHCPv6)

移行では、次のバインドの上限が NSX-T に適用されます。

  • ARP で検出された IP の場合 128

  • DHCPv4 で検出された IP の場合 128

  • DHCPv6 で検出された IP の場合 15

  • ND で検出された IP の場合 15

SpoofGuard(手動、TOFU、無効)

スイッチ セキュリティ(BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード)

NSX Data Center for vSphere のスイッチ セキュリティ モジュールから NSX-T のスイッチ セキュリティ モジュールへのデータパス バインドの移行

SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。

VSIP:VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。

検出プロファイル

移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。

中央制御プレーン

NSX-v 構成

サポート

詳細

論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション

MAC/IP レプリケーション

×

マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX Data Center for vSphere トランスポート ゾーン

×

ユニキャスト レプリケーション モードを使用した NSX Data Center for vSphere トランスポート ゾーン

NSX Edge の機能

サポートされるトポロジの詳細については、サポートされているトポロジを参照してください。

NSX-v 構成

サポート

詳細

Edge Service Gateway と North バウンド ルーターまたは仮想トンネル インターフェイス間のルーティング

BGP がサポートされます。

スタティック ルートがサポートされます。

OSPF はサポートされていません。

Edge Services Gateway と分散論理ルーター間のルーティング

移行後に、ルートがスタティック ルートに変換されます。

ロード バランサ

詳細については、サポートされているトポロジを参照してください。

VLAN でバッキングされたマイクロセグメンテーション環境

詳細については、サポートされているトポロジを参照してください。

NAT64

×

NSX-T ではサポートされていません。

Edge Services Gateway または分散論理ルーターのノード レベルの設定。

×

Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。

IPv6

×

Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成

×

NSX-T ゲートウェイ インターフェイスの URPF は Strict に設定されています。

Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成

×

NSX-T のデフォルト MTU の変更方法については、Edge の移行前の NSX Edge ノード構成の変更を参照してください。

IP マルチキャスト ルーティング

×

ルート再配分プレフィックス フィルタ

×

デフォルトの発信元

×

NSX-T ではサポートされていません。

Edge ファイアウォール

NSX-v 構成

サポート

詳細

ファイアウォール セクション:表示名

ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。

デフォルト ルールのアクション

NSX Data Center for vSphere API:GatewayPolicy/action

NSX-T API:SecurityPolicy.action

ファイアウォールのグローバル構成

×

デフォルトのタイムアウトが使用されます

ファイアウォール ルール

NSX Data Center for vSphere API:firewallRule

NSX-T API:SecurityPolicy

ファイアウォール ルール:名前

ファイアウォール ルール:ルール タグ

NSX Data Center for vSphere API:ruleTag

NSX-T API:Rule_tag

ファイアウォール ルールの送信元と宛先:

  • グループ オブジェクト

  • IP アドレス

NSX Data Center for vSphere API:

  • source/groupingObjectId

  • source/ipAddress

NSX-T API:

  • source_groups

NSX Data Center for vSphere API:

  • destination/groupingObjectId

  • destination/ipAddress

NSX-T API:

  • destination_groups

ファイアウォール ルールの送信元と宛先:

  • vNIC グループ

×

ファイアウォール ルールのサービス(アプリケーション):

  • サービス

  • サービス グループ

  • プロトコル/ポート/送信元ポート

NSX Data Center for vSphere API:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

NSX-T API:

  • サービス

ファイアウォール ルール:変換後と一致

×

[変換後と一致] は false にする必要があります。

ファイアウォール ルール:方向

両方の API:方向

ファイアウォール ルール:アクション

両方の API:アクション

ファイアウォール ルール:有効

両方の API:有効

ファイアウォール ルール:ログの記録

NSX Data Center for vSphere API:logging

NSX-T API:logged

ファイアウォール ルール:説明

両方の API:説明

Edge NAT

NSX-v 構成

サポート

詳細

NAT ルール

NSX Data Center for vSphere API:natRule

NSX-T API:/nat/USER/nat-rules

NAT ルール:ルール タグ

NSX Data Center for vSphere API:ruleTag

NSX-T API:rule_tag

NAT ルール:アクション

NSX Data Center for vSphere API:action

NSX-T API:action

NAT ルール:元のアドレス(SNAT

ルールの送信元アドレス、DNAT ルールの宛先アドレス)。

NSX Data Center for vSphere API:originalAddress

NSX-T API:ource_network(SNAT ルール)または destination_network(DNAT ルール)

NAT ルール:translatedAddress

NSX Data Center for vSphere API:translatedAddress

NSX-T API:translated_network

NAT ルール:特定のインターフェイスへの NAT ルールの適用

×

適用先は「any」にする必要があります。

NAT ルール:ログの記録

NSX Data Center for vSphere API:loggingEnabled

NSX-T API:logging

NAT ルール:有効

NSX Data Center for vSphere API:enabled

NSX-T API:disabled

NAT ルール:説明

NSX Data Center for vSphere API:description

NSX-T API:description

NAT ルール:プロトコル

NSX Data Center for vSphere API:protocol

NSX-T API:Service

NAT ルール:元のポート(SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート)

NSX Data Center for vSphere API:originalPort

NSX-T API:Service

NAT ルール:変換後のポート

NSX Data Center for vSphere API:translatedPort

NSX-T API:Translated_ports

NAT ルール:DNAT ルールの送信元アドレス

NSX Data Center for vSphere API:dnatMatchSourceAddress

NSX-T API:source_network

NAT ルール:

SNAT ルールの宛先アドレス

NSX Data Center for vSphere API:snatMatchDestinationAddress

NSX-T API:destination_network

NAT ルール:

DNAT ルールの送信元ポート

NSX Data Center for vSphere API:dnatMatchSourcePort

NSX-T API:Service

NAT ルール:

SNAT ルールの宛先ポート

NSX Data Center for vSphere API:snatMatchDestinationPort

NSX-T API:Service

NAT ルール:ルール ID

NSX Data Center for vSphere API:ruleID

NSX-T API:id と display_name

L2 VPN

NSX-v 構成

サポート

詳細

事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成

L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。

証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成

×

SSL に基づく L2 VPN 構成

×

Local Egress を最適化した L2 VPN 構成

×

L2 VPN クライアント モード

×

L3 VPN

NSX-v 構成

サポート

詳細

Dead Peer Detection

Dead Peer Detection では、NSX Data Center for vSphereNSX-T のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。

変更後の Dead Peer Detection (DPD) のデフォルト値:

  • dpdtimeout

  • dpdaction

×

NSX-T では、dpdaction は restart に設定されます。この設定は変更できません。

dpdtimeout の NSX Data Center for vSphere 設定が 0 に設定されている場合、NSX-T で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。

変更後の Dead Peer Detection (DPD) のデフォルト値:

  • dpddelay

NSX Data Center for vSphere dpdelay が NSX-T dpdinternal にマッピングされます。

2 つ以上のセッションのローカル サブネットとピア サブネットの重複。

×

NSX Data Center for vSphere は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX-T ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。

ピア エンドポイントが any に設定されている IPsec セッション。

×

構成は移行されません。

拡張機能 securelocaltrafficbyip に対する変更。

×

NSX-T サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。

次の拡張機能に対する変更:

auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries

×

これらの拡張機能は NSX-T ではサポートされていないため、変更は移行されません。

ロード バランサ

NSX-v 構成

サポート

詳細

モニタリング/健全性チェックの対象:

  • LDAP

  • DNS

  • MSSQL

×

サポート対象外のモニターが構成されている場合、モニターは無視され、関連付けられたプールにモニターは構成されません。移行の完了後に、新しいモニターに接続できます。

アプリケーション ルール

×

L7 をサポートするため、NSX Data Center for vSphere は、HAProxy に基づいてアプリケーション ルールを使用します。NSX-T では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。

L7 仮想サーバのポート範囲

×

IPv6

×

仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。

プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。

URL、URI、HTTPHEADER アルゴリズム

×

プールで使用されている場合、プールは移行されません。

隔離されたプール

×

プールは移行されません。

異なるモニター ポートを持つ LB プール メンバー

×

モニター ポートが異なるプール メンバーは移行されません。

プール メンバーの minConn

×

構成は移行されません。

モニタリングの拡張機能

×

構成は移行されません。

SSL セッション ID のパーシステンス/テーブル

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

MSRDP パーシステンス/セッション テーブル

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

Cookie アプリケーション セッション/セッション テーブル

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

アプリケーションのパーシステンス

×

構成は移行されません。関連する仮想サーバにパーシステンスの設定がありません。

モニタリング対象:

  • 明示的なエスケープ

  • 終了

  • 遅延

×

モニタリング対象:

  • 送信

  • 期待値

  • タイムアウト

  • 間隔

  • maxRetries

Haproxy/IPVS の調整

×

プール IP フィルタ

  • IPv4 アドレス

IPv4 IP アドレスがサポートされます。

Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。

プール IP フィルタ

  • IPv6 アドレス

×

サポートされていないグループ オブジェクトを含むプール:

  • クラスタ

  • データセンター

  • 分散ポート グループ

  • MAC セット

  • 仮想アプリケーション

×

サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。

DHCP および DNS

表 1. DHCP 構成トポロジ

NSX-v 構成

サポート

詳細

分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している

DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。

DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。

DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。

DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない

×

DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない

×

表 2. DHCP 機能

NSX-v 構成

サポート

詳細

IP アドレス プール

静的割り当て

DHCP リース

全般的な DHCP オプション

無効になっている DHCP サービス

×

NSX-T では、DHCP サービスを無効にすることはできません。NSX Data Center for vSphere で無効になっている DHCP サービスは移行されません。

DHCP オプション:その他

×

DHCP オプションの [その他] フィールドは移行されません。

たとえば、DHCP オプション 80 は移行されません。

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

実体のない IP プール/バインド

×

DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。

論理スイッチが直接接続している Edge Service Gateway の DHCP 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。

表 3. DNS 機能

NSX-v 構成

サポート

詳細

DNS ビュー

最初の dnsView のみが NSX-T のデフォルトの DNS フォワーダ ゾーンに移行されます。

DNS 構成

すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

DNS – L3 VPN

新しく構成した NSX-T DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

論理スイッチが直接接続している Edge Service Gateway の DNS 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。

分散ファイアウォール (DFW)

NSX-v 構成

サポート

詳細

ID ベースのファイアウォール

×

セクション -

  • 名前

  • 説明

  • TCP Strict

  • ステートレス ファイアウォール

ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。

ユニバーサル セクション

(NSX-T 3.1) ×

(NSX-T 3.1.1 以降)○(NSX-v 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

ルール – 送信元/宛先:

  • IP アドレス/範囲/CIDR

  • 論理ポート

  • 論理スイッチ

ルール – 送信元/宛先:

  • 仮想マシン

  • 論理ポート

  • セキュリティ グループ/IP セット/MAC セット

セキュリティ グループにマッピング

ルール – 送信元/宛先:

  • クラスタ

  • データセンター

  • DVPG

  • vSS

  • ホスト

×

ルール – 送信元/宛先:

  • ユニバーサル論理スイッチ

(NSX-T 3.1) ×

(NSX-T 3.1.1 以降)○(NSX-v 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

ルール - 適用先:

  • 任意

分散ファイアウォールにマッピング

ルール - 適用先:

  • セキュリティ グループ

  • 論理ポート

  • 論理スイッチ

  • 仮想マシン

セキュリティ グループにマッピング

ルール - 適用先:

  • クラスタ

  • データセンター

  • DVPG

  • vSS

  • ホスト

×

ルール - 適用先:

  • ユニバーサル論理スイッチ

(NSX-T 3.1) ×

(NSX-T 3.1.1 以降)○(NSX-v 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

分散ファイアウォールで無効になっているルール

クラスタ レベルでの分散ファイアウォールの無効化

×

NSX-T で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。

DFW 除外リスト × DFW 除外リストは移行されません。移行後に、NSX-T で再作成する必要があります。

注:DFW ルールを移行する場合は、ルールで参照されているオブジェクトも移行してください。ルールで参照されているオブジェクトが NSX-T ネットワークの一部でない場合、NSX-T はルールを適用できません。

パートナー サービス:East-West ネットワーク イントロスペクション

NSX-v 構成 サポート 詳細

サービス

×

サービス登録は移行されません。移行前に、パートナーが NSX-T にサービスを登録する必要があります。

ベンダー テンプレート

×

ベンダー テンプレートは移行されません。移行前に、パートナーが NSX-T にベンダー テンプレートを登録する必要があります。

サービス プロファイル

×

サービス プロファイルは移行されません。移行前に、パートナーがサービス プロファイルを作成する必要があります。

移行の [構成の解決] 手順で、Migration Coordinator のプロンプトが表示され、各 NSX for vSphere サービス プロファイルを NSX-T サービス プロファイルにマッピングするように求められます。サービス プロファイルのマッピングを省略すると、これらのサービス プロファイルを使用するルールは移行されません。

Migration Coordinator が NSX for vSphere のサービス プロファイルごとに NSX-T のサービス チェーンを作成します。

サービス チェーンが次の命名規則に従って作成されます。

Service-Chain-service_profile_name

サービス チェーンの転送パスとリバース パスで同じサービス プロファイルが使用されます。

サービス インスタンス

×

パートナー サービス仮想マシン (SVM) は移行されません。NSX for vSphere パートナー SVM は NSX-T で使用できません。

NSX-T の East-West ネットワーク イントロスペクション サービスの場合は、パートナー サービス仮想マシンをオーバーレイ セグメントに展開する必要があります。

セクション
  • 名前
  • ID
  • 説明
  • TCP Strict
  • ステートレス ファイアウォール

セクションがリダイレクト ポリシーにマッピングされます。

ID はユーザー定義です。NSX-T では自動的に生成されません。

NSX for vSphere のファイアウォール セクションに 1,000 個を超えるルールがある場合、Migration Coordinator は 1,000 ルールごとに複数のセクションに移行します。

たとえば、1 つのセクションに 2,500 個のルールが含まれている場合、Migration Coordinator は 3 つのポリシーを作成します。Policy 1 には 1,000 個のルール、Policy 2 には 1,000 個のルール、Policy 3 には 500 個のルールがそれぞれ含まれます。

NSX for vSphere のステートフルまたはステートレス ファイアウォール ルールは、NSX-T のステートフルまたはステートレス リダイレクト ルールに移行されます。

パートナー サービス:ルール

名前

ルール ID

ルール ID はシステムによって生成されます。NSX for vSphere のルール ID とは異なる場合があります。

送信元の無効化

宛先の無効化

送信元/宛先
  • 仮想マシン
  • セキュリティ グループ
  • IP セット
  • vNIC

サービス/サービス グループ

詳細については、「サービスとサービス グループ」の表を参照してください。
詳細設定
  • 方向
  • パケット タイプ
  • ルール タグ
  • コメント
  • ログに記録

サービス プロファイルとアクション
  • サービス名
  • サービス プロファイル
  • アクション
  • サービス プロファイルのバインド

サービス プロファイルのバインドでは、分散仮想ポート グループ (DVPG)、論理スイッチ、セキュリティ グループをメンバーとして設定できます。NSX for vSphere のサービス プロファイルのバインドは NSX-T のリダイレクト ルールの適用先フィールドにマッピングされます。[適用先] フィールドにはグループのみを指定できます。このフィールドにより、ルールの範囲が決まります。

NSX-T では、ルールのリダイレクトはポリシーのレベルで行われます。リダイレクト ポリシーのすべてのルールには同じスコープ(適用先)が設定されます。

NSX-T リダイレクト ルールの [適用先] フィールドには、最大で 128 個のメンバーを含めることができます。サービス プロファイルのバインドのメンバー数が 128 を超えている場合は、メンバーの数を 128 以下にしてから移行を開始してください。

たとえば、サービス プロファイルのバインドに 140 個のメンバー(セキュリティ グループ)があるとします。移行を開始する前に、 NSX for vSphere で次の操作を行います。
  1. ダミーのセキュリティ グループを作成します。
  2. このダミーのセキュリティ グループに 13 個のセキュリティ グループを移動します。つまり、ダミーのセキュリティ グループには 13 個のメンバーが含まれることになります。
  3. この 13 個のセキュリティ グループのバインドをサービス プロファイルから削除します。これで、サービス プロファイルのバインドに 127 (140 - 13) 個のメンバーが表示されます。
  4. サービス プロファイルのバインドにダミーのセキュリティ グループを追加します。

これで、サービス プロファイルのバインドのメンバー数が 128 (127 + 1) になり、Migration Coordinator の最大数に収まります。

ルールの有効化/無効化

サービス セグメント
Migration Coordinator は、移行の [構成の解決] 手順で選択したオーバーレイ トランスポート ゾーンにサービス セグメントを作成します。 NSX for vSphere 環境で、 NSX for vSphere を使用して VXLAN トランスポート ゾーンを準備していない場合は、Migration Coordinator で NSX-T のデフォルトのオーバーレイ トランスポート ゾーンを選択して、サービスセグメントを作成できます。 NSX for vSphere で 1 つ以上の VXLAN トランスポート ゾーンが準備されている場合は、1 つのオーバーレイ トランスポート ゾーンを選択して NSX-T にサービス セグメントを作成する必要があります。
サービス プロファイルの優先順位
NSX for vSphere では、サービス プロファイルに優先順位があります。サービスに複数のサービス プロファイルがあり、複数のプロファイルが同じ vNIC にバインドされている場合、優先順位の高いサービス プロファイルから vNIC に適用されます。ただし、 NSX-T では、サービス プロファイルに優先順位が設定されていません。複数のリダイレクト ルールで同じ設定が適用されている場合、ルールの順序によって最初に一致するルールが決まります。Migration Coordinator は、 NSX-T ルール テーブルで優先順位の低いプロファイルのルールの前に優先順位の高いプロファイルのルールを配置します。詳細な例については、 NSX-T Data Center での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 2 を参照してください。
サービスの優先順位

複数のサービスにトラフィックをリダイレクトするため、NSX for vSphere はサービス挿入データ パスに複数の DVFilter スロットを使用します。1 つの DVFilter スロットにより、1 つのサービスにトラフィックがリダイレクトされます。スロット内で、優先順位の高いサービスは優先順位の低いサービスよりも上に配置されます。NSX-T では、1 つの DVFilter スロットのみが使用され、トラフィックがサービス チェーンにリダイレクトされます。NSX-T に移行後、優先順位の高いパートナー サービスを使用するルールは、優先順位の低いパートナー サービスを使用するルールより前に配置されます。詳細な例については、NSX-T Data Center での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 3 を参照してください。

Migration Coordinator は、vNIC 上のトラフィックの複数のパートナー サービスへのリダイレクトをサポートしていません。1 つのパートナー サービスにのみリダイレクトされます。すべての NSX for vSphere ルールが NSX-T に移行されますが、移行後のルール構成では 1 つのサービス プロファイルのみのサービス チェーンが使用されます。リダイレクト ルールで使用される既存のサービス チェーンは変更できません。

回避策:vNIC 上のトラフィックを複数のサービスにリダイレクトするには、新しいサービス チェーンを作成し、サービス チェーンでサービス プロファイルの順序を定義します。この新しいサービス チェーンを使用するように、移行後のルールを更新します。

仮想マシン ネットワークに接続している仮想マシンのネットワーク イントロスペクション サービス
NSX-v 環境で、仮想マシン ネットワークに接続している仮想マシンでネットワーク イントロスペクション サービス ルールが適用されている場合、ホストを移行すると、これらの仮想マシンはセキュリティ保護を失います。ホストの移行後に、これらの仮想マシンの vNIC にネットワーク イントロスペクション ルールが適用されるようにするには、これらの仮想マシンを NSX-T のセグメントに接続する必要があります。

オブジェクトと Service Composer のグループ化

IP セットと MAC セットは、グループとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、[インベントリ] > [グループ] の順に移動して確認してください。

表 4. IP セットと MAC セット

NSX-v 構成

サポート

詳細

IP セット

メンバー数が 200 万までの IP セット(IP アドレス、IP アドレス サブネット、IP 範囲)を移行できます。これより多いメンバー数の IP セットは移行されません。

MAC セット

メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。

セキュリティ グループは、上記の制限付きで移行されます。セキュリティ グループは、グループとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、[インベントリ] > [グループ] の順に移動して確認してください。

NSX Data Center for vSphere には、システム定義とユーザー定義のセキュリティ グループがあります。これらはすべて、ユーザー定義のグループとして NSX-T に移行されます。

移行後のグループの合計数が、NSX-v のセキュリティ グループの数と一致しないことがあります。たとえば、仮想マシンがソースとして設定されている分散ファイアウォール ルールの場合、仮想マシンをメンバーとして持つ新しいグループのルールに移行されます。これにより、移行後の NSX-T のグループの合計数が増加します。

表 5. セキュリティ グループ

NSX-v 構成

サポート

詳細

メンバーが存在しないセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。

サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。

セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。

セキュリティ グループ内のメンバーシップの除外

×

除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。

セキュリティ グループの静的メンバーシップ

セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。

  • セキュリティ グループがレイヤー 2 またはレイヤー 3 のいずれかのルールで使用されている場合、システムによって生成された 1 つの静的メンバーがセキュリティ グループに追加されます。

  • セキュリティ グループがレイヤー 2 とレイヤー 3 の両方のルールで使用されている場合、システム生成の静的メンバーが 2 つ追加されます。

構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • クラスタ

  • データセンター

  • ディレクトリ グループ

  • 分散ポート グループ

  • レガシー ポート グループ/ネットワーク

  • リソース プール

  • vApp

×

セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • セキュリティ グループ

  • IP セット

  • MAC セット

セキュリティ グループ、IP セット、MAC セットは、グループとして NSX-T に移行されます。NSX for vSphere セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。

これらの静的メンバーのいずれかが NSX-T に移行されなかった場合、親のセキュリティ グループは NSX-T に移行されません。

たとえば、メンバーが 200 万を超える IP セットを NSX-T に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • 論理スイッチ(仮想ワイヤー)

セキュリティ グループに、NSX-T セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX-T に移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • セキュリティ タグ

セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。

エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • vNIC

  • 仮想マシン

  • vNIC と仮想マシンは、ExternalIDExpression として移行されます。

  • セキュリティ グループを移行するときに、実体のない仮想マシン(ホストから削除された仮想マシン)は無視されます。

  • NSX-T にグループが表示されてから、しばらくすると、仮想マシンと vNIC のメンバーシップが更新されます。この間、一時的なグループが存在し、その一時グループがメンバーとして表示される場合があります。ただし、ホストの移行が完了すると、これらの一時グループは表示されなくなります。

動的メンバーシップに「正規表現に一致」演算子を使用

×

これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。

属性の動的メンバーシップ基準に使用可能な他の演算子を使用:

  • セキュリティ タグ

  • 仮想マシン名

  • コンピュータ名

  • コンピュータ OS 名

仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。

セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。

「エンティティの所属先」基準

静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。

「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。

セキュリティ グループ内の動的なメンバーシップ基準に対する演算子(AND、OR)

はい

NSX Data Center for vSphere セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。

  • 1 つ以上の動的セット。

  • 各動的セットには、1 つ以上の動的基準を含めることができます。たとえば、「Web を含む仮想マシン名」と指定します。

  • 動的セット内の任意またはすべての動的基準と照合するかどうかを選択できます。

  • 動的セットで AND または OR を使用して照合を行うこともできます。

NSX Data Center for vSphere では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。

NSX-T Data Center では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX Data Center for vSphere セキュリティ グループは移行されません。

移行可能なセキュリティ グループの例:

  • OR で関連付けられた 5 つの動的セット。各動的セットには、AND で関連付けられた動的基準を 5 つまで使用できます(NSX Data Center for vSphere の場合は All)。

  • OR で関連付けられた 5 つの動的基準を含む 1 つの動的セット(NSX Data Center for vSphere の場合は Any)。

  • AND で関連付けられた 5 つの動的基準を含む 1 つの動的セット(NSX Data Center for vSphere の場合は All)。すべてのメンバータイプが同一である必要があります。

  • AND で関連付けれた 5 つの動的セット。各動的セットで使用できる動的基準は 1 つだけです。すべてのメンバータイプが同一である必要があります。

AND 演算子と「エンティティの所属先」条件を使用することはできません。

サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。

NSX Data Center for vSphere では、セキュリティ タグは仮想マシンに適用できるオブジェクトになります。NSX-T に移行すると、セキュリティ タグは仮想マシンの属性になります。

表 6. セキュリティ タグ

NSX-v 構成

サポート

詳細

セキュリティ タグ

仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。

注:セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。

サービスとサービス グループは、サービスとして NSX-T Data Center に移行されます。NSX-T Manager の Web インターフェイスで、[インベントリ] > [サービス] の順に移動して確認してください。

表 7. サービスとサービス グループ

NSX-v 構成

サポート

詳細

サービスとサービス グループ(アプリケーションとアプリケーション グループ)

デフォルトのサービスとサービス グループの大半は、NSX-T サービスにマッピングされます。NSX-T にサービスまたはサービス グループが存在しない場合、NSX-T で新しいサービスが作成されます。

APP_ALL と APP_POP2 サービス グループ

×

これらのシステム定義のサービス グループは移行されません。

名前が競合するサービスとサービス グループ

NSX-T で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX-T で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。

レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ

×

空のサービス グループ

×

NSX-T は、空のサービスをサポートしていません。

レイヤー 2 サービス

NSX Data Center for vSphere レイヤー 2 サービスは NSX-T サービス エントリ EtherTypeServiceEntry として移行されます。

レイヤー 3 サービス

プロトコルに応じて、NSX Data Center for vSphere レイヤー 3 サービスは、次のように NSX-T サービス エントリに移行されます。

  • TCP/UDP プロトコル:L4PortSetServiceEntry

  • ICMP/IPV6ICMP プロトコル:

ICMPTypeServiceEntry

  • IGMP プロトコル:IGMPTypeServiceEntry

  • その他のプロトコル:IPProtocolServiceEntry

レイヤー 4 サービス

NSX-T サービス エントリ ALGTypeServiceEntry として移行されます。

レイヤー 7 サービス

NSX-T サービス エントリ PolicyContextProfile として移行されます。

NSX Data Center for vSphere レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX-T にサービスが作成され、PolicyContextProfile にマッピングされます。

レイヤー 7 サービス グループ

×

ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール

NSX-T では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。

表 8. Service Composer

NSX-v 構成

サポート

詳細

Service Composer セキュリティ ポリシー

セキュリティ ポリシーで定義されたファイアウォール ルールは、分散ファイアウォール ルールとして NSX-T に移行されます。

Service Composer セキュリティ ポリシーで定義されている無効なファイアウォール ルールは移行されません。

Service Composer セキュリティ ポリシーで定義されているゲスト イントロスペクション ルールまたはネットワーク イントロスペクション ルールが移行されます。

Service Composer が同期状態でない場合、[構成の解決] の手順で警告が表示されます。

Service Composer ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をキャンセルして、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。

セキュリティ グループに適用されない Service Composer セキュリティ ポリシー

×

Active Directory サーバの構成

構成

サポート

詳細

Active Directory (AD) サーバ

×