vSphere Distributed Switch の vSAN または iSCSI を使用する NSX-V

○

既存の NSX-T 構成

×

新しい NSX-T 環境を展開する必要があります。

移行モードがユーザー定義のトポロジでない場合、[構成のインポート] ステップで NSX-T 環境内のすべての NSX-T Edge ノード インターフェイスがシャットダウンされます。NSX-T 環境が使用中の場合、トラフィックが中断されます。

Cross-vCenter NSX

（NSX-T 3.2.1 以降）○

(NSX-T 3.2.0) ○ ただし、セカンダリ NSX Manager は含みません。

（NSX-T 3.2.1 以降）[NSX for vSphere の移行] モードと [ユーザー定義トポロジ] を選択した場合にのみサポートされます。

(NSX-T 3.2.0) プライマリ モードの NSX Manager とプライマリ サイト上のユニバーサル オブジェクトを含むがセカンダリ NSX Manager は含まない、単一サイトの NSX-V 展開の移行がサポートされています。このような単一サイトの NSX-V の展開は、ローカル オブジェクトを使用する単一サイトの NSX-T 環境（非統合）に移行されます。プライマリ NSX Manager と複数のセカンダリ NSX Manager を使用した Cross-vCenter NSX-V 展開はサポートされていません。ただし、プライマリまたはセカンダリのいずれかの NSX Manager がスタンドアローン モードまたは中継モードに設定されている場合、移行はサポートされます。

Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX-V

○

vRealize Automation を使用した NSX-V の移行がサポートされています。

移行を続行する前に、VMware の担当者にお問い合わせください。統合環境を移行する場合、スクリプトおよび統合が中断することがあります。

すでにメンテナンス モードになっている ESXi ホスト（仮想マシンなし）

○

Network I/O Control (NIOC) バージョン 3

○

Network I/O Control (NIOC) バージョン 2

×

Network I/O Control (NIOC) と vNIC の予約

×

vSphere 標準スイッチ

×

VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX-V の機能は移行できません。

vSphere Distributed Switch

ステートレス ESXi

×

ホスト プロファイル

×

ESXi ロックダウン モード

×

NSX-T ではサポートされていません。

メンテナンス モードのタスクが保留中の ESXi ホスト。

×

vCenter Server クラスタ内で切断されている ESXi ホスト

×

vSphere FT

×

完全に自動化された vSphere DRS

○

vSphere High Availability

○

トラフィック フィルタリングの ACL

×

vSphere 健全性チェック

×

SRIOV

×

物理 NIC に固定された vmknic

×

プライベート VLAN

×

短期 dvPortGroup

×

DirectPath I/O

×

L2 セキュリティ

×

仮想ワイヤーでのスイッチの学習

×

ハードウェア ゲートウェイ（物理スイッチング ハードウェアとトンネル エンドポイントの統合）

×

SNMP

×

仮想マシンでの vNIC の切断

×

ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。

4789 以外の VXLAN ポート番号

×

マルチキャスト フィルタリング モード

×

複数の VTEP を持つホスト

○

NTP サーバ/時間設定

○

Syslog サーバの構成

○

構成のバックアップ

○

必要であれば、NSX-V 要件に合わせて NSX-T パスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。

• 1 文字以上の小文字

• 1 文字以上の大文字

• 1 文字以上の数字

• 1 文字以上の特殊文字

FIPS

×

NSX-T では FIPS のオン/オフはサポートされていません。

ロケール

×

NSX-T は、英語ロケールのみをサポートします。

アプライアンスの証明書

×

ローカル ユーザー

×

LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール

○

LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。

vCenter Server グループに割り当てられた NSX ロール

×

証明書（サーバ、CA 署名済み）

○

トラストストア API を介して追加された証明書にのみ適用されます。

移行中の証明書の変更

(NSX-T 3.2.0) ×

（NSX-T 3.2.1 以降）○

（NSX-T 3.2.1 以降）vSphere ネットワークの移行を除くすべての移行モードで移行が一時停止されている場合、証明書の変更がサポートされます。ホストとワークロードの移行中はサポートされません。

検出プロトコル CDP

注を参照してください。

検出プロトコル LLDP

○

リッスン モードはデフォルトでオンになっています。NSX-T では変更できません。アドバタイズ モードのみを変更できます。

PortMirroring：

• カプセル化されたリモート ミラーリング ソース (L3)

○

移行では L3 セッション タイプのみがサポートされます。

PortMirroring：

• 分散 PortMirroring

• リモート ミラーリング ソース

• リモート ミラーリング ターゲット

• 分散ポート ミラーリング（レガシー）

×

L2 IPFIX

○

IPFIX の LAG はサポートされていません。

分散ファイアウォールからの IPFIX 設定

×

MAC ラーニング

○

偽装転送を有効にする（受け入れる）必要があります。

ハードウェア VTEP

×

無作為検出モード

×

リソース割り当て

×

リソース割り当てが有効な vNIC はサポートされていません。

IPFIX – 内部フロー

×

内部フローを使用する IPFIX はサポートされていません。

L2 ブリッジ

×

トランク VLAN

○

トランク アップリンク ポート グループは、0 ～ 4094 の VLAN 範囲で構成する必要があります。

VLAN 構成

○

VLAN のみ（VXLAN なし）の構成がサポートされます。

チーミングとフェイルオーバー：

• ロード バランシング

• アップリンク フェイルオーバー順序:

○

ロード バランシングでサポートされるオプション（チーミング ポリシー）:

• 明示的なフェイルオーバー順序を使用

• 発信元 MAC ハッシュに基づいたルート

他のロード バランシング オプションはサポートされていません。

チーミングとフェイルオーバー：

• ネットワーク障害検出

• スイッチへの通知

• リバース ポリシー

• ロール順序

×

VDS 7.0 以降では、移行中に LACP 機能は変更されません。VDS の以前のバージョンでは、新しい N-VDS スイッチが VDS に置き換わります。これにより、ホストの移行中にトラフィックが失われます。

（DFW IPFIX ではなく）分散仮想スイッチで構成された IPFIX は LACP でサポートされていません。

IP 検出（ARP、ND、DHCPv4、DHCPv6）

○

移行では、次のバインドの上限が NSX-T に適用されます。

• ARP で検出された IP の場合 128

• DHCPv4 で検出された IP の場合 128

• DHCPv6 で検出された IP の場合 15

• ND で検出された IP の場合 15

SpoofGuard（手動、TOFU、無効）

○

スイッチ セキュリティ（BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード）

○

NSX-V のスイッチ セキュリティ モジュールから NSX-T のスイッチ セキュリティ モジュールへのデータパス バインドの移行

○

SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。

VSIP：VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。

検出プロファイル

○

移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。

論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション

○

MAC/IP レプリケーション

×

マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX-V トランスポート ゾーン

×

ユニキャスト レプリケーション モードを使用した NSX-V トランスポート ゾーン

○

Edge Services Gateway とノースバウンド ルーター間のルーティング

○

BGP がサポートされます。

スタティック ルートがサポートされます。

OSPF がサポートされます。

Edge Services Gateway と分散論理ルーター間のルーティング

○

移行後に、ルートがスタティック ルートに変換されます。

ロード バランサ

○

詳細については、移行モードを参照してください。

VLAN でバッキングされたマイクロセグメンテーション環境

○

NAT64

×

NSX-T ではサポートされていません。

Edge Services Gateway または分散論理ルーターのノード レベルの設定。

×

Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。NSX-T Edge ノードで Syslog と NTP を手動で構成できます。

IPv6

×

Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成

×

NSX-T ゲートウェイ インターフェイスの URPF は Strict に設定されています。

Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成

×

IP マルチキャスト ルーティング

×

ルート再配分プレフィックス フィルタ

×

デフォルトの発信元

×

NSX-T ではサポートされていません。

ファイアウォール セクション：表示名

○

ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。

デフォルト ルールのアクション

○

NSX-V API：GatewayPolicy/action

NSX-T API：SecurityPolicy.action

ファイアウォールのグローバル構成

×

デフォルトのタイムアウトが使用されます

ファイアウォール ルール

○

NSX-V API：firewallRule

NSX-T API：SecurityPolicy

ファイアウォール ルール：名前

○

ファイアウォール ルール：ルール タグ

○

NSX-V API：ruleTag

NSX-T API：Rule_tag

ファイアウォール ルールの送信元と宛先：

• グループ オブジェクト

• IP アドレス

○

NSX-V API：

• source/groupingObjectId

• source/ipAddress

NSX-T API：

• source_groups

NSX-V API：

• destination/groupingObjectId

• destination/ipAddress

NSX-T API：

• destination_groups

ファイアウォール ルールの送信元と宛先：

• vNIC グループ

×

ファイアウォール ルールのサービス（アプリケーション）：

• サービス

• サービス グループ

• プロトコル/ポート/送信元ポート

○

NSX-V API：

• application/applicationId

• application/service/protocol

• application/service/port

• application/service/sourcePort

NSX-T API：

• サービス

ファイアウォール ルール：変換後と一致

×

[変換後と一致] は false にする必要があります。

ファイアウォール ルール：方向

○

両方の API：方向

ファイアウォール ルール：アクション

○

両方の API：アクション

ファイアウォール ルール：有効

○

両方の API：有効

ファイアウォール ルール：ログの記録

○

NSX-V API：logging

NSX-T API：logged

ファイアウォール ルール：説明

○

両方の API：説明

NAT ルール

○

NSX-V API：natRule

NSX-T API：/nat/USER/nat-rules

NAT ルール：ルール タグ

○

NSX-V API：ruleTag

NSX-T API：rule_tag

NAT ルール：アクション

○

NSX-V API：action

NSX-T API：action

NAT ルール：元のアドレス（SNAT

ルールの送信元アドレス、DNAT ルールの宛先アドレス）。

○

NSX-V API：originalAddress

NSX-T API：ource_network（SNAT ルール）または destination_network（DNAT ルール）

NAT ルール：translatedAddress

○

NSX-V API：translatedAddress

NSX-T API：translated_network

NAT ルール：特定のインターフェイスへの NAT ルールの適用

×

適用先は「any」にする必要があります。

NAT ルール：ログの記録

○

NSX-V API：loggingEnabled

NSX-T API：logging

NAT ルール：有効

○

NSX-V API：enabled

NSX-T API：disabled

NAT ルール：説明

○

NSX-V API：description

NSX-T API：description

NAT ルール：プロトコル

○

NSX-V API：protocol

NSX-T API：Service

NAT ルール：元のポート（SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート）

○

NSX-V API：originalPort

NSX-T API：Service

NAT ルール：変換後のポート

○

NSX-V API：translatedPort

NSX-T API：Translated_ports

NAT ルール：DNAT ルールの送信元アドレス

○

NSX-V API：dnatMatchSourceAddress

NSX-T API：source_network

NAT ルール：

SNAT ルールの宛先アドレス

○

NSX-V API：snatMatchDestinationAddress

NSX-T API：destination_network

NAT ルール：

DNAT ルールの送信元ポート

○

NSX-V API：dnatMatchSourcePort

NSX-T API：Service

NAT ルール：

SNAT ルールの宛先ポート

○

NSX-V API：snatMatchDestinationPort

NSX-T API：Service

NAT ルール：ルール ID

○

NSX-V API：ruleID

NSX-T API：id と display_name

事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成

○

L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。

証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成

×

SSL に基づく L2 VPN 構成

×

Local Egress を最適化した L2 VPN 構成

×

L2 VPN クライアント モード

×

Dead Peer Detection

○

Dead Peer Detection では、NSX-V と NSX-T のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。

変更後の Dead Peer Detection (DPD) のデフォルト値：

• dpdtimeout

• dpdaction

×

NSX-T では、dpdaction は restart に設定されます。この設定は変更できません。

dpdtimeout の NSX-V 設定が 0 に設定されている場合、NSX-T で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。

変更後の Dead Peer Detection (DPD) のデフォルト値：

• dpddelay

○

NSX-V dpdelay が NSX-T dpdinternal にマッピングされます。

2 つ以上のセッションのローカル サブネットとピア サブネットの重複。

×

NSX-V は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX-T ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。

ピア エンドポイントが any に設定されている IPsec セッション。

×

構成は移行されません。

拡張機能 securelocaltrafficbyip に対する変更。

×

NSX-T サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。

次の拡張機能に対する変更：

auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries

×

これらの拡張機能は NSX-T ではサポートされていないため、変更は移行されません。

モニタリング/健全性チェックの対象：

• LDAP

• DNS

• MSSQL

詳細を確認してください。

(NLB) モニターは移行されません。

(ALB) LDAP および MSSQL モニターは移行されません。ALB にエンタープライズ ライセンスがある場合、DNS モニターは移行されますが、ベーシック ライセンスの場合は移行されません。

アプリケーション ルール

×

L7 をサポートするため、NSX-V は、HAProxy に基づいてアプリケーション ルールを使用します。NSX-T では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。

L7 仮想サーバのポート範囲

(NLB) ×

(ALB) ○

IPv6

×

仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。

プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。

URL、URI、HTTPHEADER アルゴリズム

詳細を確認してください。

(NLB) これらのアルゴリズムを使用するプールは移行されません。

(ALB) ALB にエンタープライズ ライセンスがある場合はサポートされます。ベーシック ライセンスの場合、別のアルゴリズムを選択するためのフィードバックが提供されます。

隔離されたプール

×

異なるモニター ポートを持つ LB プール メンバー

詳細を確認してください。

(NLB) モニター ポートが異なるプール メンバーは移行されません。

(ALB) プール メンバーは移行されますが、モニター ポート構成には含まれません。

プール メンバーの minConn

×

モニタリングの拡張機能

×

SSL セッション ID のパーシステンス/テーブル

(NLB) ×

(ALB) ○

MSRDP パーシステンス/セッション テーブル

×

Cookie アプリケーション セッション/セッション テーブル

(NLB) ×

(ALB) ○

アプリケーションのパーシステンス

(NLB) ×

(ALB) ○

モニタリング対象：

• 明示的なエスケープ

• 終了

• 遅延

×

モニタリング対象：

• 送信

• 期待値

• タイムアウト

• 間隔

• maxRetries

○

Haproxy/IPVS の調整

×

プール IP フィルタ

• IPv4 アドレス

○

IPv4 IP アドレスがサポートされます。

Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。

プール IP フィルタ

• IPv6 アドレス

×

サポートされていないグループ オブジェクトを含むプール：

• クラスタ

• データセンター

• 分散ポート グループ

• MAC セット

• 仮想アプリケーション

×

サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。

分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している

○

DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。

DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。

DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。

DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない

×

DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない

×

IP アドレス プール

○

静的割り当て

○

DHCP リース

○

全般的な DHCP オプション

○

無効になっている DHCP サービス

×

NSX-T では、DHCP サービスを無効にすることはできません。NSX-V で無効になっている DHCP サービスは移行されません。

DHCP オプション：その他

×

DHCP オプションの [その他] フィールドは移行されません。

たとえば、DHCP オプション 80 は移行されません。

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

実体のない IP プール/バインド

×

DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。

論理スイッチが直接接続している Edge Service Gateway の DHCP 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。

DNS ビュー

○

最初の dnsView のみが NSX-T のデフォルトの DNS フォワーダ ゾーンに移行されます。

DNS 構成

○

すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

DNS – L3 VPN

○

新しく構成した NSX-T DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

論理スイッチが直接接続している Edge Service Gateway の DNS 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX-T は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。

Identity Firewall

○

セクション -

• 名前

• 説明

• TCP Strict

• ステートレス ファイアウォール

○

ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。

ユニバーサル セクション

○（NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合）

ルール – 送信元/宛先：

• IP アドレス/範囲/CIDR

• 論理ポート

• 論理スイッチ

○

ルール – 送信元/宛先：

• 仮想マシン

• 論理ポート

• セキュリティ グループ/IP セット/MAC セット

○

セキュリティ グループにマッピング

ルール – 送信元/宛先：

• クラスタ

• データセンター

• DVPG

• vSS

• ホスト

×

ルール – 送信元/宛先：

• ユニバーサル論理スイッチ

○（NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合）

ルール - 適用先：

• 任意

○

分散ファイアウォールにマッピング

ルール - 適用先：

• セキュリティ グループ

• 論理ポート

• 論理スイッチ

• 仮想マシン

○

セキュリティ グループにマッピング

ルール - 適用先：

• クラスタ

• データセンター

• DVPG

• vSS

• ホスト

×

ルール - 適用先：

• ユニバーサル論理スイッチ

×

○（NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合）

ルール – 送信元/宛先：

• NSX-V ホスト上にない仮想マシン

分散ファイアウォールで無効になっているルール

○

クラスタ レベルでの分散ファイアウォールの無効化

×

NSX-T で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。

IP セット

○

メンバー数が 200 万までの IP セット（IP アドレス、IP アドレス サブネット、IP 範囲）を移行できます。これより多いメンバー数の IP セットは移行されません。

MAC セット

○

メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。

メンバーが存在しないセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。

サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。

セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。

セキュリティ グループ内のメンバーシップの除外

×

除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。

セキュリティ グループの静的メンバーシップ

○

セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。

• セキュリティ グループがレイヤー 2 またはレイヤー 3 のいずれかのルールで使用されている場合、システムによって生成された 1 つの静的メンバーがセキュリティ グループに追加されます。

• セキュリティ グループがレイヤー 2 とレイヤー 3 の両方のルールで使用されている場合、システム生成の静的メンバーが 2 つ追加されます。

構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ（静的またはエンティティの所属先）：

• クラスタ

• データセンター

• ディレクトリ グループ

• 分散ポート グループ

• レガシー ポート グループ/ネットワーク

• リソース プール

• vApp

×

セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ（静的またはエンティティの所属先）：

• セキュリティ グループ

• IP セット

• MAC セット

○

セキュリティ グループ、IP セット、MAC セットは、グループとして NSX-T に移行されます。NSX-V セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。

これらの静的メンバーのいずれかが NSX-T に移行されなかった場合、親のセキュリティ グループは NSX-T に移行されません。

たとえば、メンバーが 200 万を超える IP セットを NSX-T に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。

セキュリティ グループのメンバータイプ（静的またはエンティティの所属先）：

• 論理スイッチ（仮想ワイヤー）

○

セキュリティ グループに、NSX-T セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX-T に移行されません。

セキュリティ グループのメンバータイプ（静的またはエンティティの所属先）：

• セキュリティ タグ

○

セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。

エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。

セキュリティ グループのメンバータイプ（静的またはエンティティの所属先）：

• vNIC

• 仮想マシン

○

• vNIC と仮想マシンは、ExternalIDExpression として移行されます。

• セキュリティ グループを移行するときに、実体のない仮想マシン（ホストから削除された仮想マシン）は無視されます。

• NSX-T にグループが表示されてから、しばらくすると、仮想マシンと vNIC のメンバーシップが更新されます。この間、一時的なグループが存在し、その一時グループがメンバーとして表示される場合があります。ただし、ホストの移行が完了すると、これらの一時グループは表示されなくなります。

動的メンバーシップに「正規表現に一致」演算子を使用

×

これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。

属性の動的メンバーシップ基準に使用可能な他の演算子を使用：

• セキュリティ タグ

• 仮想マシン名

• コンピュータ名

• コンピュータ OS 名

○

仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。

セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。

「エンティティの所属先」基準

○

静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。

「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。

セキュリティ グループ内の動的なメンバーシップ基準に対する演算子（AND、OR）

はい

NSX-V セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。

• 1 つ以上の動的セット。

• 各動的セットには、1 つ以上の動的基準を含めることができます。たとえば、「Web を含む仮想マシン名」と指定します。

• 動的セット内の任意またはすべての動的基準と照合するかどうかを選択できます。

• 動的セットで AND または OR を使用して照合を行うこともできます。

NSX-V では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。

NSX-T では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX-V セキュリティ グループは移行されません。

移行可能なセキュリティ グループの例：

• OR で関連付けられた 5 つの動的セット。各動的セットには、AND で関連付けられた動的基準を 5 つまで使用できます（NSX-V の場合は All）。

• OR で関連付けられた 5 つの動的基準を含む 1 つの動的セット（NSX-V の場合は Any）。

• AND で関連付けられた 5 つの動的基準を含む 1 つの動的セット（NSX-V の場合は All）。すべてのメンバータイプが同一である必要があります。

• AND で関連付けれた 5 つの動的セット。各動的セットで使用できる動的基準は 1 つだけです。すべてのメンバータイプが同一である必要があります。

AND 演算子と「エンティティの所属先」条件を使用することはできません。

サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。

セキュリティ タグ

○

仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。

注：セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。

仮想マシンに適用されないセキュリティ タグは移行されません。

サービスとサービス グループ（アプリケーションとアプリケーション グループ）

○

デフォルトのサービスとサービス グループの大半は、NSX-T サービスにマッピングされます。NSX-T にサービスまたはサービス グループが存在しない場合、NSX-T で新しいサービスが作成されます。

APP_ALL と APP_POP2 サービス グループ

×

これらのシステム定義のサービス グループは移行されません。

名前が競合するサービスとサービス グループ

○

NSX-T で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX-T で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。

レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ

×

空のサービス グループ

×

NSX-T は、空のサービスをサポートしていません。

レイヤー 2 サービス

○

NSX-V レイヤー 2 サービスは NSX-T サービス エントリ EtherTypeServiceEntry として移行されます。

レイヤー 3 サービス

○

プロトコルに応じて、NSX-V レイヤー 3 サービスは、次のように NSX-T サービス エントリに移行されます。

• TCP/UDP プロトコル：L4PortSetServiceEntry

• ICMP/IPV6ICMP プロトコル：

ICMPTypeServiceEntry

• IGMP プロトコル：IGMPTypeServiceEntry

• その他のプロトコル：IPProtocolServiceEntry

レイヤー 4 サービス

○

NSX-T サービス エントリ ALGTypeServiceEntry として移行されます。

レイヤー 7 サービス

○

NSX-T サービス エントリ PolicyContextProfile として移行されます。

NSX-V レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX-T にサービスが作成され、PolicyContextProfile にマッピングされます。

レイヤー 7 サービス グループ

×

ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール

○

NSX-T では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。

Active Directory (AD) サーバ

×