Identity Firewall (IDFW) の移行を計画している場合は、いくつかの準備が必要です。
移行の前に、次の要件を満たしていることを確認してください。
- NSX-V に登録されている Active Directory (AD) ドメインが NSX-T に登録されている。
- NSX-V に登録されている LDAP サーバが NSX-T に登録されている。
- NSX-V に登録されたイベント ログ サーバが NSX-T に登録されている。
- NSX-T で、新しく登録された各 Active Directory ドメインの完全同期が完了している。
- NSX-V の IDFW 環境が NSX-T でサポートされている。詳細については、『NSX-T Data Center 管理ガイド』のIdentity Firewall でサポートされる構成を参照してください。
次の点に注意してください。
- 移行中は、新しいユーザーがログインできないようにしてください。
- NSX-V の一部の IDFW ルールは、NSX-T でサポートされていません。これらのルールは、NSX-T に移行できません。移行を続行するには、スキップまたは変更する必要があります。
- IP ベースの IDFW 接続の場合、IDFW を機能させるため、移行後にユーザーが再度ログインする必要があります。これらのユーザーの IDFW 接続を移行中も維持する場合は、これらのユーザーにシャドウ ファイアウォール ルールを手動で作成する必要があります。
- SID ベースの IDFW 接続の場合、IDFW を機能させるために再度ログインする必要はありません。
- NSX-T では、IDFW をグローバル レベルとクラスタ レベルで構成できます。NSX-V は、クラスタ レベルでの IDFW をサポートしていないため、移行後に NSX-T 内のすべてのクラスタで IDFW が有効になります。
- ゲスト イントロスペクション (GI) が他の移行操作によって展開解除されていない場合は、移行後に NSX-V で GI を手動で展開解除する必要があります。
シャドウ ファイアウォール ルールの作成と削除
シャドウ ファイアウォール ルールを作成するには、構成をインポートした後に、
NSX-T で次の操作を行います。
- ディレクトリ グループの IP セットを作成します。
- ディレクトリ グループが属している NSGroup に IP セットを追加します。
- ユーザーがログインしている仮想マシンの IP アドレスを検索します。
- IP アドレスを IP セットに追加します。
仮想マシンが移行され、ユーザーが仮想マシンからログアウトされたら、次の操作を行います。
- IP セットから IP アドレスを削除します。
- IP セットからすべての IP アドレスが削除されたら、NSGroup から IP セットを削除し、IP セットを削除します。