この移行モードでは、分散ファイアウォール (DFW) 構成を NSX-V から NSX-T に移行します。Identity Firewall (IDFW) が構成されている場合は、これも移行されます。

IDFW の移行の詳細については、「Identity Firewall の移行(エンドツーエンドおよびリフトアンドシフト)」を参照してください。

次の論理オブジェクト構成が移行されます。
  • ユーザー定義の分散ファイアウォール (DFW) ルール
  • グループ オブジェクト
    • IP セット
    • MAC セット
    • セキュリティ グループ
    • サービスとサービス グループ
    • セキュリティ タグ
  • Service Composer を使用して作成されたセキュリティ ポリシー(DFW ルール構成のみが移行される)

    Service Composer のゲスト イントロスペクション サービスの構成およびネットワーク イントロスペクション ルールの構成は移行されません。

DFW 構成によって、DFW 構成の移行後にワークロード仮想マシンを移行する方法が異なります。どの DFW ルールにも「適用先」が構成されていない場合(これは「適用先」が「DFW」に設定されていることを意味します)、vSphere Client を使用してワークロード仮想マシンを移行できます(ワークロード仮想マシンの移行(シンプルなケース)の手順に従います)。それ以外の場合は、スクリプトを使用して仮想マシンを移行する必要があります(「ワークロード仮想マシンの移行(複雑なケース)」の手順に従います)。

プライマリ モードの NSX Manager とプライマリ サイト上のユニバーサル オブジェクトを含むがセカンダリ NSX Manager は含まない、単一サイトの NSX-V 展開の移行がサポートされています。このような単一サイトの NSX-V の展開は、ローカル オブジェクトのみを使用する単一サイトの NSX-T 環境(非統合)に移行されます。

分散ファイアウォール構成の移行に対応している構成の詳細については、移行の機能サポートの詳細を参照してください。

この場合、次のことが移行の目標となります。
  • 既存の分散ファイアウォール構成のみを NSX-V から NSX-T に移行します。
  • レイヤー 2 Edge ブリッジと vSphere vMotion を使用して、NSX-V から NSX-T にワークロード仮想マシンを移行します。

レイヤー 2 ネットワークを拡張するには、NSX-T ネイティブ Edge ブリッジを使用します。

重要: DFW 構成を NSX-V から NSX-T に移行する際にリフトアンドシフトを使用する場合は、「DFW のみ」移行モードを一度だけ実行する必要があります。DFW 構成を NSX-T に移行した後は、 NSX-V 環境の DFW 構成を更新し、「DFW のみ」移行モードを再度実行することはできません。「DFW のみ」移行モードを複数回実行することはお勧めしません。

DFW のみの移行の前提条件

  • この移行用に新しい NSX-T 環境が準備される。
  • この移行前に、NSX-T にユーザー定義の DFW ルールが存在しない。
  • NSX-V ダッシュボードで、[システム概要] ペインのすべての状態が緑になっている。
  • NSX-V 環境で、分散ファイアウォールおよび Service Composer ポリシーに未公開の変更がない。
  • NSX 管理対象クラスタ(NSX-v および NSX-T)内のすべてのホストが同じバージョンの VDS に接続し、NSX 管理対象クラスタ内の各ホストが 1 つのバージョンの VDS のメンバーになっている必要があります。
注:
  • DFW のみの構成のリフト アンド シフト移行には、NSX-V から NSX-T へのホストの移行は含まれません。したがって、NSX-V 環境で使用される ESXi バージョンが NSX-T でサポートされることは 必須ではありません。
  • DFW のみの移行モードでは、既存の接続セッションのファイアウォール状態 (DVFilter) が、vMotion を含む移行全体を通じて維持されます。仮想マシンを単一の vCenter Server 内で移行しているか、vCenter Server 間で移行しているかにかかわらず、ファイアウォールの状態は維持されます。また、セキュリティ タグをワークロード仮想マシンに移行した後も、ファイアウォール ルールの動的メンバーシップが維持されます。
  • 移行中に作成されたオブジェクトは、移行が完了する前に更新または削除することはできません。ただし、必要に応じて NSX-T に追加のオブジェクトを作成できます。
  • NSX-T では、DFW はすぐに使用できます。DFW ルール内の送信元と宛先のすべてのフローは、デフォルトで許可されています。NSX-T 環境で分散ファイアウォールが有効になっている場合、NSX-T から NSX-V にワークロード仮想マシンを再度移行することはできません。移行されたワークロード仮想マシンのロールバックはサポートされていません。この状況を回避するには、ワークロード仮想マシンを NSX-T ファイアウォール除外リストに追加してから、vSphere vMotion でワークロードを再度 NSX-V に移行します。
  • DFW 構成の自動移行では、NSX-v 論理スイッチに接続されたワークロード仮想マシンがサポートされます。これらの仮想マシンは、NSX-T オーバーレイ セグメントに移行されます。vSphere 分散仮想ポート グループに接続している NSX-v のワークロード仮想マシンは、NSX 分散仮想ポート グループに自動的に移行されません。これを回避するには、NSX 分散仮想ポート グループを手動で作成し、ワークロード仮想マシンを接続する必要があります。
  • DFW 除外リストは移行されません。移行後に、NSX-T で再作成する必要があります。
  • ワークロード仮想マシンを削除しても、移行中に作成された論理ポートとスイッチは削除されません。これらのポートとスイッチを削除するには、NSX Manager ユーザー インターフェイスまたは API を使用する必要があります。
  • NSX-T のデフォルト セグメントは DHCP サーバをサポートしていないため、移行後にサーバが停止します。