移行可能な NSX-V の機能と構成は次のとおりです。
プラットフォーム サポート
サポートされる ESXi と VMware vCenter のバージョンについては、VMware 相互運用性マトリックスを参照してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
vSphere Distributed Switch の vSAN または iSCSI を使用する NSX-V |
○ |
|
既存の NSX 構成 |
× |
新しい NSX 環境を展開する必要があります。 移行モードがユーザー定義のトポロジでない場合、[構成のインポート] ステップで NSX 環境内のすべての NSX Edge ノード インターフェイスがシャットダウンされます。NSX 環境が使用中の場合、トラフィックが中断されます。 |
Cross-vCenter NSX |
○ |
[NSX for vSphere の移行] モードと [ユーザー定義トポロジ] を選択した場合にのみサポートされます。 |
Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX-V |
○ |
Aria Automation を使用した NSX-V の移行がサポートされています。 移行を続行する前に、VMware の担当者にお問い合わせください。統合環境を移行する場合、スクリプトおよび統合が中断することがあります。
次はその例です。
|
vSphere と ESXi の機能
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
すでにメンテナンス モードになっている ESXi ホスト(仮想マシンなし) |
○ |
|
Network I/O Control (NIOC) バージョン 3 |
○ |
|
Network I/O Control (NIOC) バージョン 2 |
× |
|
Network I/O Control (NIOC) と vNIC の予約 |
× |
|
vSphere 標準スイッチ |
× |
VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX-V の機能は移行できません。 |
vSphere Distributed Switch |
○ | |
ステートレス ESXi |
× |
|
ホスト プロファイル |
× |
|
ESXi ロックダウン モード |
× |
NSX ではサポートされていません。 |
メンテナンス モードのタスクが保留中の ESXi ホスト。 |
× |
|
vCenter Server クラスタ内で切断されている ESXi ホスト |
× |
|
vSphere FT |
× |
|
完全に自動化された vSphere DRS |
○ |
vSphere 7.0 以降でサポートされています。 |
vSphere High Availability |
○ |
|
トラフィック フィルタリングの ACL |
× |
|
vSphere 健全性チェック |
× |
|
SRIOV |
× |
|
物理 NIC に固定された vmknic |
× |
|
プライベート VLAN |
× |
|
短期 dvPortGroup |
× |
|
DirectPath I/O |
× |
|
L2 セキュリティ |
× |
|
仮想ワイヤーでのスイッチの学習 |
× |
|
ハードウェア ゲートウェイ(物理スイッチング ハードウェアとトンネル エンドポイントの統合) |
× |
|
SNMP |
× |
|
仮想マシンでの vNIC の切断 |
× |
ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。 |
4789 以外の VXLAN ポート番号 |
× |
|
マルチキャスト フィルタリング モード |
× |
|
複数の VTEP を持つホスト |
○ |
NSX Manager アプライアンスのシステム構成
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
NTP サーバ/時間設定 |
○ |
|
Syslog サーバの構成 |
○ |
|
構成のバックアップ |
○ |
必要であれば、NSX-V 要件に合わせて NSX パスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。
|
FIPS |
× |
NSX では FIPS のオン/オフはサポートされていません。 |
ロケール |
× |
NSX は、英語ロケールのみをサポートします。 |
アプライアンスの証明書 |
× |
ロールベースのアクセス コントロール
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
ローカル ユーザー |
× |
|
LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール |
○ |
LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。 |
vCenter Server グループに割り当てられた NSX ロール |
× |
証明書
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
証明書(サーバ、CA 署名済み) |
○ |
トラストストア API を介して追加された証明書にのみ適用されます。 |
移行中の証明書の変更 |
○ |
vSphere ネットワークの移行を除くすべての移行モードで移行が一時停止されている場合、証明書の変更がサポートされます。ホストとワークロードの移行中はサポートされません。 |
運用
詳細 |
サポート |
メモ |
---|---|---|
検出プロトコル CDP |
注を参照してください。 |
VDS 7.0 に移行する場合はサポートされ、N-VDS に移行する場合はサポートされません。 |
検出プロトコル LLDP |
○ |
リッスン モードはデフォルトでオンになっています。NSX では変更できません。アドバタイズ モードのみを変更できます。 |
PortMirroring:
|
○ |
移行では L3 セッション タイプのみがサポートされます。 |
PortMirroring:
|
× |
|
L2 IPFIX |
○ |
IPFIX の LAG はサポートされていません。 |
分散ファイアウォールからの IPFIX 設定 |
× |
|
MAC ラーニング |
○ |
偽装転送を有効にする(受け入れる)必要があります。 |
ハードウェア VTEP |
× |
|
無作為検出モード |
× |
|
リソース割り当て |
× |
リソース割り当てが有効な vNIC はサポートされていません。 |
IPFIX – 内部フロー |
× |
内部フローを使用する IPFIX はサポートされていません。 |
スイッチ
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
L2 ブリッジ |
× |
|
トランク VLAN |
インプレース移行の場合は○ リフトアンドシフト移行の場合は× |
トランク アップリンク ポート グループは、0 ~ 4094 の VLAN 範囲で構成する必要があります。 |
VLAN 構成 |
○ |
VLAN のみ(VXLAN なし)の構成がサポートされます。 |
チーミングとフェイルオーバー:
|
○ |
ロード バランシングでサポートされるオプション(チーミング ポリシー):
他のロード バランシング オプションはサポートされていません。 |
チーミングとフェイルオーバー:
|
× |
|
LACP | ○ | VDS 7.0 以降では、移行中に LACP 機能は変更されません。VDS の以前のバージョンでは、新しい N-VDS スイッチが VDS に置き換わります。これにより、ホストの移行中にトラフィックが失われます。 (DFW IPFIX ではなく)分散仮想スイッチで構成された IPFIX は LACP でサポートされていません。 |
スイッチのセキュリティと IP 検出
NSX-V 構成 |
移行のサポート |
詳細 |
---|---|---|
IP 検出(ARP、ND、DHCPv4、DHCPv6) |
○ |
移行では、次のバインドの上限が NSX に適用されます。
|
SpoofGuard(手動、TOFU、無効) |
○ |
|
スイッチ セキュリティ(BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード) |
○ |
|
NSX-V のスイッチ セキュリティ モジュールから NSX のスイッチ セキュリティ モジュールへのデータパス バインドの移行 |
○ |
SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。 VSIP:VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。 |
検出プロファイル |
○ |
移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。 |
中央制御プレーン
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション |
○ |
|
MAC/IP レプリケーション |
× |
|
マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX-V トランスポート ゾーン |
× |
|
ユニキャスト レプリケーション モードを使用した NSX-V トランスポート ゾーン |
○ |
NSX Edge の機能
サポートされるトポロジの詳細については、サポートされているトポロジを参照してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Edge Services Gateway とノースバウンド ルーター間のルーティング |
○ |
BGP がサポートされます。 スタティック ルートがサポートされます。 OSPF がサポートされます。 |
Edge Services Gateway と分散論理ルーター間のルーティング |
○ |
移行後に、ルートがスタティック ルートに変換されます。 |
ロード バランサ |
○ |
|
VLAN でバッキングされたマイクロセグメンテーション環境 |
○ |
詳細については、サポートされているトポロジを参照してください。 |
NAT64 |
× |
NSX ではサポートされていません。 |
Edge Services Gateway または分散論理ルーターのノード レベルの設定。 |
× |
Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。NSX Edge ノードで Syslog と NTP を手動で構成できます。 |
IPv6 |
× |
|
Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成 |
× |
NSX ゲートウェイ インターフェイスの URPF は Strict に設定されています。 |
Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成 |
× |
NSX のデフォルト MTU の変更方法については、グローバル MTU 設定の変更を参照してください。 |
IP マルチキャスト ルーティング |
× |
|
ルート再配分プレフィックス フィルタ |
× |
|
デフォルトの発信元 |
× |
NSX ではサポートされていません。 |
Edge ファイアウォール
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
ファイアウォール セクション:表示名 |
○ |
ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。 |
デフォルト ルールのアクション |
○ |
NSX-V API:GatewayPolicy/action NSX API:SecurityPolicy.action |
ファイアウォールのグローバル構成 |
× |
デフォルトのタイムアウトが使用されます |
ファイアウォール ルール |
○ |
NSX-V API:firewallRule NSX API:SecurityPolicy |
ファイアウォール ルール:名前 |
○ |
|
ファイアウォール ルール:ルール タグ |
○ |
NSX-V API:ruleTag NSX API:Rule_tag |
ファイアウォール ルールの送信元と宛先:
|
○ |
NSX-V API:
NSX API:
NSX-V API:
NSX API:
|
ファイアウォール ルールの送信元と宛先:
|
× |
|
ファイアウォール ルールのサービス(アプリケーション):
|
○ |
NSX-V API:
NSX API:
|
ファイアウォール ルール:変換後と一致 |
× |
[変換後と一致] は false にする必要があります。 |
ファイアウォール ルール:方向 |
○ |
両方の API:方向 |
ファイアウォール ルール:アクション |
○ |
両方の API:アクション |
ファイアウォール ルール:有効 |
○ |
両方の API:有効 |
ファイアウォール ルール:ログの記録 |
○ |
NSX-V API:logging NSX API:logged |
ファイアウォール ルール:説明 |
○ |
両方の API:説明 |
Edge NAT
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
NAT ルール |
○ |
NSX-V API:natRule NSX API:/nat/USER/nat-rules |
NAT ルール:ルール タグ |
○ |
NSX-V API:ruleTag NSX API:rule_tag |
NAT ルール:アクション |
○ |
NSX-V API:action NSX API:action |
NAT ルール:元のアドレス(SNAT ルールの送信元アドレス、DNAT ルールの宛先アドレス)。 |
○ |
NSX-V API:originalAddress NSX API:ource_network(SNAT ルール)または destination_network(DNAT ルール) |
NAT ルール:translatedAddress |
○ |
NSX-V API:translatedAddress NSX API:translated_network |
NAT ルール:特定のインターフェイスへの NAT ルールの適用 |
× |
適用先は「any」にする必要があります。 |
NAT ルール:ログの記録 |
○ |
NSX-V API:loggingEnabled NSX API:logging |
NAT ルール:有効 |
○ |
NSX-V API:enabled NSX API:disabled |
NAT ルール:説明 |
○ |
NSX-V API:description NSX API:description |
NAT ルール:プロトコル |
○ |
NSX-V API:protocol NSX API:Service |
NAT ルール:元のポート(SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート) |
○ |
NSX-V API:originalPort NSX API:Service |
NAT ルール:変換後のポート |
○ |
NSX-V API:translatedPort NSX API:Translated_ports |
NAT ルール:DNAT ルールの送信元アドレス |
○ |
NSX-V API:dnatMatchSourceAddress NSX API:source_network |
NAT ルール: SNAT ルールの宛先アドレス |
○ |
NSX-V API:snatMatchDestinationAddress NSX API:destination_network |
NAT ルール: DNAT ルールの送信元ポート |
○ |
NSX-V API:dnatMatchSourcePort NSX API:Service |
NAT ルール: SNAT ルールの宛先ポート |
○ |
NSX-V API:snatMatchDestinationPort NSX API:Service |
NAT ルール:ルール ID |
○ |
NSX-V API:ruleID NSX API:id と display_name |
L2 VPN
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成 |
○ |
L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。 |
証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成 |
× |
|
SSL に基づく L2 VPN 構成 |
× |
|
Local Egress を最適化した L2 VPN 構成 |
× |
|
L2 VPN クライアント モード |
× |
L3 VPN
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Dead Peer Detection |
○ |
Dead Peer Detection では、NSX-V と NSX のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。 |
変更後の Dead Peer Detection (DPD) のデフォルト値:
|
× |
NSX では、dpdaction は restart に設定されます。この設定は変更できません。 dpdtimeout の NSX-V 設定が 0 に設定されている場合、NSX で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。 |
変更後の Dead Peer Detection (DPD) のデフォルト値:
|
○ |
NSX-V dpdelay が NSX dpdinternal にマッピングされます。 |
2 つ以上のセッションのローカル サブネットとピア サブネットの重複。 |
× |
NSX-V は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。 |
ピア エンドポイントが any に設定されている IPsec セッション。 |
× |
構成は移行されません。 |
拡張機能 securelocaltrafficbyip に対する変更。 |
× |
NSX サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。 |
次の拡張機能に対する変更: auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries |
× |
これらの拡張機能は NSX ではサポートされていないため、変更は移行されません。 |
ロード バランサ
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
モニタリング/健全性チェックの対象:
|
詳細を確認してください。 |
モニターは移行されません。 |
アプリケーション ルール |
× |
L7 をサポートするため、NSX-V は、HAProxy に基づいてアプリケーション ルールを使用します。NSX では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。 |
L7 仮想サーバのポート範囲 |
× |
|
IPv6 |
× |
仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。 プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。 |
URL、URI、HTTPHEADER アルゴリズム |
詳細を確認してください。 |
これらのアルゴリズムを使用するプールは移行されません。 |
隔離されたプール |
× |
|
異なるモニター ポートを持つ LB プール メンバー |
詳細を確認してください。 |
モニター ポートが異なるプール メンバーは移行されません。 |
プール メンバーの minConn |
× |
|
モニタリングの拡張機能 |
× |
|
SSL セッション ID のパーシステンス/テーブル |
× |
|
MSRDP パーシステンス/セッション テーブル |
× |
|
Cookie アプリケーション セッション/セッション テーブル |
× |
|
アプリケーションのパーシステンス |
× |
|
モニタリング対象:
|
× |
|
モニタリング対象:
|
○ |
|
Haproxy/IPVS の調整 |
× |
|
プール IP フィルタ
|
○ |
IPv4 IP アドレスがサポートされます。 Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。 |
プール IP フィルタ
|
× |
|
サポートされていないグループ オブジェクトを含むプール:
|
× |
サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。 |
DHCP および DNS
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している |
○ |
DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。 DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。 DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。 |
DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない |
× |
|
DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない |
× |
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
IP アドレス プール |
○ |
|
静的割り当て |
○ |
|
DHCP リース |
○ |
|
全般的な DHCP オプション |
○ |
|
無効になっている DHCP サービス |
× |
NSX では、DHCP サービスを無効にすることはできません。NSX-V で無効になっている DHCP サービスは移行されません。 |
DHCP オプション:その他 |
× |
DHCP オプションの [その他] フィールドは移行されません。 たとえば、DHCP オプション 80 は移行されません。 <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
実体のない IP プール/バインド |
× |
DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。 |
論理スイッチが直接接続している Edge Service Gateway の DHCP 構成 |
× |
移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。 |
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
DNS ビュー |
○ |
最初の dnsView のみが NSX のデフォルトの DNS フォワーダ ゾーンに移行されます。 |
DNS 構成 |
○ |
すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。 |
DNS – L3 VPN |
○ |
新しく構成した NSX DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。 |
論理スイッチが直接接続している Edge Service Gateway の DNS 構成 |
× |
移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。 |
分散ファイアウォール (DFW)
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Identity Firewall |
○ |
|
セクション -
|
○ |
ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。 |
ユニバーサル セクション |
○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合) |
|
ルール – 送信元/宛先:
|
○ |
|
ルール – 送信元/宛先:
|
○ |
セキュリティ グループにマッピング |
ルール – 送信元/宛先:
|
× |
|
ルール – 送信元/宛先:
|
○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合) |
|
ルール – 送信元/宛先:
|
× | NSX は、NSX ポートグループまたはネットワークに接続されていないオブジェクトの参照をサポートしていません。移行が完了すると、これらのオブジェクトは送信元または宛先から失われます。この問題を回避するには、移行前に NSX-V の IP アドレスを使用してこれらのオブジェクトを参照します。 |
ルール - 適用先:
|
○ |
分散ファイアウォールにマッピング |
ルール - 適用先:
|
○ |
セキュリティ グループにマッピング |
ルール - 適用先:
|
× |
|
ルール - 適用先:
|
× ○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合) |
|
分散ファイアウォールで無効になっているルール |
○ |
|
クラスタ レベルでの分散ファイアウォールの無効化 |
× |
NSX で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。 |
DFW 除外リスト | × | DFW 除外リストは移行されません。移行後に、NSX で再作成する必要があります。 |
パートナー サービス:East-West ネットワーク イントロスペクション
NSX-V 構成 | サポート | 詳細 |
---|---|---|
サービス |
× |
サービス登録は移行されません。移行前に、パートナーが NSX にサービスを登録する必要があります。 |
ベンダー テンプレート |
× |
ベンダー テンプレートは移行されません。移行前に、パートナーが NSX にベンダー テンプレートを登録する必要があります。 |
サービス プロファイル |
× |
サービス プロファイルは移行されません。移行前に、パートナーがサービス プロファイルを作成する必要があります。 移行の [構成の解決] 手順で、各 NSX-V サービス プロファイルを NSX サービス プロファイルにマッピングするように求められます。サービス プロファイルのマッピングを省略すると、これらのサービス プロファイルを使用するルールは移行されません。 NSX のサービス チェーンは、NSX-V のサービス プロファイルごとに作成されます。サービス チェーンが次の命名規則に従って作成されます。 Service-Chain-service_profile_name サービス チェーンの転送パスとリバース パスで同じサービス プロファイルが使用されます。 |
サービス インスタンス |
× |
パートナー サービス仮想マシン (SVM) は移行されません。NSX-V パートナー SVM は NSX で使用できません。 NSX の East-West ネットワーク イントロスペクション サービスの場合は、パートナー サービス仮想マシンをオーバーレイ セグメントに展開する必要があります。 |
セクション
|
○ |
セクションがリダイレクト ポリシーにマッピングされます。 ID はユーザー定義です。NSX では自動的に生成されません。 NSX-V のファイアウォール セクションに 1,000 個を超えるルールがある場合、1,000 ルールごとに複数のセクションに移行されます。たとえば、1 つのセクションに 2,500 個のルールが含まれている場合、3 つのポリシーが作成されます。Policy 1 には 1,000 個のルール、Policy 2 には 1,000 個のルール、Policy 3 には 500 個のルールがそれぞれ含まれます。 NSX-V のステートフルまたはステートレス ファイアウォール ルールは、NSX のステートフルまたはステートレス リダイレクト ルールに移行されます。 |
パートナー サービス:ルール |
||
名前 |
○ |
|
ルール ID |
○ |
ルール ID はシステムによって生成されます。NSX-V のルール ID とは異なる場合があります。 |
送信元の無効化 |
○ |
|
宛先の無効化 |
○ |
|
送信元/宛先
|
○ |
|
サービス/サービス グループ |
○ |
詳細については、「サービスとサービス グループ」の表を参照してください。 |
詳細設定
|
○ |
|
サービス プロファイルとアクション
|
○ |
サービス プロファイルのバインドでは、分散仮想ポート グループ (DVPG)、論理スイッチ、セキュリティ グループをメンバーとして設定できます。NSX-V のサービス プロファイルのバインドは NSX のリダイレクト ルールの適用先フィールドにマッピングされます。[適用先] フィールドにはグループのみを指定できます。このフィールドにより、ルールの範囲が決まります。 NSX では、ルールのリダイレクトはポリシーのレベルで行われます。リダイレクト ポリシーのすべてのルールには同じスコープ(適用先)が設定されます。 NSX リダイレクト ルールの [適用先] フィールドには、最大で 128 個のメンバーを含めることができます。サービス プロファイルのバインドのメンバー数が 128 を超えている場合は、メンバーの数を 128 以下にしてから移行を開始してください。
たとえば、サービス プロファイルのバインドに 140 個のメンバー(セキュリティ グループ)があるとします。移行を開始する前に、
NSX-V で次の操作を行います。
これで、サービス プロファイル バインドのメンバーの合計数は 128 (127 + 1) になります。 |
ルールの有効化/無効化 |
○ |
- サービス セグメント
- 移行の [構成の解決] 手順で選択したオーバーレイ トランスポート ゾーンにサービス セグメントが作成されます。 NSX-V 環境で、 NSX-V を使用して VXLAN トランスポート ゾーンを準備していない場合は、 NSX のデフォルトのオーバーレイ トランスポート ゾーンを選択して、サービスセグメントを作成できます。 NSX-V で 1 つ以上の VXLAN トランスポート ゾーンが準備されている場合は、1 つのオーバーレイ トランスポート ゾーンを選択して NSX にサービス セグメントを作成する必要があります。
- サービス プロファイルの優先順位
- NSX-V では、サービス プロファイルに優先順位があります。サービスに複数のサービス プロファイルがあり、複数のプロファイルが同じ vNIC にバインドされている場合、優先順位の高いサービス プロファイルから vNIC に適用されます。ただし、 NSX では、サービス プロファイルに優先順位が設定されていません。複数のリダイレクト ルールで同じ設定が適用されている場合、ルールの順序によって最初に一致するルールが決まります。つまり、プロファイルの優先順位が高いルールは、 NSX ルール テーブルでプロファイル優先度が低いルールの前に配置されます。詳細な例については、 NSX での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 2 を参照してください。
- サービスの優先順位
-
複数のサービスにトラフィックをリダイレクトするため、NSX-V はサービス挿入データ パスに複数の DVFilter スロットを使用します。1 つの DVFilter スロットにより、1 つのサービスにトラフィックがリダイレクトされます。スロット内で、優先順位の高いサービスは優先順位の低いサービスよりも上に配置されます。NSX では、1 つの DVFilter スロットのみが使用され、トラフィックがサービス チェーンにリダイレクトされます。NSX に移行後、優先順位の高いパートナー サービスを使用するルールは、優先順位の低いパートナー サービスを使用するルールより前に配置されます。詳細な例については、NSX での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 3 を参照してください。
vNIC 上のトラフィックを複数のパートナー サービスにリダイレクトすることはできません。1 つのパートナー サービスにのみリダイレクトされます。すべての NSX-V ルールが NSX に移行されますが、移行後のルール構成では 1 つのサービス プロファイルのみのサービス チェーンが使用されます。リダイレクト ルールで使用される既存のサービス チェーンは変更できません。
回避策:vNIC 上のトラフィックを複数のサービスにリダイレクトするには、新しいサービス チェーンを作成し、サービス チェーンでサービス プロファイルの順序を定義します。この新しいサービス チェーンを使用するように、移行後のルールを更新します。
オブジェクトと Service Composer のグループ化
IP セットと MAC セットは、グループとして NSX に移行されます。NSX Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
IP セット |
○ |
メンバー数が 200 万までの IP セット(IP アドレス、IP アドレス サブネット、IP 範囲)を移行できます。これより多いメンバー数の IP セットは移行されません。 |
MAC セット |
○ |
メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。 |
セキュリティ グループは、上記の制限付きで移行されます。セキュリティ グループは、グループとして NSX に移行されます。NSX Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX-V には、システム定義とユーザー定義のセキュリティ グループがあります。これらはすべて、ユーザー定義のグループとして NSX に移行されます。
移行後のグループの合計数が、NSX-V のセキュリティ グループの数と一致しないことがあります。たとえば、仮想マシンがソースとして設定されている分散ファイアウォール ルールの場合、仮想マシンをメンバーとして持つ新しいグループのルールに移行されます。これにより、移行後の NSX のグループの合計数が増加します。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
メンバーが存在しないセキュリティ グループ |
× |
セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。 |
サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ |
× |
セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。 セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。 |
セキュリティ グループ内のメンバーシップの除外 |
× |
除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。 |
セキュリティ グループの静的メンバーシップ |
○ |
セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。
構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
× |
セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ グループ、IP セット、MAC セットは、グループとして NSX に移行されます。NSX-V セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。 これらの静的メンバーのいずれかが NSX に移行されなかった場合、親のセキュリティ グループは NSX に移行されません。 たとえば、メンバーが 200 万を超える IP セットを NSX に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ グループに、NSX セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX に移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。 エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
|
動的メンバーシップに「正規表現に一致」演算子を使用 |
× |
これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。 |
属性の動的メンバーシップ基準に使用可能な他の演算子を使用:
|
○ |
仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。 セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。 |
「エンティティの所属先」基準 |
○ |
静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。 「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。 |
セキュリティ グループ内の動的なメンバーシップ基準に対する演算子(AND、OR) |
はい |
NSX-V セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。
NSX-V では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。 NSX では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX-V セキュリティ グループは移行されません。 移行可能なセキュリティ グループの例:
AND 演算子と「エンティティの所属先」条件を使用することはできません。 サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。 |
NSX-V では、セキュリティ タグは仮想マシンに適用できるオブジェクトになります。NSX に移行すると、セキュリティ タグは仮想マシンの属性になります。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
セキュリティ タグ |
○ |
仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。 注:セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。 仮想マシンに適用されないセキュリティ タグは移行されません。 |
サービスとサービス グループは、サービスとして NSX に移行されます。NSX Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
サービスとサービス グループ(アプリケーションとアプリケーション グループ) |
○ |
デフォルトのサービスとサービス グループの大半は、NSX サービスにマッピングされます。NSX にサービスまたはサービス グループが存在しない場合、NSX で新しいサービスが作成されます。 |
APP_ALL と APP_POP2 サービス グループ |
× |
これらのシステム定義のサービス グループは移行されません。 |
名前が競合するサービスとサービス グループ |
○ |
NSX で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。 |
レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ |
× |
|
空のサービス グループ |
× |
NSX は、空のサービスをサポートしていません。 |
レイヤー 2 サービス |
○ |
NSX-V レイヤー 2 サービスは NSX サービス エントリ EtherTypeServiceEntry として移行されます。 |
レイヤー 3 サービス |
○ |
プロトコルに応じて、NSX-V レイヤー 3 サービスは、次のように NSX サービス エントリに移行されます。
ICMPTypeServiceEntry
|
レイヤー 4 サービス |
○ |
NSX サービス エントリ ALGTypeServiceEntry として移行されます。 |
レイヤー 7 サービス |
○ |
NSX サービス エントリ PolicyContextProfile として移行されます。 NSX-V レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX にサービスが作成され、PolicyContextProfile にマッピングされます。 |
レイヤー 7 サービス グループ |
× |
|
ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール |
○ |
NSX では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。 |
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Service Composer セキュリティ ポリシー |
○ |
セキュリティ ポリシーで定義されたファイアウォール ルールは、分散ファイアウォール ルールとして NSX に移行されます。 Service Composer セキュリティ ポリシーで定義されている無効なファイアウォール ルールは移行されません。 Service Composer セキュリティ ポリシーで定義されているゲスト イントロスペクション ルールまたはネットワーク イントロスペクション ルールが移行されます。 Service Composer が同期状態でない場合、[構成の解決] の手順で警告が表示されます。Service Composer ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をロールバックして、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。 |
セキュリティ グループに適用されない Service Composer セキュリティ ポリシー |
× |
Active Directory サーバの構成
構成 |
サポート |
詳細 |
---|---|---|
Active Directory (AD) サーバ |
× |