移行可能な NSX-V の機能と構成は次のとおりです。
プラットフォーム サポート
サポートされる ESXi と VMware vCenter のバージョンについては、VMware 相互運用性マトリックスを参照してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
vSphere Distributed Switch の vSAN または iSCSI を使用する NSX-V |
○ |
|
既存の NSX 構成 |
× |
新しい NSX 環境を展開する必要があります。 移行モードがユーザー定義のトポロジでない場合、[構成のインポート] ステップで NSX 環境内のすべての NSX Edge ノード インターフェイスがシャットダウンされます。NSX 環境が使用中の場合、トラフィックが中断されます。 |
Cross-vCenter NSX |
○ |
[NSX for vSphere の移行] モードと [ユーザー定義トポロジ] を選択した場合にのみサポートされます。 |
Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX-V |
○ |
Aria Automation を使用した NSX-V の移行がサポートされています。 移行を続行する前に、VMware の担当者にお問い合わせください。統合環境を移行する場合、スクリプトおよび統合が中断することがあります。
次はその例です。
|
vSphere と ESXi の機能
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
すでにメンテナンス モードになっている ESXi ホスト(仮想マシンなし) |
○ |
|
Network I/O Control (NIOC) バージョン 3 |
○ |
|
Network I/O Control (NIOC) バージョン 2 |
× |
|
Network I/O Control (NIOC) と vNIC の予約 |
× |
|
vSphere 標準スイッチ |
× |
VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX-V の機能は移行できません。 |
vSphere Distributed Switch |
○ | |
ステートレス ESXi |
× |
|
ホスト プロファイル |
× |
|
ESXi ロックダウン モード |
× |
NSX ではサポートされていません。 |
メンテナンス モードのタスクが保留中の ESXi ホスト。 |
× |
|
vCenter Server クラスタ内で切断されている ESXi ホスト |
× |
|
vSphere FT |
× |
|
完全に自動化された vSphere DRS |
○ |
vSphere 7.0 以降でサポートされています。 |
vSphere High Availability |
○ |
|
トラフィック フィルタリングの ACL |
× |
|
vSphere 健全性チェック |
× |
|
SRIOV |
× |
|
物理 NIC に固定された vmknic |
× |
|
プライベート VLAN |
× |
|
短期 dvPortGroup |
× |
|
DirectPath I/O |
× |
|
L2 セキュリティ |
× |
|
仮想ワイヤーでのスイッチの学習 |
× |
|
ハードウェア ゲートウェイ(物理スイッチング ハードウェアとトンネル エンドポイントの統合) |
× |
|
SNMP |
× |
|
仮想マシンでの vNIC の切断 |
× |
ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。 |
4789 以外の VXLAN ポート番号 |
× |
|
マルチキャスト フィルタリング モード |
× |
|
複数の VTEP を持つホスト |
○ |
NSX Manager アプライアンスのシステム構成
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
NTP サーバ/時間設定 |
○ |
|
Syslog サーバの構成 |
○ |
|
構成のバックアップ |
○ |
必要であれば、NSX-V 要件に合わせて NSX パスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。
|
FIPS |
× |
NSX では FIPS のオン/オフはサポートされていません。 |
ロケール |
× |
NSX は、英語ロケールのみをサポートします。 |
アプライアンスの証明書 |
× |
ロールベースのアクセス コントロール
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
ローカル ユーザー |
× |
|
LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール |
○ |
LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。 |
vCenter Server グループに割り当てられた NSX ロール |
× |
証明書
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
証明書(サーバ、CA 署名済み) |
○ |
トラストストア API を介して追加された証明書にのみ適用されます。 |
移行中の証明書の変更 |
○ |
vSphere ネットワークの移行を除くすべての移行モードで移行が一時停止されている場合、証明書の変更がサポートされます。ホストとワークロードの移行中はサポートされません。 |
運用
詳細 |
サポート |
メモ |
---|---|---|
検出プロトコル CDP |
注を参照してください。 |
VDS 7.0 に移行する場合はサポートされ、N-VDS に移行する場合はサポートされません。 |
検出プロトコル LLDP |
○ |
リッスン モードはデフォルトでオンになっています。NSX では変更できません。アドバタイズ モードのみを変更できます。 |
PortMirroring:
|
○ |
移行では L3 セッション タイプのみがサポートされます。 |
PortMirroring:
|
× |
|
L2 IPFIX |
○ |
IPFIX の LAG はサポートされていません。 |
分散ファイアウォールからの IPFIX 設定 |
× |
|
MAC ラーニング |
○ |
偽装転送を有効にする(受け入れる)必要があります。 |
ハードウェア VTEP |
× |
|
無作為検出モード |
× |
|
リソース割り当て |
× |
リソース割り当てが有効な vNIC はサポートされていません。 |
IPFIX – 内部フロー |
× |
内部フローを使用する IPFIX はサポートされていません。 |
スイッチ
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
L2 ブリッジ |
× |
|
トランク VLAN |
インプレース移行の場合は○ リフトアンドシフト移行の場合は× |
トランク アップリンク ポート グループは、0 ~ 4094 の VLAN 範囲で構成する必要があります。 |
VLAN 構成 |
○ |
VLAN のみ(VXLAN なし)の構成がサポートされます。 |
チーミングとフェイルオーバー:
|
○ |
ロード バランシングでサポートされるオプション(チーミング ポリシー):
他のロード バランシング オプションはサポートされていません。 |
チーミングとフェイルオーバー:
|
× |
|
LACP | ○ | VDS 7.0 以降では、移行中に LACP 機能は変更されません。VDS の以前のバージョンでは、新しい N-VDS スイッチが VDS に置き換わります。これにより、ホストの移行中にトラフィックが失われます。 (DFW IPFIX ではなく)分散仮想スイッチで構成された IPFIX は LACP でサポートされていません。 |
スイッチのセキュリティと IP 検出
NSX-V 構成 |
移行のサポート |
詳細 |
---|---|---|
IP 検出(ARP、ND、DHCPv4、DHCPv6) |
○ |
移行では、次のバインドの上限が NSX に適用されます。
|
SpoofGuard(手動、TOFU、無効) |
○ |
|
スイッチ セキュリティ(BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード) |
○ |
|
NSX-V のスイッチ セキュリティ モジュールから NSX のスイッチ セキュリティ モジュールへのデータパス バインドの移行 |
○ |
SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。 VSIP:VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。 |
検出プロファイル |
○ |
移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。 |
中央制御プレーン
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション |
○ |
|
MAC/IP レプリケーション |
× |
|
マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX-V トランスポート ゾーン |
× |
|
ユニキャスト レプリケーション モードを使用した NSX-V トランスポート ゾーン |
○ |
NSX Edge の機能
サポートされるトポロジの詳細については、サポートされているトポロジを参照してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Edge Services Gateway とノースバウンド ルーター間のルーティング |
○ |
BGP がサポートされます。 スタティック ルートがサポートされます。 OSPF がサポートされます。 |
Edge Services Gateway と分散論理ルーター間のルーティング |
○ |
移行後に、ルートがスタティック ルートに変換されます。 |
ロード バランサ |
○ |
|
VLAN でバッキングされたマイクロセグメンテーション環境 |
○ |
詳細については、サポートされているトポロジを参照してください。 |
NAT64 |
× |
NSX ではサポートされていません。 |
Edge Services Gateway または分散論理ルーターのノード レベルの設定。 |
× |
Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。NSX Edge ノードで Syslog と NTP を手動で構成できます。 |
IPv6 |
× |
|
Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成 |
× |
NSX ゲートウェイ インターフェイスの URPF は Strict に設定されています。 |
Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成 |
× |
NSX のデフォルト MTU の変更方法については、グローバル MTU 設定の変更を参照してください。 |
IP マルチキャスト ルーティング |
× |
|
ルート再配分プレフィックス フィルタ |
× |
|
デフォルトの発信元 |
× |
NSX ではサポートされていません。 |
Edge ファイアウォール
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
ファイアウォール セクション:表示名 |
○ |
ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。 |
デフォルト ルールのアクション |
○ |
NSX-V API:GatewayPolicy/action NSX API:SecurityPolicy.action |
ファイアウォールのグローバル構成 |
× |
デフォルトのタイムアウトが使用されます |
ファイアウォール ルール |
○ |
NSX-V API:firewallRule NSX API:SecurityPolicy |
ファイアウォール ルール:名前 |
○ |
|
ファイアウォール ルール:ルール タグ |
○ |
NSX-V API:ruleTag NSX API:Rule_tag |
ファイアウォール ルールの送信元と宛先:
|
○ |
NSX-V API:
NSX API:
NSX-V API:
NSX API:
|
ファイアウォール ルールの送信元と宛先:
|
× |
|
ファイアウォール ルールのサービス(アプリケーション):
|
○ |
NSX-V API:
NSX API:
|
ファイアウォール ルール:変換後と一致 |
× |
[変換後と一致] は false にする必要があります。 |
ファイアウォール ルール:方向 |
○ |
両方の API:方向 |
ファイアウォール ルール:アクション |
○ |
両方の API:アクション |
ファイアウォール ルール:有効 |
○ |
両方の API:有効 |
ファイアウォール ルール:ログの記録 |
○ |
NSX-V API:logging NSX API:logged |
ファイアウォール ルール:説明 |
○ |
両方の API:説明 |
Edge NAT
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
NAT ルール |
○ |
NSX-V API:natRule NSX API:/nat/USER/nat-rules |
NAT ルール:ルール タグ |
○ |
NSX-V API:ruleTag NSX API:rule_tag |
NAT ルール:アクション |
○ |
NSX-V API:action NSX API:action |
NAT ルール:元のアドレス(SNAT ルールの送信元アドレス、DNAT ルールの宛先アドレス)。 |
○ |
NSX-V API:originalAddress NSX API:ource_network(SNAT ルール)または destination_network(DNAT ルール) |
NAT ルール:translatedAddress |
○ |
NSX-V API:translatedAddress NSX API:translated_network |
NAT ルール:特定のインターフェイスへの NAT ルールの適用 |
× |
適用先は「any」にする必要があります。 |
NAT ルール:ログの記録 |
○ |
NSX-V API:loggingEnabled NSX API:logging |
NAT ルール:有効 |
○ |
NSX-V API:enabled NSX API:disabled |
NAT ルール:説明 |
○ |
NSX-V API:description NSX API:description |
NAT ルール:プロトコル |
○ |
NSX-V API:protocol NSX API:Service |
NAT ルール:元のポート(SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート) |
○ |
NSX-V API:originalPort NSX API:Service |
NAT ルール:変換後のポート |
○ |
NSX-V API:translatedPort NSX API:Translated_ports |
NAT ルール:DNAT ルールの送信元アドレス |
○ |
NSX-V API:dnatMatchSourceAddress NSX API:source_network |
NAT ルール: SNAT ルールの宛先アドレス |
○ |
NSX-V API:snatMatchDestinationAddress NSX API:destination_network |
NAT ルール: DNAT ルールの送信元ポート |
○ |
NSX-V API:dnatMatchSourcePort NSX API:Service |
NAT ルール: SNAT ルールの宛先ポート |
○ |
NSX-V API:snatMatchDestinationPort NSX API:Service |
NAT ルール:ルール ID |
○ |
NSX-V API:ruleID NSX API:id と display_name |
L2 VPN
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成 |
○ |
L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。 |
証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成 |
× |
|
SSL に基づく L2 VPN 構成 |
× |
|
Local Egress を最適化した L2 VPN 構成 |
× |
|
L2 VPN クライアント モード |
× |
L3 VPN
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Dead Peer Detection |
○ |
Dead Peer Detection では、NSX-V と NSX のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。 |
変更後の Dead Peer Detection (DPD) のデフォルト値:
|
× |
NSX では、dpdaction は restart に設定されます。この設定は変更できません。 dpdtimeout の NSX-V 設定が 0 に設定されている場合、NSX で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。 |
変更後の Dead Peer Detection (DPD) のデフォルト値:
|
○ |
NSX-V dpdelay が NSX dpdinternal にマッピングされます。 |
2 つ以上のセッションのローカル サブネットとピア サブネットの重複。 |
× |
NSX-V は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。 |
ピア エンドポイントが any に設定されている IPsec セッション。 |
× |
構成は移行されません。 |
拡張機能 securelocaltrafficbyip に対する変更。 |
× |
NSX サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。 |
次の拡張機能に対する変更: auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries |
× |
これらの拡張機能は NSX ではサポートされていないため、変更は移行されません。 |
ロード バランサ
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
モニタリング/健全性チェックの対象:
|
詳細を確認してください。 |
モニターは移行されません。 |
アプリケーション ルール |
× |
L7 をサポートするため、NSX-V は、HAProxy に基づいてアプリケーション ルールを使用します。NSX では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。 |
L7 仮想サーバのポート範囲 |
× |
|
IPv6 |
× |
仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。 プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。 |
URL、URI、HTTPHEADER アルゴリズム |
詳細を確認してください。 |
これらのアルゴリズムを使用するプールは移行されません。 |
隔離されたプール |
× |
|
異なるモニター ポートを持つ LB プール メンバー |
詳細を確認してください。 |
モニター ポートが異なるプール メンバーは移行されません。 |
プール メンバーの minConn |
× |
|
モニタリングの拡張機能 |
× |
|
SSL セッション ID のパーシステンス/テーブル |
× |
|
MSRDP パーシステンス/セッション テーブル |
× |
|
Cookie アプリケーション セッション/セッション テーブル |
× |
|
アプリケーションのパーシステンス |
× |
|
モニタリング対象:
|
× |
|
モニタリング対象:
|
○ |
|
Haproxy/IPVS の調整 |
× |
|
プール IP フィルタ
|
○ |
IPv4 IP アドレスがサポートされます。 Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。 |
プール IP フィルタ
|
× |
|
サポートされていないグループ オブジェクトを含むプール:
|
× |
サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。 |
DHCP および DNS
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している |
○ |
DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。 DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。 複数の分散論理ルーターで DHCP リレーを構成し、Edge Services Gateway で構成された同じ DHCP サーバを参照することはできません。 DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。 |
DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない |
× |
|
DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない |
× |
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
IP アドレス プール |
○ |
|
静的割り当て |
○ |
|
DHCP リース |
○ |
|
全般的な DHCP オプション |
○ |
|
無効になっている DHCP サービス |
× |
NSX では、DHCP サービスを無効にすることはできません。NSX-V で無効になっている DHCP サービスは移行されません。 |
DHCP オプション:その他 |
× |
DHCP オプションの [その他] フィールドは移行されません。 たとえば、DHCP オプション 80 は移行されません。 <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
実体のない IP プール/バインド |
× |
DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。 |
論理スイッチが直接接続している Edge Service Gateway の DHCP 構成 |
× |
移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。 |
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
DNS ビュー |
○ |
最初の dnsView のみが NSX のデフォルトの DNS フォワーダ ゾーンに移行されます。 |
DNS 構成 |
○ |
すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。 |
DNS – L3 VPN |
○ |
新しく構成した NSX DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。 |
論理スイッチが直接接続している Edge Service Gateway の DNS 構成 |
× |
移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。 |
分散ファイアウォール (DFW)
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Identity Firewall |
○ |
|
セクション -
|
○ |
ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。 |
ユニバーサル セクション |
○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合) |
|
ルール – 送信元/宛先:
|
○ |
|
ルール – 送信元/宛先:
|
○ |
セキュリティ グループにマッピング |
ルール – 送信元/宛先:
|
× |
|
ルール – 送信元/宛先:
|
○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合) |
|
ルール – 送信元/宛先:
|
× | NSX は、NSX ポートグループまたはネットワークに接続されていないオブジェクトの参照をサポートしていません。移行が完了すると、これらのオブジェクトは送信元または宛先から失われます。この問題を回避するには、移行前に NSX-V の IP アドレスを使用してこれらのオブジェクトを参照します。 |
ルール - 適用先:
|
○ |
分散ファイアウォールにマッピング |
ルール - 適用先:
|
○ |
セキュリティ グループにマッピング |
ルール - 適用先:
|
× |
|
ルール - 適用先:
|
× ○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合) |
|
分散ファイアウォールで無効になっているルール |
○ |
|
クラスタ レベルでの分散ファイアウォールの無効化 |
× |
NSX で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。 |
DFW 除外リスト | × | DFW 除外リストは移行されません。移行後に、NSX で再作成する必要があります。 |
パートナー サービス:East-West ネットワーク イントロスペクション
NSX-V 構成 | サポート | 詳細 |
---|---|---|
サービス |
× |
サービス登録は移行されません。移行前に、パートナーが NSX にサービスを登録する必要があります。 |
ベンダー テンプレート |
× |
ベンダー テンプレートは移行されません。移行前に、パートナーが NSX にベンダー テンプレートを登録する必要があります。 |
サービス プロファイル |
× |
サービス プロファイルは移行されません。移行前に、パートナーがサービス プロファイルを作成する必要があります。 移行の [構成の解決] 手順で、各 NSX-V サービス プロファイルを NSX サービス プロファイルにマッピングするように求められます。サービス プロファイルのマッピングを省略すると、これらのサービス プロファイルを使用するルールは移行されません。 NSX のサービス チェーンは、NSX-V のサービス プロファイルごとに作成されます。サービス チェーンが次の命名規則に従って作成されます。 Service-Chain-service_profile_name サービス チェーンの転送パスとリバース パスで同じサービス プロファイルが使用されます。 |
サービス インスタンス |
× |
パートナー サービス仮想マシン (SVM) は移行されません。NSX-V パートナー SVM は NSX で使用できません。 NSX の East-West ネットワーク イントロスペクション サービスの場合は、パートナー サービス仮想マシンをオーバーレイ セグメントに展開する必要があります。 |
セクション
|
○ |
セクションがリダイレクト ポリシーにマッピングされます。 ID はユーザー定義です。NSX では自動的に生成されません。 NSX-V のファイアウォール セクションに 1,000 個を超えるルールがある場合、1,000 ルールごとに複数のセクションに移行されます。たとえば、1 つのセクションに 2,500 個のルールが含まれている場合、3 つのポリシーが作成されます。Policy 1 には 1,000 個のルール、Policy 2 には 1,000 個のルール、Policy 3 には 500 個のルールがそれぞれ含まれます。 NSX-V のステートフルまたはステートレス ファイアウォール ルールは、NSX のステートフルまたはステートレス リダイレクト ルールに移行されます。 |
パートナー サービス:ルール |
||
名前 |
○ |
|
ルール ID |
○ |
ルール ID はシステムによって生成されます。NSX-V のルール ID とは異なる場合があります。 |
送信元の無効化 |
○ |
|
宛先の無効化 |
○ |
|
送信元/宛先
|
○ |
|
サービス/サービス グループ |
○ |
詳細については、「サービスとサービス グループ」の表を参照してください。 |
詳細設定
|
○ |
|
サービス プロファイルとアクション
|
○ |
サービス プロファイルのバインドでは、分散仮想ポート グループ (DVPG)、論理スイッチ、セキュリティ グループをメンバーとして設定できます。NSX-V のサービス プロファイルのバインドは NSX のリダイレクト ルールの適用先フィールドにマッピングされます。[適用先] フィールドにはグループのみを指定できます。このフィールドにより、ルールの範囲が決まります。 NSX では、ルールのリダイレクトはポリシーのレベルで行われます。リダイレクト ポリシーのすべてのルールには同じスコープ(適用先)が設定されます。 NSX リダイレクト ルールの [適用先] フィールドには、最大で 128 個のメンバーを含めることができます。サービス プロファイルのバインドのメンバー数が 128 を超えている場合は、メンバーの数を 128 以下にしてから移行を開始してください。
たとえば、サービス プロファイルのバインドに 140 個のメンバー(セキュリティ グループ)があるとします。移行を開始する前に、
NSX-V で次の操作を行います。
これで、サービス プロファイル バインドのメンバーの合計数は 128 (127 + 1) になります。 |
ルールの有効化/無効化 |
○ |
- サービス セグメント
- 移行の [構成の解決] 手順で選択したオーバーレイ トランスポート ゾーンにサービス セグメントが作成されます。 NSX-V 環境で、 NSX-V を使用して VXLAN トランスポート ゾーンを準備していない場合は、 NSX のデフォルトのオーバーレイ トランスポート ゾーンを選択して、サービスセグメントを作成できます。 NSX-V で 1 つ以上の VXLAN トランスポート ゾーンが準備されている場合は、1 つのオーバーレイ トランスポート ゾーンを選択して NSX にサービス セグメントを作成する必要があります。
- サービス プロファイルの優先順位
- NSX-V では、サービス プロファイルに優先順位があります。サービスに複数のサービス プロファイルがあり、複数のプロファイルが同じ vNIC にバインドされている場合、優先順位の高いサービス プロファイルから vNIC に適用されます。ただし、 NSX では、サービス プロファイルに優先順位が設定されていません。複数のリダイレクト ルールで同じ設定が適用されている場合、ルールの順序によって最初に一致するルールが決まります。つまり、プロファイルの優先順位が高いルールは、 NSX ルール テーブルでプロファイル優先度が低いルールの前に配置されます。詳細な例については、 NSX での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 2 を参照してください。
- サービスの優先順位
-
複数のサービスにトラフィックをリダイレクトするため、NSX-V はサービス挿入データ パスに複数の DVFilter スロットを使用します。1 つの DVFilter スロットにより、1 つのサービスにトラフィックがリダイレクトされます。スロット内で、優先順位の高いサービスは優先順位の低いサービスよりも上に配置されます。NSX では、1 つの DVFilter スロットのみが使用され、トラフィックがサービス チェーンにリダイレクトされます。NSX に移行後、優先順位の高いパートナー サービスを使用するルールは、優先順位の低いパートナー サービスを使用するルールより前に配置されます。詳細な例については、NSX での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 3 を参照してください。
vNIC 上のトラフィックを複数のパートナー サービスにリダイレクトすることはできません。1 つのパートナー サービスにのみリダイレクトされます。すべての NSX-V ルールが NSX に移行されますが、移行後のルール構成では 1 つのサービス プロファイルのみのサービス チェーンが使用されます。リダイレクト ルールで使用される既存のサービス チェーンは変更できません。
回避策:vNIC 上のトラフィックを複数のサービスにリダイレクトするには、新しいサービス チェーンを作成し、サービス チェーンでサービス プロファイルの順序を定義します。この新しいサービス チェーンを使用するように、移行後のルールを更新します。
オブジェクトと Service Composer のグループ化
IP セットと MAC セットは、グループとして NSX に移行されます。NSX Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
IP セット |
○ |
メンバー数が 200 万までの IP セット(IP アドレス、IP アドレス サブネット、IP 範囲)を移行できます。これより多いメンバー数の IP セットは移行されません。 |
MAC セット |
○ |
メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。 |
セキュリティ グループは、上記の制限付きで移行されます。セキュリティ グループは、グループとして NSX に移行されます。NSX Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX-V には、システム定義とユーザー定義のセキュリティ グループがあります。これらはすべて、ユーザー定義のグループとして NSX に移行されます。
移行後のグループの合計数が、NSX-V のセキュリティ グループの数と一致しないことがあります。たとえば、仮想マシンがソースとして設定されている分散ファイアウォール ルールの場合、仮想マシンをメンバーとして持つ新しいグループのルールに移行されます。これにより、移行後の NSX のグループの合計数が増加します。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
メンバーが存在しないセキュリティ グループ |
× |
セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。 |
サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ |
× |
セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。 セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。 |
セキュリティ グループ内のメンバーシップの除外 |
× |
除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。 |
セキュリティ グループの静的メンバーシップ |
○ |
セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。
構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
× |
セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ グループ、IP セット、MAC セットは、グループとして NSX に移行されます。NSX-V セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。 これらの静的メンバーのいずれかが NSX に移行されなかった場合、親のセキュリティ グループは NSX に移行されません。 たとえば、メンバーが 200 万を超える IP セットを NSX に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ グループに、NSX セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX に移行されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。 エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。 |
セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):
|
○ |
|
動的メンバーシップに「正規表現に一致」演算子を使用 |
× |
これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。 |
属性の動的メンバーシップ基準に使用可能な他の演算子を使用:
|
○ |
仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。 セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。 |
「エンティティの所属先」基準 |
○ |
静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。 「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。 |
セキュリティ グループ内の動的なメンバーシップ基準に対する演算子(AND、OR) |
はい |
NSX-V セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。
NSX-V では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。 NSX では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX-V セキュリティ グループは移行されません。 移行可能なセキュリティ グループの例:
AND 演算子と「エンティティの所属先」条件を使用することはできません。 サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。 |
NSX-V では、セキュリティ タグは仮想マシンに適用できるオブジェクトになります。NSX に移行すると、セキュリティ タグは仮想マシンの属性になります。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
セキュリティ タグ |
○ |
仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。 注:セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。 仮想マシンに適用されないセキュリティ タグは移行されません。 |
サービスとサービス グループは、サービスとして NSX に移行されます。NSX Manager の Web インターフェイスで、 の順に移動して確認してください。
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
サービスとサービス グループ(アプリケーションとアプリケーション グループ) |
○ |
デフォルトのサービスとサービス グループの大半は、NSX サービスにマッピングされます。NSX にサービスまたはサービス グループが存在しない場合、NSX で新しいサービスが作成されます。 |
APP_ALL と APP_POP2 サービス グループ |
× |
これらのシステム定義のサービス グループは移行されません。 |
名前が競合するサービスとサービス グループ |
○ |
NSX で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。 |
レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ |
× |
|
空のサービス グループ |
× |
NSX は、空のサービスをサポートしていません。 |
レイヤー 2 サービス |
○ |
NSX-V レイヤー 2 サービスは NSX サービス エントリ EtherTypeServiceEntry として移行されます。 |
レイヤー 3 サービス |
○ |
プロトコルに応じて、NSX-V レイヤー 3 サービスは、次のように NSX サービス エントリに移行されます。
ICMPTypeServiceEntry
|
レイヤー 4 サービス |
○ |
NSX サービス エントリ ALGTypeServiceEntry として移行されます。 |
レイヤー 7 サービス |
○ |
NSX サービス エントリ PolicyContextProfile として移行されます。 NSX-V レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX にサービスが作成され、PolicyContextProfile にマッピングされます。 |
レイヤー 7 サービス グループ |
× |
|
ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール |
○ |
NSX では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。 |
NSX-V 構成 |
サポート |
詳細 |
---|---|---|
Service Composer セキュリティ ポリシー |
○ |
セキュリティ ポリシーで定義されたファイアウォール ルールは、分散ファイアウォール ルールとして NSX に移行されます。 Service Composer セキュリティ ポリシーで定義されている無効なファイアウォール ルールは移行されません。 Service Composer セキュリティ ポリシーで定義されているゲスト イントロスペクション ルールまたはネットワーク イントロスペクション ルールが移行されます。 Service Composer が同期状態でない場合、[構成の解決] の手順で警告が表示されます。Service Composer ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をロールバックして、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。 |
セキュリティ グループに適用されない Service Composer セキュリティ ポリシー |
× |
Active Directory サーバの構成
構成 |
サポート |
詳細 |
---|---|---|
Active Directory (AD) サーバ |
× |