移行可能な NSX-V の機能と構成は次のとおりです。

プラットフォーム サポート

サポートされる ESXiVMware vCenter のバージョンについては、VMware 相互運用性マトリックスを参照してください。

NSX-V 構成

サポート

詳細

vSphere Distributed Switch の vSAN または iSCSI を使用する NSX-V

既存の NSX 構成

×

新しい NSX 環境を展開する必要があります。

移行モードがユーザー定義のトポロジでない場合、[構成のインポート] ステップで NSX 環境内のすべての NSX Edge ノード インターフェイスがシャットダウンされます。NSX 環境が使用中の場合、トラフィックが中断されます。

Cross-vCenter NSX

[NSX for vSphere の移行] モードと [ユーザー定義トポロジ] を選択した場合にのみサポートされます。

Cloud Management Platform、Integrated Stack Solution、または PaaS Solution を使用する NSX-V

Aria Automation を使用した NSX-V の移行がサポートされています。

移行を続行する前に、VMware の担当者にお問い合わせください。統合環境を移行する場合、スクリプトおよび統合が中断することがあります。

次はその例です。
  • NSX-V と vCloud Director

  • NSX-V と Integrated Stack Solution

  • NSX-V と、Pivotal Cloud Foundry、RedHat OpenShift などの PaaS ソリューション

  • Aria Operations ワークフローを使用した NSX-V

vSphere と ESXi の機能

NSX-V 構成

サポート

詳細

すでにメンテナンス モードになっている ESXi ホスト(仮想マシンなし)

Network I/O Control (NIOC) バージョン 3

Network I/O Control (NIOC) バージョン 2

×

Network I/O Control (NIOC) と vNIC の予約

×

vSphere 標準スイッチ

×

VSS 上の仮想マシンと VMkernel インターフェイスは移行されません。VSS に適用された NSX-V の機能は移行できません。

vSphere Distributed Switch

ステートレス ESXi

×

ホスト プロファイル

×

ESXi ロックダウン モード

×

NSX ではサポートされていません。

メンテナンス モードのタスクが保留中の ESXi ホスト。

×

vCenter Server クラスタ内で切断されている ESXi ホスト

×

vSphere FT

×

完全に自動化された vSphere DRS

vSphere 7.0 以降でサポートされています。

vSphere High Availability

トラフィック フィルタリングの ACL

×

vSphere 健全性チェック

×

SRIOV

×

物理 NIC に固定された vmknic

×

プライベート VLAN

×

短期 dvPortGroup

×

DirectPath I/O

×

L2 セキュリティ

×

仮想ワイヤーでのスイッチの学習

×

ハードウェア ゲートウェイ(物理スイッチング ハードウェアとトンネル エンドポイントの統合)

×

SNMP

×

仮想マシンでの vNIC の切断

×

ESX 6.5 の制限により、切断された仮想マシンの DVFilter で古いエントリが表示されることがあります。この問題を回避するには、仮想マシンを再起動します。

4789 以外の VXLAN ポート番号

×

マルチキャスト フィルタリング モード

×

複数の VTEP を持つホスト

NSX Manager アプライアンスのシステム構成

NSX-V 構成

サポート

詳細

NTP サーバ/時間設定

Syslog サーバの構成

構成のバックアップ

必要であれば、NSX-V 要件に合わせて NSX パスフレーズを変更します。8 文字以上の長さで、次の文字を含んでいる必要があります。

  • 1 文字以上の小文字

  • 1 文字以上の大文字

  • 1 文字以上の数字

  • 1 文字以上の特殊文字

FIPS

×

NSX では FIPS のオン/オフはサポートされていません。

ロケール

×

NSX は、英語ロケールのみをサポートします。

アプライアンスの証明書

×

ロールベースのアクセス コントロール

NSX-V 構成

サポート

詳細

ローカル ユーザー

×

LDAP を介して追加された vCenter server ユーザーに割り当てられた NSX ロール

LDAP ユーザーのユーザー ロールを移行するには、VMware Identity Manager がインストールされ、構成されている必要があります。

vCenter Server グループに割り当てられた NSX ロール

×

証明書

NSX-V 構成

サポート

詳細

証明書(サーバ、CA 署名済み)

トラストストア API を介して追加された証明書にのみ適用されます。

移行中の証明書の変更

vSphere ネットワークの移行を除くすべての移行モードで移行が一時停止されている場合、証明書の変更がサポートされます。ホストとワークロードの移行中はサポートされません。

運用

詳細

サポート

メモ

検出プロトコル CDP

注を参照してください。

VDS 7.0 に移行する場合はサポートされ、N-VDS に移行する場合はサポートされません。

検出プロトコル LLDP

リッスン モードはデフォルトでオンになっています。NSX では変更できません。アドバタイズ モードのみを変更できます。

PortMirroring:

  • カプセル化されたリモート ミラーリング ソース (L3)

移行では L3 セッション タイプのみがサポートされます。

PortMirroring:

  • 分散 PortMirroring

  • リモート ミラーリング ソース

  • リモート ミラーリング ターゲット

  • 分散ポート ミラーリング(レガシー)

×

L2 IPFIX

IPFIX の LAG はサポートされていません。

分散ファイアウォールからの IPFIX 設定

×

MAC ラーニング

偽装転送を有効にする(受け入れる)必要があります。

ハードウェア VTEP

×

無作為検出モード

×

リソース割り当て

×

リソース割り当てが有効な vNIC はサポートされていません。

IPFIX – 内部フロー

×

内部フローを使用する IPFIX はサポートされていません。

スイッチ

NSX-V 構成

サポート

詳細

L2 ブリッジ

×

トランク VLAN

インプレース移行の場合は○

リフトアンドシフト移行の場合は×

トランク アップリンク ポート グループは、0 ~ 4094 の VLAN 範囲で構成する必要があります。

VLAN 構成

VLAN のみ(VXLAN なし)の構成がサポートされます。

チーミングとフェイルオーバー:

  • ロード バランシング

  • アップリンク フェイルオーバー順序:

ロード バランシングでサポートされるオプション(チーミング ポリシー):

  • 明示的なフェイルオーバー順序を使用

  • 発信元 MAC ハッシュに基づいたルート

他のロード バランシング オプションはサポートされていません。

チーミングとフェイルオーバー:

  • ネットワーク障害検出

  • スイッチへの通知

  • リバース ポリシー

  • ロール順序

×

LACP

VDS 7.0 以降では、移行中に LACP 機能は変更されません。VDS の以前のバージョンでは、新しい N-VDS スイッチが VDS に置き換わります。これにより、ホストの移行中にトラフィックが失われます。

(DFW IPFIX ではなく)分散仮想スイッチで構成された IPFIX は LACP でサポートされていません。

スイッチのセキュリティと IP 検出

NSX-V 構成

移行のサポート

詳細

IP 検出(ARP、ND、DHCPv4、DHCPv6)

移行では、次のバインドの上限が NSX に適用されます。

  • ARP で検出された IP の場合 128

  • DHCPv4 で検出された IP の場合 128

  • DHCPv6 で検出された IP の場合 15

  • ND で検出された IP の場合 15

SpoofGuard(手動、TOFU、無効)

スイッチ セキュリティ(BPDU フィルタ、DHCP クライアント ブロック、DHCP サーバ ブロック、RA ガード)

NSX-V のスイッチ セキュリティ モジュールから NSX のスイッチ セキュリティ モジュールへのデータパス バインドの移行

SpoofGuard を有効にすると、バインドがスイッチ セキュリティ モジュールから移行され、ARP 抑制がサポートされます。

VSIP:VSIP バインドが静的に構成されたルールとして移行されるため、スイッチ セキュリティはサポートされません。

検出プロファイル

移行後に、論理スイッチの IP 検出構成、グローバルおよびクラスタの ARP、DHCP 構成を使用して ipdiscovery プロファイルが作成されます。

中央制御プレーン

NSX-V 構成

サポート

詳細

論理スイッチ (VNI) とルーティング ドメインごとの VTEP レプリケーション

MAC/IP レプリケーション

×

マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX-V トランスポート ゾーン

×

ユニキャスト レプリケーション モードを使用した NSX-V トランスポート ゾーン

NSX Edge の機能

サポートされるトポロジの詳細については、サポートされているトポロジを参照してください。

NSX-V 構成

サポート

詳細

Edge Services Gateway とノースバウンド ルーター間のルーティング

BGP がサポートされます。

スタティック ルートがサポートされます。

OSPF がサポートされます。

Edge Services Gateway と分散論理ルーター間のルーティング

移行後に、ルートがスタティック ルートに変換されます。

ロード バランサ

VLAN でバッキングされたマイクロセグメンテーション環境

詳細については、サポートされているトポロジを参照してください。

NAT64

×

NSX ではサポートされていません。

Edge Services Gateway または分散論理ルーターのノード レベルの設定。

×

Syslog や NTP サーバなどのノード レベルの設定はサポートされていません。NSX Edge ノードで Syslog と NTP を手動で構成できます。

IPv6

×

Edge Services Gateway インターフェイスのユニキャスト リバース パス フィルタ (URPF) の構成

×

NSX ゲートウェイ インターフェイスの URPF は Strict に設定されています。

Edge Services Gateway インターフェイスの最大転送ユニット (MTU) 構成

×

NSX のデフォルト MTU の変更方法については、グローバル MTU 設定の変更を参照してください。

IP マルチキャスト ルーティング

×

ルート再配分プレフィックス フィルタ

×

デフォルトの発信元

×

NSX ではサポートされていません。

Edge ファイアウォール

NSX-V 構成

サポート

詳細

ファイアウォール セクション:表示名

ファイアウォール セクションには最大で 1,000 個のルールを指定できます。1 つのセクションに 1,000 個以上のルールが含まれている場合、複数のセクションとして移行されます。

デフォルト ルールのアクション

NSX-V API:GatewayPolicy/action

NSX API:SecurityPolicy.action

ファイアウォールのグローバル構成

×

デフォルトのタイムアウトが使用されます

ファイアウォール ルール

NSX-V API:firewallRule

NSX API:SecurityPolicy

ファイアウォール ルール:名前

ファイアウォール ルール:ルール タグ

NSX-V API:ruleTag

NSX API:Rule_tag

ファイアウォール ルールの送信元と宛先:

  • グループ オブジェクト

  • IP アドレス

NSX-V API:

  • source/groupingObjectId

  • source/ipAddress

NSX API:

  • source_groups

NSX-V API:

  • destination/groupingObjectId

  • destination/ipAddress

NSX API:

  • destination_groups

ファイアウォール ルールの送信元と宛先:

  • vNIC グループ

×

ファイアウォール ルールのサービス(アプリケーション):

  • サービス

  • サービス グループ

  • プロトコル/ポート/送信元ポート

NSX-V API:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

NSX API:

  • サービス

ファイアウォール ルール:変換後と一致

×

[変換後と一致] は false にする必要があります。

ファイアウォール ルール:方向

両方の API:方向

ファイアウォール ルール:アクション

両方の API:アクション

ファイアウォール ルール:有効

両方の API:有効

ファイアウォール ルール:ログの記録

NSX-V API:logging

NSX API:logged

ファイアウォール ルール:説明

両方の API:説明

Edge NAT

NSX-V 構成

サポート

詳細

NAT ルール

NSX-V API:natRule

NSX API:/nat/USER/nat-rules

NAT ルール:ルール タグ

NSX-V API:ruleTag

NSX API:rule_tag

NAT ルール:アクション

NSX-V API:action

NSX API:action

NAT ルール:元のアドレス(SNAT

ルールの送信元アドレス、DNAT ルールの宛先アドレス)。

NSX-V API:originalAddress

NSX API:ource_network(SNAT ルール)または destination_network(DNAT ルール)

NAT ルール:translatedAddress

NSX-V API:translatedAddress

NSX API:translated_network

NAT ルール:特定のインターフェイスへの NAT ルールの適用

×

適用先は「any」にする必要があります。

NAT ルール:ログの記録

NSX-V API:loggingEnabled

NSX API:logging

NAT ルール:有効

NSX-V API:enabled

NSX API:disabled

NAT ルール:説明

NSX-V API:description

NSX API:description

NAT ルール:プロトコル

NSX-V API:protocol

NSX API:Service

NAT ルール:元のポート(SNAT ルールの場合は送信元ポート、DNAT ルールの場合は宛先ポート)

NSX-V API:originalPort

NSX API:Service

NAT ルール:変換後のポート

NSX-V API:translatedPort

NSX API:Translated_ports

NAT ルール:DNAT ルールの送信元アドレス

NSX-V API:dnatMatchSourceAddress

NSX API:source_network

NAT ルール:

SNAT ルールの宛先アドレス

NSX-V API:snatMatchDestinationAddress

NSX API:destination_network

NAT ルール:

DNAT ルールの送信元ポート

NSX-V API:dnatMatchSourcePort

NSX API:Service

NAT ルール:

SNAT ルールの宛先ポート

NSX-V API:snatMatchDestinationPort

NSX API:Service

NAT ルール:ルール ID

NSX-V API:ruleID

NSX API:id と display_name

L2 VPN

NSX-V 構成

サポート

詳細

事前共有キー (PSK) を使用した IPSec に基づく L2 VPN 構成

L2 VPN 経由で拡張されているネットワークがオーバーレイ論理スイッチの場合にサポートされます。VLAN ネットワークではサポートされません。

証明書ベースの認証を使用した IPSec に基づく L2 VPN 構成

×

SSL に基づく L2 VPN 構成

×

Local Egress を最適化した L2 VPN 構成

×

L2 VPN クライアント モード

×

L3 VPN

NSX-V 構成

サポート

詳細

Dead Peer Detection

Dead Peer Detection では、NSX-VNSX のさまざまなオプションがサポートされます。BGP を使用してコンバージェンスを高速化するか、サポートされている場合は DPD を実行するようにピアを構成することもできます。

変更後の Dead Peer Detection (DPD) のデフォルト値:

  • dpdtimeout

  • dpdaction

×

NSX では、dpdaction は restart に設定されます。この設定は変更できません。

dpdtimeout の NSX-V 設定が 0 に設定されている場合、NSX で DPD が無効になります。それ以外の場合、dpdtimeout の設定は無視され、デフォルト値が使用されます。

変更後の Dead Peer Detection (DPD) のデフォルト値:

  • dpddelay

NSX-V dpdelay が NSX dpdinternal にマッピングされます。

2 つ以上のセッションのローカル サブネットとピア サブネットの重複。

×

NSX-V は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成問題が解決されていない場合は、構成の移行の手順が失敗します。

ピア エンドポイントが any に設定されている IPsec セッション。

×

構成は移行されません。

拡張機能 securelocaltrafficbyip に対する変更。

×

NSX サービス ルーターには、ローカルで生成され、トンネル経由で送信が必要なトラフィックがありません。

次の拡張機能に対する変更:

auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries

×

これらの拡張機能は NSX ではサポートされていないため、変更は移行されません。

ロード バランサ

NSX-V 構成

サポート

詳細

モニタリング/健全性チェックの対象:

  • LDAP

  • DNS

  • MSSQL

詳細を確認してください。

モニターは移行されません。

アプリケーション ルール

×

L7 をサポートするため、NSX-V は、HAProxy に基づいてアプリケーション ルールを使用します。NSX では、ルールは NGINX に基づいています。アプリケーション ルールは移行できません。移行後に新しいルールを作成する必要があります。

L7 仮想サーバのポート範囲

×

IPv6

×

仮想サーバで IPv6 が使用されている場合、仮想サーバ全体が無視されます。

プールで IPv6 が使用されている場合、プールは移行されますが、関連するプール メンバーは削除されます。

URL、URI、HTTPHEADER アルゴリズム

詳細を確認してください。

これらのアルゴリズムを使用するプールは移行されません。

隔離されたプール

×

異なるモニター ポートを持つ LB プール メンバー

詳細を確認してください。

モニター ポートが異なるプール メンバーは移行されません。

プール メンバーの minConn

×

モニタリングの拡張機能

×

SSL セッション ID のパーシステンス/テーブル

×

MSRDP パーシステンス/セッション テーブル

×

Cookie アプリケーション セッション/セッション テーブル

×

アプリケーションのパーシステンス

×

モニタリング対象:

  • 明示的なエスケープ

  • 終了

  • 遅延

×

モニタリング対象:

  • 送信

  • 期待値

  • タイムアウト

  • 間隔

  • maxRetries

Haproxy/IPVS の調整

×

プール IP フィルタ

  • IPv4 アドレス

IPv4 IP アドレスがサポートされます。

Any が使用されている場合、IP プールの IPv4 アドレスのみが移行されます。

プール IP フィルタ

  • IPv6 アドレス

×

サポートされていないグループ オブジェクトを含むプール:

  • クラスタ

  • データセンター

  • 分散ポート グループ

  • MAC セット

  • 仮想アプリケーション

×

サポートされていないグループ オブジェクトがプールに含まれている場合、これらのオブジェクトが無視され、サポートされているグループ オブジェクトのメンバーでプールが作成されます。サポートされるグループ オブジェクト メンバーがない場合は、空のプールが作成されます。

DHCP および DNS

表 1. DHCP 構成トポロジ

NSX-V 構成

サポート

詳細

分散論理ルーター上に DHCP リレーが構成され、直接接続している Edge Services Gateway に構成された DHCP サーバを参照している

DHCP リレーサーバの IP は、Edge Services Gateway の内部インターフェイスの IP のいずれかである必要があります。

DHCP サーバは、DHCP リレーで構成された分散論理ルーターに直接接続されている Edge Services Gateway 上に構成されている必要があります。

複数の分散論理ルーターで DHCP リレーを構成し、Edge Services Gateway で構成された同じ DHCP サーバを参照することはできません。

DNAT を使用して、Edge Services Gateway の内部インターフェイスと一致しない DHCP リレー IP アドレスを変換することはできません。

DHCP リレーが分散論理ルーター上にのみ構成され、接続された Edge Services Gateway に DHCP サーバの構成がない

×

DHCP サーバが Edge Services Gateway でのみ構成され、接続された分散論理ルーター上に DHCP リレーの構成がない

×

表 2. DHCP 機能

NSX-V 構成

サポート

詳細

IP アドレス プール

静的割り当て

DHCP リース

全般的な DHCP オプション

無効になっている DHCP サービス

×

NSX では、DHCP サービスを無効にすることはできません。NSX-V で無効になっている DHCP サービスは移行されません。

DHCP オプション:その他

×

DHCP オプションの [その他] フィールドは移行されません。

たとえば、DHCP オプション 80 は移行されません。

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

実体のない IP プール/バインド

×

DHCP サーバで IP プールまたは静的バインドが構成されていて、接続している論理スイッチで使用されていない場合、これらのオブジェクトは移行されません。

論理スイッチが直接接続している Edge Service Gateway の DHCP 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX は、中央集中型サービス ポートで DHCP サービスをサポートしていないため、これらのインターフェイスで DHCP サービスの構成は移行されません。

表 3. DNS 機能

NSX-V 構成

サポート

詳細

DNS ビュー

最初の dnsView のみが NSX のデフォルトの DNS フォワーダ ゾーンに移行されます。

DNS 構成

すべての Edge ノードで使用可能な DNS リスナー IP を指定する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

DNS – L3 VPN

新しく構成した NSX DNS リスナー IP をリモート L3 VPN プレフィックス リストに追加する必要があります。構成の解決でメッセージが表示され、値を指定するように指示されます。

論理スイッチが直接接続している Edge Service Gateway の DNS 構成

×

移行中、直接接続している Edge Service Gateway インターフェイスは、中央集中型サービス ポートとして移行されます。ただし、NSX は、中央集中型サービス ポートで DNS サービスをサポートしていないため、これらのインターフェイスで DNS サービスの構成は移行されません。

分散ファイアウォール (DFW)

NSX-V 構成

サポート

詳細

Identity Firewall

セクション -

  • 名前

  • 説明

  • TCP Strict

  • ステートレス ファイアウォール

ファイアウォール セクションに 1,000 個を超えるルールがある場合、migrator は 1,000 ルールごとに複数のセクションに移行します。

ユニバーサル セクション

○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

ルール – 送信元/宛先:

  • IP アドレス/範囲/CIDR

  • 論理ポート

  • 論理スイッチ

ルール – 送信元/宛先:

  • 仮想マシン

  • 論理ポート

  • セキュリティ グループ/IP セット/MAC セット

セキュリティ グループにマッピング

ルール – 送信元/宛先:

  • クラスタ

  • データセンター

  • DVPG

  • vSS

  • ホスト

×

ルール – 送信元/宛先:

  • ユニバーサル論理スイッチ

○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

ルール – 送信元/宛先:

  • NSX-V ホスト上にない仮想マシン

× NSX は、NSX ポートグループまたはネットワークに接続されていないオブジェクトの参照をサポートしていません。移行が完了すると、これらのオブジェクトは送信元または宛先から失われます。この問題を回避するには、移行前に NSX-V の IP アドレスを使用してこれらのオブジェクトを参照します。

ルール - 適用先:

  • 任意

分散ファイアウォールにマッピング

ルール - 適用先:

  • セキュリティ グループ

  • 論理ポート

  • 論理スイッチ

  • 仮想マシン

セキュリティ グループにマッピング

ルール - 適用先:

  • クラスタ

  • データセンター

  • DVPG

  • vSS

  • ホスト

×

ルール - 適用先:

  • ユニバーサル論理スイッチ

×

○(NSX-V 環境の NSX Manager がプライマリ モードで、セカンダリ NSX Manager がない場合)

分散ファイアウォールで無効になっているルール

クラスタ レベルでの分散ファイアウォールの無効化

×

NSX で分散ファイアウォールが有効になっている場合、すべてのクラスタで有効になります。一部のクラスタでは有効にできません。また、他のクラスタでは無効にできません。

DFW 除外リスト × DFW 除外リストは移行されません。移行後に、NSX で再作成する必要があります。

パートナー サービス:East-West ネットワーク イントロスペクション

NSX-V 構成 サポート 詳細

サービス

×

サービス登録は移行されません。移行前に、パートナーが NSX にサービスを登録する必要があります。

ベンダー テンプレート

×

ベンダー テンプレートは移行されません。移行前に、パートナーが NSX にベンダー テンプレートを登録する必要があります。

サービス プロファイル

×

サービス プロファイルは移行されません。移行前に、パートナーがサービス プロファイルを作成する必要があります。

移行の [構成の解決] 手順で、各 NSX-V サービス プロファイルを NSX サービス プロファイルにマッピングするように求められます。サービス プロファイルのマッピングを省略すると、これらのサービス プロファイルを使用するルールは移行されません。

NSX のサービス チェーンは、NSX-V のサービス プロファイルごとに作成されます。サービス チェーンが次の命名規則に従って作成されます。

Service-Chain-service_profile_name

サービス チェーンの転送パスとリバース パスで同じサービス プロファイルが使用されます。

サービス インスタンス

×

パートナー サービス仮想マシン (SVM) は移行されません。NSX-V パートナー SVM は NSX で使用できません。

NSX の East-West ネットワーク イントロスペクション サービスの場合は、パートナー サービス仮想マシンをオーバーレイ セグメントに展開する必要があります。

セクション
  • 名前
  • ID
  • 説明
  • TCP Strict
  • ステートレス ファイアウォール

セクションがリダイレクト ポリシーにマッピングされます。

ID はユーザー定義です。NSX では自動的に生成されません。

NSX-V のファイアウォール セクションに 1,000 個を超えるルールがある場合、1,000 ルールごとに複数のセクションに移行されます。たとえば、1 つのセクションに 2,500 個のルールが含まれている場合、3 つのポリシーが作成されます。Policy 1 には 1,000 個のルール、Policy 2 には 1,000 個のルール、Policy 3 には 500 個のルールがそれぞれ含まれます。

NSX-V のステートフルまたはステートレス ファイアウォール ルールは、NSX のステートフルまたはステートレス リダイレクト ルールに移行されます。

パートナー サービス:ルール

名前

ルール ID

ルール ID はシステムによって生成されます。NSX-V のルール ID とは異なる場合があります。

送信元の無効化

宛先の無効化

送信元/宛先
  • 仮想マシン
  • セキュリティ グループ
  • IP セット
  • vNIC

サービス/サービス グループ

詳細については、「サービスとサービス グループ」の表を参照してください。
詳細設定
  • 方向
  • パケット タイプ
  • ルール タグ
  • コメント
  • ログに記録

サービス プロファイルとアクション
  • サービス名
  • サービス プロファイル
  • アクション
  • サービス プロファイルのバインド

サービス プロファイルのバインドでは、分散仮想ポート グループ (DVPG)、論理スイッチ、セキュリティ グループをメンバーとして設定できます。NSX-V のサービス プロファイルのバインドは NSX のリダイレクト ルールの適用先フィールドにマッピングされます。[適用先] フィールドにはグループのみを指定できます。このフィールドにより、ルールの範囲が決まります。

NSX では、ルールのリダイレクトはポリシーのレベルで行われます。リダイレクト ポリシーのすべてのルールには同じスコープ(適用先)が設定されます。

NSX リダイレクト ルールの [適用先] フィールドには、最大で 128 個のメンバーを含めることができます。サービス プロファイルのバインドのメンバー数が 128 を超えている場合は、メンバーの数を 128 以下にしてから移行を開始してください。

たとえば、サービス プロファイルのバインドに 140 個のメンバー(セキュリティ グループ)があるとします。移行を開始する前に、 NSX-V で次の操作を行います。
  1. ダミーのセキュリティ グループを作成します。
  2. このダミーのセキュリティ グループに 13 個のセキュリティ グループを移動します。つまり、ダミーのセキュリティ グループには 13 個のメンバーが含まれることになります。
  3. この 13 個のセキュリティ グループのバインドをサービス プロファイルから削除します。これで、サービス プロファイルのバインドに 127 (140 - 13) 個のメンバーが表示されます。
  4. サービス プロファイルのバインドにダミーのセキュリティ グループを追加します。

これで、サービス プロファイル バインドのメンバーの合計数は 128 (127 + 1) になります。

ルールの有効化/無効化

サービス セグメント
移行の [構成の解決] 手順で選択したオーバーレイ トランスポート ゾーンにサービス セグメントが作成されます。 NSX-V 環境で、 NSX-V を使用して VXLAN トランスポート ゾーンを準備していない場合は、 NSX のデフォルトのオーバーレイ トランスポート ゾーンを選択して、サービスセグメントを作成できます。 NSX-V で 1 つ以上の VXLAN トランスポート ゾーンが準備されている場合は、1 つのオーバーレイ トランスポート ゾーンを選択して NSX にサービス セグメントを作成する必要があります。
サービス プロファイルの優先順位
NSX-V では、サービス プロファイルに優先順位があります。サービスに複数のサービス プロファイルがあり、複数のプロファイルが同じ vNIC にバインドされている場合、優先順位の高いサービス プロファイルから vNIC に適用されます。ただし、 NSX では、サービス プロファイルに優先順位が設定されていません。複数のリダイレクト ルールで同じ設定が適用されている場合、ルールの順序によって最初に一致するルールが決まります。つまり、プロファイルの優先順位が高いルールは、 NSX ルール テーブルでプロファイル優先度が低いルールの前に配置されます。詳細な例については、 NSX での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 2 を参照してください。
サービスの優先順位

複数のサービスにトラフィックをリダイレクトするため、NSX-V はサービス挿入データ パスに複数の DVFilter スロットを使用します。1 つの DVFilter スロットにより、1 つのサービスにトラフィックがリダイレクトされます。スロット内で、優先順位の高いサービスは優先順位の低いサービスよりも上に配置されます。NSX では、1 つの DVFilter スロットのみが使用され、トラフィックがサービス チェーンにリダイレクトされます。NSX に移行後、優先順位の高いパートナー サービスを使用するルールは、優先順位の低いパートナー サービスを使用するルールより前に配置されます。詳細な例については、NSX での移行後のネットワーク イントロスペクション ルールの順序のシナリオ 3 を参照してください。

vNIC 上のトラフィックを複数のパートナー サービスにリダイレクトすることはできません。1 つのパートナー サービスにのみリダイレクトされます。すべての NSX-V ルールが NSX に移行されますが、移行後のルール構成では 1 つのサービス プロファイルのみのサービス チェーンが使用されます。リダイレクト ルールで使用される既存のサービス チェーンは変更できません。

回避策:vNIC 上のトラフィックを複数のサービスにリダイレクトするには、新しいサービス チェーンを作成し、サービス チェーンでサービス プロファイルの順序を定義します。この新しいサービス チェーンを使用するように、移行後のルールを更新します。

仮想マシン ネットワークに接続している仮想マシンのネットワーク イントロスペクション サービス
NSX-V 環境で、仮想マシン ネットワークに接続している仮想マシンでネットワーク イントロスペクション サービス ルールが適用されている場合、ホストを移行すると、これらの仮想マシンはセキュリティ保護を失います。ホストの移行後に、これらの仮想マシンの vNIC にネットワーク イントロスペクション ルールが適用されるようにするには、これらの仮想マシンを NSX のセグメントに接続する必要があります。

オブジェクトと Service Composer のグループ化

IP セットと MAC セットは、グループとして NSX に移行されます。NSX Manager の Web インターフェイスで、[インベントリ] > [グループ] の順に移動して確認してください。

表 4. IP セットと MAC セット

NSX-V 構成

サポート

詳細

IP セット

メンバー数が 200 万までの IP セット(IP アドレス、IP アドレス サブネット、IP 範囲)を移行できます。これより多いメンバー数の IP セットは移行されません。

MAC セット

メンバー数が 200 万までの MAC セットを移行できます。これより多いメンバー数の MAC セットは移行されません。

セキュリティ グループは、上記の制限付きで移行されます。セキュリティ グループは、グループとして NSX に移行されます。NSX Manager の Web インターフェイスで、[インベントリ] > [グループ] の順に移動して確認してください。

NSX-V には、システム定義とユーザー定義のセキュリティ グループがあります。これらはすべて、ユーザー定義のグループとして NSX に移行されます。

移行後のグループの合計数が、NSX-V のセキュリティ グループの数と一致しないことがあります。たとえば、仮想マシンがソースとして設定されている分散ファイアウォール ルールの場合、仮想マシンをメンバーとして持つ新しいグループのルールに移行されます。これにより、移行後の NSX のグループの合計数が増加します。

表 5. セキュリティ グループ

NSX-V 構成

サポート

詳細

メンバーが存在しないセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーが存在しない場合、セキュリティ グループは移行されません。

サポートされていないメンバーを含むセキュリティ グループを持つセキュリティ グループ

×

セキュリティ グループのいずれかのメンバーを移行できない場合、セキュリティ グループは移行されません。

セキュリティ グループに、サポートされていないメンバーを持つセキュリティ グループが含まれている場合、親のセキュリティ グループは移行されません。

セキュリティ グループ内のメンバーシップの除外

×

除外メンバーを含むセキュリティ グループは直接移行されません。また、ネストを介して間接的に移行することもできません。

セキュリティ グループの静的メンバーシップ

セキュリティ グループには、最大 500 までの静的メンバーを含めることができます。ただし、分散ファイアウォール ルールでセキュリティ グループが使用されている場合は、システム生成の静的メンバーが追加されるため、上限が 499 または 498 になります。

  • セキュリティ グループがレイヤー 2 またはレイヤー 3 のいずれかのルールで使用されている場合、システムによって生成された 1 つの静的メンバーがセキュリティ グループに追加されます。

  • セキュリティ グループがレイヤー 2 とレイヤー 3 の両方のルールで使用されている場合、システム生成の静的メンバーが 2 つ追加されます。

構成の解決手順でメンバーが存在しない場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • クラスタ

  • データセンター

  • ディレクトリ グループ

  • 分散ポート グループ

  • レガシー ポート グループ/ネットワーク

  • リソース プール

  • vApp

×

セキュリティ グループにサポートされていないメンバータイプが含まれている場合、セキュリティ グループは移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • セキュリティ グループ

  • IP セット

  • MAC セット

セキュリティ グループ、IP セット、MAC セットは、グループとして NSX に移行されます。NSX-V セキュリティ グループに、静的メンバーとして IP セット、MAC セット、またはネストされたセキュリティ グループが含まれている場合、対応するグループが親グループに追加されます。

これらの静的メンバーのいずれかが NSX に移行されなかった場合、親のセキュリティ グループは NSX に移行されません。

たとえば、メンバーが 200 万を超える IP セットを NSX に移行することはできません。したがって、メンバーが 200 万を超える IP セットを含むセキュリティ グループは移行できません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • 論理スイッチ(仮想ワイヤー)

セキュリティ グループに、NSX セグメントに移行されない論理スイッチが含まれている場合、セキュリティ グループは NSX に移行されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • セキュリティ タグ

セキュリティ タグが静的メンバーとしてセキュリティ グループに追加された場合、またはエンティティの所属先を使用して動的メンバーとして追加された場合、セキュリティ グループを移行するには、このセキュリティ タグが存在している必要があります。

エンティティの所属先を使用せずに、セキュリティ タグがセキュリティ グループに動的メンバーとして追加された場合、セキュリティ グループの移行前にセキュリティ タグの有無が確認されません。

セキュリティ グループのメンバータイプ(静的またはエンティティの所属先):

  • vNIC

  • 仮想マシン

  • vNIC と仮想マシンは、ExternalIDExpression として移行されます。

  • セキュリティ グループを移行するときに、実体のない仮想マシン(ホストから削除された仮想マシン)は無視されます。

  • NSX にグループが表示されてから、しばらくすると、仮想マシンと vNIC のメンバーシップが更新されます。この間、一時的なグループが存在し、その一時グループがメンバーとして表示される場合があります。ただし、ホストの移行が完了すると、これらの一時グループは表示されなくなります。

動的メンバーシップに「正規表現に一致」演算子を使用

×

これは、セキュリティ タグと仮想マシン名のみに影響します。他の属性には「正規表現と一致」を使用できません。

属性の動的メンバーシップ基準に使用可能な他の演算子を使用:

  • セキュリティ タグ

  • 仮想マシン名

  • コンピュータ名

  • コンピュータ OS 名

仮想マシン名、コンピュータ名、コンピュータの OS 名には、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値と等しくない」、「次の値で始まる」の演算子を使用できます。

セキュリティ タグには、「次を含む」、「次で終わる」、「次の値と等しい」、「次の値で始まる」の演算子を使用できます。

「エンティティの所属先」基準

静的メンバーの移行と同じ制限が、「エンティティの所属先」基準に適用されます。たとえば、定義内でクラスタに「エンティティの所属先」を使用しているセキュリティ グループは移行されません。

「エンティティの所属先」基準を含むセキュリティ グループを AND で組み合わせて移行することはできません。

セキュリティ グループ内の動的なメンバーシップ基準に対する演算子(AND、OR)

はい

NSX-V セキュリティ グループの動的メンバーシップを定義する場合は、次のように構成できます。

  • 1 つ以上の動的セット。

  • 各動的セットには、1 つ以上の動的基準を含めることができます。たとえば、「Web を含む仮想マシン名」と指定します。

  • 動的セット内の任意またはすべての動的基準と照合するかどうかを選択できます。

  • 動的セットで AND または OR を使用して照合を行うこともできます。

NSX-V では、動的基準や動的セットの数が制限されません。これらを AND や OR で組み合わせることができます。

NSX では、1 つのグループに 5 つの式を使用できます。式の数が 5 つを超える NSX-V セキュリティ グループは移行されません。

移行可能なセキュリティ グループの例:

  • OR で関連付けられた 5 つの動的セット。各動的セットには、AND で関連付けられた動的基準を 5 つまで使用できます(NSX-V の場合は All)。

  • OR で関連付けられた 5 つの動的基準を含む 1 つの動的セット(NSX-V の場合は Any)。

  • AND で関連付けられた 5 つの動的基準を含む 1 つの動的セット(NSX-V の場合は All)。すべてのメンバータイプが同一である必要があります。

  • AND で関連付けれた 5 つの動的セット。各動的セットで使用できる動的基準は 1 つだけです。すべてのメンバータイプが同一である必要があります。

AND 演算子と「エンティティの所属先」条件を使用することはできません。

サポートされていないシナリオを含むセキュリティ グループのこれ以外の組み合わせと定義は移行されません。

NSX-V では、セキュリティ タグは仮想マシンに適用できるオブジェクトになります。NSX に移行すると、セキュリティ タグは仮想マシンの属性になります。

表 6. セキュリティ タグ

NSX-V 構成

サポート

詳細

セキュリティ タグ

仮想マシンに適用されているセキュリティ タグが 25 個以下の場合、セキュリティ タグの移行がサポートされます。25 個を超えるセキュリティ タグが適用されている場合、タグは移行されません。

注:セキュリティ タグが移行されない場合、タグ メンバーシップで定義されたグループに仮想マシンは含まれません。

仮想マシンに適用されないセキュリティ タグは移行されません。

サービスとサービス グループは、サービスとして NSX に移行されます。NSX Manager の Web インターフェイスで、[インベントリ] > [サービス] の順に移動して確認してください。

表 7. サービスとサービス グループ

NSX-V 構成

サポート

詳細

サービスとサービス グループ(アプリケーションとアプリケーション グループ)

デフォルトのサービスとサービス グループの大半は、NSX サービスにマッピングされます。NSX にサービスまたはサービス グループが存在しない場合、NSX で新しいサービスが作成されます。

APP_ALL と APP_POP2 サービス グループ

×

これらのシステム定義のサービス グループは移行されません。

名前が競合するサービスとサービス グループ

NSX で、変更後のサービス名またはサービス グループ名の競合が特定されると、NSX で新しいサービスが作成され、<NSXv-Application-Name> migrated from NSX-V という形式の名前が付けられます。

レイヤー 2 サービスと他のレイヤーのサービスを組み合わせたサービス グループ

×

空のサービス グループ

×

NSX は、空のサービスをサポートしていません。

レイヤー 2 サービス

NSX-V レイヤー 2 サービスは NSX サービス エントリ EtherTypeServiceEntry として移行されます。

レイヤー 3 サービス

プロトコルに応じて、NSX-V レイヤー 3 サービスは、次のように NSX サービス エントリに移行されます。

  • TCP/UDP プロトコル:L4PortSetServiceEntry

  • ICMP/IPV6ICMP プロトコル:

ICMPTypeServiceEntry

  • IGMP プロトコル:IGMPTypeServiceEntry

  • その他のプロトコル:IPProtocolServiceEntry

レイヤー 4 サービス

NSX サービス エントリ ALGTypeServiceEntry として移行されます。

レイヤー 7 サービス

NSX サービス エントリ PolicyContextProfile として移行されます。

NSX-V レイヤー 7 アプリケーションにポートとプロトコルが定義されている場合は、適切なポートとプロトコル構成を使用して NSX にサービスが作成され、PolicyContextProfile にマッピングされます。

レイヤー 7 サービス グループ

×

ポートとプロトコルを含む分散ファイアウォール ルール、Edge ファイアウォール ルールまたは NAT ルール

NSX では、これらのルールを作成するためのサービスが必要です。適切なサービスが存在する場合は、そのサービスが使用されます。適切なサービスが存在しない場合は、ルールで指定されたポートとプロトコルを使用してサービスが作成されます。

表 8. Service Composer

NSX-V 構成

サポート

詳細

Service Composer セキュリティ ポリシー

セキュリティ ポリシーで定義されたファイアウォール ルールは、分散ファイアウォール ルールとして NSX に移行されます。

Service Composer セキュリティ ポリシーで定義されている無効なファイアウォール ルールは移行されません。

Service Composer セキュリティ ポリシーで定義されているゲスト イントロスペクション ルールまたはネットワーク イントロスペクション ルールが移行されます。

Service Composer が同期状態でない場合、[構成の解決] の手順で警告が表示されます。Service Composer ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をロールバックして、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。

セキュリティ グループに適用されない Service Composer セキュリティ ポリシー

×

Active Directory サーバの構成

構成

サポート

詳細

Active Directory (AD) サーバ

×