IDFW(ID 방화벽)를 마이그레이션하려는 경우 몇 가지 준비가 필요합니다.
마이그레이션하기 전에 다음 요구 사항이 충족되는지 확인합니다.
- NSX-V에 등록된 AD(Active Directory) 도메인이 NSX-T에 등록되어 있습니다.
- NSX-V에 등록된 LDAP 서버가 NSX-T에 등록되어 있습니다.
- NSX-V에 등록된 이벤트 로그 서버가 NSX-T에 등록되어 있습니다.
- 새로 등록된 각 AD 도메인에 대한 전체 동기화가 NSX-T에서 완료됩니다.
- NSX-V의 IDFW 환경은 NSX-T에서 지원됩니다. 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 ID 방화벽 지원 구성 항목을 참조하십시오.
다음에 유의하십시오.
- 마이그레이션 중에는 새 사용자의 로그인을 허용하지 마십시오.
- NSX-V의 일부 IDFW 규칙은 NSX-T에서 지원되지 않습니다. 이러한 규칙은 NSX-T로 마이그레이션할 수 없습니다. 마이그레이션을 계속하려면 해당 항목을 건너뛰거나 변경해야 합니다.
- IP 기반 IDFW 연결의 경우 IDFW가 작동하려면 마이그레이션 후 다시 로그인해야 합니다. 마이그레이션 중에 이러한 사용자에 대한 IDFW 연결을 유지하려면 이러한 사용자에 대한 섀도 방화벽 규칙을 수동으로 생성해야 합니다.
- SID 기반 IDFW 연결의 경우 IDFW가 작동하기 위해 다시 로그인할 필요가 없습니다.
- NSX-T에서 IDFW는 글로벌 수준 및 클러스터 수준에서 구성할 수 있습니다. NSX-V는 클러스터 수준에서 IDFW를 지원하지 않으므로 마이그레이션 후 IDFW가 NSX-T의 모든 클러스터에 대해 사용되도록 설정됩니다.
- GI(Guest Introspection)가 다른 마이그레이션 작업에 의해 배포 해제되지 않은 경우 마이그레이션 후 NSX-V에서 GI(Guest Introspection)를 수동으로 배포 해제해야 합니다.
섀도 방화벽 규칙 생성 및 삭제
구성을 가져온 후 섀도 방화벽 규칙을 생성하려면
NSX-T에서 다음을 수행합니다.
- 디렉토리 그룹에 대한 IP 집합을 생성합니다.
- 디렉토리 그룹이 속한 동일한 NSGroup에 IP 집합을 추가합니다.
- 사용자가 로그인한 VM의 IP 주소를 찾습니다.
- IP 주소를 IP 집합에 추가합니다.
VM이 마이그레이션되고 사용자가 VM에서 로그아웃되면 다음을 수행합니다.
- IP 집합에서 IP 주소를 제거합니다.
- IP 집합에서 모든 IP 주소가 제거되면 NSGroup에서 IP 집합을 제거하고 IP 집합을 삭제합니다.
