이 마이그레이션 모드에서는 DFW(분산 방화벽) 구성을 NSX-V에서 NSX-T로 마이그레이션합니다. IDFW(ID 방화벽)가 구성되어 있는 경우에도 마이그레이션됩니다.

IDFW 마이그레이션에 대한 자세한 내용은 ID 방화벽 마이그레이션(종단 간 및 리프트 앤 시프트)을 참조하십시오.

다음 논리적 개체 구성이 마이그레이션됩니다.
  • 사용자 정의 DFW(분산 방화벽) 규칙
  • 그룹 개체
    • IP 집합
    • MAC 집합
    • Security Group
    • 서비스 및 서비스 그룹
    • 보안 태그
  • Service Composer를 사용하여 생성된 보안 정책(DFW 규칙 구성만 마이그레이션됨)

    Service Composer의 Guest Introspection 서비스 구성 및 네트워크 검사 규칙 구성이 마이그레이션되지 않습니다.

DFW 구성에 따라 DFW 구성을 마이그레이션한 후 워크로드 VM을 마이그레이션하는 방법에는 두 가지가 있습니다. DFW 규칙에 "적용 대상"이 구성되지 않은 경우(즉, "적용 대상"이 "DFW"로 설정되어 있는 경우) vSphere Client를 사용하여 워크로드 VM을 마이그레이션할 수 있습니다(워크로드 VM 마이그레이션(간단한 경우) 절차를 따름). 그러지 않으면 스크립트를 사용하여 VM을 마이그레이션해야 합니다(워크로드 마이그레이션을 위한 VM 그룹 생성워크로드 VM 마이그레이션(복잡한 경우) 절차를 따름).

기본 모드에 NSX Manager를 포함하지만 보조 NSX Manager는 없고 기본 사이트에 범용 개체가 있는 단일 사이트 NSX-V 배포의 마이그레이션이 지원됩니다. 이러한 단일 사이트 NSX-V 배포는 로컬 개체만 사용하는 단일 사이트 NSX-T 환경(비페더레이션)으로 마이그레이션됩니다.

분산 방화벽 구성의 마이그레이션에 대해 지원되는 모든 구성의 자세한 목록은 마이그레이션에 대한 자세한 기능 지원을 참조하십시오.

다음과 같은 마이그레이션 목표가 있습니다.
  • 기존 분산 방화벽 구성만 NSX-V에서 NSX-T로 마이그레이션합니다.
  • 계층 -2 Edge 브리지 및 vSphere vMotion을 사용하여 워크로드 VM을 NSX-V에서 NSX-T로 마이그레이션합니다.

계층 -2 네트워크를 확장하려면 NSX-T 네이티브 Edge 브리지를 사용하면 됩니다.

중요: 리프트 및 시프트 접근 방식을 사용하여 DFW 구성을 NSX-V에서 NSX-T로 마이그레이션하려면 DFW 전용 마이그레이션 모드를 한 번만 실행해야 합니다. DFW 구성을 NSX-T로 마이그레이션한 후에는 NSX-V 환경에서 DFW 구성을 업데이트하지 않고 DFW 전용 마이그레이션 모드를 다시 실행해야 합니다. DFW 전용 마이그레이션 모드를 여러 번 실행하는 것은 권장되지 않습니다.

DFW 전용 마이그레이션의 사전 요구 사항

  • 이 마이그레이션을 위해 새 NSX-T 환경이 준비됩니다.
  • 이 마이그레이션 전에는 NSX-T에 사용자 정의 DFW 규칙이 없습니다.
  • NSX-V 대시보드의 시스템 개요 창에 표시되는 모든 상태는 녹색입니다.
  • NSX-V 환경에 분산 방화벽 및 Service Composer 정책에 대한 게시되지 않은 변경 내용이 없습니다.
  • NSX 관리 클러스터의 모든 호스트(NSX-v 및 NSX-T)는 동일한 버전의 VDS에 연결되어야 하며 NSX 관리 클러스터 내의 각 호스트는 단일 버전의 VDS 멤버여야 합니다.
참고:
  • DFW 전용 구성의 리프트 및 시프트 마이그레이션 중에는 NSX-V의 호스트가 NSX-T로 마이그레이션되지 않습니다. 따라서 NSX-V 환경에서 사용되는 ESXi 버전을 NSX-T에서 반드시 지원해야 하는 것은 아닙니다.
  • DFW 전용 마이그레이션 모드에서는 기존 연결 세션에 대한 방화벽 상태(DVFilter)가 vMotion을 포함하여 마이그레이션 전체에서 유지됩니다. 방화벽 상태는 VM이 단일 vCenter Server 내에서 마이그레이션되는지 또는 vCenter Server에서 마이그레이션되는지에 관계없이 유지됩니다. 또한 보안 태그가 워크로드 VM으로 마이그레이션된 후에 방화벽 규칙의 동적 멤버 자격이 유지됩니다.
  • 마이그레이션 중에 생성된 개체는 마이그레이션이 완료되기 전에 업데이트하거나 삭제하면 안 됩니다. 그러나 필요한 경우 NSX-T에서 추가 개체를 생성할 수 있습니다.
  • NSX-T에서는 DFW가 바로 사용하도록 설정됩니다. DFW 규칙에서 "임의"로 지정된 소스와 대상이 포함된 모든 흐름은 기본적으로 허용됩니다. NSX-T 환경에서 분산 방화벽을 사용하도록 설정한 경우에는 워크로드 VM을 NSX-T에서 NSX-V로 다시 마이그레이션할 수 없습니다. 마이그레이션된 워크로드 VM의 롤백은 지원되지 않습니다. 해결 방법은 NSX-T 방화벽 제외 목록에 워크로드 VM을 추가하고 vSphere vMotion을 사용하여 워크로드 VM을 다시 NSX-V로 마이그레이션하는 것입니다.
  • DFW 구성의 자동화된 마이그레이션은 NSX-v 논리적 스위치에 연결된 워크로드 VM을 지원합니다. 이러한 VM은 NSX-T 오버레이 세그먼트로 마이그레이션됩니다. vSphere 분산 가상 포트 그룹에 연결된 NSX-v의 워크로드 VM은 NSX 분산 가상 포트 그룹으로 자동으로 마이그레이션되지 않습니다. 해결 방법으로 NSX 분산 가상 포트 그룹을 수동으로 생성하고 워크로드 VM을 해당 그룹에 연결해야 합니다.
  • DFW 제외 목록은 마이그레이션되지 않습니다. 마이그레이션 후 NSX-T를 다시 생성해야 합니다.
  • 마이그레이션 중에 생성된 논리적 포트 및 스위치는 워크로드 VM이 삭제될 때 삭제되지 않습니다. NSX Manager UI 또는 API를 통해 이러한 포트 및 스위치를 삭제해야 합니다.
  • NSX-T의 기본 세그먼트는 DHCP 서버를 지원하지 않으며 마이그레이션 후 서버가 종료될 수 있습니다.