vSphere Distributed Switch에서 vSAN 또는 iSCSI가 포함된 NSX-V

예

기존 NSX-T 구성

아니요

새 NSX-T 환경을 배포해야 합니다.

마이그레이션 모드가 사용자 정의 토폴로지가 아닌 경우 구성 가져오기 단계에서 NSX-T 환경의 모든 NSX-T Edge 노드 인터페이스가 종료됩니다. NSX-T 환경이 사용 중인 경우 트래픽이 중단됩니다.

크로스 vCenter NSX

(NSX-T 3.2.1 이상) 예

(NSX-T 3.2.0) 예, 보조 NSX Manager가 없음

(NSX-T 3.2.1 이상) NSX for vSphere 마이그레이션 모드 및 사용자 정의 토폴로지를 선택한 경우에만 지원됩니다.

(NSX-T 3.2.0) 기본 모드에 NSX Manager를 포함하지만 보조 NSX Manager는 없고 기본 사이트에 범용 개체가 있는 단일 사이트 NSX-V 배포의 마이그레이션이 지원됩니다. 이러한 단일 사이트 NSX-V 배포는 로컬 개체를 사용하는 단일 사이트 NSX-T 환경(비페더레이션)으로 마이그레이션됩니다. 기본 NSX Manager 및 여러 보조 NSX Manager를 사용하는 크로스 vCenter NSX-V 배포 마이그레이션은 지원되지 않습니다. 그러나 기본 또는 보조 NSX Manager가 독립형 또는 전송 모드로 설정되면 마이그레이션이 지원됩니다.

NSX-V(Cloud Management Platform, 통합 스택 솔루션 또는 PaaS 솔루션 포함).

예

vRealize Automation을 포함하는 NSX-V의 마이그레이션은 지원됩니다.

마이그레이션을 계속하기 전에 VMware 담당자에게 문의하십시오. 통합 환경을 마이그레이션하는 경우 스크립트 및 통합이 중단될 수 있습니다.

이미 유지 보수 모드인 ESXi 호스트(VM 없음)

예

NIOC(Network I/O Control) 버전 3

예

NIOC(Network I/O Control) 버전 2

아니요

예약된 vNIC가 포함된 NIOC(Network I/O Control)

아니요

vSphere 표준 스위치

아니요

VSS의 VM 및 VMKernel 인터페이스는 마이그레이션되지 않습니다. VSS에 적용된 NSX-V 기능은 마이그레이션할 수 없습니다.

vSphere Distributed Switch

상태 비저장 ESXi

아니요

호스트 프로파일

아니요

ESXi 잠금 모드

아니요

NSX-T에서 지원되지 않습니다.

유지 보수 모드 작업을 보류 중인 ESXi 호스트

아니요

vCenter 클러스터에서 연결이 끊긴 ESXi 호스트

아니요

vSphere FT

아니요

vSphere DRS가 완전히 자동화됨

예

vSphere HA(고가용성)

예

트래픽 필터링 ACL

아니요

vSphere 상태 점검

아니요

SRIOV

아니요

물리적 NIC에 vmknic 고정

아니요

전용 VLAN

아니요

Ephemeral dvPortGroup

아니요

DirectPath IO

아니요

L2 보안

아니요

가상 와이어의 스위치 학습

아니요

하드웨어 게이트웨이(물리적 스위칭 하드웨어와의 터널 끝점 통합)

아니요

SNMP

아니요

VM에서 연결이 끊어진 vNIC

아니요

ESX 6.5 제한으로 인해, 연결이 끊어진 VM에 대한 DVFilter에 오래된 항목이 있을 수 있습니다. VM을 재부팅하여 해결합니다.

4789 이외의 VXLAN 포트 번호

아니요

멀티캐스트 필터링 모드

아니요

여러 VTEP가 있는 호스트

예

NTP 서버/시간 설정

예

Syslog 서버 구성

예

백업 구성

예

필요한 경우 NSX-T 요구 사항에 맞게 NSX-V 암호를 변경합니다. 길이는 8자 이상이어야 하며 다음을 포함해야 합니다.

• 하나 이상의 소문자

• 하나 이상의 대문자

• 하나 이상의 숫자

• 하나 이상의 특수 문자

FIPS

아니요

FIPS 설정/해제를 NSX-T에서 지원하지 않습니다.

로케일

아니요

NSX-T는 영어 로케일만 지원함

장치 인증서

아니요

로컬 사용자

아니요

LDAP를 통해 추가된 vCenter 사용자에게 NSX 역할이 할당됨

예

LDAP 사용자에 대한 사용자 역할을 마이그레이션하려면 VMware Identity Manager를 설치하고 구성해야 합니다.

vCenter 그룹에 NSX 역할이 할당됨

아니요

인증서(서버, CA로 서명)

예

Truststore API를 통해 추가된 인증서에만 적용됩니다.

마이그레이션 중 인증서 변경

(NSX-T 3.2.0) 아니요

(NSX-T 3.2.1 이상) 예

(NSX-T 3.2.1 이상) vSphere 네트워킹 마이그레이션을 제외한 모든 마이그레이션 모드에 대해 마이그레이션이 일시 중지되면 인증서 변경이 지원됩니다. 호스트 및 워크로드가 마이그레이션되는 경우에는 지원되지 않습니다.

검색 프로토콜 CDP

참고 사항을 참조하십시오.

검색 프로토콜 LLDP

예

수신 모드는 기본적으로 켜져 있으며 NSX-T에서 변경할 수 없습니다. 보급 모드만 수정할 수 있습니다.

PortMirroring:

• 캡슐화된 원격 미러링 소스(L3)

예

L3 세션 유형만 마이그레이션이 지원됨

PortMirroring:

• 분산 PortMirroring

• 원격 미러링 소스

• 원격 미러링 대상

• 분산 포트 미러링(레거시)

아니요

L2 IPFIX

예

IPFIX를 사용한 LAG는 지원되지 않음

분산 방화벽 IPFIX

아니요

MAC 학습

예

위조 전송을 사용하도록 설정(수락)해야 합니다.

하드웨어 VTEP

아니요

비규칙 모드

아니요

리소스 할당

아니요

리소스 할당으로 설정된 vNIC는 지원되지 않음

IPFIX – 내부 흐름

아니요

InternalFlows가 있는 IPFIX는 지원되지 않음

L2 브리징

아니요

트렁크 VLAN

예

트렁크 업링크 포트 그룹은 VLAN 범위 0-4094로 구성해야 합니다.

VLAN 구성

예

VLAN(VXLAN 없음)만 있는 구성이 지원됩니다.

팀 구성 및 페일오버:

• 로드 밸런싱

• 업링크 페일오버 순서

예

로드 밸런싱에 대해 지원되는 옵션(팀 구성 정책):

• 명시적 페일오버 순서 사용

• 소스 MAC 해시 기준 라우팅

다른 로드 밸런싱 옵션은 지원되지 않습니다.

팀 구성 및 페일오버:

• 네트워크 장애 감지

• 스위치 알림

• 되돌리기 정책

• 롤링 순서

아니요

VDS 7.0 이상의 경우 마이그레이션 중에 LACP 기능이 수정되지 않습니다. 이전 버전의 VDS의 경우 새 N-VDS 스위치가 VDS를 대체합니다. 이로 인해 호스트 마이그레이션 중에 트래픽이 손실될 수 있습니다.

DVS(DFW IPFIX 아님)에 구성된 IPFIX는 LACP에서 지원되지 않습니다.

IP 검색(ARP, ND, DHCPv4 및 DHCPv6)

예

마이그레이션에 대해 다음 바인딩 제한이 NSX-T에 적용됩니다.

• ARP 검색 IP용 128

• DHCPv4 검색 IP용 128

• DHCPv6 검색 IP용 15

• ND 검색 IP용 15

SpoofGuard(수동, TOFU, 사용 안 함)

예

스위치 보안(BPDU 필터, DHCP 클라이언트 블록, DHCP 서버 블록, RA 가드)

예

NSX-V의 스위치 보안 모듈에서 NSX-T의 스위치 보안 모듈로 데이터 경로 바인딩 마이그레이션

예

SpoofGuard를 사용하도록 설정하면 ARP 억제를 지원하도록 스위치 보안 모듈에서 바인딩이 마이그레이션됩니다.

VSIP - VSIP 바인딩으로 지원되지 않는 스위치 보안은 고정으로 구성된 규칙으로 마이그레이션됩니다.

검색 프로파일

예

ipdiscovery 프로파일은 마이그레이션 후에 논리적 스위치에 대한 IP 검색 구성과 글로벌 및 클러스터 ARP/DHCP 구성을 사용하여 생성됩니다.

논리적 스위치(VNI) 및 라우팅 도메인에 따른 VTEP 복제

예

MAC/IP 복제

아니요

멀티캐스트 또는 하이브리드 복제 모드를 사용하는 NSX-V 전송 영역

아니요

유니캐스트 복제 모드를 사용하는 NSX-V 전송 영역

예

Edge Services Gateway 및 논리적 노스바운드 라우터 간 라우팅

예

BGP가 지원됩니다.

고정 경로가 지원됩니다.

OSPF가 지원됩니다.

Edge Services Gateway 및 논리적 분산 라우터 간 라우팅

예

경로가 마이그레이션 후에 고정 경로로 변환됩니다.

로드 밸런서

예

자세한 내용은 마이그레이션 모드 항목을 참조하십시오.

VLAN 지원 마이크로 세분화 환경

예

NAT64

아니요

NSX-T에서 지원되지 않습니다.

Edge Services Gateway 또는 논리적 분산 라우터에서 노드 수준 설정

아니요

노드 수준 설정(예: syslog 또는 NTP 서버)은 지원되지 않습니다. NSX-T Edge 노드에서 syslog 및 NTP를 수동으로 구성할 수 있습니다.

IPv6

아니요

Edge Services Gateway 인터페이스에 대한 URPF(유니캐스트 역방향 경로 필터) 구성

아니요

NSX-T 게이트웨이 인터페이스의 URPF는 엄격으로 설정됩니다.

MTU(최대 전송 단위) 구성 Edge Services Gateway 인터페이스

아니요

IP 멀티캐스트 라우팅

아니요

경로 재배포 접두사 필터

아니요

기본 원본

아니요

NSX-T에서 지원되지 않습니다.

방화벽 섹션: 표시 이름

예

방화벽 섹션은 최대 1000개의 규칙을 가질 수 있습니다. 섹션에 포함된 규칙이 1000개를 넘으면 여러 개의 섹션으로 마이그레이션됩니다.

기본 규칙에 대한 작업

예

NSX-V API: GatewayPolicy/action

NSX-T API: SecurityPolicy.action

방화벽 글로벌 구성

아니요

기본 시간 초과가 사용됨

방화벽 규칙

예

NSX-V API: firewallRule

NSX-T API: SecurityPolicy

방화벽 규칙: 이름

예

방화벽 규칙: 규칙 태그

예

NSX-V API: ruleTag

NSX-T API: Rule_tag

방화벽 규칙의 소스 및 대상:

• 그룹 개체

• IP 주소

예

NSX-V API:

• source/groupingObjectId

• source/ipAddress

NSX-T API:

• source_groups

NSX-V API:

• destination/groupingObjectId

• destination/ipAddress

NSX-T API:

• destination_groups

방화벽 규칙 소스 및 대상:

• vNIC 그룹

아니요

방화벽 규칙의 서비스(애플리케이션):

• 서비스

• 서비스 그룹

• 프로토콜/포트/소스 포트

예

NSX-V API:

• application/applicationId

• application/service/protocol

• application/service/port

• application/service/sourcePort

NSX-T API:

• 서비스

방화벽 규칙: 변환된 항목과 일치

아니요

변환된 항목과 일치는 ‘false’여야 합니다.

방화벽 규칙: 방향

예

두 API: 방향

방화벽 규칙: 작업

예

두 API: 작업

방화벽 규칙: 사용

예

두 API: 사용

방화벽 규칙: 로깅

예

NSX-V API: logging

NSX-T API: logged

방화벽 규칙: 설명

예

두 API: 설명

NAT 규칙

예

NSX-V API: natRule

NSX-T API: /nat/USER/nat-rules

NAT 규칙: 규칙 태그

예

NSX-V API: ruleTag

NSX-T API: rule_tag

NAT 규칙: 작업

예

NSX-V API: action

NSX-T API: action

NAT 규칙: 원래 주소(SNAT 규칙의 소스 주소

및 DNAT 규칙의 대상 주소)

예

NSX-V API: originalAddress

NSX-T API: SNAT 규칙의 경우 source_network, DNAT 규칙의 경우 destination_network

NAT 규칙: translatedAddress

예

NSX-V API: translatedAddress

NSX-T API: translated_network

NAT 규칙: 특정 인터페이스에서 NAT 규칙 적용

아니요

적용 대상은 "임의"여야 합니다.

NAT 규칙: 로깅

예

NSX-V API: loggingEnabled

NSX-T API: logging

NAT 규칙: 사용

예

NSX-V API: enabled

NSX-T API: disabled

NAT 규칙: 설명

예

NSX-V API: description

NSX-T API: description

NAT 규칙: 프로토콜

예

NSX-V API: protocol

NSX-T API: Service

NAT 규칙: 원래 포트(SNAT 규칙의 경우 소스 포트, DNAT 규칙의 경우 대상 포트)

예

NSX-V API: originalPort

NSX-T API: Service

NAT 규칙: 변환된 포트

예

NSX-V API: translatedPort

NSX-T API: Translated_ports

NAT 규칙: DNAT 규칙의 소스 주소

예

NSX-V API: dnatMatchSourceAddress

NSX-T API: source_network

NAT 규칙:

SNAT 규칙의 대상 주소

예

NSX-V API: snatMatchDestinationAddress

NSX-T API: destination_network

NAT 규칙:

DNAT 규칙의 소스 포트

예

NSX-V API: dnatMatchSourcePort

NSX-T API: Service

NAT 규칙:

SNAT 규칙의 대상 포트

예

NSX-V API: snatMatchDestinationPort

NSX-T API: Service

NAT 규칙: 규칙 ID

예

NSX-V API: ruleID

NSX-T API: id 및 display_name

PSK(사전 공유 키)를 사용한 IPSec 기반 L2VPN 구성

예

L2VPN을 통해 확장되는 네트워킹이 오버레이 논리적 스위치인 경우 지원됩니다. VLAN 네트워크에서는 지원되지 않습니다.

인증서 기반 인증을 사용한 IPSec 기반 L2VPN 구성

아니요

SSL 기반 L2VPN 구성

아니요

로컬 송신 최적화를 사용한 L2VPN 구성

아니요

L2VPN 클라이언트 모드

아니요

Dead Peer Detection

예

비활성 피어 감지는 NSX-V 및 NSX-T에서 다른 옵션을 지원합니다. 지원되는 경우 더 빠른 컨버전스를 위해 BGP를 사용하는 것을 고려하거나 DPD를 수행하도록 피어를 구성하는 것이 좋습니다.

다음에 대해 dpd(Dead Peer Detection) 기본값이 변경됨:

• dpdtimeout

• dpdaction

아니요

NSX-T에서 dpdaction은 “restart”로 설정되어 있으며 변경할 수 없습니다.

dpdtimeout에 대한 NSX-V 설정이 0으로 지정된 경우 dpd가 NSX-T에서 사용되지 않도록 설정됩니다. 그러지 않으면 모든 dpdtimeout 설정이 무시되고 기본값이 사용됩니다.

다음에 대해 dpd(Dead Peer Detection) 기본값이 변경됨:

• dpddelay 

예

NSX-V dpdelay는 NSX-T dpdinternal에 매핑됩니다.

둘 이상의 세션의 로컬 및 피어 서브넷이 겹침

아니요

NSX-V는 정책 기반 IPSec VPN 세션을 지원하며, 여기에서는 둘 이상 세션의 로컬 및 피어 서브넷이 서로 겹칩니다. 이러한 동작은 NSX-T에서 지원되지 않습니다. 마이그레이션을 시작하기 전에 서브넷이 겹치지 않도록 서브넷을 다시 구성해야 합니다. 이 구성 문제가 해결되지 않으면 구성 마이그레이션 단계가 실패합니다.

피어 끝점이 임의로 설정된 IPSec 세션

아니요

구성이 마이그레이션되지 않습니다.

확장 securelocaltrafficbyip로 변경됩니다.

아니요

NSX-T 서비스 라우터에는 터널을 통해 전송해야 하는 로컬에서 생성된 트래픽이 없습니다.

다음 확장에 대한 변경 사항:

auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configured, forceencaps,overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric,disablearrivalcheck, failureshunt,leftnexthop, keyingtries

아니요

이러한 확장은 NSX-T에서 지원되지 않으며 변경 사항이 마이그레이션되지 않습니다.

다음에 대해 모니터/상태 확인:

• LDAP

• DNS

• MSSQL

세부 정보를 참조하십시오.

(NLB) 모니터가 마이그레이션되지 않습니다.

(ALB) LDAP 및 MSSQL 모니터는 마이그레이션되지 않습니다. ALB에 엔터프라이즈 라이센스가 있는 경우 DNS 모니터가 마이그레이션되지만 기본 라이센스가 있는 경우에는 마이그레이션되지 않습니다.

애플리케이션 규칙

아니요

NSX-V는 HAProxy를 기준으로 하는 애플리케이션 규칙을 사용하여 L7을 지원합니다. NSX-T에서 규칙은 NGINX를 기준으로 합니다. 애플리케이션 규칙은 마이그레이션할 수 없습니다. 마이그레이션 후에 새 규칙을 생성해야 합니다.

L7 가상 서버 포트 범위

(NLB) 아니요

(ALB) 예

IPv6

아니요

가상 서버에서 IPv6을 사용하는 경우 전체 가상 서버가 무시됩니다.

풀에서 IPv6을 사용하는 경우 풀은 여전히 마이그레이션되지만 관련 풀 멤버는 제거됩니다.

URL, URI, HTTPHEADER 알고리즘

세부 정보를 참조하십시오.

(NLB) 이러한 알고리즘을 사용하는 풀은 마이그레이션되지 않습니다.

(ALB) ALB에 엔터프라이즈 라이센스가 있는 경우 지원됩니다. 기본 라이센스를 사용하면 다른 알고리즘을 선택하라는 피드백이 제공됩니다.

격리된 풀

아니요

모니터 포트가 서로 다른 LB 풀 멤버

세부 정보를 참조하십시오.

(NLB) 모니터 포트가 다른 풀 멤버는 마이그레이션되지 않습니다.

(ALB) 풀 멤버가 마이그레이션되지만 모니터 포트 구성에 포함되지 않습니다.

풀 멤버 minConn

아니요

모니터 확장

아니요

SSL sessionID 지속성/테이블

(NLB) 아니요

(ALB) 예

MSRDP 지속성/세션 테이블

아니요

쿠키 애플리케이션 세션/세션 테이블

(NLB) 아니요

(ALB) 예

애플리케이션 지속성

(NLB) 아니요

(ALB) 예

모니터링 대상:

• 명시적 이스케이프

• 종료

• 지연

아니요

모니터링 대상:

• 보내기

• 예상

• 시간 초과

• 간격

• maxRetries

예

Haproxy 튜닝/IPVS 튜닝

아니요

풀 IP 필터

• IPv4 주소

예

IPv4 IP 주소가 지원됩니다.

임의를 사용한 경우 IP 풀의 IPv4 주소만 마이그레이션됩니다.

풀 IP 필터

• IPv6 주소

아니요

지원되지 않는 그룹 개체를 포함하는 풀:

• 클러스터

• 데이터센터

• 분산 포트 그룹

• MAC 집합

• 가상 장치

아니요

풀에 지원되지 않는 그룹 개체가 포함되어 있으면 해당 개체가 무시되고 지원되는 그룹 개체 멤버를 사용하여 풀이 생성됩니다. 지원되는 그룹 개체 멤버가 없으면 빈 풀이 생성됩니다.

직접 연결된 Edge Services Gateway에 구성된 DHCP 서버를 가리키는 논리적 분산 라우터에 구성된 DHCP 릴레이

예

DHCP 릴레이 서버 IP는 Edge Services Gateway의 내부 인터페이스 IP 중 하나여야 합니다.

DHCP 서버는 DHCP 릴레이를 사용하여 구성된 논리적 분산 라우터에 직접 연결되는 Edge Services Gateway에 구성되어야 합니다.

DNAT를 사용하여 Edge Services Gateway 내부 인터페이스와 일치하지 않는 DHCP 릴레이 IP를 변환하는 것은 지원되지 않습니다.

논리적 분산 라우터에 구성된 DHCP 릴레이만, 연결된 Edge Services Gateway에 DHCP 서버 구성이 없음

아니요

Edge Services Gateway에 구성된 DHCP 서버만, 연결된 논리적 분산 라우터에 DHCP 릴레이 구성이 없음

아니요

IP 풀

예

고정 바인딩

예

DHCP 리스

예

일반 DHCP 옵션

예

DHCP 서비스 사용 안 함

아니요

NSX-T에서는 DHCP 서비스를 사용하지 않도록 설정할 수 없습니다. NSX-V에 사용하지 않도록 설정한 DHCP 서비스가 있으면 마이그레이션되지 않습니다.

DHCP 옵션: "기타"

아니요

DHCP 옵션의 "기타" 필드는 마이그레이션이 지원되지 않습니다.

예를 들어, dhcp 옵션 '80'은 마이그레이션되지 않습니다.

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

분리된 ip-pools/bindings

아니요

DHCP 서버에서 ip-pools 또는 static-bindings이 구성되었지만 연결된 논리적 스위치에서 사용되지 않는 경우 이러한 개체는 마이그레이션되지 않고 건너뜁니다.

논리적 스위치가 직접 연결된 Edge Service Gateway에 구성된 DHCP

아니요

마이그레이션 중에 직접 연결된 Edge Service Gateway 인터페이스가 중앙 집중식 서비스 포트로서 마이그레이션됩니다. 그러나 NSX-T는 중앙 집중식 서비스 포트에서 DHCP 서비스를 지원하지 않으므로 이러한 인터페이스의 경우 DHCP 서비스 구성이 마이그레이션되지 않습니다.

DNS 보기

예

첫 번째 dnsView만 NSX-T 기본 DNS 전달자 영역으로 마이그레이션됩니다.

DNS 구성

예

모든 Edge 노드에 대해 사용 가능한 DNS 수신기 IP를 제공해야 합니다. 이를 확인하기 위해 구성 해결 중에 메시지가 표시됩니다.

DNS – L3 VPN

예

새로 구성된 NSX-T DNS 수신기 IP를 원격 L3 VPN 접두사 목록에 추가해야 합니다. 이를 확인하기 위해 구성 해결 중에 메시지가 표시됩니다.

논리적 스위치가 직접 연결된 Edge Service Gateway에 구성된 DNS

아니요

마이그레이션 중에 직접 연결된 Edge Service Gateway 인터페이스가 중앙 집중식 서비스 포트로서 마이그레이션됩니다. 그러나 NSX-T는 중앙 집중식 서비스 포트에서 DNS 서비스를 지원하지 않으므로 이러한 인터페이스의 경우 DNS 서비스 구성이 마이그레이션되지 않습니다.

ID 방화벽

예

섹션 -

• 이름

• 설명

• TCP Strict

• 상태 비저장 방화벽

예

방화벽 섹션에 1000보다 많은 규칙이 있는 경우 마이그레이션 프로그램은 각각 1000개 규칙으로 이루어진 여러 개의 섹션으로 규칙을 마이그레이션합니다.

범용 섹션

NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예

규칙 – 소스/대상:

• IP 주소/범위/CIDR

• 논리적 포트

• 논리적 스위치

예

규칙 – 소스/대상:

• VM

• 논리적 포트

• 보안 그룹/IP 집합/MAC 집합

예

보안 그룹에 매핑

규칙 – 소스/대상:

• 클러스터

• 데이터센터

• DVPG

• vSS

• 호스트

아니요

규칙 – 소스/대상:

• 범용 논리적 스위치

NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예

규칙 – 소스/대상:

• NSX-V 호스트에 없는 VM

규칙 – 적용 대상:

• 임의

예

분산 방화벽에 매핑

규칙 – 적용 대상:

• 보안 그룹

• 논리적 포트

• 논리적 스위치

• VM

예

보안 그룹에 매핑

규칙 – 적용 대상:

• 클러스터

• 데이터센터

• DVPG

• vSS

• 호스트

아니요

규칙 – 적용 대상:

• 범용 논리적 스위치

아니요

NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예

분산 방화벽에서 규칙 사용 안 함

예

클러스터 수준에서 분산 방화벽 사용 안 함

아니요

NSX-T에서 분산 방화벽을 사용하도록 설정하면 모든 클러스터에서 사용하도록 설정됩니다. 클러스터마다 이 기능을 사용하도록 설정할 수 없는 경우도 있고 사용하지 않도록 설정할 수 없는 경우도 있습니다.

IP 집합

예

최대 200만 개의 멤버(IP 주소, IP 주소 서브넷, IP 범위)를 포함하는 IP 집합을 마이그레이션할 수 있습니다. 더 많은 멤버가 포함된 IP 집합은 마이그레이션되지 않습니다.

MAC 집합

예

최대 200만 개의 멤버가 포함된 MAC 집합을 마이그레이션할 수 있습니다. 더 많은 멤버가 포함된 MAC 집합은 마이그레이션되지 않습니다.

존재하지 않는 멤버가 있는 보안 그룹

아니요

보안 그룹에 존재하지 않는 멤버가 있으면 해당 보안 그룹은 마이그레이션되지 않습니다.

지원되지 않는 멤버가 있는 보안 그룹이 포함된 보안 그룹

아니요

보안 그룹에 마이그레이션을 지원하지 않는 멤버가 있으면 해당 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹에 지원되지 않는 멤버를 포함하는 보안 그룹이 들어 있으면 해당 상위 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹에서 멤버 자격 제외

아니요

직접적 또는 간접적(중첩을 통해)으로 제외 멤버가 있는 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹 고정 멤버 자격

예

보안 그룹에는 최대 500개의 고정 멤버가 포함될 수 있습니다. 그러나 보안 그룹이 분산 방화벽 규칙에 사용되는 경우에는 시스템 생성 고정 멤버가 추가되어 유효 제한이 499 또는 498로 줄어듭니다.

• 보안 그룹이 계층 2 또는 계층 3 규칙에서 사용되는 경우 시스템 생성 고정 멤버 하나가 보안 그룹에 추가됩니다.

• 보안 그룹이 계층 2 및 계층 3 규칙 둘 다에서 사용되는 경우 시스템 생성 고정 멤버 2개가 추가됩니다.

구성 해결 단계 중에 멤버가 없는 경우 보안 그룹이 마이그레이션되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

• 클러스터

• 데이터센터

• 디렉토리 그룹

• 분산 포트 그룹

• 레거시 포트 그룹/네트워크

• 리소스 풀

• vApp

아니요

보안 그룹에 지원되지 않는 멤버 유형이 포함된 경우 보안 그룹이 마이그레이션되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

• 보안 그룹

• IP 집합

• MAC 집합

예

보안 그룹, IP 집합 및 MAC 집합은 NSX-T에 그룹으로 마이그레이션됩니다. NSX-V 보안 그룹에 IP 집합, MAC 집합 또는 중첩된 보안 그룹이 고정 멤버로 포함되어 있는 경우 해당 그룹이 상위 그룹에 추가됩니다.

이러한 고정 멤버 중 하나가 NSX-T로 마이그레이션되지 않은 경우 상위 보안 그룹이 NSX-T로 마이그레이션되지 않습니다.

예를 들어 200만 개가 넘는 멤버가 포함된 IP 집합은 NSX-T로 마이그레이션할 수 없습니다. 따라서 200만 개가 넘는 멤버가 포함된 IP 집합을 포함하는 보안 그룹은 마이그레이션할 수 없습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

• 논리적 스위치(가상 와이어)

예

보안 그룹에 NSX-T 세그먼트로 마이그레이션되지 않는 논리적 스위치가 포함된 경우 보안 그룹이 NSX-T로 마이그레이션되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

• 보안 태그

예

보안 태그가 보안 그룹에 고정 멤버로 추가되거나 엔티티 소속을 사용하여 동적 멤버로 추가되는 경우 보안 그룹을 마이그레이션하려면 보안 태그가 있어야 합니다.

보안 태그를 동적 멤버로 보안 그룹에 추가하는 경우(엔티티 소속을 사용하지 않음) 보안 그룹을 마이그레이션하기 전에 보안 태그가 있는지 확인되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

• vNIC

• 가상 시스템

예

• vNIC 및 VM은 ExternalIDExpression로 마이그레이션됩니다.

• 분리된 VM(호스트에서 삭제된 VM)은 보안 그룹 마이그레이션 중에 무시됩니다.

• NSX-T에 그룹이 나타나고 얼마 후에 VM 및 vNIC 멤버 자격이 업데이트됩니다. 이 시간 동안 임시 그룹이 있고 해당 임시 그룹이 멤버로 표시될 수 있습니다. 하지만 호스트 마이그레이션이 완료되면 이러한 추가 임시 그룹이 더 이상 표시되지 않습니다.

동적 멤버 자격에 대해 "정규식 일치" 연산자 사용

아니요

보안 태그 및 VM 이름에만 영향을 줍니다. 다른 특성에는 "정규식 일치"를 사용할 수 없습니다.

특성에 대한 동적 멤버 자격 조건에 사용 가능한 기타 연산자 사용:

• 보안 태그

• VM 이름

• 컴퓨터 이름

• 컴퓨터 OS 이름

예

VM 이름, 컴퓨터 이름 및 컴퓨터 OS 이름에 사용할 수 있는 연산자는 다음 포함, 다음으로 끝남, 같음, 같지 않음, 다음으로 시작입니다.

보안 태그에 사용할 수 있는 연산자는 다음 포함, 다음으로 끝남, 같음, 다음으로 시작입니다.

엔티티 소속 조건

예

고정 멤버 마이그레이션의 경우와 동일한 제한 사항이 엔티티 소속 조건에도 적용됩니다. 예를 들어 정의에서 엔티티 소속 클러스터를 사용하는 보안 그룹이 있는 경우 해당 보안 그룹은 마이그레이션되지 않습니다.

AND로 결합된 엔티티 소속 조건을 포함하는 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹의 동적 멤버 자격 조건 연산자(AND, OR)

예.

NSX-V 보안 그룹에 대해 동적 멤버 자격을 정의할 경우 다음을 구성할 수 있습니다.

• 하나 이상의 동적 집합.

• 각 동적 집합에는 하나 이상의 동적 조건이 포함될 수 있습니다. 예: “VM Name Contains web”.

• 동적 집합 내에서 Any 동적 조건을 일치시킬지 또는 All 동적 조건을 일치시킬지를 선택할 수 있습니다.

• 동적 집합 간에 AND 또는 OR를 사용하여 일치시키도록 선택할 수 있습니다.

NSX-V는 동적 조건, 동적 집합의 수를 제한하지 않으며 AND 및 OR를 조합해서 사용할 수 있습니다.

NSX-T에서는 5개 식이 포함된 그룹이 있을 수 있습니다. 5개가 넘는 식을 포함하는 NSX-V 보안 그룹은 마이그레이션되지 않습니다.

마이그레이션할 수 있는 보안 그룹의 예:

• OR로 연결된 최대 5개의 동적 집합. 여기서 각 동적 집합은 AND(NSX-V의 All)로 연결된 최대 5개의 동적 조건을 포함합니다.

• OR(NSX-V의 Any)로 연결된 5개의 동적 조건을 포함하는 1개의 동적 집합.

• AND(NSX-V의 All)로 연결된 5개의 동적 조건을 포함하는 1개의 동적 집합 모든 멤버 유형이 동일해야 합니다.

• AND로 연결된 5개의 동적 집합, 각 동적 집합은 정확히 1개의 동적 조건을 포함합니다. 모든 멤버 유형이 동일해야 합니다.

AND 연산자와 함께 "엔티티 소속" 기준을 사용할 수 없습니다.

지원되지 않는 시나리오를 포함하는 보안 그룹의 다른 모든 조합 또는 정의는 마이그레이션되지 않습니다.

보안 태그

예

VM에 25개 이하의 보안 태그가 적용된 경우 보안 태그의 마이그레이션이 지원됩니다. 25개보다 많은 보안 태그가 적용되면 태그가 마이그레이션되지 않습니다.

참고: 보안 태그가 마이그레이션되지 않으면 VM이 태그 멤버 자격으로 정의된 그룹에 포함되지 않습니다.

VM에 적용되지 않은 보안 태그는 마이그레이션되지 않습니다.

서비스 및 서비스 그룹(애플리케이션 및 애플리케이션 그룹)

예

대부분의 기본 서비스 및 서비스 그룹은 NSX-T 서비스에 매핑됩니다. NSX-T에 서비스 또는 서비스 그룹이 없으면 NSX-T에서 새 서비스가 생성됩니다.

APP_ALL 및 APP_POP2 서비스 그룹

아니요

이러한 시스템 정의 서비스 그룹은 마이그레이션되지 않습니다.

이름 지정 충돌이 있는 서비스 및 서비스 그룹

예

수정된 서비스 또는 서비스 그룹에 대해 NSX-T에서 이름 충돌이 식별되면 새 서비스가 NSX-V에서 마이그레이션된 <NSXv-Application-Name> 형식의 이름으로 NSX-T에서 생성됩니다.

계층 2 서비스를 다른 계층의 서비스와 결합하는 서비스 그룹

아니요

빈 서비스 그룹

아니요

NSX-T는 빈 서비스를 지원하지 않습니다.

계층 2 서비스

예

NSX-V 계층 2 서비스는 NSX-T 서비스 항목 EtherTypeServiceEntry로 마이그레이션됩니다.

계층 3 서비스

예

프로토콜을 기준으로, NSX-V 계층 3 서비스는 다음과 같이 NSX-T 서비스 항목으로 마이그레이션됩니다.

• TCP/UDP 프로토콜: L4PortSetServiceEntry

• ICMP/IPV6ICMP 프로토콜:

ICMPTypeServiceEntry

• IGMP 프로토콜: IGMPTypeServiceEntry

• 기타 프로토콜: IPProtocolServiceEntry

계층 4 서비스

예

NSX-T 서비스 항목 ALGTypeServiceEntry로 마이그레이션됩니다.

계층 7 서비스

예

NSX-T 서비스 항목 PolicyContextProfile로 마이그레이션됩니다.

NSX-V 계층 7 애플리케이션에 포트 및 프로토콜이 정의되어 있으면 서비스는 적절한 포트 및 프로토콜 구성을 사용하여 NSX-T에 생성된 후 PolicyContextProfile에 매핑됩니다.

계층 7 서비스 그룹

아니요

포트 및 프로토콜을 포함하는 분산 방화벽, Edge 방화벽 또는 NAT 규칙

예

이러한 규칙을 생성하려면 NSX-T에 서비스가 필요합니다. 적절한 서비스가 있으면 사용됩니다. 적절한 서비스가 없으면 규칙에 지정된 포트 및 프로토콜을 사용하여 서비스가 생성됩니다.

AD(Active Directory) 서버

아니요