IDFW(ID 방화벽)를 마이그레이션하려는 경우 몇 가지 준비가 필요합니다.

마이그레이션하기 전에 다음 요구 사항이 충족되는지 확인합니다.
  • NSX-V에 등록된 AD(Active Directory) 도메인이 NSX에 등록되어 있습니다.
  • NSX-V에 등록된 LDAP 서버가 NSX에 등록되어 있습니다.
  • NSX-V에 등록된 이벤트 로그 서버가 NSX에 등록되어 있습니다.
  • 새로 등록된 각 AD 도메인에 대한 전체 동기화가 NSX에서 완료됩니다.
  • NSX-V의 IDFW 환경은 NSX에서 지원됩니다. 자세한 내용은 "NSX 관리 가이드" 에서 ID 방화벽 지원 구성 항목을 참조하십시오.
다음에 유의하십시오.
  • 마이그레이션 중에는 새 사용자의 로그인을 허용하지 마십시오.
  • NSX-V의 일부 IDFW 규칙은 NSX에서 지원되지 않습니다. 이러한 규칙은 NSX로 마이그레이션할 수 없습니다. 마이그레이션을 계속하려면 해당 항목을 건너뛰거나 변경해야 합니다.
  • IP 기반 IDFW 연결의 경우 IDFW가 작동하려면 마이그레이션 후 다시 로그인해야 합니다. 마이그레이션 중에 이러한 사용자에 대한 IDFW 연결을 유지하려면 이러한 사용자에 대한 섀도 방화벽 규칙을 수동으로 생성해야 합니다.
  • SID 기반 IDFW 연결의 경우 IDFW가 작동하기 위해 다시 로그인할 필요가 없습니다.
  • NSX에서 IDFW는 글로벌 수준 및 클러스터 수준에서 구성할 수 있습니다. NSX-V는 클러스터 수준에서 IDFW를 지원하지 않으므로 마이그레이션 후 IDFW가 NSX의 모든 클러스터에 대해 사용되도록 설정됩니다.
  • GI(Guest Introspection)가 다른 마이그레이션 작업에 의해 배포 해제되지 않은 경우 마이그레이션 후 NSX-V에서 GI(Guest Introspection)를 수동으로 배포 해제해야 합니다.

섀도 방화벽 규칙 생성 및 삭제

구성을 가져온 후 섀도 방화벽 규칙을 생성하려면 NSX에서 다음을 수행합니다.
  1. 디렉토리 그룹에 대한 IP 집합을 생성합니다.
  2. 디렉토리 그룹이 속한 동일한 NSGroup에 IP 집합을 추가합니다.
  3. 사용자가 로그인한 VM의 IP 주소를 찾습니다.
  4. IP 주소를 IP 집합에 추가합니다.
VM이 마이그레이션되고 사용자가 VM에서 로그아웃되면 다음을 수행합니다.
  1. IP 집합에서 IP 주소를 제거합니다.
  2. IP 집합에서 모든 IP 주소가 제거되면 NSGroup에서 IP 집합을 제거하고 IP 집합을 삭제합니다.