마이그레이션할 수 있는 NSX-V 기능 및 구성은 다음과 같습니다.
플랫폼 지원
지원되는 ESXi 및 VMware vCenter 버전에 대해서는 VMware 상호 운용성 매트릭스를 참조하십시오.
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
vSphere Distributed Switch에서 vSAN 또는 iSCSI가 포함된 NSX-V |
예 |
|
기존 NSX 구성 |
아니요 |
새 NSX 환경을 배포해야 합니다. 마이그레이션 모드가 사용자 정의 토폴로지가 아닌 경우 구성 가져오기 단계에서 NSX 환경의 모든 NSX Edge 노드 인터페이스가 종료됩니다. NSX 환경이 사용 중인 경우 트래픽이 중단됩니다. |
크로스 vCenter NSX |
예 |
NSX for vSphere 마이그레이션 모드 및 사용자 정의 토폴로지를 선택한 경우에만 지원됩니다. |
NSX-V(Cloud Management Platform, 통합 스택 솔루션 또는 PaaS 솔루션 포함). |
예 |
Aria Automation을 포함하는 NSX-V의 마이그레이션은 지원됩니다. 마이그레이션을 계속하기 전에 VMware 담당자에게 문의하십시오. 통합 환경을 마이그레이션하는 경우 스크립트 및 통합이 중단될 수 있습니다.
예:
|
vSphere 및 ESXi 기능
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
이미 유지 보수 모드인 ESXi 호스트(VM 없음) |
예 |
|
NIOC(Network I/O Control) 버전 3 |
예 |
|
NIOC(Network I/O Control) 버전 2 |
아니요 |
|
예약된 vNIC가 포함된 NIOC(Network I/O Control) |
아니요 |
|
vSphere 표준 스위치 |
아니요 |
VSS의 VM 및 VMKernel 인터페이스는 마이그레이션되지 않습니다. VSS에 적용된 NSX-V 기능은 마이그레이션할 수 없습니다. |
vSphere Distributed Switch |
예 | |
상태 비저장 ESXi |
아니요 |
|
호스트 프로파일 |
아니요 |
|
ESXi 잠금 모드 |
아니요 |
NSX에서 지원되지 않습니다. |
유지 보수 모드 작업을 보류 중인 ESXi 호스트 |
아니요 |
|
vCenter 클러스터에서 연결이 끊긴 ESXi 호스트 |
아니요 |
|
vSphere FT |
아니요 |
|
vSphere DRS가 완전히 자동화됨 |
예 |
vSphere 7.0부터 지원됨 |
vSphere HA(고가용성) |
예 |
|
트래픽 필터링 ACL |
아니요 |
|
vSphere 상태 점검 |
아니요 |
|
SRIOV |
아니요 |
|
물리적 NIC에 vmknic 고정 |
아니요 |
|
전용 VLAN |
아니요 |
|
Ephemeral dvPortGroup |
아니요 |
|
DirectPath IO |
아니요 |
|
L2 보안 |
아니요 |
|
가상 와이어의 스위치 학습 |
아니요 |
|
하드웨어 게이트웨이(물리적 스위칭 하드웨어와의 터널 끝점 통합) |
아니요 |
|
SNMP |
아니요 |
|
VM에서 연결이 끊어진 vNIC |
아니요 |
ESX 6.5 제한으로 인해, 연결이 끊어진 VM에 대한 DVFilter에 오래된 항목이 있을 수 있습니다. VM을 재부팅하여 해결합니다. |
4789 이외의 VXLAN 포트 번호 |
아니요 |
|
멀티캐스트 필터링 모드 |
아니요 |
|
여러 VTEP가 있는 호스트 |
예 |
NSX Manager 장치 시스템 구성
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
NTP 서버/시간 설정 |
예 |
|
Syslog 서버 구성 |
예 |
|
백업 구성 |
예 |
필요한 경우 NSX 요구 사항에 맞게 NSX-V 암호를 변경합니다. 길이는 8자 이상이어야 하며 다음을 포함해야 합니다.
|
FIPS |
아니요 |
FIPS 설정/해제를 NSX에서 지원하지 않습니다. |
로케일 |
아니요 |
NSX는 영어 로케일만 지원함 |
장치 인증서 |
아니요 |
역할 기반 액세스 제어
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
로컬 사용자 |
아니요 |
|
LDAP를 통해 추가된 vCenter 사용자에게 NSX 역할이 할당됨 |
예 |
LDAP 사용자에 대한 사용자 역할을 마이그레이션하려면 VMware Identity Manager를 설치하고 구성해야 합니다. |
vCenter 그룹에 NSX 역할이 할당됨 |
아니요 |
인증서
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
인증서(서버, CA로 서명) |
예 |
Truststore API를 통해 추가된 인증서에만 적용됩니다. |
마이그레이션 중 인증서 변경 |
예 |
vSphere 네트워킹 마이그레이션을 제외한 모든 마이그레이션 모드에 대해 마이그레이션이 일시 중지되면 인증서 변경이 지원됩니다. 호스트 및 워크로드가 마이그레이션되는 경우에는 지원되지 않습니다. |
작업
세부 정보 |
지원됨 |
참고 |
---|---|---|
검색 프로토콜 CDP |
참고 사항을 참조하십시오. |
VDS 7.0으로 마이그레이션하는 경우 예. N-VDS로 마이그레이션하는 경우 아니요. |
검색 프로토콜 LLDP |
예 |
수신 모드는 기본적으로 켜져 있으며 NSX에서 변경할 수 없습니다. 보급 모드만 수정할 수 있습니다. |
PortMirroring:
|
예 |
L3 세션 유형만 마이그레이션이 지원됨 |
PortMirroring:
|
아니요 |
|
L2 IPFIX |
예 |
IPFIX를 사용한 LAG는 지원되지 않음 |
분산 방화벽 IPFIX |
아니요 |
|
MAC 학습 |
예 |
위조 전송을 사용하도록 설정(수락)해야 합니다. |
하드웨어 VTEP |
아니요 |
|
비규칙 모드 |
아니요 |
|
리소스 할당 |
아니요 |
리소스 할당으로 설정된 vNIC는 지원되지 않음 |
IPFIX – 내부 흐름 |
아니요 |
InternalFlows가 있는 IPFIX는 지원되지 않음 |
스위치
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
L2 브리징 |
아니요 |
|
트렁크 VLAN |
인플레이스 마이그레이션의 경우 예 리프트 앤 시프트 마이그레이션의 경우 아니요 |
트렁크 업링크 포트 그룹은 VLAN 범위 0-4094로 구성해야 합니다. |
VLAN 구성 |
예 |
VLAN(VXLAN 없음)만 있는 구성이 지원됩니다. |
팀 구성 및 페일오버:
|
예 |
로드 밸런싱에 대해 지원되는 옵션(팀 구성 정책):
다른 로드 밸런싱 옵션은 지원되지 않습니다. |
팀 구성 및 페일오버:
|
아니요 |
|
LACP | 예 | VDS 7.0 이상의 경우 마이그레이션 중에 LACP 기능이 수정되지 않습니다. 이전 버전의 VDS의 경우 새 N-VDS 스위치가 VDS를 대체합니다. 이로 인해 호스트 마이그레이션 중에 트래픽이 손실될 수 있습니다. DVS(DFW IPFIX 아님)에 구성된 IPFIX는 LACP에서 지원되지 않습니다. |
스위치 보안 및 IP 검색
NSX-V 구성 |
마이그레이션 지원 |
세부 정보 |
---|---|---|
IP 검색(ARP, ND, DHCPv4 및 DHCPv6) |
예 |
마이그레이션에 대해 다음 바인딩 제한이 NSX에 적용됩니다.
|
SpoofGuard(수동, TOFU, 사용 안 함) |
예 |
|
스위치 보안(BPDU 필터, DHCP 클라이언트 블록, DHCP 서버 블록, RA 가드) |
예 |
|
NSX-V의 스위치 보안 모듈에서 NSX의 스위치 보안 모듈로 데이터 경로 바인딩 마이그레이션 |
예 |
SpoofGuard를 사용하도록 설정하면 ARP 억제를 지원하도록 스위치 보안 모듈에서 바인딩이 마이그레이션됩니다. VSIP - VSIP 바인딩으로 지원되지 않는 스위치 보안은 고정으로 구성된 규칙으로 마이그레이션됩니다. |
검색 프로파일 |
예 |
ipdiscovery 프로파일은 마이그레이션 후에 논리적 스위치에 대한 IP 검색 구성과 글로벌 및 클러스터 ARP/DHCP 구성을 사용하여 생성됩니다. |
중앙 제어부
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
논리적 스위치(VNI) 및 라우팅 도메인에 따른 VTEP 복제 |
예 |
|
MAC/IP 복제 |
아니요 |
|
멀티캐스트 또는 하이브리드 복제 모드를 사용하는 NSX-V 전송 영역 |
아니요 |
|
유니캐스트 복제 모드를 사용하는 NSX-V 전송 영역 |
예 |
NSX Edge 기능
지원되는 토폴로지에 대한 전체 세부 정보는 지원되는 토폴로지를 참조하십시오.
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
Edge Services Gateway 및 논리적 노스바운드 라우터 간 라우팅 |
예 |
BGP가 지원됩니다. 고정 경로가 지원됩니다. OSPF가 지원됩니다. |
Edge Services Gateway 및 논리적 분산 라우터 간 라우팅 |
예 |
경로가 마이그레이션 후에 고정 경로로 변환됩니다. |
로드 밸런서 |
예 |
|
VLAN 지원 마이크로 세분화 환경 |
예 |
자세한 내용은 지원되는 토폴로지를 참조하십시오. |
NAT64 |
아니요 |
NSX에서 지원되지 않습니다. |
Edge Services Gateway 또는 논리적 분산 라우터에서 노드 수준 설정 |
아니요 |
노드 수준 설정(예: syslog 또는 NTP 서버)은 지원되지 않습니다. NSX Edge 노드에서 syslog 및 NTP를 수동으로 구성할 수 있습니다. |
IPv6 |
아니요 |
|
Edge Services Gateway 인터페이스에 대한 URPF(유니캐스트 역방향 경로 필터) 구성 |
아니요 |
NSX 게이트웨이 인터페이스의 URPF는 엄격으로 설정됩니다. |
MTU(최대 전송 단위) 구성 Edge Services Gateway 인터페이스 |
아니요 |
NSX에서 기본 MTU를 변경하는 방법에 대한 자세한 내용은 글로벌 MTU 설정 변경 항목을 참조하십시오. |
IP 멀티캐스트 라우팅 |
아니요 |
|
경로 재배포 접두사 필터 |
아니요 |
|
기본 원본 |
아니요 |
NSX에서 지원되지 않습니다. |
Edge 방화벽
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
방화벽 섹션: 표시 이름 |
예 |
방화벽 섹션은 최대 1000개의 규칙을 가질 수 있습니다. 섹션에 포함된 규칙이 1000개를 넘으면 여러 개의 섹션으로 마이그레이션됩니다. |
기본 규칙에 대한 작업 |
예 |
NSX-V API: GatewayPolicy/action NSX API: SecurityPolicy.action |
방화벽 글로벌 구성 |
아니요 |
기본 시간 초과가 사용됨 |
방화벽 규칙 |
예 |
NSX-V API: firewallRule NSX API: SecurityPolicy |
방화벽 규칙: 이름 |
예 |
|
방화벽 규칙: 규칙 태그 |
예 |
NSX-V API: ruleTag NSX API: Rule_tag |
방화벽 규칙의 소스 및 대상:
|
예 |
NSX-V API:
NSX API:
NSX-V API:
NSX API:
|
방화벽 규칙 소스 및 대상:
|
아니요 |
|
방화벽 규칙의 서비스(애플리케이션):
|
예 |
NSX-V API:
NSX API:
|
방화벽 규칙: 변환된 항목과 일치 |
아니요 |
변환된 항목과 일치는 ‘false’여야 합니다. |
방화벽 규칙: 방향 |
예 |
두 API: 방향 |
방화벽 규칙: 작업 |
예 |
두 API: 작업 |
방화벽 규칙: 사용 |
예 |
두 API: 사용 |
방화벽 규칙: 로깅 |
예 |
NSX-V API: logging NSX API: logged |
방화벽 규칙: 설명 |
예 |
두 API: 설명 |
Edge NAT
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
NAT 규칙 |
예 |
NSX-V API: natRule NSX API: /nat/USER/nat-rules |
NAT 규칙: 규칙 태그 |
예 |
NSX-V API: ruleTag NSX API: rule_tag |
NAT 규칙: 작업 |
예 |
NSX-V API: action NSX API: action |
NAT 규칙: 원래 주소(SNAT 규칙의 소스 주소 및 DNAT 규칙의 대상 주소) |
예 |
NSX-V API: originalAddress NSX API: SNAT 규칙의 경우 source_network, DNAT 규칙의 경우 destination_network |
NAT 규칙: translatedAddress |
예 |
NSX-V API: translatedAddress NSX API: translated_network |
NAT 규칙: 특정 인터페이스에서 NAT 규칙 적용 |
아니요 |
적용 대상은 "임의"여야 합니다. |
NAT 규칙: 로깅 |
예 |
NSX-V API: loggingEnabled NSX API: logging |
NAT 규칙: 사용 |
예 |
NSX-V API: enabled NSX API: disabled |
NAT 규칙: 설명 |
예 |
NSX-V API: description NSX API: description |
NAT 규칙: 프로토콜 |
예 |
NSX-V API: protocol NSX API: Service |
NAT 규칙: 원래 포트(SNAT 규칙의 경우 소스 포트, DNAT 규칙의 경우 대상 포트) |
예 |
NSX-V API: originalPort NSX API: Service |
NAT 규칙: 변환된 포트 |
예 |
NSX-V API: translatedPort NSX API: Translated_ports |
NAT 규칙: DNAT 규칙의 소스 주소 |
예 |
NSX-V API: dnatMatchSourceAddress NSX API: source_network |
NAT 규칙: SNAT 규칙의 대상 주소 |
예 |
NSX-V API: snatMatchDestinationAddress NSX API: destination_network |
NAT 규칙: DNAT 규칙의 소스 포트 |
예 |
NSX-V API: dnatMatchSourcePort NSX API: Service |
NAT 규칙: SNAT 규칙의 대상 포트 |
예 |
NSX-V API: snatMatchDestinationPort NSX API: Service |
NAT 규칙: 규칙 ID |
예 |
NSX-V API: ruleID NSX API: id 및 display_name |
L2VPN
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
PSK(사전 공유 키)를 사용한 IPSec 기반 L2VPN 구성 |
예 |
L2VPN을 통해 확장되는 네트워킹이 오버레이 논리적 스위치인 경우 지원됩니다. VLAN 네트워크에서는 지원되지 않습니다. |
인증서 기반 인증을 사용한 IPSec 기반 L2VPN 구성 |
아니요 |
|
SSL 기반 L2VPN 구성 |
아니요 |
|
로컬 송신 최적화를 사용한 L2VPN 구성 |
아니요 |
|
L2VPN 클라이언트 모드 |
아니요 |
L3VPN
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
Dead Peer Detection |
예 |
비활성 피어 감지는 NSX-V 및 NSX에서 다른 옵션을 지원합니다. 지원되는 경우 더 빠른 컨버전스를 위해 BGP를 사용하는 것을 고려하거나 DPD를 수행하도록 피어를 구성하는 것이 좋습니다. |
다음에 대해 dpd(Dead Peer Detection) 기본값이 변경됨:
|
아니요 |
NSX에서 dpdaction은 “restart”로 설정되어 있으며 변경할 수 없습니다. dpdtimeout에 대한 NSX-V 설정이 0으로 지정된 경우 dpd가 NSX에서 사용되지 않도록 설정됩니다. 그러지 않으면 모든 dpdtimeout 설정이 무시되고 기본값이 사용됩니다. |
다음에 대해 dpd(Dead Peer Detection) 기본값이 변경됨:
|
예 |
NSX-V dpdelay는 NSX dpdinternal에 매핑됩니다. |
둘 이상의 세션의 로컬 및 피어 서브넷이 겹침 |
아니요 |
NSX-V는 정책 기반 IPSec VPN 세션을 지원하며, 여기에서는 둘 이상 세션의 로컬 및 피어 서브넷이 서로 겹칩니다. 이러한 동작은 NSX에서 지원되지 않습니다. 마이그레이션을 시작하기 전에 서브넷이 겹치지 않도록 서브넷을 다시 구성해야 합니다. 이 구성 문제가 해결되지 않으면 구성 마이그레이션 단계가 실패합니다. |
피어 끝점이 임의로 설정된 IPSec 세션 |
아니요 |
구성이 마이그레이션되지 않습니다. |
확장 securelocaltrafficbyip로 변경됩니다. |
아니요 |
NSX 서비스 라우터에는 터널을 통해 전송해야 하는 로컬에서 생성된 트래픽이 없습니다. |
다음 확장에 대한 변경 사항: auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configured, forceencaps,overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric,disablearrivalcheck, failureshunt,leftnexthop, keyingtries |
아니요 |
이러한 확장은 NSX에서 지원되지 않으며 변경 사항이 마이그레이션되지 않습니다. |
로드 밸런서
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
다음에 대해 모니터/상태 확인:
|
세부 정보를 참조하십시오. |
모니터가 마이그레이션되지 않습니다. |
애플리케이션 규칙 |
아니요 |
NSX-V는 HAProxy를 기준으로 하는 애플리케이션 규칙을 사용하여 L7을 지원합니다. NSX에서 규칙은 NGINX를 기준으로 합니다. 애플리케이션 규칙은 마이그레이션할 수 없습니다. 마이그레이션 후에 새 규칙을 생성해야 합니다. |
L7 가상 서버 포트 범위 |
아니요 |
|
IPv6 |
아니요 |
가상 서버에서 IPv6을 사용하는 경우 전체 가상 서버가 무시됩니다. 풀에서 IPv6을 사용하는 경우 풀은 여전히 마이그레이션되지만 관련 풀 멤버는 제거됩니다. |
URL, URI, HTTPHEADER 알고리즘 |
세부 정보를 참조하십시오. |
이러한 알고리즘을 사용하는 풀은 마이그레이션되지 않습니다. |
격리된 풀 |
아니요 |
|
모니터 포트가 서로 다른 LB 풀 멤버 |
세부 정보를 참조하십시오. |
모니터 포트가 다른 풀 멤버는 마이그레이션되지 않습니다. |
풀 멤버 minConn |
아니요 |
|
모니터 확장 |
아니요 |
|
SSL sessionID 지속성/테이블 |
아니요 |
|
MSRDP 지속성/세션 테이블 |
아니요 |
|
쿠키 애플리케이션 세션/세션 테이블 |
아니요 |
|
애플리케이션 지속성 |
아니요 |
|
모니터링 대상:
|
아니요 |
|
모니터링 대상:
|
예 |
|
Haproxy 튜닝/IPVS 튜닝 |
아니요 |
|
풀 IP 필터
|
예 |
IPv4 IP 주소가 지원됩니다. 임의를 사용한 경우 IP 풀의 IPv4 주소만 마이그레이션됩니다. |
풀 IP 필터
|
아니요 |
|
지원되지 않는 그룹 개체를 포함하는 풀:
|
아니요 |
풀에 지원되지 않는 그룹 개체가 포함되어 있으면 해당 개체가 무시되고 지원되는 그룹 개체 멤버를 사용하여 풀이 생성됩니다. 지원되는 그룹 개체 멤버가 없으면 빈 풀이 생성됩니다. |
DHCP 및 DNS
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
직접 연결된 Edge Services Gateway에 구성된 DHCP 서버를 가리키는 논리적 분산 라우터에 구성된 DHCP 릴레이 |
예 |
DHCP 릴레이 서버 IP는 Edge Services Gateway의 내부 인터페이스 IP 중 하나여야 합니다. DHCP 서버는 DHCP 릴레이를 사용하여 구성된 논리적 분산 라우터에 직접 연결되는 Edge Services Gateway에 구성되어야 합니다. DNAT를 사용하여 Edge Services Gateway 내부 인터페이스와 일치하지 않는 DHCP 릴레이 IP를 변환하는 것은 지원되지 않습니다. |
논리적 분산 라우터에 구성된 DHCP 릴레이만, 연결된 Edge Services Gateway에 DHCP 서버 구성이 없음 |
아니요 |
|
Edge Services Gateway에 구성된 DHCP 서버만, 연결된 논리적 분산 라우터에 DHCP 릴레이 구성이 없음 |
아니요 |
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
IP 풀 |
예 |
|
고정 바인딩 |
예 |
|
DHCP 리스 |
예 |
|
일반 DHCP 옵션 |
예 |
|
DHCP 서비스 사용 안 함 |
아니요 |
NSX에서는 DHCP 서비스를 사용하지 않도록 설정할 수 없습니다. NSX-V에 사용하지 않도록 설정한 DHCP 서비스가 있으면 마이그레이션되지 않습니다. |
DHCP 옵션: "기타" |
아니요 |
DHCP 옵션의 "기타" 필드는 마이그레이션이 지원되지 않습니다. 예를 들어, dhcp 옵션 '80'은 마이그레이션되지 않습니다. <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions> |
분리된 ip-pools/bindings |
아니요 |
DHCP 서버에서 ip-pools 또는 static-bindings이 구성되었지만 연결된 논리적 스위치에서 사용되지 않는 경우 이러한 개체는 마이그레이션되지 않고 건너뜁니다. |
논리적 스위치가 직접 연결된 Edge Service Gateway에 구성된 DHCP |
아니요 |
마이그레이션 중에 직접 연결된 Edge Service Gateway 인터페이스가 중앙 집중식 서비스 포트로서 마이그레이션됩니다. 그러나 NSX는 중앙 집중식 서비스 포트에서 DHCP 서비스를 지원하지 않으므로 이러한 인터페이스의 경우 DHCP 서비스 구성이 마이그레이션되지 않습니다. |
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
DNS 보기 |
예 |
첫 번째 dnsView만 NSX 기본 DNS 전달자 영역으로 마이그레이션됩니다. |
DNS 구성 |
예 |
모든 Edge 노드에 대해 사용 가능한 DNS 수신기 IP를 제공해야 합니다. 이를 확인하기 위해 구성 해결 중에 메시지가 표시됩니다. |
DNS – L3 VPN |
예 |
새로 구성된 NSX DNS 수신기 IP를 원격 L3 VPN 접두사 목록에 추가해야 합니다. 이를 확인하기 위해 구성 해결 중에 메시지가 표시됩니다. |
논리적 스위치가 직접 연결된 Edge Service Gateway에 구성된 DNS |
아니요 |
마이그레이션 중에 직접 연결된 Edge Service Gateway 인터페이스가 중앙 집중식 서비스 포트로서 마이그레이션됩니다. 그러나 NSX는 중앙 집중식 서비스 포트에서 DNS 서비스를 지원하지 않으므로 이러한 인터페이스의 경우 DNS 서비스 구성이 마이그레이션되지 않습니다. |
DFW(분산 방화벽)
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
ID 방화벽 |
예 |
|
섹션 -
|
예 |
방화벽 섹션에 1000보다 많은 규칙이 있는 경우 마이그레이션 프로그램은 각각 1000개 규칙으로 이루어진 여러 개의 섹션으로 규칙을 마이그레이션합니다. |
범용 섹션 |
NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예 |
|
규칙 – 소스/대상:
|
예 |
|
규칙 – 소스/대상:
|
예 |
보안 그룹에 매핑 |
규칙 – 소스/대상:
|
아니요 |
|
규칙 – 소스/대상:
|
NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예 |
|
규칙 – 적용 대상:
|
예 |
분산 방화벽에 매핑 |
규칙 – 적용 대상:
|
예 |
보안 그룹에 매핑 |
규칙 – 적용 대상:
|
아니요 |
|
규칙 – 적용 대상:
|
아니요 NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예 |
|
분산 방화벽에서 규칙 사용 안 함 |
예 |
|
클러스터 수준에서 분산 방화벽 사용 안 함 |
아니요 |
NSX에서 분산 방화벽을 사용하도록 설정하면 모든 클러스터에서 사용하도록 설정됩니다. 클러스터마다 이 기능을 사용하도록 설정할 수 없는 경우도 있고 사용하지 않도록 설정할 수 없는 경우도 있습니다. |
DFW 제외 목록 | 아니요 | DFW 제외 목록은 마이그레이션되지 않습니다. 마이그레이션 후 NSX를 다시 생성해야 합니다. |
파트너 서비스: East-West 네트워크 검사
NSX-V 구성 | 지원됨 | 세부 정보 |
---|---|---|
서비스 |
아니요 |
서비스 등록은 마이그레이션되지 않습니다. 파트너는 마이그레이션 전에 서비스를 NSX에 등록해야 합니다. |
벤더 템플릿 |
아니요 |
벤더 템플릿이 마이그레이션되지 않습니다. 파트너는 마이그레이션 전에 NSX에 벤더 템플릿을 등록해야 합니다. |
서비스 프로파일 |
아니요 |
서비스 프로파일은 마이그레이션되지 않습니다. 사용자나 파트너가 마이그레이션 전에 서비스 프로파일을 생성해야 합니다. 마이그레이션의 [구성 해결] 단계에서 각 NSX-V 서비스 프로파일을 NSX 서비스 프로파일에 매핑할지 묻는 메시지가 표시됩니다. 서비스 프로파일의 매핑을 건너뛰는 경우 이러한 서비스 프로파일을 사용하는 규칙이 마이그레이션되지 않습니다. NSX의 서비스 체인이 NSX-V의 각 서비스 프로파일에 대해 생성됩니다. 다음 명명 규칙을 사용하여 서비스 체인이 생성됩니다. Service-Chain-service_profile_name 서비스 체인의 정방향 경로 및 역방향 경로에서 동일한 서비스 프로파일이 사용됩니다. |
서비스 인스턴스 |
아니요 |
파트너 SVM(서비스 가상 시스템)은 마이그레이션되지 않습니다. NSX에서는 NSX-V 파트너 SVM을 사용할 수 없습니다. NSX의 East-West 네트워크 검사 서비스의 경우 파트너 서비스 VM을 오버레이 세그먼트에 배포해야 합니다. |
섹션
|
예 |
섹션은 리디렉션 정책에 매핑됩니다. ID는 사용자 정의 ID이며 NSX에서 자동으로 생성되지 않습니다. NSX-V의 방화벽 섹션에 1,000보다 많은 규칙이 있는 경우 각각 1,000개 규칙으로 이루어진 여러 개의 섹션으로 규칙이 마이그레이션됩니다. 예를 들어, 섹션에 2,500개의 규칙이 포함된 경우, 1,000개 규칙을 포함하는 정책 1, 1,000개 규칙을 포함하는 정책 2 및 500개 규칙을 포함하는 정책 3이 생성됩니다. NSX-V의 상태 저장 또는 상태 비저장 방화벽 규칙은 NSX에서 상태 저장 또는 상태 비저장 리디렉션 규칙으로 마이그레이션됩니다. |
파트너 서비스: 규칙 |
||
이름 |
예 |
|
규칙 ID |
예 |
규칙 ID는 시스템에서 생성되었습니다. NSX-V의 규칙 ID와 다를 수 있습니다. |
소스 부정 |
예 |
|
대상 부정 |
예 |
|
소스/대상
|
예 |
|
서비스/서비스 그룹 |
예 |
자세한 내용은 서비스 및 서비스 그룹 표를 참조하십시오. |
고급 설정
|
예 |
|
서비스 프로파일 및 작업
|
예 |
서비스 프로파일 바인딩에는 DVPG(분산 가상 포트 그룹), 논리적 스위치 및 보안 그룹이 해당 멤버로 포함될 수 있습니다. NSX-V의 서비스 프로파일 바인딩은 NSX의 리디렉션 규칙에 대한 [적용 대상] 필드에 매핑됩니다. [적용 대상] 필드에는 그룹만 허용되고, 이 필드는 규칙의 범위를 결정합니다. NSX에서 규칙 리디렉션은 정책 수준에 있습니다. 리디렉션 정책의 모든 규칙이 동일한 범위(적용 대상)를 갖습니다. NSX 리디렉션 규칙의 [적용 대상] 필드에는 최대 128개의 멤버가 있을 수 있습니다. 서비스 프로파일 바인딩의 멤버 수가 128을 초과하는 경우 마이그레이션을 시작하기 전에 128개 이하로 줄이십시오.
예를 들어 서비스 프로파일 바인딩에 140개 멤버(보안 그룹)가 있다고 가정합니다. 마이그레이션을 시작하기 전에
NSX-V에서 다음 단계를 수행합니다.
이제 서비스 프로파일 바인딩의 총멤버 수는 128(127 + 1)입니다. |
규칙 사용/사용 안 함 |
예 |
- 서비스 세그먼트
- 마이그레이션의 [구성 해결] 단계에서 선택한 오버레이 전송 영역에 서비스 세그먼트가 생성됩니다. NSX-V 환경에서 VXLAN 전송 영역이 NSX-V으로 준비되지 않은 경우 NSX의 기본 오버레이 전송 영역을 선택하여 서비스 세그먼트를 생성하는 옵션이 제공됩니다. 하나 또는 여러 개의 VXLAN 전송 영역이 NSX-V로 준비된 경우 NSX에서 서비스 세그먼트를 생성하려면 오버레이 전송 영역을 하나 선택해야 합니다.
- 서비스 프로파일 우선 순위
- NSX-V에서 서비스 프로파일에는 우선 순위가 적용됩니다. 서비스에 여러 개의 서비스 프로파일이 있고 여러 프로파일이 동일한 vNIC에 바인딩된 경우 우선 순위가 높은 서비스 프로파일이 vNIC에서 먼저 적용됩니다. 그러나 NSX에서 서비스 프로파일에는 우선 순위가 없습니다. 여러 리디렉션 규칙에 동일한 [적용 대상] 설정이 적용된 경우 규칙 순서에 따라 먼저 적용되는 규칙이 결정됩니다. 즉, 프로파일 우선순위가 높은 규칙은 NSX 규칙 테이블에서 프로파일 우선순위가 낮은 규칙보다 먼저 배치됩니다. 자세한 예는 NSX에서 마이그레이션된 네트워크 검사 규칙의 순서의 시나리오 2을 참조하십시오.
- 서비스 우선 순위
-
여러 서비스로 트래픽을 리디렉션하려면 NSX-V는 서비스 삽입 데이터 경로에서 여러 DVFilter 슬롯을 사용합니다. 하나의 DVFilter 슬롯이 하나의 서비스로 트래픽을 리디렉션하는 데 사용됩니다. 우선 순위가 높은 서비스는 우선 순위가 낮은 서비스와 비교하여 슬롯의 상위에 배치됩니다. NSX에서는 단일 DVFilter 슬롯만 사용되고 트래픽을 서비스 체인으로 리디렉션합니다. NSX로 마이그레이션한 후에는 우선 순위가 높은 파트너 서비스를 사용하는 규칙이 우선 순위가 낮은 파트너 서비스를 사용하는 규칙보다 앞에 배치됩니다. 자세한 예는 NSX에서 마이그레이션된 네트워크 검사 규칙의 순서의 시나리오 3을 참조하십시오.
vNIC의 트래픽을 여러 파트너 서비스로 리디렉션하는 것은 지원되지 않습니다. 단일 파트너 서비스에 대한 리디렉션만 지원됩니다. 모든 NSX-V 규칙이 NSX로 마이그레이션되고, 마이그레이션된 규칙 구성에서는 하나의 서비스 프로파일만 있는 서비스 체인을 사용합니다. 리디렉션 규칙에 사용되는 기존 서비스 체인은 수정할 수 없습니다.
해결 방법: vNIC의 트래픽을 여러 서비스로 리디렉션하려면 새 서비스 체인을 생성하고 서비스 체인에서 서비스 프로파일의 순서를 정의합니다. 이 새 서비스 체인을 사용하도록 마이그레이션된 규칙을 업데이트합니다.
그룹 개체 및 Service Composer
IP 집합 및 MAC 집합은 NSX에 그룹으로 마이그레이션됩니다. NSX Manager 웹 인터페이스에서 을 확인하십시오.
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
IP 집합 |
예 |
최대 200만 개의 멤버(IP 주소, IP 주소 서브넷, IP 범위)를 포함하는 IP 집합을 마이그레이션할 수 있습니다. 더 많은 멤버가 포함된 IP 집합은 마이그레이션되지 않습니다. |
MAC 집합 |
예 |
최대 200만 개의 멤버가 포함된 MAC 집합을 마이그레이션할 수 있습니다. 더 많은 멤버가 포함된 MAC 집합은 마이그레이션되지 않습니다. |
보안 그룹은 마이그레이션 시 나열된 제한 사항이 적용됩니다. 보안 그룹은 NSX에 그룹으로 마이그레이션됩니다. NSX Manager 웹 인터페이스에서 을 확인하십시오.
NSX-V에는 시스템 정의 및 사용자 정의 보안 그룹이 있습니다. 이러한 보안 그룹은 모두 NSX에 사용자 정의 그룹으로 마이그레이션됩니다.
마이그레이션 후의 총 '그룹' 수는 NSX-V의 보안 그룹 수와 같지 않을 수 있습니다. 예를 들어, VM을 소스로 포함하는 분산 방화벽 규칙은 VM을 멤버로 사용해서 새 그룹이 포함된 규칙으로 마이그레이션됩니다. 이렇게 하면 마이그레이션 후 NSX의 총 그룹 수가 늘어납니다.
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
존재하지 않는 멤버가 있는 보안 그룹 |
아니요 |
보안 그룹에 존재하지 않는 멤버가 있으면 해당 보안 그룹은 마이그레이션되지 않습니다. |
지원되지 않는 멤버가 있는 보안 그룹이 포함된 보안 그룹 |
아니요 |
보안 그룹에 마이그레이션을 지원하지 않는 멤버가 있으면 해당 보안 그룹은 마이그레이션되지 않습니다. 보안 그룹에 지원되지 않는 멤버를 포함하는 보안 그룹이 들어 있으면 해당 상위 보안 그룹은 마이그레이션되지 않습니다. |
보안 그룹에서 멤버 자격 제외 |
아니요 |
직접적 또는 간접적(중첩을 통해)으로 제외 멤버가 있는 보안 그룹은 마이그레이션되지 않습니다. |
보안 그룹 고정 멤버 자격 |
예 |
보안 그룹에는 최대 500개의 고정 멤버가 포함될 수 있습니다. 그러나 보안 그룹이 분산 방화벽 규칙에 사용되는 경우에는 시스템 생성 고정 멤버가 추가되어 유효 제한이 499 또는 498로 줄어듭니다.
구성 해결 단계 중에 멤버가 없는 경우 보안 그룹이 마이그레이션되지 않습니다. |
보안 그룹 멤버 유형(고정 또는 엔티티가 속함):
|
아니요 |
보안 그룹에 지원되지 않는 멤버 유형이 포함된 경우 보안 그룹이 마이그레이션되지 않습니다. |
보안 그룹 멤버 유형(고정 또는 엔티티가 속함):
|
예 |
보안 그룹, IP 집합 및 MAC 집합은 NSX에 그룹으로 마이그레이션됩니다. NSX-V 보안 그룹에 IP 집합, MAC 집합 또는 중첩된 보안 그룹이 고정 멤버로 포함되어 있는 경우 해당 그룹이 상위 그룹에 추가됩니다. 이러한 고정 멤버 중 하나가 NSX로 마이그레이션되지 않은 경우 상위 보안 그룹이 NSX로 마이그레이션되지 않습니다. 예를 들어 200만 개가 넘는 멤버가 포함된 IP 집합은 NSX로 마이그레이션할 수 없습니다. 따라서 200만 개가 넘는 멤버가 포함된 IP 집합을 포함하는 보안 그룹은 마이그레이션할 수 없습니다. |
보안 그룹 멤버 유형(고정 또는 엔티티가 속함):
|
예 |
보안 그룹에 NSX 세그먼트로 마이그레이션되지 않는 논리적 스위치가 포함된 경우 보안 그룹이 NSX로 마이그레이션되지 않습니다. |
보안 그룹 멤버 유형(고정 또는 엔티티가 속함):
|
예 |
보안 태그가 보안 그룹에 고정 멤버로 추가되거나 엔티티 소속을 사용하여 동적 멤버로 추가되는 경우 보안 그룹을 마이그레이션하려면 보안 태그가 있어야 합니다. 보안 태그를 동적 멤버로 보안 그룹에 추가하는 경우(엔티티 소속을 사용하지 않음) 보안 그룹을 마이그레이션하기 전에 보안 태그가 있는지 확인되지 않습니다. |
보안 그룹 멤버 유형(고정 또는 엔티티가 속함):
|
예 |
|
동적 멤버 자격에 대해 "정규식 일치" 연산자 사용 |
아니요 |
보안 태그 및 VM 이름에만 영향을 줍니다. 다른 특성에는 "정규식 일치"를 사용할 수 없습니다. |
특성에 대한 동적 멤버 자격 조건에 사용 가능한 기타 연산자 사용:
|
예 |
VM 이름, 컴퓨터 이름 및 컴퓨터 OS 이름에 사용할 수 있는 연산자는 다음 포함, 다음으로 끝남, 같음, 같지 않음, 다음으로 시작입니다. 보안 태그에 사용할 수 있는 연산자는 다음 포함, 다음으로 끝남, 같음, 다음으로 시작입니다. |
엔티티 소속 조건 |
예 |
고정 멤버 마이그레이션의 경우와 동일한 제한 사항이 엔티티 소속 조건에도 적용됩니다. 예를 들어 정의에서 엔티티 소속 클러스터를 사용하는 보안 그룹이 있는 경우 해당 보안 그룹은 마이그레이션되지 않습니다. AND로 결합된 엔티티 소속 조건을 포함하는 보안 그룹은 마이그레이션되지 않습니다. |
보안 그룹의 동적 멤버 자격 조건 연산자(AND, OR) |
예. |
NSX-V 보안 그룹에 대해 동적 멤버 자격을 정의할 경우 다음을 구성할 수 있습니다.
NSX-V는 동적 조건, 동적 집합의 수를 제한하지 않으며 AND 및 OR를 조합해서 사용할 수 있습니다. NSX에서는 5개 식이 포함된 그룹이 있을 수 있습니다. 5개가 넘는 식을 포함하는 NSX-V 보안 그룹은 마이그레이션되지 않습니다. 마이그레이션할 수 있는 보안 그룹의 예:
AND 연산자와 함께 "엔티티 소속" 기준을 사용할 수 없습니다. 지원되지 않는 시나리오를 포함하는 보안 그룹의 다른 모든 조합 또는 정의는 마이그레이션되지 않습니다. |
NSX-V에서 보안 태그는 VM에 적용될 수 있는 개체입니다. NSX로 마이그레이션하는 경우 보안 태그는 VM의 특성입니다.
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
보안 태그 |
예 |
VM에 25개 이하의 보안 태그가 적용된 경우 보안 태그의 마이그레이션이 지원됩니다. 25개보다 많은 보안 태그가 적용되면 태그가 마이그레이션되지 않습니다. 참고: 보안 태그가 마이그레이션되지 않으면 VM이 태그 멤버 자격으로 정의된 그룹에 포함되지 않습니다. VM에 적용되지 않은 보안 태그는 마이그레이션되지 않습니다. |
서비스 및 서비스 그룹은 NSX에 서비스로 마이그레이션됩니다. NSX Manager 웹 인터페이스에서 를 확인하십시오.
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
서비스 및 서비스 그룹(애플리케이션 및 애플리케이션 그룹) |
예 |
대부분의 기본 서비스 및 서비스 그룹은 NSX 서비스에 매핑됩니다. NSX에 서비스 또는 서비스 그룹이 없으면 NSX에서 새 서비스가 생성됩니다. |
APP_ALL 및 APP_POP2 서비스 그룹 |
아니요 |
이러한 시스템 정의 서비스 그룹은 마이그레이션되지 않습니다. |
이름 지정 충돌이 있는 서비스 및 서비스 그룹 |
예 |
수정된 서비스 또는 서비스 그룹에 대해 NSX에서 이름 충돌이 식별되면 새 서비스가 NSX-V에서 마이그레이션된 <NSXv-Application-Name> 형식의 이름으로 NSX에서 생성됩니다. |
계층 2 서비스를 다른 계층의 서비스와 결합하는 서비스 그룹 |
아니요 |
|
빈 서비스 그룹 |
아니요 |
NSX는 빈 서비스를 지원하지 않습니다. |
계층 2 서비스 |
예 |
NSX-V 계층 2 서비스는 NSX 서비스 항목 EtherTypeServiceEntry로 마이그레이션됩니다. |
계층 3 서비스 |
예 |
프로토콜을 기준으로, NSX-V 계층 3 서비스는 다음과 같이 NSX 서비스 항목으로 마이그레이션됩니다.
ICMPTypeServiceEntry
|
계층 4 서비스 |
예 |
NSX 서비스 항목 ALGTypeServiceEntry로 마이그레이션됩니다. |
계층 7 서비스 |
예 |
NSX 서비스 항목 PolicyContextProfile로 마이그레이션됩니다. NSX-V 계층 7 애플리케이션에 포트 및 프로토콜이 정의되어 있으면 서비스는 적절한 포트 및 프로토콜 구성을 사용하여 NSX에 생성된 후 PolicyContextProfile에 매핑됩니다. |
계층 7 서비스 그룹 |
아니요 |
|
포트 및 프로토콜을 포함하는 분산 방화벽, Edge 방화벽 또는 NAT 규칙 |
예 |
이러한 규칙을 생성하려면 NSX에 서비스가 필요합니다. 적절한 서비스가 있으면 사용됩니다. 적절한 서비스가 없으면 규칙에 지정된 포트 및 프로토콜을 사용하여 서비스가 생성됩니다. |
NSX-V 구성 |
지원됨 |
세부 정보 |
---|---|---|
Service Composer 보안 정책 |
예 |
보안 정책에 정의된 방화벽 규칙은 분산 방화벽 규칙으로 NSX에 마이그레이션됩니다. Service Composer 보안 정책에 정의된 사용 안 함으로 설정된 방화벽 규칙은 마이그레이션되지 않습니다. Service Composer 보안 정책에 정의된 Guest Introspection 규칙 또는 네트워크 검사 규칙은 마이그레이션됩니다. Service Composer 상태가 동기화되지 않은 경우 구성 해결 단계에서 경고를 표시합니다. 관련 분산 방화벽 섹션을 건너뛰어 Service Composer 정책의 마이그레이션을 건너뛸 수 있습니다. 또는 마이그레이션을 롤백하고, Service Composer를 분산 방화벽과 동기화한 후 마이그레이션을 다시 시작할 수 있습니다. |
Service Composer 보안 정책이 어떤 보안 그룹에도 적용 되지 않음 |
아니요 |
Active Directory 서버 구성
구성 |
지원됨 |
세부 정보 |
---|---|---|
AD(Active Directory) 서버 |
아니요 |