마이그레이션할 수 있는 NSX-V 기능 및 구성은 다음과 같습니다.

플랫폼 지원

지원되는 ESXiVMware vCenter 버전에 대해서는 VMware 상호 운용성 매트릭스를 참조하십시오.

NSX-V 구성

지원됨

세부 정보

vSphere Distributed Switch에서 vSAN 또는 iSCSI가 포함된 NSX-V

기존 NSX 구성

아니요

NSX 환경을 배포해야 합니다.

마이그레이션 모드가 사용자 정의 토폴로지가 아닌 경우 구성 가져오기 단계에서 NSX 환경의 모든 NSX Edge 노드 인터페이스가 종료됩니다. NSX 환경이 사용 중인 경우 트래픽이 중단됩니다.

크로스 vCenter NSX

NSX for vSphere 마이그레이션 모드 및 사용자 정의 토폴로지를 선택한 경우에만 지원됩니다.

NSX-V(Cloud Management Platform, 통합 스택 솔루션 또는 PaaS 솔루션 포함).

Aria Automation을 포함하는 NSX-V의 마이그레이션은 지원됩니다.

마이그레이션을 계속하기 전에 VMware 담당자에게 문의하십시오. 통합 환경을 마이그레이션하는 경우 스크립트 및 통합이 중단될 수 있습니다.

예:
  • NSX-V 및 vCloud Director

  • NSX-V(통합 스택 솔루션 포함)

  • NSX-V(Pivotal Cloud Foundry, RedHat OpenShift와 같은 PaaS 솔루션 포함)

  • Aria Operations 워크플로를 포함하는 NSX-V

vSphere 및 ESXi 기능

NSX-V 구성

지원됨

세부 정보

이미 유지 보수 모드인 ESXi 호스트(VM 없음)

NIOC(Network I/O Control) 버전 3

NIOC(Network I/O Control) 버전 2

아니요

예약된 vNIC가 포함된 NIOC(Network I/O Control)

아니요

vSphere 표준 스위치

아니요

VSS의 VM 및 VMKernel 인터페이스는 마이그레이션되지 않습니다. VSS에 적용된 NSX-V 기능은 마이그레이션할 수 없습니다.

vSphere Distributed Switch

상태 비저장 ESXi

아니요

호스트 프로파일

아니요

ESXi 잠금 모드

아니요

NSX에서 지원되지 않습니다.

유지 보수 모드 작업을 보류 중인 ESXi 호스트

아니요

vCenter 클러스터에서 연결이 끊긴 ESXi 호스트

아니요

vSphere FT

아니요

vSphere DRS가 완전히 자동화됨

vSphere 7.0부터 지원됨

vSphere HA(고가용성)

트래픽 필터링 ACL

아니요

vSphere 상태 점검

아니요

SRIOV

아니요

물리적 NIC에 vmknic 고정

아니요

전용 VLAN

아니요

Ephemeral dvPortGroup

아니요

DirectPath IO

아니요

L2 보안

아니요

가상 와이어의 스위치 학습

아니요

하드웨어 게이트웨이(물리적 스위칭 하드웨어와의 터널 끝점 통합)

아니요

SNMP

아니요

VM에서 연결이 끊어진 vNIC

아니요

ESX 6.5 제한으로 인해, 연결이 끊어진 VM에 대한 DVFilter에 오래된 항목이 있을 수 있습니다. VM을 재부팅하여 해결합니다.

4789 이외의 VXLAN 포트 번호

아니요

멀티캐스트 필터링 모드

아니요

여러 VTEP가 있는 호스트

NSX Manager 장치 시스템 구성

NSX-V 구성

지원됨

세부 정보

NTP 서버/시간 설정

Syslog 서버 구성

백업 구성

필요한 경우 NSX 요구 사항에 맞게 NSX-V 암호를 변경합니다. 길이는 8자 이상이어야 하며 다음을 포함해야 합니다.

  • 하나 이상의 소문자

  • 하나 이상의 대문자

  • 하나 이상의 숫자

  • 하나 이상의 특수 문자

FIPS

아니요

FIPS 설정/해제를 NSX에서 지원하지 않습니다.

로케일

아니요

NSX는 영어 로케일만 지원함

장치 인증서

아니요

역할 기반 액세스 제어

NSX-V 구성

지원됨

세부 정보

로컬 사용자

아니요

LDAP를 통해 추가된 vCenter 사용자에게 NSX 역할이 할당됨

LDAP 사용자에 대한 사용자 역할을 마이그레이션하려면 VMware Identity Manager를 설치하고 구성해야 합니다.

vCenter 그룹에 NSX 역할이 할당됨

아니요

인증서

NSX-V 구성

지원됨

세부 정보

인증서(서버, CA로 서명)

Truststore API를 통해 추가된 인증서에만 적용됩니다.

마이그레이션 중 인증서 변경

vSphere 네트워킹 마이그레이션을 제외한 모든 마이그레이션 모드에 대해 마이그레이션이 일시 중지되면 인증서 변경이 지원됩니다. 호스트 및 워크로드가 마이그레이션되는 경우에는 지원되지 않습니다.

작업

세부 정보

지원됨

참고

검색 프로토콜 CDP

참고 사항을 참조하십시오.

VDS 7.0으로 마이그레이션하는 경우 예. N-VDS로 마이그레이션하는 경우 아니요.

검색 프로토콜 LLDP

수신 모드는 기본적으로 켜져 있으며 NSX에서 변경할 수 없습니다. 보급 모드만 수정할 수 있습니다.

PortMirroring:

  • 캡슐화된 원격 미러링 소스(L3)

L3 세션 유형만 마이그레이션이 지원됨

PortMirroring:

  • 분산 PortMirroring

  • 원격 미러링 소스

  • 원격 미러링 대상

  • 분산 포트 미러링(레거시)

아니요

L2 IPFIX

IPFIX를 사용한 LAG는 지원되지 않음

분산 방화벽 IPFIX

아니요

MAC 학습

위조 전송을 사용하도록 설정(수락)해야 합니다.

하드웨어 VTEP

아니요

비규칙 모드

아니요

리소스 할당

아니요

리소스 할당으로 설정된 vNIC는 지원되지 않음

IPFIX – 내부 흐름

아니요

InternalFlows가 있는 IPFIX는 지원되지 않음

스위치

NSX-V 구성

지원됨

세부 정보

L2 브리징

아니요

트렁크 VLAN

인플레이스 마이그레이션의 경우 예

리프트 앤 시프트 마이그레이션의 경우 아니요

트렁크 업링크 포트 그룹은 VLAN 범위 0-4094로 구성해야 합니다.

VLAN 구성

VLAN(VXLAN 없음)만 있는 구성이 지원됩니다.

팀 구성 및 페일오버:

  • 로드 밸런싱

  • 업링크 페일오버 순서

로드 밸런싱에 대해 지원되는 옵션(팀 구성 정책):

  • 명시적 페일오버 순서 사용

  • 소스 MAC 해시 기준 라우팅

다른 로드 밸런싱 옵션은 지원되지 않습니다.

팀 구성 및 페일오버:

  • 네트워크 장애 감지

  • 스위치 알림

  • 되돌리기 정책

  • 롤링 순서

아니요

LACP

VDS 7.0 이상의 경우 마이그레이션 중에 LACP 기능이 수정되지 않습니다. 이전 버전의 VDS의 경우 새 N-VDS 스위치가 VDS를 대체합니다. 이로 인해 호스트 마이그레이션 중에 트래픽이 손실될 수 있습니다.

DVS(DFW IPFIX 아님)에 구성된 IPFIX는 LACP에서 지원되지 않습니다.

스위치 보안 및 IP 검색

NSX-V 구성

마이그레이션 지원

세부 정보

IP 검색(ARP, ND, DHCPv4 및 DHCPv6)

마이그레이션에 대해 다음 바인딩 제한이 NSX에 적용됩니다.

  • ARP 검색 IP용 128

  • DHCPv4 검색 IP용 128

  • DHCPv6 검색 IP용 15

  • ND 검색 IP용 15

SpoofGuard(수동, TOFU, 사용 안 함)

스위치 보안(BPDU 필터, DHCP 클라이언트 블록, DHCP 서버 블록, RA 가드)

NSX-V의 스위치 보안 모듈에서 NSX의 스위치 보안 모듈로 데이터 경로 바인딩 마이그레이션

SpoofGuard를 사용하도록 설정하면 ARP 억제를 지원하도록 스위치 보안 모듈에서 바인딩이 마이그레이션됩니다.

VSIP - VSIP 바인딩으로 지원되지 않는 스위치 보안은 고정으로 구성된 규칙으로 마이그레이션됩니다.

검색 프로파일

ipdiscovery 프로파일은 마이그레이션 후에 논리적 스위치에 대한 IP 검색 구성과 글로벌 및 클러스터 ARP/DHCP 구성을 사용하여 생성됩니다.

중앙 제어부

NSX-V 구성

지원됨

세부 정보

논리적 스위치(VNI) 및 라우팅 도메인에 따른 VTEP 복제

MAC/IP 복제

아니요

멀티캐스트 또는 하이브리드 복제 모드를 사용하는 NSX-V 전송 영역

아니요

유니캐스트 복제 모드를 사용하는 NSX-V 전송 영역

NSX Edge 기능

지원되는 토폴로지에 대한 전체 세부 정보는 지원되는 토폴로지를 참조하십시오.

NSX-V 구성

지원됨

세부 정보

Edge Services Gateway 및 논리적 노스바운드 라우터 간 라우팅

BGP가 지원됩니다.

고정 경로가 지원됩니다.

OSPF가 지원됩니다.

Edge Services Gateway 및 논리적 분산 라우터 간 라우팅

경로가 마이그레이션 후에 고정 경로로 변환됩니다.

로드 밸런서

VLAN 지원 마이크로 세분화 환경

자세한 내용은 지원되는 토폴로지를 참조하십시오.

NAT64

아니요

NSX에서 지원되지 않습니다.

Edge Services Gateway 또는 논리적 분산 라우터에서 노드 수준 설정

아니요

노드 수준 설정(예: syslog 또는 NTP 서버)은 지원되지 않습니다. NSX Edge 노드에서 syslog 및 NTP를 수동으로 구성할 수 있습니다.

IPv6

아니요

Edge Services Gateway 인터페이스에 대한 URPF(유니캐스트 역방향 경로 필터) 구성

아니요

NSX 게이트웨이 인터페이스의 URPF는 엄격으로 설정됩니다.

MTU(최대 전송 단위) 구성 Edge Services Gateway 인터페이스

아니요

NSX에서 기본 MTU를 변경하는 방법에 대한 자세한 내용은 글로벌 MTU 설정 변경 항목을 참조하십시오.

IP 멀티캐스트 라우팅

아니요

경로 재배포 접두사 필터

아니요

기본 원본

아니요

NSX에서 지원되지 않습니다.

Edge 방화벽

NSX-V 구성

지원됨

세부 정보

방화벽 섹션: 표시 이름

방화벽 섹션은 최대 1000개의 규칙을 가질 수 있습니다. 섹션에 포함된 규칙이 1000개를 넘으면 여러 개의 섹션으로 마이그레이션됩니다.

기본 규칙에 대한 작업

NSX-V API: GatewayPolicy/action

NSX API: SecurityPolicy.action

방화벽 글로벌 구성

아니요

기본 시간 초과가 사용됨

방화벽 규칙

NSX-V API: firewallRule

NSX API: SecurityPolicy

방화벽 규칙: 이름

방화벽 규칙: 규칙 태그

NSX-V API: ruleTag

NSX API: Rule_tag

방화벽 규칙의 소스 및 대상:

  • 그룹 개체

  • IP 주소

NSX-V API:

  • source/groupingObjectId

  • source/ipAddress

NSX API:

  • source_groups

NSX-V API:

  • destination/groupingObjectId

  • destination/ipAddress

NSX API:

  • destination_groups

방화벽 규칙 소스 및 대상:

  • vNIC 그룹

아니요

방화벽 규칙의 서비스(애플리케이션):

  • 서비스

  • 서비스 그룹

  • 프로토콜/포트/소스 포트

NSX-V API:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

NSX API:

  • 서비스

방화벽 규칙: 변환된 항목과 일치

아니요

변환된 항목과 일치는 ‘false’여야 합니다.

방화벽 규칙: 방향

두 API: 방향

방화벽 규칙: 작업

두 API: 작업

방화벽 규칙: 사용

두 API: 사용

방화벽 규칙: 로깅

NSX-V API: logging

NSX API: logged

방화벽 규칙: 설명

두 API: 설명

Edge NAT

NSX-V 구성

지원됨

세부 정보

NAT 규칙

NSX-V API: natRule

NSX API: /nat/USER/nat-rules

NAT 규칙: 규칙 태그

NSX-V API: ruleTag

NSX API: rule_tag

NAT 규칙: 작업

NSX-V API: action

NSX API: action

NAT 규칙: 원래 주소(SNAT 규칙의 소스 주소

및 DNAT 규칙의 대상 주소)

NSX-V API: originalAddress

NSX API: SNAT 규칙의 경우 source_network, DNAT 규칙의 경우 destination_network

NAT 규칙: translatedAddress

NSX-V API: translatedAddress

NSX API: translated_network

NAT 규칙: 특정 인터페이스에서 NAT 규칙 적용

아니요

적용 대상은 "임의"여야 합니다.

NAT 규칙: 로깅

NSX-V API: loggingEnabled

NSX API: logging

NAT 규칙: 사용

NSX-V API: enabled

NSX API: disabled

NAT 규칙: 설명

NSX-V API: description

NSX API: description

NAT 규칙: 프로토콜

NSX-V API: protocol

NSX API: Service

NAT 규칙: 원래 포트(SNAT 규칙의 경우 소스 포트, DNAT 규칙의 경우 대상 포트)

NSX-V API: originalPort

NSX API: Service

NAT 규칙: 변환된 포트

NSX-V API: translatedPort

NSX API: Translated_ports

NAT 규칙: DNAT 규칙의 소스 주소

NSX-V API: dnatMatchSourceAddress

NSX API: source_network

NAT 규칙:

SNAT 규칙의 대상 주소

NSX-V API: snatMatchDestinationAddress

NSX API: destination_network

NAT 규칙:

DNAT 규칙의 소스 포트

NSX-V API: dnatMatchSourcePort

NSX API: Service

NAT 규칙:

SNAT 규칙의 대상 포트

NSX-V API: snatMatchDestinationPort

NSX API: Service

NAT 규칙: 규칙 ID

NSX-V API: ruleID

NSX API: id 및 display_name

L2VPN

NSX-V 구성

지원됨

세부 정보

PSK(사전 공유 키)를 사용한 IPSec 기반 L2VPN 구성

L2VPN을 통해 확장되는 네트워킹이 오버레이 논리적 스위치인 경우 지원됩니다. VLAN 네트워크에서는 지원되지 않습니다.

인증서 기반 인증을 사용한 IPSec 기반 L2VPN 구성

아니요

SSL 기반 L2VPN 구성

아니요

로컬 송신 최적화를 사용한 L2VPN 구성

아니요

L2VPN 클라이언트 모드

아니요

L3VPN

NSX-V 구성

지원됨

세부 정보

Dead Peer Detection

비활성 피어 감지는 NSX-VNSX에서 다른 옵션을 지원합니다. 지원되는 경우 더 빠른 컨버전스를 위해 BGP를 사용하는 것을 고려하거나 DPD를 수행하도록 피어를 구성하는 것이 좋습니다.

다음에 대해 dpd(Dead Peer Detection) 기본값이 변경됨:

  • dpdtimeout

  • dpdaction

아니요

NSX에서 dpdaction은 “restart”로 설정되어 있으며 변경할 수 없습니다.

dpdtimeout에 대한 NSX-V 설정이 0으로 지정된 경우 dpd가 NSX에서 사용되지 않도록 설정됩니다. 그러지 않으면 모든 dpdtimeout 설정이 무시되고 기본값이 사용됩니다.

다음에 대해 dpd(Dead Peer Detection) 기본값이 변경됨:

  • dpddelay 

NSX-V dpdelay는 NSX dpdinternal에 매핑됩니다.

둘 이상의 세션의 로컬 및 피어 서브넷이 겹침

아니요

NSX-V는 정책 기반 IPSec VPN 세션을 지원하며, 여기에서는 둘 이상 세션의 로컬 및 피어 서브넷이 서로 겹칩니다. 이러한 동작은 NSX에서 지원되지 않습니다. 마이그레이션을 시작하기 전에 서브넷이 겹치지 않도록 서브넷을 다시 구성해야 합니다. 이 구성 문제가 해결되지 않으면 구성 마이그레이션 단계가 실패합니다.

피어 끝점이 임의로 설정된 IPSec 세션

아니요

구성이 마이그레이션되지 않습니다.

확장 securelocaltrafficbyip로 변경됩니다.

아니요

NSX 서비스 라우터에는 터널을 통해 전송해야 하는 로컬에서 생성된 트래픽이 없습니다.

다음 확장에 대한 변경 사항:

auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configured, forceencaps,overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric,disablearrivalcheck, failureshunt,leftnexthop, keyingtries

아니요

이러한 확장은 NSX에서 지원되지 않으며 변경 사항이 마이그레이션되지 않습니다.

로드 밸런서

NSX-V 구성

지원됨

세부 정보

다음에 대해 모니터/상태 확인:

  • LDAP

  • DNS

  • MSSQL

세부 정보를 참조하십시오.

모니터가 마이그레이션되지 않습니다.

애플리케이션 규칙

아니요

NSX-V는 HAProxy를 기준으로 하는 애플리케이션 규칙을 사용하여 L7을 지원합니다. NSX에서 규칙은 NGINX를 기준으로 합니다. 애플리케이션 규칙은 마이그레이션할 수 없습니다. 마이그레이션 후에 새 규칙을 생성해야 합니다.

L7 가상 서버 포트 범위

아니요

IPv6

아니요

가상 서버에서 IPv6을 사용하는 경우 전체 가상 서버가 무시됩니다.

풀에서 IPv6을 사용하는 경우 풀은 여전히 마이그레이션되지만 관련 풀 멤버는 제거됩니다.

URL, URI, HTTPHEADER 알고리즘

세부 정보를 참조하십시오.

이러한 알고리즘을 사용하는 풀은 마이그레이션되지 않습니다.

격리된 풀

아니요

모니터 포트가 서로 다른 LB 풀 멤버

세부 정보를 참조하십시오.

모니터 포트가 다른 풀 멤버는 마이그레이션되지 않습니다.

풀 멤버 minConn

아니요

모니터 확장

아니요

SSL sessionID 지속성/테이블

아니요

MSRDP 지속성/세션 테이블

아니요

쿠키 애플리케이션 세션/세션 테이블

아니요

애플리케이션 지속성

아니요

모니터링 대상:

  • 명시적 이스케이프

  • 종료

  • 지연

아니요

모니터링 대상:

  • 보내기

  • 예상

  • 시간 초과

  • 간격

  • maxRetries

Haproxy 튜닝/IPVS 튜닝

아니요

풀 IP 필터

  • IPv4 주소

IPv4 IP 주소가 지원됩니다.

임의를 사용한 경우 IP 풀의 IPv4 주소만 마이그레이션됩니다.

풀 IP 필터

  • IPv6 주소

아니요

지원되지 않는 그룹 개체를 포함하는 풀:

  • 클러스터

  • 데이터센터

  • 분산 포트 그룹

  • MAC 집합

  • 가상 장치

아니요

풀에 지원되지 않는 그룹 개체가 포함되어 있으면 해당 개체가 무시되고 지원되는 그룹 개체 멤버를 사용하여 풀이 생성됩니다. 지원되는 그룹 개체 멤버가 없으면 빈 풀이 생성됩니다.

DHCP 및 DNS

표 1. DHCP 구성 토폴로지

NSX-V 구성

지원됨

세부 정보

직접 연결된 Edge Services Gateway에 구성된 DHCP 서버를 가리키는 논리적 분산 라우터에 구성된 DHCP 릴레이

DHCP 릴레이 서버 IP는 Edge Services Gateway의 내부 인터페이스 IP 중 하나여야 합니다.

DHCP 서버는 DHCP 릴레이를 사용하여 구성된 논리적 분산 라우터에 직접 연결되는 Edge Services Gateway에 구성되어야 합니다.

Edge Services Gateway에 구성된 동일한 DHCP 서버를 가리키는 여러 논리적 분산 라우터에 구성된 DHCP 릴레이는 지원되지 않습니다.

DNAT를 사용하여 Edge Services Gateway 내부 인터페이스와 일치하지 않는 DHCP 릴레이 IP를 변환하는 것은 지원되지 않습니다.

논리적 분산 라우터에 구성된 DHCP 릴레이만, 연결된 Edge Services Gateway에 DHCP 서버 구성이 없음

아니요

Edge Services Gateway에 구성된 DHCP 서버만, 연결된 논리적 분산 라우터에 DHCP 릴레이 구성이 없음

아니요

표 2. DHCP 기능

NSX-V 구성

지원됨

세부 정보

IP 풀

고정 바인딩

DHCP 리스

일반 DHCP 옵션

DHCP 서비스 사용 안 함

아니요

NSX에서는 DHCP 서비스를 사용하지 않도록 설정할 수 없습니다. NSX-V에 사용하지 않도록 설정한 DHCP 서비스가 있으면 마이그레이션되지 않습니다.

DHCP 옵션: "기타"

아니요

DHCP 옵션의 "기타" 필드는 마이그레이션이 지원되지 않습니다.

예를 들어, dhcp 옵션 '80'은 마이그레이션되지 않습니다.

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

분리된 ip-pools/bindings

아니요

DHCP 서버에서 ip-pools 또는 static-bindings이 구성되었지만 연결된 논리적 스위치에서 사용되지 않는 경우 이러한 개체는 마이그레이션되지 않고 건너뜁니다.

논리적 스위치가 직접 연결된 Edge Service Gateway에 구성된 DHCP

아니요

마이그레이션 중에 직접 연결된 Edge Service Gateway 인터페이스가 중앙 집중식 서비스 포트로서 마이그레이션됩니다. 그러나 NSX는 중앙 집중식 서비스 포트에서 DHCP 서비스를 지원하지 않으므로 이러한 인터페이스의 경우 DHCP 서비스 구성이 마이그레이션되지 않습니다.

표 3. DNS 기능

NSX-V 구성

지원됨

세부 정보

DNS 보기

첫 번째 dnsView만 NSX 기본 DNS 전달자 영역으로 마이그레이션됩니다.

DNS 구성

모든 Edge 노드에 대해 사용 가능한 DNS 수신기 IP를 제공해야 합니다. 이를 확인하기 위해 구성 해결 중에 메시지가 표시됩니다.

DNS – L3 VPN

새로 구성된 NSX DNS 수신기 IP를 원격 L3 VPN 접두사 목록에 추가해야 합니다. 이를 확인하기 위해 구성 해결 중에 메시지가 표시됩니다.

논리적 스위치가 직접 연결된 Edge Service Gateway에 구성된 DNS

아니요

마이그레이션 중에 직접 연결된 Edge Service Gateway 인터페이스가 중앙 집중식 서비스 포트로서 마이그레이션됩니다. 그러나 NSX는 중앙 집중식 서비스 포트에서 DNS 서비스를 지원하지 않으므로 이러한 인터페이스의 경우 DNS 서비스 구성이 마이그레이션되지 않습니다.

DFW(분산 방화벽)

NSX-V 구성

지원됨

세부 정보

ID 방화벽

섹션 -

  • 이름

  • 설명

  • TCP Strict

  • 상태 비저장 방화벽

방화벽 섹션에 1000보다 많은 규칙이 있는 경우 마이그레이션 프로그램은 각각 1000개 규칙으로 이루어진 여러 개의 섹션으로 규칙을 마이그레이션합니다.

범용 섹션

NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예

규칙 – 소스/대상:

  • IP 주소/범위/CIDR

  • 논리적 포트

  • 논리적 스위치

규칙 – 소스/대상:

  • VM

  • 논리적 포트

  • 보안 그룹/IP 집합/MAC 집합

보안 그룹에 매핑

규칙 – 소스/대상:

  • 클러스터

  • 데이터센터

  • DVPG

  • vSS

  • 호스트

아니요

규칙 – 소스/대상:

  • 범용 논리적 스위치

NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예

규칙 – 소스/대상:

  • NSX-V 호스트에 없는 VM

아니요 NSXNSX 포트 그룹 또는 네트워크에 연결되지 않은 개체를 참조하는 것을 지원하지 않습니다. 이러한 개체는 마이그레이션이 완료될 때 소스 또는 대상에서 손실됩니다. 이 문제를 방지하려면 마이그레이션 전에 NSX-V의 IP 주소를 사용하여 해당 개체를 참조합니다.

규칙 – 적용 대상:

  • 임의

분산 방화벽에 매핑

규칙 – 적용 대상:

  • 보안 그룹

  • 논리적 포트

  • 논리적 스위치

  • VM

보안 그룹에 매핑

규칙 – 적용 대상:

  • 클러스터

  • 데이터센터

  • DVPG

  • vSS

  • 호스트

아니요

규칙 – 적용 대상:

  • 범용 논리적 스위치

아니요

NSX-V 배포에 기본 모드의 NSX Manager가 있고 보조 NSX Manager가 없는 경우 예

분산 방화벽에서 규칙 사용 안 함

클러스터 수준에서 분산 방화벽 사용 안 함

아니요

NSX에서 분산 방화벽을 사용하도록 설정하면 모든 클러스터에서 사용하도록 설정됩니다. 클러스터마다 이 기능을 사용하도록 설정할 수 없는 경우도 있고 사용하지 않도록 설정할 수 없는 경우도 있습니다.

DFW 제외 목록 아니요 DFW 제외 목록은 마이그레이션되지 않습니다. 마이그레이션 후 NSX를 다시 생성해야 합니다.

파트너 서비스: East-West 네트워크 검사

NSX-V 구성 지원됨 세부 정보

서비스

아니요

서비스 등록은 마이그레이션되지 않습니다. 파트너는 마이그레이션 전에 서비스를 NSX에 등록해야 합니다.

벤더 템플릿

아니요

벤더 템플릿이 마이그레이션되지 않습니다. 파트너는 마이그레이션 전에 NSX에 벤더 템플릿을 등록해야 합니다.

서비스 프로파일

아니요

서비스 프로파일은 마이그레이션되지 않습니다. 사용자나 파트너가 마이그레이션 전에 서비스 프로파일을 생성해야 합니다.

마이그레이션의 [구성 해결] 단계에서 각 NSX-V 서비스 프로파일을 NSX 서비스 프로파일에 매핑할지 묻는 메시지가 표시됩니다. 서비스 프로파일의 매핑을 건너뛰는 경우 이러한 서비스 프로파일을 사용하는 규칙이 마이그레이션되지 않습니다.

NSX의 서비스 체인이 NSX-V의 각 서비스 프로파일에 대해 생성됩니다. 다음 명명 규칙을 사용하여 서비스 체인이 생성됩니다.

Service-Chain-service_profile_name

서비스 체인의 정방향 경로 및 역방향 경로에서 동일한 서비스 프로파일이 사용됩니다.

서비스 인스턴스

아니요

파트너 SVM(서비스 가상 시스템)은 마이그레이션되지 않습니다. NSX에서는 NSX-V 파트너 SVM을 사용할 수 없습니다.

NSX의 East-West 네트워크 검사 서비스의 경우 파트너 서비스 VM을 오버레이 세그먼트에 배포해야 합니다.

섹션
  • 이름
  • ID
  • 설명
  • TCP Strict
  • 상태 비저장 방화벽

섹션은 리디렉션 정책에 매핑됩니다.

ID는 사용자 정의 ID이며 NSX에서 자동으로 생성되지 않습니다.

NSX-V의 방화벽 섹션에 1,000보다 많은 규칙이 있는 경우 각각 1,000개 규칙으로 이루어진 여러 개의 섹션으로 규칙이 마이그레이션됩니다. 예를 들어, 섹션에 2,500개의 규칙이 포함된 경우, 1,000개 규칙을 포함하는 정책 1, 1,000개 규칙을 포함하는 정책 2 및 500개 규칙을 포함하는 정책 3이 생성됩니다.

NSX-V의 상태 저장 또는 상태 비저장 방화벽 규칙은 NSX에서 상태 저장 또는 상태 비저장 리디렉션 규칙으로 마이그레이션됩니다.

파트너 서비스: 규칙

이름

규칙 ID

규칙 ID는 시스템에서 생성되었습니다. NSX-V의 규칙 ID와 다를 수 있습니다.

소스 부정

대상 부정

소스/대상
  • VM
  • 보안 그룹
  • IP 집합
  • vNIC

서비스/서비스 그룹

자세한 내용은 서비스 및 서비스 그룹 표를 참조하십시오.
고급 설정
  • 방향
  • 패킷 유형
  • 규칙 태그
  • 주석
  • 로그

서비스 프로파일 및 작업
  • 서비스 이름
  • 서비스 프로파일
  • 작업
  • 서비스 프로파일 바인딩

서비스 프로파일 바인딩에는 DVPG(분산 가상 포트 그룹), 논리적 스위치 및 보안 그룹이 해당 멤버로 포함될 수 있습니다. NSX-V의 서비스 프로파일 바인딩은 NSX의 리디렉션 규칙에 대한 [적용 대상] 필드에 매핑됩니다. [적용 대상] 필드에는 그룹만 허용되고, 이 필드는 규칙의 범위를 결정합니다.

NSX에서 규칙 리디렉션은 정책 수준에 있습니다. 리디렉션 정책의 모든 규칙이 동일한 범위(적용 대상)를 갖습니다.

NSX 리디렉션 규칙의 [적용 대상] 필드에는 최대 128개의 멤버가 있을 수 있습니다. 서비스 프로파일 바인딩의 멤버 수가 128을 초과하는 경우 마이그레이션을 시작하기 전에 128개 이하로 줄이십시오.

예를 들어 서비스 프로파일 바인딩에 140개 멤버(보안 그룹)가 있다고 가정합니다. 마이그레이션을 시작하기 전에 NSX-V에서 다음 단계를 수행합니다.
  1. 더미 보안 그룹을 생성합니다.
  2. 이 더미 보안 그룹으로 13개의 보안 그룹을 이동합니다. 즉, 더미 보안 그룹에는 13개의 멤버가 있습니다.
  3. 서비스 프로파일에서 이러한 13개의 보안 그룹에 대한 바인딩을 제거합니다. 이제 서비스 프로파일 바인딩에는 127개의 멤버(140-13)가 있습니다.
  4. 더미 보안 그룹을 서비스 프로파일 바인딩에 추가합니다.

이제 서비스 프로파일 바인딩의 총멤버 수는 128(127 + 1)입니다.

규칙 사용/사용 안 함

서비스 세그먼트
마이그레이션의 [구성 해결] 단계에서 선택한 오버레이 전송 영역에 서비스 세그먼트가 생성됩니다. NSX-V 환경에서 VXLAN 전송 영역이 NSX-V으로 준비되지 않은 경우 NSX의 기본 오버레이 전송 영역을 선택하여 서비스 세그먼트를 생성하는 옵션이 제공됩니다. 하나 또는 여러 개의 VXLAN 전송 영역이 NSX-V로 준비된 경우 NSX에서 서비스 세그먼트를 생성하려면 오버레이 전송 영역을 하나 선택해야 합니다.
서비스 프로파일 우선 순위
NSX-V에서 서비스 프로파일에는 우선 순위가 적용됩니다. 서비스에 여러 개의 서비스 프로파일이 있고 여러 프로파일이 동일한 vNIC에 바인딩된 경우 우선 순위가 높은 서비스 프로파일이 vNIC에서 먼저 적용됩니다. 그러나 NSX에서 서비스 프로파일에는 우선 순위가 없습니다. 여러 리디렉션 규칙에 동일한 [적용 대상] 설정이 적용된 경우 규칙 순서에 따라 먼저 적용되는 규칙이 결정됩니다. 즉, 프로파일 우선순위가 높은 규칙은 NSX 규칙 테이블에서 프로파일 우선순위가 낮은 규칙보다 먼저 배치됩니다. 자세한 예는 NSX에서 마이그레이션된 네트워크 검사 규칙의 순서의 시나리오 2을 참조하십시오.
서비스 우선 순위

여러 서비스로 트래픽을 리디렉션하려면 NSX-V는 서비스 삽입 데이터 경로에서 여러 DVFilter 슬롯을 사용합니다. 하나의 DVFilter 슬롯이 하나의 서비스로 트래픽을 리디렉션하는 데 사용됩니다. 우선 순위가 높은 서비스는 우선 순위가 낮은 서비스와 비교하여 슬롯의 상위에 배치됩니다. NSX에서는 단일 DVFilter 슬롯만 사용되고 트래픽을 서비스 체인으로 리디렉션합니다. NSX로 마이그레이션한 후에는 우선 순위가 높은 파트너 서비스를 사용하는 규칙이 우선 순위가 낮은 파트너 서비스를 사용하는 규칙보다 앞에 배치됩니다. 자세한 예는 NSX에서 마이그레이션된 네트워크 검사 규칙의 순서의 시나리오 3을 참조하십시오.

vNIC의 트래픽을 여러 파트너 서비스로 리디렉션하는 것은 지원되지 않습니다. 단일 파트너 서비스에 대한 리디렉션만 지원됩니다. 모든 NSX-V 규칙이 NSX로 마이그레이션되고, 마이그레이션된 규칙 구성에서는 하나의 서비스 프로파일만 있는 서비스 체인을 사용합니다. 리디렉션 규칙에 사용되는 기존 서비스 체인은 수정할 수 없습니다.

해결 방법: vNIC의 트래픽을 여러 서비스로 리디렉션하려면 새 서비스 체인을 생성하고 서비스 체인에서 서비스 프로파일의 순서를 정의합니다. 이 새 서비스 체인을 사용하도록 마이그레이션된 규칙을 업데이트합니다.

VM 네트워크에 연결된 VM의 네트워크 검사 서비스
NSX-V 환경에서 네트워크 검사 서비스 규칙이 VM 네트워크에 연결된 VM에서 실행되는 경우 호스트 마이그레이션 후 이러한 VM의 보안 보호가 손실됩니다. 호스트 마이그레이션 후에 이러한 VM의 vNIC에 네트워크 검사 규칙이 적용되도록 하려면 이러한 VM을 NSX 세그먼트에 연결해야 합니다.

그룹 개체 및 Service Composer

IP 집합 및 MAC 집합은 NSX에 그룹으로 마이그레이션됩니다. NSX Manager 웹 인터페이스에서 인벤토리 > 그룹을 확인하십시오.

표 4. IP 집합 및 MAC 집합

NSX-V 구성

지원됨

세부 정보

IP 집합

최대 200만 개의 멤버(IP 주소, IP 주소 서브넷, IP 범위)를 포함하는 IP 집합을 마이그레이션할 수 있습니다. 더 많은 멤버가 포함된 IP 집합은 마이그레이션되지 않습니다.

MAC 집합

최대 200만 개의 멤버가 포함된 MAC 집합을 마이그레이션할 수 있습니다. 더 많은 멤버가 포함된 MAC 집합은 마이그레이션되지 않습니다.

보안 그룹은 마이그레이션 시 나열된 제한 사항이 적용됩니다. 보안 그룹은 NSX에 그룹으로 마이그레이션됩니다. NSX Manager 웹 인터페이스에서 인벤토리 > 그룹을 확인하십시오.

NSX-V에는 시스템 정의 및 사용자 정의 보안 그룹이 있습니다. 이러한 보안 그룹은 모두 NSX에 사용자 정의 그룹으로 마이그레이션됩니다.

마이그레이션 후의 총 '그룹' 수는 NSX-V의 보안 그룹 수와 같지 않을 수 있습니다. 예를 들어, VM을 소스로 포함하는 분산 방화벽 규칙은 VM을 멤버로 사용해서 새 그룹이 포함된 규칙으로 마이그레이션됩니다. 이렇게 하면 마이그레이션 후 NSX의 총 그룹 수가 늘어납니다.

표 5. Security Group

NSX-V 구성

지원됨

세부 정보

존재하지 않는 멤버가 있는 보안 그룹

아니요

보안 그룹에 존재하지 않는 멤버가 있으면 해당 보안 그룹은 마이그레이션되지 않습니다.

지원되지 않는 멤버가 있는 보안 그룹이 포함된 보안 그룹

아니요

보안 그룹에 마이그레이션을 지원하지 않는 멤버가 있으면 해당 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹에 지원되지 않는 멤버를 포함하는 보안 그룹이 들어 있으면 해당 상위 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹에서 멤버 자격 제외

아니요

직접적 또는 간접적(중첩을 통해)으로 제외 멤버가 있는 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹 고정 멤버 자격

보안 그룹에는 최대 500개의 고정 멤버가 포함될 수 있습니다. 그러나 보안 그룹이 분산 방화벽 규칙에 사용되는 경우에는 시스템 생성 고정 멤버가 추가되어 유효 제한이 499 또는 498로 줄어듭니다.

  • 보안 그룹이 계층 2 또는 계층 3 규칙에서 사용되는 경우 시스템 생성 고정 멤버 하나가 보안 그룹에 추가됩니다.

  • 보안 그룹이 계층 2 및 계층 3 규칙 둘 다에서 사용되는 경우 시스템 생성 고정 멤버 2개가 추가됩니다.

구성 해결 단계 중에 멤버가 없는 경우 보안 그룹이 마이그레이션되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

  • 클러스터

  • 데이터센터

  • 디렉토리 그룹

  • 분산 포트 그룹

  • 레거시 포트 그룹/네트워크

  • 리소스 풀

  • vApp

아니요

보안 그룹에 지원되지 않는 멤버 유형이 포함된 경우 보안 그룹이 마이그레이션되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

  • 보안 그룹

  • IP 집합

  • MAC 집합

보안 그룹, IP 집합 및 MAC 집합은 NSX에 그룹으로 마이그레이션됩니다. NSX-V 보안 그룹에 IP 집합, MAC 집합 또는 중첩된 보안 그룹이 고정 멤버로 포함되어 있는 경우 해당 그룹이 상위 그룹에 추가됩니다.

이러한 고정 멤버 중 하나가 NSX로 마이그레이션되지 않은 경우 상위 보안 그룹이 NSX로 마이그레이션되지 않습니다.

예를 들어 200만 개가 넘는 멤버가 포함된 IP 집합은 NSX로 마이그레이션할 수 없습니다. 따라서 200만 개가 넘는 멤버가 포함된 IP 집합을 포함하는 보안 그룹은 마이그레이션할 수 없습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

  • 논리적 스위치(가상 와이어)

보안 그룹에 NSX 세그먼트로 마이그레이션되지 않는 논리적 스위치가 포함된 경우 보안 그룹이 NSX로 마이그레이션되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

  • 보안 태그

보안 태그가 보안 그룹에 고정 멤버로 추가되거나 엔티티 소속을 사용하여 동적 멤버로 추가되는 경우 보안 그룹을 마이그레이션하려면 보안 태그가 있어야 합니다.

보안 태그를 동적 멤버로 보안 그룹에 추가하는 경우(엔티티 소속을 사용하지 않음) 보안 그룹을 마이그레이션하기 전에 보안 태그가 있는지 확인되지 않습니다.

보안 그룹 멤버 유형(고정 또는 엔티티가 속함):

  • vNIC

  • 가상 시스템

  • vNIC 및 VM은 ExternalIDExpression로 마이그레이션됩니다.

  • 분리된 VM(호스트에서 삭제된 VM)은 보안 그룹 마이그레이션 중에 무시됩니다.

  • NSX에 그룹이 나타나고 얼마 후에 VM 및 vNIC 멤버 자격이 업데이트됩니다. 이 시간 동안 임시 그룹이 있고 해당 임시 그룹이 멤버로 표시될 수 있습니다. 하지만 호스트 마이그레이션이 완료되면 이러한 추가 임시 그룹이 더 이상 표시되지 않습니다.

동적 멤버 자격에 대해 "정규식 일치" 연산자 사용

아니요

보안 태그 및 VM 이름에만 영향을 줍니다. 다른 특성에는 "정규식 일치"를 사용할 수 없습니다.

특성에 대한 동적 멤버 자격 조건에 사용 가능한 기타 연산자 사용:

  • 보안 태그

  • VM 이름

  • 컴퓨터 이름

  • 컴퓨터 OS 이름

VM 이름, 컴퓨터 이름 및 컴퓨터 OS 이름에 사용할 수 있는 연산자는 다음 포함, 다음으로 끝남, 같음, 같지 않음, 다음으로 시작입니다.

보안 태그에 사용할 수 있는 연산자는 다음 포함, 다음으로 끝남, 같음, 다음으로 시작입니다.

엔티티 소속 조건

고정 멤버 마이그레이션의 경우와 동일한 제한 사항이 엔티티 소속 조건에도 적용됩니다. 예를 들어 정의에서 엔티티 소속 클러스터를 사용하는 보안 그룹이 있는 경우 해당 보안 그룹은 마이그레이션되지 않습니다.

AND로 결합된 엔티티 소속 조건을 포함하는 보안 그룹은 마이그레이션되지 않습니다.

보안 그룹의 동적 멤버 자격 조건 연산자(AND, OR)

예.

NSX-V 보안 그룹에 대해 동적 멤버 자격을 정의할 경우 다음을 구성할 수 있습니다.

  • 하나 이상의 동적 집합.

  • 각 동적 집합에는 하나 이상의 동적 조건이 포함될 수 있습니다. 예: “VM Name Contains web”.

  • 동적 집합 내에서 Any 동적 조건을 일치시킬지 또는 All 동적 조건을 일치시킬지를 선택할 수 있습니다.

  • 동적 집합 간에 AND 또는 OR를 사용하여 일치시키도록 선택할 수 있습니다.

NSX-V는 동적 조건, 동적 집합의 수를 제한하지 않으며 AND 및 OR를 조합해서 사용할 수 있습니다.

NSX에서는 5개 식이 포함된 그룹이 있을 수 있습니다. 5개가 넘는 식을 포함하는 NSX-V 보안 그룹은 마이그레이션되지 않습니다.

마이그레이션할 수 있는 보안 그룹의 예:

  • OR로 연결된 최대 5개의 동적 집합. 여기서 각 동적 집합은 AND(NSX-V의 All)로 연결된 최대 5개의 동적 조건을 포함합니다.

  • OR(NSX-V의 Any)로 연결된 5개의 동적 조건을 포함하는 1개의 동적 집합.

  • AND(NSX-V의 All)로 연결된 5개의 동적 조건을 포함하는 1개의 동적 집합 모든 멤버 유형이 동일해야 합니다.

  • AND로 연결된 5개의 동적 집합, 각 동적 집합은 정확히 1개의 동적 조건을 포함합니다. 모든 멤버 유형이 동일해야 합니다.

AND 연산자와 함께 "엔티티 소속" 기준을 사용할 수 없습니다.

지원되지 않는 시나리오를 포함하는 보안 그룹의 다른 모든 조합 또는 정의는 마이그레이션되지 않습니다.

NSX-V에서 보안 태그는 VM에 적용될 수 있는 개체입니다. NSX로 마이그레이션하는 경우 보안 태그는 VM의 특성입니다.

표 6. 보안 태그

NSX-V 구성

지원됨

세부 정보

보안 태그

VM에 25개 이하의 보안 태그가 적용된 경우 보안 태그의 마이그레이션이 지원됩니다. 25개보다 많은 보안 태그가 적용되면 태그가 마이그레이션되지 않습니다.

참고: 보안 태그가 마이그레이션되지 않으면 VM이 태그 멤버 자격으로 정의된 그룹에 포함되지 않습니다.

VM에 적용되지 않은 보안 태그는 마이그레이션되지 않습니다.

서비스 및 서비스 그룹은 NSX에 서비스로 마이그레이션됩니다. NSX Manager 웹 인터페이스에서 인벤토리 > 서비스를 확인하십시오.

표 7. 서비스 및 서비스 그룹

NSX-V 구성

지원됨

세부 정보

서비스 및 서비스 그룹(애플리케이션 및 애플리케이션 그룹)

대부분의 기본 서비스 및 서비스 그룹은 NSX 서비스에 매핑됩니다. NSX에 서비스 또는 서비스 그룹이 없으면 NSX에서 새 서비스가 생성됩니다.

APP_ALL 및 APP_POP2 서비스 그룹

아니요

이러한 시스템 정의 서비스 그룹은 마이그레이션되지 않습니다.

이름 지정 충돌이 있는 서비스 및 서비스 그룹

수정된 서비스 또는 서비스 그룹에 대해 NSX에서 이름 충돌이 식별되면 새 서비스가 NSX-V에서 마이그레이션된 <NSXv-Application-Name> 형식의 이름으로 NSX에서 생성됩니다.

계층 2 서비스를 다른 계층의 서비스와 결합하는 서비스 그룹

아니요

빈 서비스 그룹

아니요

NSX는 빈 서비스를 지원하지 않습니다.

계층 2 서비스

NSX-V 계층 2 서비스는 NSX 서비스 항목 EtherTypeServiceEntry로 마이그레이션됩니다.

계층 3 서비스

프로토콜을 기준으로, NSX-V 계층 3 서비스는 다음과 같이 NSX 서비스 항목으로 마이그레이션됩니다.

  • TCP/UDP 프로토콜: L4PortSetServiceEntry

  • ICMP/IPV6ICMP 프로토콜:

ICMPTypeServiceEntry

  • IGMP 프로토콜: IGMPTypeServiceEntry

  • 기타 프로토콜: IPProtocolServiceEntry

계층 4 서비스

NSX 서비스 항목 ALGTypeServiceEntry로 마이그레이션됩니다.

계층 7 서비스

NSX 서비스 항목 PolicyContextProfile로 마이그레이션됩니다.

NSX-V 계층 7 애플리케이션에 포트 및 프로토콜이 정의되어 있으면 서비스는 적절한 포트 및 프로토콜 구성을 사용하여 NSX에 생성된 후 PolicyContextProfile에 매핑됩니다.

계층 7 서비스 그룹

아니요

포트 및 프로토콜을 포함하는 분산 방화벽, Edge 방화벽 또는 NAT 규칙

이러한 규칙을 생성하려면 NSX에 서비스가 필요합니다. 적절한 서비스가 있으면 사용됩니다. 적절한 서비스가 없으면 규칙에 지정된 포트 및 프로토콜을 사용하여 서비스가 생성됩니다.

표 8. Service Composer

NSX-V 구성

지원됨

세부 정보

Service Composer 보안 정책

보안 정책에 정의된 방화벽 규칙은 분산 방화벽 규칙으로 NSX에 마이그레이션됩니다.

Service Composer 보안 정책에 정의된 사용 안 함으로 설정된 방화벽 규칙은 마이그레이션되지 않습니다.

Service Composer 보안 정책에 정의된 Guest Introspection 규칙 또는 네트워크 검사 규칙은 마이그레이션됩니다.

Service Composer 상태가 동기화되지 않은 경우 구성 해결 단계에서 경고를 표시합니다. 관련 분산 방화벽 섹션을 건너뛰어 Service Composer 정책의 마이그레이션을 건너뛸 수 있습니다. 또는 마이그레이션을 롤백하고, Service Composer를 분산 방화벽과 동기화한 후 마이그레이션을 다시 시작할 수 있습니다.

Service Composer 보안 정책이 어떤 보안 그룹에도 적용 되지 않음

아니요

Active Directory 서버 구성

구성

지원됨

세부 정보

AD(Active Directory) 서버

아니요