以下列出可以移轉的 NSX for vSphere (NSX-v) 功能和組態。

平台支援

請參閱 VMware 互通性對照表以取得支援的 ESXivCenter Server 版本。

NSX-v 組態

支援

詳細資料

vSphere Distributed Switch 上具有 vSAN 或 iSCSI 的 NSX Data Center for vSphere

既有的 NSX-T 組態

部署要用作 NSX Data Center for vSphere 移轉目的地的新 NSX-T Data Center 環境。

匯入組態步驟期間,目的地 NSX-T Data Center 環境中的所有 NSX Edge 節點介面已都關閉。如果目的地 NSX-T Data Center 環境已設定且正在使用中,開始組態匯入將中斷流量。

跨 vCenter NSX

(NSX-T 3.1) 否

(NSX-T 3.1.1 及更新版本) 如果 NSX-v 部署有處於主要模式的 NSX Manager,但沒有次要 NSX Manager,則為是。

NSX-T 3.1.1 開始,已支援對包含主要模式下的 NSX Manager、不含次要 NSX Manager,且主要站台上具有通用物件的單一站台 NSX for vSphere 部署進行移轉。此類單一站台 NSX for vSphere 部署會移轉至具有本機物件的單一站台 NSX-T 環境 (非同盟)。

目前不支援對具有主要 NSX Manager 和多個次要 NSX Manager 的真正跨 vCenter NSX-V 部署進行移轉。移轉協調器僅從具有主要或獨立角色的 NSX-V Manager 移轉。您可以透過變更次要管理程式的狀態來修改 NSX-V 環境,以便單獨移轉每個 NSX-V 環境。

NSX Data Center for vSphere,具有雲端管理平台、整合式堆疊解決方案或 PaaS 解決方案

如果在支援的拓撲中設定整合式環境,則支援使用 vRealize Automation 移轉 NSX for vSphere

如需詳細資料,請參閱支援與 vRealize Automation 整合的拓撲

請連絡您的 VMware 代表後再繼續進行移轉。如果您移轉整合式環境,則指令碼和整合可能會中斷。

例如:
  • NSX for vSphere 和 VMware Integrated OpenStack

  • NSX for vSphere 和 vCloud Director

  • 具有整合式堆疊解決方案的 NSX for vSphere

  • 具有 PaaS 解決方案 (例如 Pivotal Cloud Foundry、RedHat OpenShift) 的 NSX for vSphere

  • 具有 vRealize Operations 工作流程的 NSX for vSphere

vSphere 和 ESXi 功能

NSX-v 組態

支援

詳細資料

ESXi 主機已處於維護模式 (沒有虛擬機器)

Network I/O Control (NIOC) 第 3 版

Network I/O Control (NIOC) 第 2 版

具有保留的 vNIC 的 Network I/O Control (NIOC)

vSphere 標準交換器

不會移轉 VSS 上的虛擬機器和 VMkernel 介面。無法移轉在 VSS 套用的 NSX Data Center for vSphere 功能。

vSphere Distributed Switch

無狀態 ESXi

主機設定檔

ESXi 鎖定模式

NSX-T 中不支援。

ESXi 主機維護模式工作擱置中。

vCenter 叢集中中斷連線的 ESXi 主機

vSphere FT

vSphere DRS 完全自動化

vSphere 7.0 中開始支援

vSphere High Availability

是 (使用維護模式時)

流量篩選 ACL

vSphere 健全狀況檢查

SRIOV

釘選到實體 NIC 的 vmknic

私人 VLAN

暫時 dvPortGroup

DirectPath IO

L2 安全性

學習虛擬連線上的交換器

硬體閘道 (與實體交換硬體的通道端點整合)

SNMP

虛擬機器中中斷連線的 vNIC

由於 ESX 6.5 的限制,已中斷連線虛擬機器的 DVFilter 上可能會出現失效項目。將虛擬機器重新開機作為因應措施。

4789 以外的 VXLAN 連接埠號碼

多點傳播篩選模式

具有多個 VTEP 的主機

NSX Manager 應用裝置系統組態

NSX-v 組態

支援

詳細資料

NTP 伺服器/時間設定

Syslog 伺服器組態

備份組態

如有需要,請變更 NSX Data Center for vSphere 複雜密碼,以符合 NSX-T Data Center 的需求。它必須至少為 8 個字元,且包含下列:

  • 至少 1 個小寫字母

  • 至少 1 個大寫字母

  • 至少 1 個數字字元

  • 至少 1 個特殊字元

FIPS

NSX-T 不支援 FIPS 開啟/關閉。

地區設定

NSX-T 僅支援英文地區設定

應用裝置憑證

角色型存取控制

NSX-v 組態

支援

詳細資料

本機使用者

透過 LDAP 指派給新增的 vCenter 使用者的 NSX 角色

必須安裝和設定 VMware Identity Manager,才能移轉 LDAP 使用者的使用者角色。

指派給 vCenter 使用者的 NSX 角色

憑證

NSX-v 組態

支援

詳細資料

憑證 (伺服器、CA 簽署)

這僅適用透過信任存放區 API 新增的憑證。

作業

詳細資料

支援

備註

探索通訊協定 CDP

探索通訊協定 LLDP

接聽模式會依預設開啟,且無法在 NSX-T 中變更。僅可以修改通告模式。

PortMirroring:

  • 封裝式遠端鏡像來源 (L3)

僅支援移轉 L3 工作階段類型

PortMirroring:

  • 分散式 PortMirroring

  • 遠端鏡像來源

  • 遠端鏡像目的地

  • 分散式連接埠鏡像 (舊版)

L2 IPFIX

不支援具有 IPFIX 的 LAG

分散式防火牆 IPFIX

MAC 學習

您必須啟用 (接受) 偽造傳輸。

硬體 VTEP

混合模式

資源配置

不支援使用資源配置啟用的 vNIC

IPFIX - 內部流量

不支援具有 InternalFlows 的 IPFIX

交換器

NSX-v 組態

支援

詳細資料

L2 橋接

主幹 VLAN

必須將主幹上行連接埠群組的 VLAN 範圍設定為 0-4094。

VLAN 組態

支援僅具有 VLAN (無 VXLAN) 的組態。

整併和容錯移轉:

  • 負載平衡

  • 上行容錯移轉順序

負載平衡支援的選項 (整併原則):

  • 使用明確容錯移轉順序

  • 根據來源 MAC 雜湊進行路由

  • 來源連接埠 (從 NSX-T 3.1.3 開始)。

不支援其他負載平衡選項。

整併和容錯移轉:

  • 網路故障偵測

  • 通知交換器

  • 反向原則

  • 復原順序

LACP

對於 VDS 7.0 和更新版本,在移轉期間不會修改 LACP 功能。對於更早版本的 VDS,新的 N-VDS 交換器將取代 VDS。這將導致在主機移轉期間遺失流量。

LACP 不支援在 DVS 上設定的 IPFIX (而不是 DFW IPFIX)

交換器安全性和 IP 探索

NSX-v 組態

支援移轉

詳細資料

IP 探索 (ARP、ND、DHCPv4 和 DHCPv6)

下列繫結限制適用 NSX-T 上的移轉:

  • 128 用於 ARP 探索到的 IP

  • 128 用於 DHCPv4 探索到的 IP

  • 15 用於 DHCPv6 探索到的 IP

  • 15 用於 ND 探索到的 IP

SpoofGuard (手動、TOFU、已停用)

交換器安全性 (BPDU 篩選器、DHCP 用戶端封鎖、DHCP 伺服器封鎖、RA 保護)

NSX Data Center for vSphere 中的交換器安全性模組將資料路徑繫結移轉至 NSX-T 中的交換器安全性模組

如果已啟用 SpoofGuard,則繫結會從交換器安全性模組移轉,以支援 ARP 隱藏。

VSIP - 因為 VSIP 繫結會移轉為靜態設定的規則,因此不支援交換器安全性。

探索設定檔

使用邏輯交換器的 IP 探索組態和全域與叢集 ARP 和 DHCP 組態進行移轉後,會建立 ipdiscovery 設定檔。

中央控制平面

NSX-v 組態

支援

詳細資料

每個邏輯交換器 (VNI) 和路由網域的 VTEP 複寫

MAC/IP 複寫

使用多點傳播或混合式複寫模式的 NSX Data Center for vSphere 傳輸區域

使用單點傳播複寫模式的 NSX Data Center for vSphere 傳輸區域

NSX Edge 功能

如需支援的拓撲的完整詳細資料,請參閱支援拓撲

NSX-v 組態

支援

詳細資料

Edge 服務閘道與北向路由器或虛擬通道介面之間的路由

支援 BGP。

支援靜態路由。

不支援 OSPF。

Edge 服務閘道與分散式邏輯路由器之間的路由

移轉後路由會轉換為靜態路由。

負載平衡器

如需詳細資料,請參閱支援拓撲

VLAN 支援的微分割環境

如需詳細資料,請參閱支援拓撲

NAT64

NSX-T 中不支援。

Edge 服務閘道或分散式邏輯路由器上的節點層級設定

不支援節點層級設定,如 Syslog 或 NTP 伺服器。

IPv6

Edge 服務閘道介面的單點傳播反向路徑篩選器 (URPF) 組態

NSX-T 閘道介面上的 URPF 設為「嚴格」。

傳輸單元最大值 (MTU) 組態 Edge 服務閘道介面

如需在 NSX-T 上變更預設 MTU 的相關資訊,請參閱 在移轉 Edge 前修改 NSX Edge 節點組態

IP 多點傳播路由

路由重新分配首碼篩選器

預設來源

NSX-T 中不支援。

Edge 防火牆

NSX-v 組態

支援

詳細資料

防火牆區段:顯示名稱

防火牆區段最多可以有 1000 個規則。如果某個區段包含超過 1000 個規則,則會將它移轉為多個區段。

預設規則的動作

NSX Data Center for vSphere API:GatewayPolicy/action

NSX-T API:SecurityPolicy.action

防火牆全域組態

使用預設逾時

防火牆規則

NSX Data Center for vSphere API:firewallRule

NSX-T API:SecurityPolicy

防火牆規則:名稱

防火牆規則:規則標籤

NSX Data Center for vSphere API:ruleTag

NSX-T API:Rule_tag

防火牆規則中的來源和目的地:

  • 群組物件

  • IP 位址

NSX Data Center for vSphere API:

  • source/groupingObjectId

  • source/ipAddress

NSX-T API:

  • source_groups

NSX Data Center for vSphere API:

  • destination/groupingObjectId

  • destination/ipAddress

NSX-T API:

  • destination_groups

防火牆規則來源和目的地:

  • vNIC 群組

防火牆規則中的服務 (應用程式):

  • 服務

  • 服務群組

  • Protocol/port/source port

NSX Data Center for vSphere API:

  • application/applicationId

  • application/service/protocol

  • application/service/port

  • application/service/sourcePort

NSX-T API:

  • 服務

防火牆規則:符合轉譯的內容

符合轉譯的內容必須為「false」。

防火牆規則:方向

兩種 API:方向

防火牆規則:動作

兩種 API:動作

防火牆規則:已啟用

兩種 API:已啟用

防火牆規則:記錄

NSX Data Center for vSphere API:logging

NSX-T API:logged

防火牆規則:說明

兩種 API:說明

Edge NAT

NSX-v 組態

支援

詳細資料

NAT 規則

NSX Data Center for vSphere API:natRule

NSX-T API:/nat/USER/nat-rules

NAT 規則:規則標籤

NSX Data Center for vSphere API:ruleTag

NSX-T API:rule_tag

NAT 規則:動作

NSX Data Center for vSphere API:action

NSX-T API:action

NAT 規則:原始位址 (SNAT 規則的來源位址

以及 DNAT 規則的目的地位址。)

NSX Data Center for vSphere API:originalAddress

NSX-T API:SNAT 規則為 source_network 或 DNAT 規則為 destination_network

NAT 規則:translatedAddress

NSX Data Center for vSphere API:translatedAddress

NSX-T API:translated_network

NAT 規則:在特定介面上套用 NAT 規則

套用必須為「任何」。

NAT 規則:記錄

NSX Data Center for vSphere API:loggingEnabled

NSX-T API:logging

NAT 規則:已啟用

NSX Data Center for vSphere API:enabled

NSX-T API:disabled

NAT 規則:說明

NSX Data Center for vSphere API:description

NSX-T API:description

NAT 規則:通訊協定

NSX Data Center for vSphere API:protocol

NSX-T API:Service

NAT 規則:原始連接埠 (SNAT 規則的來源連接埠、DNAT 規則的目的地連接埠)

NSX Data Center for vSphere API:originalPort

NSX-T API:Service

NAT 規則:轉譯的連接埠

NSX Data Center for vSphere API:translatedPort

NSX-T API:Translated_ports

NAT 規則:DNAT 規則中的來源位址

NSX Data Center for vSphere API:dnatMatchSourceAddress

NSX-T API:source_network

NAT 規則:

SNAT 規則中的目的地位址

NSX Data Center for vSphere API:snatMatchDestinationAddress

NSX-T API:destination_network

NAT 規則:

DNAT 規則中的來源連接埠

NSX Data Center for vSphere API:dnatMatchSourcePort

NSX-T API:Service

NAT 規則:

SNAT 規則中的目的地連接埠

NSX Data Center for vSphere API:snatMatchDestinationPort

NSX-T API:Service

NAT 規則:規則識別碼

NSX Data Center for vSphere API:ruleID

NSX-T API:id 和 display_name

L2VPN

NSX-v 組態

支援

詳細資料

使用預先共用的金鑰 (PSK) 根據 IPSec 的 L2VPN 組態

如果正透過 L2VPN 延伸的網路是覆疊邏輯交換器,則支援。不支援 VLAN 網路。

使用憑證式驗證根據 IPSec 的 L2VPN 組態

根據 SSL 的 L2VPN 組態

使用本機出口最佳化的 L2VPN 組態

L2VPN 用戶端模式

L3VPN

NSX-v 組態

支援

詳細資料

無作用對等偵測

無作用對等偵測在 NSX Data Center for vSphereNSX-T 上支援不同的選項。您可能會考慮使用 BGP 以獲得更快的聚合,或設定對等以執行 DPD (若支援)。

以下無作用對等偵測 (DPD) 預設值已變更:

  • dpdtimeout

  • dpdaction

NSX-T 中,dpdaction 設為「重新啟動」,且無法變更。

如果 dpdtimeout 的 NSX Data Center for vSphere 設定設為 0,則 dpd 會在 NSX-T 中停用。否則會忽略任何 dpdtimeout 設定,並且使用預設值。

以下無作用對等偵測 (DPD) 預設值已變更:

  • dpddelay

NSX Data Center for vSphere dpdelay 與 NSX-T dpdinternal 對應。

兩個或多個工作階段重疊的本機和對等子網路。

NSX Data Center for vSphere 支援以原則為基礎的 IPSec VPN 工作階段,其中兩個或更多個工作階段的本機和對等子網路互相重疊。NSX-T 不支援此行為。您必須重新設定子網路,以便在開始移轉之前不會重疊。如果此組態問題未解決,則 [移轉組態] 步驟會失敗。

對等端點設定為任何的 IPSec 工作階段。

不會移轉組態。

對延伸 securelocaltrafficbyip 變更。

NSX-T 服務路由器沒有需要透過通道傳送的任何本機產生流量。

對這些延伸的變更:

auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries

NSX-T 上不支援這些延伸,因此不會移轉對它們的變更。

負載平衡器

NSX-v 組態

支援

詳細資料

以下項目的監控/健全狀況檢查:

  • LDAP

  • DNS

  • MSSQL

如果設定了不支援的監控,則會忽略該監控,並且不會對相關聯的集區設定任何監控。您可以在完成移轉之後將其連結至新的監控。

應用程式規則

NSX Data Center for vSphere 使用根據 HAProxy 的應用程式規則來支援 L7。在 NSX-T 中,規則會以 NGINX 為基礎。您無法移轉應用程式規則。您必須在移轉後建立新規則。

L7 虛擬伺服器連接埠範圍

IPv6

如果在虛擬伺服器中使用 IPv6,則會忽略整個虛擬伺服器。

如果集區中使用 IPv6,則仍會移轉集區,但會移除相關的集區成員。

URL、URI、HTTPHEADER 演算法

如果在集區中使用,則不會移轉集區。

隔離的集區

不會移轉集區。

具有不同監視器連接埠的 LB 集區成員

不會移轉具有不同監視器連接埠的集區成員。

集區成員 minConn

不會移轉組態。

監控延伸

不會移轉組態。

SSL 工作階段識別碼持續性/資料表

不會移轉組態,且相關聯的虛擬伺服器沒有持續性設定。

MSRDP 持續性/工作階段資料表

不會移轉組態,且相關聯的虛擬伺服器沒有持續性設定。

Cookie 應用程式工作階段/工作階段資料表

不會移轉組態,且相關聯的虛擬伺服器沒有持續性設定。

應用程式持續性

不會移轉組態,且相關聯的虛擬伺服器沒有持續性設定。

監控對象:

  • 明確逸出

  • 結束

  • 延遲

監控對象:

  • 傳送

  • 預期

  • 逾時

  • 時間間隔

  • maxRetries

HAproxy 調整/IPVS 調整

集區 IP 篩選器

  • IPv4 位址

支援 IPv4 IP 位址。

如果使用「任何」,則僅會移轉 IP 集區的 IPv4 位址。

集區 IP 篩選器

  • IPv6 位址

包含不支援群組物件的集區:

  • 叢集

  • 資料中心

  • 分散式連接埠群組

  • MAC 集合

  • 虛擬應用程式

如果集區包含不支援的群組物件,則會忽略這些物件,並使用支援的群組物件成員來建立集區。如果沒有支援的群組物件成員,則會建立空白的集區。

DHCP 和 DNS

表 1. DHCP 組態拓撲

NSX-v 組態

支援

詳細資料

分散式邏輯路由器上設定的 DHCP 轉送指向直接連線的 Edge 服務閘道上設定的 DHCP 伺服器

DHCP 轉送伺服器 IP 必須是其中一個 Edge 服務閘道的內部介面 IP。

必須在直接連線至設定了 DHCP 轉送的分散式邏輯路由器的 Edge 服務閘道上所設定的 DHCP 伺服器。

不支援使用 DNAT 來轉譯不符合 Edge 服務閘道內部介面的 DHCP 轉送 IP。

僅分散式邏輯路由器上設定了 DHCP 轉送,連線的 Edge 服務閘道上無 DHCP 伺服器組態

僅 Edge 服務閘道上設定了 DHCP 伺服器,連線的分散式邏輯路由器上無 DHCP 轉送組態

表 2. DHCP 功能

NSX-v 組態

支援

詳細資料

IP 集區

靜態繫結

DHCP 租用

一般 DHCP 選項

已停用 DHCP 服務

NSX-T 中,您無法停用 DHCP 服務。如果 NSX Data Center for vSphere 上有已停用的 DHCP 服務,則不會將它移轉。

DHCP 選項:「其他」

不支援移轉 DHCP 選項中的「其他」欄位。

例如,不會移轉 DHCP 選項「80」。

<dhcpOptions>
  <other>
    <code>80</code>
    <value>2f766172</value> 
  </other>
</dhcpOptions>  

孤立的 IP 集區/繫結

如果已在 DHCP 伺服器上設定 IP 集區或靜態繫結,但未由任何已連線的邏輯交換器使用,則會略過這些物件的移轉。

在 Edge 服務閘道上設定、具有直接連線邏輯交換器的 DHCP

在移轉期間,直接連線的 Edge 服務閘道介面會移轉為集中式的服務連接埠。但是,在集中式服務連接埠上 NSX-T 不支援 DHCP 服務,使得系統不會移轉這些介面的 DHCP 服務組態。

表 3. DNS 功能

NSX-v 組態

支援

詳細資料

DNS 視圖

只會將第一個 dnsView 移轉至 NSX-T 預設 DNS 轉寄站區域。

DNS 組態

您必須為所有 Edge 節點提供可用的 DNS 接聽程式 IP。解決組態期間會顯示一則訊息,以提示輸入此資訊。

DNS - L3 VPN

您必須將新設定的 NSX-T DNS 接聽程式 IP 新增至遠端 L3 VPN 首碼清單。解決組態期間會顯示一則訊息,以提示輸入此資訊。

在 Edge 服務閘道上設定、具有直接連線邏輯交換器的 DNS

在移轉期間,直接連線的 Edge 服務閘道介面會移轉為集中式的服務連接埠。但是,在集中式服務連接埠上 NSX-T 不支援 DNS 服務,使得系統不會移轉這些介面的 DNS 服務組態。

分散式防火牆 (DFW)

NSX-v 組態

支援

詳細資料

以身分識別為基礎的防火牆

區段 -

  • 名稱

  • 說明

  • TCP 嚴格

  • 無狀態防火牆

如果防火牆區段有 1000 個以上的規則,移轉程式將以多個區段移轉規則,每個區段 1000 個規則。

通用區段

(NSX-T 3.1) 否

(NSX-T 3.1.1 及更新版本) 如果 NSX-v 部署有處於主要模式的 NSX Manager,但沒有次要 NSX Manager,則為是。

規則 - 來源/目的地:

  • IP 位址/範圍/CIDR

  • 邏輯連接埠

  • 邏輯交換器

規則 - 來源/目的地:

  • 虛擬機器

  • 邏輯連接埠

  • 安全群組/IP 集合/MAC 集合

與安全群組對應

規則 - 來源/目的地:

  • 叢集

  • 資料中心

  • DVPG

  • vSS

  • 主機

規則 - 來源/目的地:

  • 通用邏輯交換器

(NSX-T 3.1) 否

(NSX-T 3.1.1 及更新版本) 如果 NSX-v 部署有處於主要模式的 NSX Manager,但沒有次要 NSX Manager,則為是。

規則 - 套用至:

  • 任何

對應至分散式防火牆

規則 - 套用至:

  • 安全群組

  • 邏輯連接埠

  • 邏輯交換器

  • 虛擬機器

與安全群組對應

規則 - 套用至:

  • 叢集

  • 資料中心

  • DVPG

  • vSS

  • 主機

規則 - 套用至:

  • 通用邏輯交換器

(NSX-T 3.1) 否

(NSX-T 3.1.1 及更新版本) 如果 NSX-v 部署有處於主要模式的 NSX Manager,但沒有次要 NSX Manager,則為是。

分散式防火牆中的規則已停用

在叢集層級上停用分散式防火牆

NSX-T 上啟用分散式防火牆時,它會在所有叢集上啟用。無法在部分叢集上啟用但在其他叢集上停用。

分散式防火牆排除清單 不會移轉 DFW 排除清單。在移轉之後,您需要在 NSX-T 上重新建立這些清單。

附註:在移轉 DFW 規則時,請務必同時移轉規則參考的物件。如果規則參考的物件不是 NSX-T 網路的一部分,則 NSX-T 無法套用規則。

合作夥伴服務:東西向網路自我檢查

NSX-v 組態 支援 詳細資料

服務

不會移轉服務登錄。合作夥伴必須在移轉之前,向 NSX-T 登錄該服務。

廠商範本

不會移轉廠商範本。合作夥伴必須在移轉之前,向 NSX-T 登錄廠商範本。

服務設定檔

不會移轉服務設定檔。您或合作夥伴必須在移轉之前建立服務設定檔。

在移轉的解決組態步驟中,移轉協調器會提示您將每個 NSX for vSphere 服務設定檔對應至 NSX-T 服務設定檔。如果略過服務設定檔的對應,則不會移轉使用這些服務設定檔的規則。

NSX for vSphere 中,移轉協調器會在 NSX-T 中為每個服務設定檔建立服務鏈結。

將使用下列命名慣例建立服務鏈結:

Service-Chain-service_profile_name

服務鏈結的正向路徑和反向路徑中使用了相同的服務設定檔。

服務執行個體

不會移轉合作夥伴服務虛擬機器 (SVM)。無法在 NSX-T 中使用 NSX for vSphere 合作夥伴 SVM。

對於 NSX-T 中的東西向網路自我檢查服務,必須在覆疊區段上部署合作夥伴服務虛擬機器。

區段
  • 名稱
  • 識別碼
  • 說明
  • TCP 嚴格
  • 無狀態防火牆

區段會對應至重新導向原則。

識別碼是由使用者定義,而非在 NSX-T 中自動產生。

如果 NSX for vSphere 中的防火牆區段有 1000 個以上的規則,移轉協調器將以多個區段移轉規則,每個區段 1000 個規則。

例如,如果一個區段包含 2500 個規則,則移轉協調器會建立三個原則:原則 1 (具有 1000 個規則)、原則 2 (具有 1000 個規則) 和原則 3 (具有 500 個規則)。

NSX for vSphere 中可設定狀態或無狀態的防火牆規則會在 NSX-T 中移轉為可設定狀態或無狀態的重新導向規則。

合作夥伴服務:規則

名稱

規則識別碼

規則識別碼是由系統產生。它可以與 NSX for vSphere 中的規則識別碼不同。

否定來源

否定目的地

來源/目的地
  • 虛擬機器
  • 安全群組
  • IP 集合
  • vNIC

服務/服務群組

如需詳細資料,請參閱服務和服務群組資料表。
進階設定
  • 方向
  • 封包類型
  • 規則標籤
  • 註解
  • 記錄

服務設定檔和動作
  • 服務名稱
  • 服務設定檔
  • 動作
  • 服務設定檔繫結

一個服務設定檔繫結可以有分散式虛擬連接埠群組 (DVPG)、邏輯交換器和安全群組作為其成員。NSX for vSphere 中的服務設定檔繫結會對應至 NSX-T 中重新導向規則的 [套用至] 欄位。[套用至] 欄位僅接受群組,而此欄位會決定規則的範圍。

NSX-T 中,規則重新導向處於原則層級。重新導向原則中的所有規則都具有相同範圍 (套用至)。

NSX-T 重新導向規則中的 [套用至] 欄位最多可以有 128 個成員。如果服務設定檔繫結中的成員數目超過 128 個,則應在開始移轉之前,將其減少至 <= 128。

例如,假設服務設定檔繫結具有 140 個成員 (安全群組)。開始移轉之前,請在 NSX for vSphere 中執行下列步驟:
  1. 建立虛設的安全群組。
  2. 將 13 個安全群組移至此虛設安全群組。換句話說,虛設安全群組有 13 個成員。
  3. 從服務設定檔移除這 13 個安全群組的繫結。現在,服務設定檔繫結中會有 127 個成員 (140-13)。
  4. 將虛設安全群組新增至服務設定檔繫結。

現在,服務設定檔繫結中的成員總數為 128 個 (127 + 1),且它會在移轉協調器的上限內。

啟用/停用規則

服務區段
移轉協調器會在您於移轉的解決組態步驟所選取的覆疊傳輸區域中建立服務區段。在 NSX for vSphere 環境中,如果 VXLAN 傳輸區域並非使用 NSX for vSphere 備妥,則移轉協調器會提供您在 NSX-T 中選取預設覆疊傳輸區域的選項,以建立服務區段。如果一或多個 VXLAN 傳輸區域是使用 NSX for vSphere 備妥,則必須選取任一個覆疊傳輸區域,才能在 NSX-T 中建立服務區段。
服務設定檔優先順序
NSX for vSphere 中,服務設定檔具有優先順序。如果服務有多個服務設定檔,且多個設定檔繫結至相同的 vNIC,則系統會先將優先順序較高的服務設定檔套用至 vNIC。但是,在 NSX-T 中,服務設定檔沒有優先順序。當多個重新導向規則具有相同的 [套用至] 設定時,規則順序會決定要先叫用的規則。換句話說,移轉協調器會將具有較高設定檔優先順序的規則放置在 NSX-T 規則資料表中具有較低設定檔優先順序的規則之前。如需詳細範例,請參閱 NSX-T Data Center 中已移轉網路自我檢查規則的順序中的案例 2。
服務優先順序

為了將流量重新導向至多個服務,NSX for vSphere 會在服務插入資料路徑中使用多個 DVFilter 插槽。一個 DVFilter 插槽用於將流量重新導向至一個服務。相較於具有低優先順序的服務,具有高優先順序的服務會放置在插槽中較高的位置。在 NSX-T 中,僅會使用單一 DVFilter 插槽,而它會將流量重新導向至服務鏈結。在移轉至 NSX-T 後,使用具有優先順序較高的合作夥伴服務的規則,會放置在具有優先順序較低之合作夥伴服務的規則之前。如需詳細範例,請參閱NSX-T Data Center 中已移轉網路自我檢查規則的順序中的案例 3。

移轉協調器不支援將 vNIC 上的流量重新導向至多個合作夥伴服務。僅支援重新導向至單一合作夥伴服務。雖然所有 NSX for vSphere 規則都會移轉至 NSX-T,但已移轉的規則組態僅會使用具有一個服務設定檔的服務鏈結。您無法修改重新導向規則中使用的現有服務鏈結。

因應措施:若要將 vNIC 上的流量重新導向至多個服務,請建立新的服務鏈結並定義服務鏈結中服務設定檔的順序。更新已移轉的規則,以使用此新的服務鏈結。

連線至虛擬機器網路之虛擬機器上的網路自我檢查服務
NSX-v 環境中,如果網路自我檢查服務規則在連線至虛擬機器網路的虛擬機器上執行,則這些虛擬機器將在主機移轉後遺失安全性保護。若要確保在主機移轉後會在這些虛擬機器的 vNIC 上強制執行網路自我檢查規則,您必須將這些虛擬機器連線至 NSX-T 區段。

群組物件和 Service Composer

IP 集合和 MAC 集合移轉至 NSX-T Data Center 做為群組。請參閱 NSX-T Manager Web 介面中的詳細目錄 > 群組

表 4. IP 集合和 MAC 集合

NSX-v 組態

支援

詳細資料

IP 集合

可以移轉具有最多 200 萬個成員 (IP 位址、IP 位址子網路、IP 範圍) 的 IP 集合。不會移轉具有更多個成員的 IP 集合。

Mac 集合

可以移轉具有最多 200 萬個成員的 MAC 集合。不會移轉具有更多個成員的 MAC 集合。

移轉支援安全群組具有下列限制。安全群組會移轉至 NSX-T Data Center 做為群組。請參閱 NSX-T Manager Web 介面中的詳細目錄 > 群組

NSX Data Center for vSphere 具有系統定義和使用者定義的安全群組。這些全都會移轉至 NSX-T 做為使用者定義的群組。

移轉後的「群組」總數可能不等於 NSX-v 上的安全群組數目。例如,包含虛擬機器做為來源的分散式防火牆規則,會移轉至包含新群組與虛擬機器做為其成員的規則。如此會增加移轉後 NSX-T 上的群組總數。

表 5. 安全群組

NSX-v 組態

支援

詳細資料

具有不存在成員的安全群組

如果安全群組的任何成員不存在,將不會移轉安全群組。

所含安全群組具有不受支援成員的安全群組

如果安全群組的任何成員不支援進行移轉,將不會移轉該安全群組。

如果安全群組包含的安全群組具有不受支援的成員,則不會移轉其父系安全群組。

排除安全群組中的成員資格

不會移轉具有直接或間接 (透過巢狀) 排除成員的安全群組

安全群組靜態成員資格

安全群組可包含最多 500 個靜態成員。不過,如果在分散式防火牆規則中使用安全群組,則系統產生的靜態成員會增加,因而將有效限制降低為 499 或 498。

  • 如果在第 2 層或第 3 層規則中使用安全群組,則會將一個系統產生的靜態成員增加至安全群組。

  • 如果同時在第 2 層和第 3 層規則中使用安全群組,則會增加兩個系統產生的靜態成員。

如果在解決組態步驟期間有任何成員不存在,則不會移轉該安全群組。

安全群組成員類型 (靜態或實體屬於):

  • 叢集

  • 資料中心

  • 目錄群組

  • 分散式連接埠群組

  • 舊版連接埠群組/網路

  • 資源集區

  • vApp

如果安全群組包含不受支援的成員類型,則不會移轉安全群組。

安全群組成員類型 (靜態或實體屬於):

  • 安全群組

  • IP 集合

  • MAC 集合

安全群組、IP 集合和 MAC 集合移轉至 NSX-T 做為群組。如果 NSX for vSphere 安全群組包含 IP 集合、MAC 集合或巢狀安全群組做為靜態成員,則會將對應的群組新增至父系群組。

如果其中一個靜態成員未移轉至 NSX-T,則不會將父系安全群組移轉至 NSX-T

例如,您無法將具有超過 200 萬個成員的 IP 集合移轉至 NSX-T。因此,無法移轉包含的 IP 集合具有超過 200 萬個成員的安全群組。

安全群組成員類型 (靜態或實體屬於):

  • 邏輯交換器 (虛擬連線)

如果安全群組包含未移轉至 NSX-T 區段的邏輯交換器,則不會將安全群組移轉至 NSX-T

安全群組成員類型 (靜態或實體屬於):

  • 安全性標籤

如果使用「實體屬於」將安全性標籤新增至安全群組做為靜態成員或動態成員,要移轉的安全群組的安全性標籤必須存在。

如果將安全性標籤新增至安全群組做為動態成員 (未使用「實體屬於」),則不會在移轉安全群組前對存在的安全性標籤進行檢查。

安全群組成員類型 (靜態或實體屬於):

  • vNIC

  • 虛擬機器

  • vNIC 和虛擬機器會移轉為 ExternalIDExpression。

  • 安全群組移轉期間,會忽略孤立的虛擬機器 (從主機刪除的虛擬機器)。

  • 一旦 NSX-T 上出現群組,在一段時間後,虛擬機器和 vNIC 成員資格會更新。在此中繼期間,可能會有暫存的群組,而其暫存的群組可能會顯示為成員。但是,在主機移轉完成後,這些額外的暫存群組即不再出現。

對動態成員資格使用「符合規則運算式」運算子

這只會影響安全性標籤和虛擬機器名稱。「符合規則運算式」不可用於其他屬性。

對屬性的動態成員資格準則使用其他可用的運算子:

  • 安全性標籤

  • 虛擬機器名稱

  • 電腦名稱

  • 電腦作業系統名稱

虛擬機器名稱、電腦名稱和電腦作業系統名稱可用的運算子為包含、結尾為、等於、不等於、開頭為。

安全性標籤可用的運算子為包含、結尾為、等於、開頭為。

實體屬於準則

移轉靜態成員的相同限制適用實體屬於準則。例如,如果您的安全群組使用定義中叢集的實體屬於準則,則不會移轉該安全群組。

不會移轉包含的實體屬於準則結合 AND 的安全群組。

安全群組中的動態成員資格準則運算子 (AND、OR)

是。

定義 NSX Data Center for vSphere 安全群組的動態成員資格時,您可以設定下列項目:

  • 一或多個動態集。

  • 每個動態集可包含一或多個動態準則。例如,「虛擬機器名稱包含 Web」。

  • 您可以選擇否比對動態集內的任何或全部動態準則。

  • 您可以選擇跨動態集使用 AND 或 OR 比對。

NSX Data Center for vSphere 不會限制動態準則、動態集的數目,您可以有任何的 AND 和 OR 組合。

NSX-T Data Center 中,您可以擁有內含五個運算式的群組。不會移轉包含超過五個運算式的 NSX Data Center for vSphere 安全群組。

可以移轉的安全群組範例:

  • 使用 OR 相關的最多 5 個動態集,其中的每個動態集包含使用 AND 相關的最多 5 個動態準則 (全都在 NSX Data Center for vSphere 中)。

  • 1 個動態集,其中包含使用 OR 相關的 5 個動態準則 (全都在 NSX Data Center for vSphere 中)。

  • 1 個動態集,其中包含使用 AND 相關的 5 個動態準則 (全都在 NSX Data Center for vSphere 中)。所有成員類型都必須相同。

  • 使用 AND 相關的 5 個動態集,且每個動態集正好包含 1 個動態準則。所有成員類型都必須相同。

不支援使用「實體屬於」準則搭配 AND 運算子。

對於包含不受支援案例的安全群組,不會移轉所有其他組合或定義。

NSX Data Center for vSphere 中,安全性標籤是可套用至虛擬機器的物件。移轉至 NSX-T 時,安全性標籤是虛擬機器的屬性。

表 6. 安全性標籤

NSX-v 組態

支援

詳細資料

安全性標籤

如果虛擬機器套用了 25 個或更少的安全性標籤,即支援安全性標籤的移轉。如果套用了 25 個以上的安全性標籤,則不會移轉任何標籤。

附註:如果未移轉安全性標籤,則不會在標籤成員資格定義的任何群組中包含虛擬機器。

服務和服務群組會移轉至 NSX-T Data Center 做為服務。請參閱 NSX-T Manager Web 介面中的詳細目錄 > 服務

表 7. 服務和服務群組

NSX-v 組態

支援

詳細資料

服務和服務群組 (應用程式和應用程式群組)

大多數預設服務和服務群組會對應至 NSX-T 服務。如果任何服務或服務群組未出現在 NSX-T 中,即會在 NSX-T 中建立新服務。

APP_ALL 和 APP_POP2 服務群組

不會移轉這些系統定義的服務群組。

具有名稱衝突的服務和服務群組

如果在 NSX-T 中發現已修改的服務或服務群組的名稱衝突,則會在 NSX-T 中建立新的服務,其名稱為此格式:從 NSX-v 移轉的 <NSXv-Application-Name>

結合第 2 層服務與其他層中服務的服務群組

空白的服務群組

NSX-T 不支援空白的服務。

第 2 層服務

NSX Data Center for vSphere 第 2 層服務移轉做為 NSX-T 服務項目 EtherTypeServiceEntry。

第 3 層服務

根據通訊協定,NSX Data Center for vSphere 第 3 層服務會以如下方式移轉至 NSX-T 服務項目:

  • TCP/UDP 通訊協定:L4PortSetServiceEntry

  • ICMP/IPV6ICMP 通訊協定:

ICMPTypeServiceEntry

  • IGMP 通訊協定:IGMPTypeServiceEntry

  • 其他通訊協定:IPProtocolServiceEntry

第 4 層服務

移轉做為 NSX-T 服務項目 ALGTypeServiceEntry。

第 7 層服務

移轉做為 NSX-T 服務項目 PolicyContextProfile

如果 NSX Data Center for vSphere 第 7 層應用程式已定義連接埠和通訊協定,則會在 NSX-T 中使用適當連接埠和通訊協定組態建立服務,並將該服務對應至 PolicyContextProfile。

第 7 層服務群組

包含連接埠和通訊協定的分散式防火牆、Edge 防火牆或 NAT 規則

NSX-T 需要服務才能建立這些規則。如果存在適當的服務,即會使用該服務。如果不存在適當的服務,則會使用規則中指定的連接埠和通訊協定來建立服務。

表 8. Service Composer

NSX-v 組態

支援

詳細資料

Service Composer 安全性原則

安全性原則中定義的防火牆規則會移轉至 NSX-T 做為分散式防火牆規則。

不會移轉 Service Composer 安全性原則中定義的已停用防火牆規則。

將會移轉 Service Composer 安全性原則中定義的 Guest Introspection 規則或網路自我檢查規則。

如果 Service Composer 狀態未同步,則解決組態步驟會顯示警告。

您可以略過相關的分散式防火牆區段來略過 Service Composer 原則的移轉。或者,您可以取消移轉,讓 Service Composer 與分散式防火牆同步,並重新啟動移轉。

Service Composer 安全性原則未套用至任何安全群組

Active Directory 伺服器組態

組態

支援

詳細資料

Active Directory (AD) 伺服器