如果您打算移轉身分識別防火牆 (IDFW),則需要準備 NSX-T 環境。

在移轉之前,請確定符合下列需求:
  • 已在 NSX-T 中登錄在 NSX-V 中登錄的 Active Directory (AD) 網域。
  • 已在 NSX-T 中登錄在 NSX-V 中登錄的 LDAP 伺服器。
  • 已在 NSX-T 中登錄在 NSX-V 中登錄的事件記錄伺服器。
  • 已在 NSX-T 中成功完成對每個新登錄的 AD 網域的完整同步。
  • NSX-T 支援 NSX-V 中的 IDFW 環境。如需詳細資訊,請參閱《NSX-T Data Center 管理指南》中的〈身分識別防火牆支援的組態〉主題。
請注意下列事項:
  • 在移轉期間,不允許新使用者登入。
  • NSX-T 中不支援 NSX-V 中的某些 IDFW 規則。因此,無法將這些規則移轉至 NSX-T。您必須略過或變更這些規則才能繼續移轉。
  • 對於 IP 型 IDFW 連線,使用者必須在移轉後重新登入才能使 IDFW 正常運作。如果您要在移轉期間保留這些使用者的 IDFW 連線,則必須手動為這些使用者建立陰影防火牆規則。
  • 對於 SID 型 IDFW 連線,使用者不需要重新登入,IDFW 即可正常運作。
  • NSX-T 中,可以在全域層級和叢集層級設定 IDFW。由於 NSX-V 不支援叢集層級的 IDFW,因此在移轉後,將在 NSX-T 中為所有叢集啟用 IDFW。
  • 如果其他移轉作業未取消部署 Guest Introspection (GI),則在移轉後,必須手動在 NSX-V 中取消部署 GI。

建立和刪除陰影防火牆規則

若要建立陰影防火牆規則,請在匯入組態後,在 NSX-T 中執行以下動作:
  1. 為目錄群組建立 IP 集合。
  2. 將 IP 集合新增至目錄群組所屬的相同 NSGroup。
  3. 尋找使用者登入虛擬機器的 IP 位址。
  4. 將 IP 位址新增至 IP 集合。
移轉虛擬機器並從虛擬機器中登出使用者後,請執行以下動作:
  1. 從 IP 集合中移除 IP 位址。
  2. 從 IP 集合中移除所有 IP 位址後,從 NSGroup 中移除該 IP 集合並刪除該 IP 集合。