如果您計劃移轉身分識別防火牆 (IDFW),則需要進行一些準備工作。
在移轉之前,請確定符合下列需求:
- 已在 NSX 中登錄在 NSX-V 中登錄的 Active Directory (AD) 網域。
- 已在 NSX 中登錄在 NSX-V 中登錄的 LDAP 伺服器。
- 已在 NSX 中登錄在 NSX-V 中登錄的事件記錄伺服器。
- 已在 NSX 中成功完成對每個新登錄的 AD 網域的完整同步。
- NSX 支援 NSX-V 中的 IDFW 環境。如需詳細資訊,請參閱《NSX 管理指南》中的身分識別防火牆支援的組態主題。
請注意下列事項:
- 在移轉期間,不允許新使用者登入。
- NSX 不支援 NSX-V 中的某些 IDFW 規則。無法將這些規則移轉至 NSX。您必須略過或變更這些規則才能繼續移轉。
- 對於 IP 型 IDFW 連線,使用者必須在移轉後重新登入才能使 IDFW 正常運作。如果您要在移轉期間保留這些使用者的 IDFW 連線,則必須手動為這些使用者建立陰影防火牆規則。
- 對於 SID 型 IDFW 連線,使用者不需要重新登入,IDFW 即可正常運作。
- 在 NSX 中,可以在全域層級和叢集層級設定 IDFW。由於 NSX-V 不支援叢集層級的 IDFW,因此在移轉後,將在 NSX 中為所有叢集啟用 IDFW。
- 如果其他移轉作業未取消部署 Guest Introspection (GI),則在移轉後,必須手動在 NSX-V 中取消部署 GI。
建立和刪除陰影防火牆規則
若要建立陰影防火牆規則,請在匯入組態後,在
NSX 中執行以下動作:
- 為目錄群組建立 IP 集合。
- 將 IP 集合新增至目錄群組所屬的相同 NSGroup。
- 尋找使用者登入虛擬機器的 IP 位址。
- 將 IP 位址新增至 IP 集合。
移轉虛擬機器並從虛擬機器中登出使用者後,請執行以下動作:
- 從 IP 集合中移除 IP 位址。
- 從 IP 集合中移除所有 IP 位址後,從 NSGroup 中移除該 IP 集合並刪除該 IP 集合。