您只能从 vShield App 5.5 版升级到 Distributed Firewall。如果在基础架构中具有以前版本的 vShield App,必须先升级到 5.5 版,然后再升级到 6.2.x 版。有关升级到 5.5 版的信息,请参见《vShield 安装和升级指南》5.5 版。

以下过程的持续时间取决于环境中的规则数。从 vShield App 迁移到 NSX Distributed Firewall(增强模式)时,将迁移并推送这些规则。这会导致流量中断。应在维护时段内完成该工作。

前提条件

  • vShield Manager 已升级到 NSX Manager。

  • 虚拟线路已升级到 NSX 逻辑交换机。对于非 VXLAN 用户,已安装网络虚拟化组件。

  • 如果要将 vShield App 5.5 规则迁移到 Distributed Firewall,请在升级到 Distributed Firewall 之前不要删除 vShield App 设备。

过程

  1. 在环境中为网络虚拟化组件准备所有群集后,将显示一条消息以指示已准备好升级 Firewall。

  2. 单击升级 (Upgrade)

    vShield App 5.5 规则将通过以下方式迁移到 NSX:

    1. 在中央防火墙表中为 vShield App 5.5 版中配置的每个命名空间(数据中心和虚拟线路)创建新的部分。每个部分包含相应的防火墙规则。

    2. 各个部分中的所有规则在 AppliedTo 中都具有相同的值 - 数据中心 ID 用于数据中心命名空间,虚拟线路 ID 用于虚拟线路命名空间,而端口组 ID 用于基于端口组的命名空间。

    3. 在不同命名空间级别创建的容器将移动到全局级别。

    4. 部分顺序如下所示,以确保更新后的防火墙规则保持相同:

      Section_Namespace_Portgroup-1

      ..................

      Section_Namespace_Portgroup-N

      Section_Namespace_VirtualWire-1

      ..................

      Section_Namespace_VirtualWire-N

      Section_Namespace_Datacenter_1

      ..................

      Section_Namespace_Datacenter_N

      Default_Section_DefaultRule

    完成升级后,“防火墙”列显示已启用 (Enabled)

  3. 单击主页 (Home) > 主机和群集 (Hosts and Clusters),然后导航到运行 vShield App 服务虚拟机的主机。关闭旧版 vShield App 服务虚拟机。
  4. 导航到网络和安全 (Networking & Security) > 防火墙 (Firewall),检查每个升级的部分和规则并测试其是否按预期工作。
  5. 导航到安装 (Installation) > 服务部署 (Service Deployments)选项卡,并确保已解决所有警报并且旧版 vShield App 服务状态显示成功 (Succeeded)
  6. 如果规则正常工作,请从服务部署 (Service Deployments)选项卡中选择 vShield App,然后单击删除服务部署 (Delete Service Deployment) () 以删除旧版 vShield App 服务虚拟机。

下一步做什么

将 vShield Edge 升级到 NSX Edge