vCloud Networking and Security 升级过程需要一些时间,尤其是升级 ESXi 主机时,因为此过程必须重新引导主机。您必须了解 vCloud Networking and Security 组件在升级过程中的运行状况,例如,升级部分而非全部主机时或尚未升级 NSX Edge 时的状况。

要将 vCloud Networking and Security 升级到 NSX 6.2.x,您必须按以下顺序升级 NSX 组件:

  • vShield Manager

  • 主机群集和虚拟线路

  • vShield App

  • vShield Edge

  • vShield Endpoint

VMware 建议在单个中断时段内运行升级,以尽可能缩短停机时间并避免由于某些 vCloud Networking and Security 管理功能在升级过程中无法访问而给 vCloud Networking and Security 用户带来混乱。但是,如果您的站点要求导致无法在单个中断时段内完成升级,以下信息可帮助 vCloud Networking and Security 用户了解哪些功能在升级过程中可用。

vCenter 升级

如果您正在使用 vCenter 嵌入式 SSO 并且想要将 vCenter 5.5 升级到 vCenter 6.0,则 vCenter 可能会断开与 vShield Manager 的连接。如果您已使用 root 用户名向 vShield 注册 vCenter 5.5,则会出现这种情况。从 NSX 6.2 开始,使用 root 进行 vCenter 注册的做法已弃用。要解决此问题,请使用 administrator@vsphere.local 用户名重新向 vShield 注册 vCenter,而不要使用 root。

如果您正在使用外部 SSO,则不需要进行任何更改。您可以保留相同的用户名(例如 admin@mybusiness.mydomain),而且 vCenter 不会断开连接。

vShield Manager 升级

升级过程中:

  • vShield Manager 配置受到阻止。vShield API 服务不可用。您不能对 vShield 配置进行任何更改。现有虚拟机通信将继续工作。新虚拟机置备操作可在 vSphere 中继续进行,但新虚拟机在 vShield Manager 升级过程中无法连接到 vShield 虚拟线路。

升级后:

  • 您可以进行所有 vShield 配置更改。

主机群集升级和虚拟线路

在主机群集升级期间,将在主机上安装新的 VIB。

NSX 中,虚拟线路重命名为逻辑交换机。

升级过程中:

  • 不会阻止 NSX Manager 上的配置更改。

  • 升级针对每个群集逐一执行。如果在群集上启用了 DRS,则 DRS 会管理主机的升级顺序。

当群集中的部分 NSX 主机已升级而其他主机未升级时:

  • NSX Manager 配置更改不会受到阻止。可以添加和更改逻辑网络。您可以继续在当前未进行升级的主机上置备新虚拟机。当前正在进行升级的主机将进入维护模式,因此您必须关闭虚拟机的电源或将虚拟机撤出至其他主机。您可以使用 DRS 执行此操作,也可以手动执行。

vShield App 迁移到 NSX 分布式防火墙

在主机群集升级期间,vShield App 配置将迁移到分布式防火墙。

升级过程中:

  • 在进行迁移时,现有的筛选器继续正常工作。

  • 在进行迁移时,不要添加或更改筛选器。

升级后:

  • 检查每个已迁移的部分,以确保其按预期工作。

  • 在迁移后,通过 NSX 中的“服务部署”页移除 vShield App。

vShield Edge 升级

vShield Edge 升级与主机升级不存在任何依赖关系。即使尚未升级主机,您也可以升级 vShield Edge。

小心:

如果使用的 vCloud Director 版本早于 8.10,请不要升级 NSX Edge。请参见确定是否在 vCloud Director 环境中升级 vShield Edge

升级过程中:

  • 在当前正在进行升级的 vShield Edge 设备上,配置更改会受到阻止。

  • 数据包转发将暂时中断。

  • 可以添加和更改逻辑交换机。

  • 可以继续置备新虚拟机。

升级后:

  • 配置更改不会受到阻止。任何在 NSX 升级过程中引入的新功能将不可配置,直至安装了 NSX Controller 并且所有主机群集都已升级到 NSX 6.2.x 版为止。

  • 在升级后,必须重新配置 L2 VPN。

  • 在升级后,必须重新安装 SSL VPN 客户端。

vShield Endpoint 迁移到 Guest Introspection

在 NSX 6.x 中,vShield Endpoint 重命名为 Guest Introspection。在升级 NSX Manager 后,如果导航到网络和安全 > 安装 > 服务部署,Guest Introspection 服务将显示升级链接。从 vCloud Networking and Security 升级到 NSX 时,将在启用 Guest Introspection 的群集中的每个主机上部署 Guest Introspection 虚拟设备和 Guest Introspection 主机代理。

升级过程中:

  • 在虚拟机发生变化(如添加虚拟机、执行 vMotion 或删除虚拟机)时,NSX 群集中的虚拟机将失去保护。

升级后:

  • 在添加虚拟机、执行 vMotion 或删除虚拟机期间,将保护虚拟机。