您必须检查 NSX-v 环境并解决发现的任何问题。此外,根据您的环境,可能还需要更改 NSX-v 配置,才能迁移到 NSX-T

系统状态

检查以下系统状态:

  • 如果您的环境是 vSphere 7.0 或更高版本,请将 VDS 升级到 7.0 或更高版本。
  • 确认 NSX-v 组件在 NSX 仪表板上处于绿色状态。
  • 确认所有 ESXi 主机都处于运行状态。解决主机的任何问题,包括断开连接状态。必须没有挂起的重新引导或挂起的任务才可进入维护模式。
  • 确认没有正在进行 NSX-v 升级。
  • 验证分布式防火墙和服务编排的发布状态以确保不存在未发布的更改。
  • 如果 NSX-v 环境具有 VDS 7.0 或更高版本,您可以启用 vSphere High Availability (HA)。

    注意:以前版本的 VDS 不支持 HA。这是因为如果 NSX-v 环境具有 VDS 6.5 或 6.7,并且 VMKernel 端口 (VMK) 连接到 VDS,在就地迁移期间,主机和虚拟机可能断开网络连接足够长的时间以触发 HA。HA 机制将尝试关闭虚拟机电源,迁移虚拟机,然后重新启动虚拟机。这可能会失败,因为正在将 NSX-v 环境迁移到 NSX-T。因此,在迁移后,虚拟机可能会保持关闭电源状态,或者在打开了电源的情况下没有网络连接。为了避免出现这种情况,请在开始迁移之前禁用 HA 或将管理 VMK 连接到 VSS。

常规配置

  • 备份 NSX-vvSphere 环境。请参见《NSX 管理指南》中的“NSX 备份和还原”。
  • VXLAN 端口必须设置为 4789。如果 NSX-v 环境使用不同的端口,必须对其进行更改才能执行迁移。请参见 《NSX 管理指南》中的在 NSX-v 中“更改 VXLAN 端口”。

控制器配置

  • 迁移协调器不支持使用多播或混合复制模式的 NSX-v 传输区域。如果正在使用 VXLAN,则需要使用 NSX Controller 集群。支持 VLAN 的微分段拓扑不使用 VXLAN,因此,不需要使用 NSX Controller 集群。

主机配置

  • NSX-v 环境中的所有主机集群上,检查以下设置,并根据需要进行更新:
    • 相应地设置 vSphere DRS。

      如果以下条件之一适用,请禁用 vSphere DRS:

      • 将使用就地迁移模式。在该模式下,不会在迁移期间将主机置于维护模式,并且虚拟机将在迁移期间出现网络中断和网络存储中断。只有在环境为 vSphere 6.x 时,才能使用该模式(VDS 将迁移到 N-VDS)。
      • 将使用手动维护迁移模式。如果您决定使用 vMotion 迁移虚拟机,您可以禁用 vSphere DRS,或者将 vSphere DRS 自动化级别设置为“手动”、“半自动”或“全自动”。
      • 将使用自动维护迁移模式进行迁移,并且 vCenter Server 版本为 6.5 或 6.7 的情况。

      在以下情况下,将 vSphere DRS 模式设置“完全自动化”:

      • 将使用自动维护迁移模式进行迁移,并且 vCenter Server 版本为 7.0。

      请注意,在自动维护模式下,迁移协调器不会重新配置已关闭电源的虚拟机。迁移后,您需要先手动配置这些虚拟机,然后再打开这些虚拟机的电源。

    • 将分布式防火墙筛选器的导出版本设置为 1000。请参见配置主机上分布式防火墙筛选器的导出版本
  • 要迁移网络侦测服务规则,请使用维护主机迁移模式。不支持就地迁移模式。
  • 如果某些主机安装了 NSX-v,但未添加到 vSphere Distributed Switch,则必须将其添加到分布式交换机才能将其迁移到 NSX-T。有关详细信息,请参见配置未连接到 vSphere Distributed Switch 的主机
  • 在安装有 NSX-v 的每个集群上,检查是否已启用分布式防火墙。可以在安装和升级 > 主机准备中查看已启用状态。

    如果迁移之前在所有 NSX-v 集群上都启用了分布式防火墙,则迁移到 NSX-T 后会在所有集群上启用分布式防火墙。确定在所有集群上启用分布式防火墙带来的影响,并根据需要更改分布式防火墙配置。

Edge 服务网关配置

  • 在迁移开始之前,您可能需要对 NSX-v 路由重新分发配置进行更改。
    • 不会迁移在重新分发级别配置的前缀筛选器。在 Edge 服务网关的 BGP 邻居配置中将所需的任何筛选器添加为 BGP 筛选器。
    • 迁移后,将分布式逻辑路由器和 Edge 服务网关之间的动态学习路由转换为静态路由,并将所有静态路由重新分发到 BGP。如果需要筛选任何这些路由,请在开始迁移之前,先将 BGP 邻居筛选器配置为拒绝这些前缀,但允许其他前缀。
  • NSX-v 支持基于策略的 IPSec VPN 会话,即两个或多个会话的本地和对等子网相互重叠。NSX-T 不支持此行为。开始迁移之前,必须重新配置子网,使它们不重叠。如果未解决该配置问题,迁移配置步骤将会失败。
  • 如果有执行单臂负载均衡器功能的 Edge 服务网关,则必须在导入配置之前更改以下配置(如果存在):
    • 如果 Edge 服务网关配置了管理接口,您必须在迁移之前将其删除。您只能在 Edge 服务网关上具有一个连接的接口,从而提供单臂负载均衡器功能。如果它具有多个接口,迁移配置步骤将会失败。
    • 如果 Edge 服务网关防火墙处于禁用状态,且默认规则设置为拒绝,则必须启用该防火墙并将默认规则更改为接受。迁移后,该防火墙在 Tier-1 网关上处于启用状态,且默认规则接受生效。迁移之前将默认规则更改为接受可防止负载均衡器的入站流量受阻。
  • 确认 Edge 服务网关全部正确连接到正在迁移的拓扑。如果 Edge 服务网关是 NSX-v 环境的一部分,但未正确连接到环境的其余部分,则不会将其迁移。
    例如,如果某 Edge 服务网关配置为单臂负载均衡器,但具有以下配置之一,则不会将其迁移:
    • 此 Edge 服务网关没有连接到逻辑交换机的上行链路接口。
    • 此 Edge 服务网关具有连接到逻辑交换机的上行链路接口,但上行链路 IP 地址与连接到逻辑交换机的分布式逻辑路由器相关联的子网不匹配。

安全配置

  • 如果您打算在迁移期间使用 vMotion 移动虚拟机,请在 NSX Data Center for vSphere 中禁用所有 SpoofGuard 策略以防止数据包丢失。
    • 自动化维护模式在迁移期间使用 DRS 和 vMotion 移动虚拟机。
    • 在手动维护模式下,您可以在迁移期间选择使用 vMotion 移动虚拟机。
    • 就地迁移模式不使用 vMotion。

安全组配置

如果现有安全策略包含的客户机侦测服务规则已应用于具有静态虚拟机成员或非虚拟机动态成员的安全组,请执行以下步骤:
  1. 仅在动态成员资格条件中创建具有虚拟机的新安全组。确保动态成员资格条件生成与原始安全组同样有效的虚拟机成员。
  2. 在运行迁移协调器之前,更新现有安全策略,以将新的安全组应用于客户机侦测服务规则。

    如果您不希望在迁移之前更新现有安全策略,仍然可以在 NSX-v 环境中使用正确的动态成员资格条件保持新安全组为就绪状态。在迁移过程的解决配置步骤中,当迁移协调器显示警告消息,并提示您提供备用安全组时,请选择新的安全组并继续执行迁移。

服务编排同步

在启动迁移协调器之前,请确保服务编排与分布式防火墙保持同步。手动同步确保如果在开始迁移之前在策略配置中进行了任何最后更改,这些更改也会应用于使用服务编排创建的安全策略。例如,您在开始迁移之前编辑防火墙规则中使用的安全组的名称。

要验证服务编排状态是否为“已同步”,请执行以下步骤:
  1. vSphere Client 中,导航到网络和安全 > 安全 > 服务编排
  2. 单击安全策略选项卡。
  3. 验证同步状态是否为已同步。如果不是“已同步”,请单击同步

作为首选的做法,即使同步状态为绿色,也要在启动迁移协调器之前始终单击同步按钮。无论您是否在策略配置中进行了任何最后更改,都要执行该手动同步。

在迁移期间,如果服务编排状态为“不同步”,“解决配置”步骤将显示警告。您可以跳过相关的分布式防火墙区域,从而跳过迁移使用服务编排创建的安全策略。或者,您也可以取消迁移,将服务编排与分布式防火墙同步,然后重新启动迁移。