如果未在任何 DFW 规则中配置“应用对象”(这意味着将“应用对象”设置为“DFW”),则可以使用 vSphere Client 迁移工作负载虚拟机。否则,必须使用脚本迁移此类虚拟机。

注: 仅在以下情况下使用此过程。有关详细信息,请参见 Migrating Distributed Firewall Configuration
  • 如果在所有规则中均将“应用对象”设置为“DFW”,且有规则使用基于安全标记并具有动态成员资格的安全组或使用具有静态成员资格的安全组。
  • 如果在任何规则中将“应用对象”设置为通用安全组或通用逻辑交换机,且有规则使用基于安全标记并具有动态成员资格的安全组或使用具有静态成员资格的安全组。
  • 如果在任何规则中将“应用对象”设置为通用安全组或通用逻辑交换机,且所有规则均为基于 IP 的规则。

前提条件

  • 将默认网关切换到 NSX-T Data Center
  • 请确保:
    • 在此迁移涉及的集群中的每个主机的 VMkernel 适配器上启用了 vSphere vMotion。有关在 VMkernel 适配器上启用 vMotion 的详细步骤,请参见 vSphere产品文档。
    • NSX-T Data Center 中的目标主机具有足够的资源来接收迁移的虚拟机。
    • 源主机和目标主机处于运行状态。解决主机的任何问题,包括断开连接状态。

有关 vMotion 的详细信息,请参见 vSphere 产品文档中的通过 vMotion 迁移

过程

  1. vSphere Client 中开始使用 vMotion 迁移工作负载虚拟机。有关详细说明,请参见 vSphere 产品文档中的迁移虚拟机
    注: 在通过 vMotion 从 NSX-v 迁移到 NSX-T 期间,始终保护工作负载虚拟机,因为迁移协调器将现有的 NSX-v DFW 规则和安全组转换为基于 IP 的临时规则和组。如果您的 DFW 规则包含虚拟机静态成员资格和安全标记,仅在通过 vMotion 迁移工作负载虚拟机后运行具有 post_migrate 操作的 vmgroup API 端点时,才会在 NSX-T 中应用这些设置。具有 post_migrate 操作的 vmgroup API 端点将 NSX-v DFW 规则和组转换为类似的 NSX-T 配置对象。请参见该过程中的步骤 2。
  2. 将安全标记和虚拟机静态成员资格应用于迁移的虚拟机。
    POST https://{nsxt-mgr-ip}/api/v1/migration/vmgroup?action=post_migrate
    具有 post_migrate 操作的 vmgroup API 端点会将 NSX-v 安全标记应用于 NSX-T 覆盖网络分段上已迁移的工作负载虚拟机。

    有关该 API 的示例请求正文,请参见 NSX Tech Zone 文章的直接迁移过程部分。

  3. 最终完成基础架构以完成迁移。
    POST https://{nsxt-mgr-ip}/api/v1/migration?action=finalize_infra
    此迁移 API 将删除在迁移过程中创建的任何临时对象配置,并确保 NSX-T 基础架构处于干净状态。例如,将从组中移除临时 IP 集。

    该 POST API 没有请求正文。

  4. 验证是否已将预期的配置项目迁移到 NSX-T 环境。
    例如,检查是否成功迁移以下配置:
    • 用户定义的分布式防火墙规则。
    • 所有分组对象,例如 IP 集、组、标记等。
    • 在动态组中显示有效的成员。
    • 将标记应用于迁移的工作负载虚拟机。
  5. 迁移工作负载页面上,单击完成
    将显示一个对话框,用于确认完成迁移。如果完成迁移,则清除所有迁移详细信息。无法再查看此迁移的设置。例如,在 解决配置页面上输入了哪些内容。

后续步骤

在成功迁移并完全验证工作负载虚拟机和仅 DFW 配置后,请移除第 2 层网桥以释放用于桥接的 NSX-T Edge。