在此迁移中,迁移协调器只将分布式防火墙配置从 NSX Data Center for vSphere 迁移到 NSX-T Data Center

将迁移以下逻辑对象配置:
  • 用户定义的分布式防火墙 (DFW) 规则
  • 分组对象
    • IP 集
    • MAC 集
    • 安全组
    • 服务和服务组
    • 安全标记
  • 使用服务编排创建的安全策略(仅迁移 DFW 规则配置)

    不会迁移服务编排中的客户机侦测服务配置和网络侦测规则配置。

根据 DFW 配置,在迁移 DFW 配置后,可通过两种方法迁移工作负载虚拟机。如果未在任何 DFW 规则中配置“应用对象”(这意味着将“应用对象”设置为“DFW”),您可以使用 vSphere Client 迁移工作负载虚拟机(按照迁移工作负载虚拟机(简单用例)过程进行操作)。否则,您必须使用脚本迁移虚拟机(按照创建虚拟机组以迁移工作负载迁移工作负载虚拟机(复杂用例)过程进行操作)。

NSX-T 3.1.1 开始,支持迁移单站点 NSX for vSphere 部署,其中包含处于主模式的 NSX Manager,不包含辅助 NSX Manager 并在主站点上具有通用对象。这种单站点 NSX for vSphere 部署将迁移到仅具有本地对象的单站点 NSX-T 环境(非联合)。

有关迁移分布式防火墙配置所支持的所有配置的详细列表,请参见迁移协调器的详细功能支持

您需要实现以下迁移目标:
  • 使用迁移协调器只将现有的分布式防火墙配置从 NSX-v 迁移到 NSX-T Data Center
  • 使用第 2 层 Edge 网桥和 vSphere vMotion 将工作负载虚拟机从 NSX-v 迁移到 NSX-T

要扩展第 2 层网络,您可以使用 NSX-T 本机 Edge 网桥。

重要说明: 在使用直接迁移方法将 DFW 配置从 NSX-v 迁移到 NSX-T 时,只能运行一次迁移协调器的“仅限 DFW”迁移模式。将 DFW 配置迁移到 NSX-T 后,您不得在 NSX-v 环境中更新 DFW 配置,且不得再次运行“仅限 DFW”迁移模式。建议不要多次运行“仅限 DFW”迁移模式。

仅 DFW 迁移的必备条件

  • 支持的软件版本要求:
    • 支持 NSX-v 版本 6.4.4、6.4.5、6.4.6、6.4.8 及更高版本。
    • NSX-T Data Center 3.1 或更高版本。

      NSX-T 3.1 仅支持使用 API 执行该迁移。从 NSX-T 3.1.1 开始,可以使用 UI 进行迁移。

  • 将为此迁移准备一个新的 NSX-T Data Center,并预先配置第 2 层网桥,以将 NSX-v 中的 VXLAN 逻辑交换机扩展到 NSX-T Data Center 中的覆盖网络分段。
    有关详细说明,请参见:
  • 在此迁移之前,目标 NSX-T Data Center 中没有预先存在的用户定义的 DFW 规则。
  • NSX-v 仪表板的系统概览窗格中,所有状态均显示为绿色。
  • NSX-v 环境中,没有分布式防火墙和服务编排策略的未发布更改。
  • NSX-v 主机上的分布式防火墙的导出版本必须设置为 1000。必须验证导出版本,并根据需要更新。有关详细信息,请参见配置主机上分布式防火墙筛选器的导出版本
  • NSX 管理的集群(NSX-v 和 NSX-T)中的所有主机必须连接到相同版本的 VDS,并且 NSX 管理的集群中的每个主机必须是单个版本的 VDS 的成员。
注:
  • 仅 DFW 配置的直接迁移不涉及将主机从 NSX-v 迁移到 NSX-T。因此,不要求 NSX-T 支持 NSX-v 环境中使用的 ESXi 版本。
  • 本指南介绍了迁移协调器 UI 中的仅 DFW 迁移工作流。如果使用的是 NSX-T 3.1,则仅支持使用 NSX-T API 执行该迁移。要使用 API 进行迁移,请参见 NSX Tech Zone 文章的直接迁移过程部分中介绍的 API 调用。
  • 在迁移协调器的仅 DFW 迁移模式下,在整个迁移过程(包括 vMotion)中保留现有连接会话的防火墙状态 (DVFilter)。无论是在单个 vCenter Server 中还是跨 vCenter Server 迁移虚拟机,都会保留防火墙状态。此外,迁移协调器将安全标记迁移到工作负载虚拟机后,仍会保留防火墙规则中的动态成员资格。
  • 在迁移完成之前,不能更新或删除在迁移期间创建的对象。不过,如有必要,您可以在 NSX-T 中创建其他对象。
  • NSX-T 中,DFW 是直接启用的。默认情况下,允许所有在 DFW 规则中将源和目标指定为“任意”的流量。如果在 NSX-T 环境中启用了分布式防火墙,则无法将工作负载虚拟机再次从 NSX-T 迁移到 NSX-v。不支持回滚已迁移的工作负载虚拟机。解决办法是将工作负载虚拟机添加到 NSX-T 防火墙排除列表中,然后使用 vSphere vMotion 将工作负载虚拟机迁回到 NSX-v
  • DFW 配置的自动迁移支持连接到 NSX-v 逻辑交换机的工作负载虚拟机。这些虚拟机将迁移到 NSX-T 覆盖网络分段。连接到 vSphere 分布式虚拟端口组的 NSX-v 中的工作负载虚拟机不会自动迁移到 NSX 分布式虚拟端口组。作为解决办法,您必须手动创建 NSX 分布式虚拟端口组,并将工作负载虚拟机连接到这些虚拟端口组。
  • 不会迁移 DFW 排除列表。在迁移后,您需要在 NSX-T 上重新创建这些列表。
  • 在删除工作负载虚拟机时,不会删除在迁移期间创建的逻辑端口和交换机。您必须通过 NSX Manager UI 或 API 删除这些端口和交换机。