迁移分布式防火墙配置

在解决所有配置问题后，您可以迁移分布式防火墙配置。在迁移配置时，将在 NSX-T Data Center 环境中实现逻辑对象配置，这会复制 NSX Data Center for vSphere 逻辑对象配置。

从 NSX-T 3.1.1 开始，迁移协调器不会修改 NSX-V 环境。假定只要虚拟机位于同一 vCenter 中，就会维护 NSX-V 动态成员资格。如果您计划将虚拟机移到另一个 vCenter 并保持安全性，则必须先在 NSX-V 中手动创建 IPset 以反映动态映射，然后再移动虚拟机。您可以使用以下 API 调用来获取 NSX-V 中的映射信息：

GET /api/2.0/services/securitygroup/<objectId>/translation/ipaddresses

前提条件

确认您已完成解决配置步骤。

过程

从迁移配置页面中，单击开始。
验证是否在 NSX-T 环境中显示分布式防火墙配置对象。
您可以在 NSX-T NSX Manager 界面中或通过运行 NSX-T API 来验证已迁移的配置。
注：
- 在迁移配置步骤中，NSX-v 中的安全标记不会迁移到 NSX-T。因此，NSX-T 中的基于安全标记的迁移动态组是空的。原因是，在 NSX-v 中，安全标记是一个对象，而在 NSX-T 中，标记是一个虚拟机属性。只有在将工作负载迁移到 NSX-T 并运行具有 post_migrate 操作的 vmgroup API 端点后，这些标记才会应用于工作负载虚拟机。有关更多信息，请参见迁移工作负载虚拟机（复杂用例）中的步骤 2。
  如果迁移的 NSX-T 组具有静态成员资格，在完成该步骤后，这些组也是空的。原因是，在迁移工作负载虚拟机后，才会在 NSX-T 组中包含静态成员。
  如果仅在 NSX-v 环境中使用基于 IP 的 DFW 规则，则不必运行具有 pre_migrate 和 post_migrate 操作的 vmgroup API 端点。
- 在将逻辑配置迁移到 NSX-T 时，将在 NSX-T NSX Manager 数据库中进行配置更改，但配置可能需要一些时间才会生效。
单击继续以继续。
如果需要，您可以回滚迁移的 DFW 配置。在 NSX-T 3.1 中不支持回滚 DFW 配置。从 NSX-T 3.1.1 开始，支持该功能。
回滚会执行以下操作：
- 从 NSX-T 中移除迁移的配置。
- 回滚在上一步中所有已解决的问题。
在回滚期间，在 DFW 迁移后手动创建的任何 NSX-T 对象存在丢失的风险。

下一步做什么

将默认网关切换为 NSX-T 中的网关。请参见将默认网关切换到 NSX-T Data Center。