在解决所有配置问题后,您可以迁移分布式防火墙配置。在迁移配置时,将在 NSX-T Data Center 环境中实现逻辑对象配置,这会复制 NSX Data Center for vSphere 逻辑对象配置。

从 NSX-T 3.1.1 开始,迁移协调器不会修改 NSX-V 环境。假定只要虚拟机位于同一 vCenter 中,就会维护 NSX-V 动态成员资格。如果您计划将虚拟机移到另一个 vCenter 并保持安全性,则必须先在 NSX-V 中手动创建 IPset 以反映动态映射,然后再移动虚拟机。您可以使用以下 API 调用来获取 NSX-V 中的映射信息:

GET /api/2.0/services/securitygroup/<objectId>/translation/ipaddresses

前提条件

确认您已完成解决配置步骤。

过程

  1. 迁移配置页面中,单击开始
  2. 验证是否在 NSX-T 环境中显示分布式防火墙配置对象。

    您可以在 NSX-T NSX Manager 界面中或通过运行 NSX-T API 来验证已迁移的配置。

    注:
    • 迁移配置步骤中,NSX-v 中的安全标记不会迁移到 NSX-T。因此,NSX-T 中的基于安全标记的迁移动态组是空的。原因是,在 NSX-v 中,安全标记是一个对象,而在 NSX-T 中,标记是一个虚拟机属性。只有在将工作负载迁移到 NSX-T 并运行具有 post_migrate 操作的 vmgroup API 端点后,这些标记才会应用于工作负载虚拟机。有关更多信息,请参见迁移工作负载虚拟机(复杂用例)中的步骤 2。

      如果迁移的 NSX-T 组具有静态成员资格,在完成该步骤后,这些组也是空的。原因是,在迁移工作负载虚拟机后,才会在 NSX-T 组中包含静态成员。

      如果仅在 NSX-v 环境中使用基于 IP 的 DFW 规则,则不必运行具有 pre_migratepost_migrate 操作的 vmgroup API 端点。

    • 在将逻辑配置迁移到 NSX-T 时,将在 NSX-T NSX Manager 数据库中进行配置更改,但配置可能需要一些时间才会生效。
  3. 单击继续以继续。
    如果需要,您可以回滚迁移的 DFW 配置。在 NSX-T 3.1 中不支持回滚 DFW 配置。从 NSX-T 3.1.1 开始,支持该功能。

    回滚会执行以下操作:

    • NSX-T 中移除迁移的配置。
    • 回滚在上一步中所有已解决的问题。

    在回滚期间,在 DFW 迁移后手动创建的任何 NSX-T 对象存在丢失的风险。

后续步骤

将默认网关切换为 NSX-T 中的网关。请参见 将默认网关切换到 NSX-T Data Center