从 NSX-T Data Center 3.2.1 开始,成功将本地管理器位置添加到全局管理器后,可以将本地管理器的所有网络和安全配置导入到全局管理器。仅 NSX-T Data Center 3.2.0 中暂时未提供此功能。
支持导入到
全局管理器的
本地管理器配置
- 上下文配置文件
- DHCP
- DNS
- 防火墙安全策略
- 网关配置文件
- 组
- NAT
- 安全配置文件
- 服务
- T0 网关
- T1 网关
- 基于时间的防火墙(现在支持导入/载入)
不支持导入到全局管理器的本地管理器配置
在 NSX 联合中不支持以下功能。如果在本地管理器中具有其中的任何配置,则阻止将配置导入到全局管理器中。您必须移除不支持的配置才能继续导入。在将支持的本地管理器配置成功导入到全局管理器后,您可以将任何不支持的功能的配置重新添加到本地管理器中。
- DHCP 动态绑定
- 分布式 IDS
- 仅适用于 vCenter VDS 端口组的分布式安全功能(全局管理器看不到 vCenter VDS 端口组,因此无法将它们分配到安全组中。但是,全局管理器可以根据本地管理器添加的 vCenter VDS 端口组标记,在组中使用动态成员资格。)
- 端点保护
- 转发策略
- 客户机侦测
- 身份防火墙
- IDS/IPS
- L2 网桥
- 负载均衡器
- 恶意软件防护
- 元数据代理
- 多播
- 网络检测和响应
- 网络侦测
- 路由协议 (OSPF)
- 路由 VPN 和 EVPN
- 服务插入
- T0 VRF
- TLS 检查
- URL 筛选
注: 如果在
本地管理器中使用某个负载均衡器,则无法导入该负载均衡器,但如果满足标题为在
本地管理器上
具有负载均衡器服务时导入配置的部分中所述的特定条件,您仍然可以导入其他配置。
在本地管理器上具有负载均衡器服务时导入配置
如果
本地管理器具有负载均衡器服务,您可以导入负载均衡器以外的配置,但前提是您满足以下条件:
- 负载均衡器服务必须在独立 Tier-1 网关上处于单臂模式。
- 单臂负载均衡器连接到的独立 Tier-1 网关:
- 只能具有负载均衡器服务,而不能具有其他服务
- 不能具有任何下行链路分段
- 不能与任何其他 Tier-0 或 Tier-1 网关共用网关防火墙规则。
- 负载均衡器服务中使用的组不能在任何防火墙规则中使用。如果具有负载均衡器和防火墙规则通用的组,您必须从防火墙规则中移除该组,或者创建一个完全相同的组以用于负载均衡器。
主体身份用户在本地管理器中创建的配置
如果本地管理器中的配置是由主体身份用户创建的,并且在全局管理器中不存在相同的主体身份用户,则会阻止导入。
您可以使用以下方法导入这些实体:
- 系统显示在本地管理器上用于创建配置的主体身份用户名列表。在全局管理器中创建其中的每个主体身份用户,然后再继续导入。
- 如果您不希望在全局管理器中创建主体身份用户名,请在本地管理器中移除使用主体身份用户名创建的所有配置。然后,您可以继续从本地管理器中导入其他配置。
前提条件
- 必须使用全局管理器注册本地管理器设备。
- 本地管理器设备必须具有备份,以便在导入过程失败时进行还原。
- 您必须从本地管理器设备中移除不支持的功能的配置。NSX-T Data Center UI 中为您提供了关于如何解决任何导入冲突的指导。
过程
- 登录到全局管理器,然后导航到 。
- 将为成功添加到全局管理器并具有可导入的对象的每个位置显示一条系统消息。
- 从系统消息中单击立即导入。您也可以从位置图块中单击 以导入对象。
- 将会看到可导入到全局管理器的对象列表。
- 如果存在命名冲突,您可以为配置提供前缀或后缀。对象的总长度(包括前缀和后缀)不能超过 256 个字符。
前缀或后缀将应用于以下要导入的对象:
- Tier-0 网关
- Tier-1 网关
- 分段
- DNS 区域
- DHCP 配置文件
- 交换配置文件:IPv6、VNI 池、网关 QoS、BFD、IPFIX
- 安全配置文件:IPFIX、泛洪保护、DNS 安全、会话定时器、上下文配置文件
- L4-L7 服务(在 下面列出的所有服务)。
- 对于其他冲突,请遵循 UI 中提供的指导。
- 如果存在命名冲突,您可以为配置提供前缀或后缀。对象的总长度(包括前缀和后缀)不能超过 256 个字符。