在此迁移模式下,会将分布式防火墙 (Distributed Firewall, DFW) 配置从 NSX-V 迁移到 NSX-T。如果配置了身份防火墙 (IDFW),则还将迁移 IDFW。

有关迁移 IDFW 的详细信息,请参见迁移身份防火墙

将迁移以下逻辑对象配置:
  • 用户定义的分布式防火墙 (DFW) 规则
  • 分组对象
    • IP 集
    • MAC 集
    • 安全组
    • 服务和服务组
    • 安全标记
  • 使用服务编排创建的安全策略(仅迁移 DFW 规则配置)

    不会迁移服务编排中的客户机侦测服务配置和网络侦测规则配置。

根据 DFW 配置,在迁移 DFW 配置后,可通过两种方法迁移工作负载虚拟机。如果未在任何 DFW 规则中配置“应用对象”(这意味着将“应用对象”设置为“DFW”),您可以使用 vSphere Client 迁移工作负载虚拟机(按照迁移工作负载虚拟机(简单用例)过程进行操作)。否则,您必须使用脚本迁移虚拟机(按照创建虚拟机组以迁移工作负载迁移工作负载虚拟机(复杂用例)过程进行操作)。

支持迁移符合以下条件的单站点 NSX-V 部署:包含处于主模式的 NSX Manager,但不含辅助 NSX Manager,且主站点上具有通用对象。这种单站点 NSX-V 部署将迁移到仅具有本地对象的单站点 NSX-T 环境(非联合)。

有关迁移分布式防火墙配置所支持的所有配置的详细列表,请参见迁移的详细功能支持

您需要实现以下迁移目标:
  • 仅将现有的分布式防火墙配置从 NSX-V 迁移到 NSX-T
  • 使用第 2 层 Edge 网桥和 vSphere vMotion 将工作负载虚拟机从 NSX-V 迁移到 NSX-T

要扩展第 2 层网络,您可以使用 NSX-T 本机 Edge 网桥。

重要事项: 在使用直接迁移方法将 DFW 配置从 NSX-V 迁移到 NSX-T 时,只能运行一次“仅限 DFW”迁移模式。将 DFW 配置迁移到 NSX-T 后,您不得在 NSX-V 环境中更新 DFW 配置,且不得再次运行“仅限 DFW”迁移模式。建议不要多次运行“仅限 DFW”迁移模式。

仅 DFW 迁移的必备条件

  • 将为此迁移准备一个新的 NSX-T 环境,并预先配置第 2 层网桥,以将 NSX-V 中的 VXLAN 逻辑交换机扩展到 NSX-T 中的覆盖网络分段。请参见准备直接迁移
  • 在进行此迁移之前,NSX-T 中不存在用户定义的 DFW 规则。
  • NSX-V 仪表板的系统概览窗格中,所有状态均显示为绿色。
  • NSX-V 环境中,没有分布式防火墙和服务编排策略的未发布更改。
  • NSX 管理的集群(NSX-v 和 NSX-T)中的所有主机必须连接到相同版本的 VDS,并且 NSX 管理的集群中的每个主机必须是单个版本的 VDS 的成员。
注:
  • 仅 DFW 配置的直接迁移不涉及将主机从 NSX-V 迁移到 NSX-T。因此,不要求 NSX-T 支持 NSX-V 环境中使用的 ESXi 版本。
  • 在“仅限 DFW”迁移模式下,会在整个迁移过程(包括 vMotion)中保留现有连接会话的防火墙状态 (DVFilter)。无论是在单个 vCenter Server 中还是跨 vCenter Server 迁移虚拟机,都会保留防火墙状态。此外,将安全标记迁移到工作负载虚拟机后,仍会保留防火墙规则中的动态成员资格。
  • 在迁移完成之前,不能更新或删除在迁移期间创建的对象。不过,如有必要,您可以在 NSX-T 中创建其他对象。
  • NSX-T 中,DFW 是直接启用的。默认情况下,允许所有在 DFW 规则中将源和目标指定为“任意”的流量。如果在 NSX-T 环境中启用了分布式防火墙,则无法将工作负载虚拟机再次从 NSX-T 迁移到 NSX-V。不支持回滚已迁移的工作负载虚拟机。解决办法是将工作负载虚拟机添加到 NSX-T 防火墙排除列表中,然后使用 vSphere vMotion 将工作负载虚拟机迁回到 NSX-V
  • DFW 配置的自动迁移支持连接到 NSX-v 逻辑交换机的工作负载虚拟机。这些虚拟机将迁移到 NSX-T 覆盖网络分段。连接到 vSphere 分布式虚拟端口组的 NSX-v 中的工作负载虚拟机不会自动迁移到 NSX 分布式虚拟端口组。作为解决办法,您必须手动创建 NSX 分布式虚拟端口组,并将工作负载虚拟机连接到这些虚拟端口组。
  • 不会迁移 DFW 排除列表。在迁移后,您需要在 NSX-T 上重新创建这些列表。
  • 在删除工作负载虚拟机时,不会删除在迁移期间创建的逻辑端口和交换机。您必须通过 NSX Manager UI 或 API 删除这些端口和交换机。