In diesem Migrationsmodus migrieren Sie die Konfiguration der verteilten Firewall (DFW) von NSX-V zu NSX-T. Wenn Sie die identitätsbasierte Firewall (IDFW) konfiguriert haben, wird sie ebenfalls migriert.
Weitere Informationen zum IDFW finden Sie unter Migrieren der identitätsbasierten Firewall (End-to-End und Lift-and-Shift).
- Benutzerdefinierte DFW-Regeln
- Objekte werden gruppiert
- IP Sets
- MAC Sets
- Sicherheitsgruppen
- Dienste und Dienstgruppen
- Sicherheits-Tags
- Mit Service Composer erstellte Sicherheitsrichtlinien (nur DFW-Regelkonfigurationen werden migriert)
Die Konfiguration des Guest Introspection-Diensts und die Konfigurationen der Netzwerk-Introspektionsregeln im Service Composer werden nicht migriert.
Je nach DFW-Konfiguration gibt es zwei Möglichkeiten, die Arbeitslast-VMs nach der Migration der DFW-Konfiguration zu migrieren. Wenn „Angewendet auf“ in einer der DFW-Regeln nicht konfiguriert ist (dies bedeutet, dass „Angewendet auf“ auf „DFW“ festgelegt ist), können Sie den vSphere Client verwenden, um die Arbeitslast-VMs zu migrieren (führen Sie folgendes Verfahren aus: Migrieren von Arbeitslast-VMs (einfacher Fall)). Andernfalls müssen Sie ein Skript verwenden, um die VMs zu migrieren (führen Sie das Verfahren Migrieren von Arbeitslast-VMs (komplexer Fall) aus).
Die Migration einer NSX-V-Bereitstellung auf einer einzelnen Site, die einen NSX Manager im primären Modus, keine sekundären NSX Manager und mit universellen Objekten auf der primären Site enthält, wird unterstützt. Eine solche NSX-V-Bereitstellung auf einer einzelnen Site wird auf eine NSX-T-Umgebung auf einer einzelnen Site (nicht im Verbund) mit ausschließlich lokalen Objekten migriert.
Eine detaillierte Liste aller Konfigurationen, die für die Migration der DFW-Konfiguration unterstützt werden, finden Sie unter Detaillierte Funktionsunterstützung für Migration.
- Migrieren Sie nur die vorhandene Konfiguration der verteilten Firewall von NSX-V zu NSX-T.
- Nutzen Sie Layer-2-Edge-Bridge und vSphere vMotion, um Arbeitslast-VMs von NSX-V zu NSX-T zu migrieren.
Um Layer-2-Netzwerke zu erweitern, können Sie die native NSX-T Edge-Bridge verwenden.
Voraussetzungen für die Migration nur für die DFW
- Für diese Migration wird eine neue NSX-T-Umgebung vorbereitet.
- Vor dieser Migration sind keine benutzerdefinierten DFW-Regeln in NSX-T vorhanden.
- Alle Zustände im Bereich Systemübersicht des NSX-V-Dashboards sind grün.
- In der NSX-V-Umgebung sind keine unveröffentlichten Änderungen für DFW- und Service Composer-Richtlinien vorhanden.
- Alle Hosts im NSX-verwalteten Cluster (sowohl NSX-v als auch NSX-T) müssen mit der gleichen Version von VDS verbunden sein, und jeder Host innerhalb des NSX-verwalteten Clusters muss Mitglied einer einzigen Version von VDS sein.
- Bei der Lift and Shift-Migration der Konfiguration nur für die DFW werden keine Hosts von NSX-V auf NSX-T migriert. Aus diesem Grund ist es nicht zwingend, dass die ESXi-Version, die in ihrer NSX-V-Umgebung verwendet wird, von NSX-T unterstützt wird.
- Im Migrationsmodus nur für die DFW wird der Firewallzustand (DVFilter) für bestehende Verbindungssitzungen während der gesamten Migration einschließlich vMotion beibehalten. Der Firewallzustand wird beibehalten, unabhängig davon, ob die VMs innerhalb einer einzelnen vCenter Server-Serverinstanz oder über vCenter Server hinweg migriert werden. Außerdem bleibt die dynamische Mitgliedschaft in den Firewallregeln erhalten, nachdem die Sicherheits-Tags auf die Arbeitslast-VMs migriert wurden.
- Objekte, die während der Migration erstellt werden, dürfen nicht aktualisiert oder gelöscht werden, bevor die Migration abgeschlossen ist. Sie können jedoch, falls erforderlich, zusätzliche Objekte in NSX-T erstellen.
- In NSX-T ist die DFW im Textfeld aktiviert. Alle Flows mit Quellen und Zielen, die in den Regeln für die DFW als „beliebig“ gekennzeichnet sind, sind standardmäßig zulässig. Wenn die verteilte Firewall in der NSX-T-Umgebung aktiviert ist, können Sie die Arbeitslast-VMs nicht erneut von NSX-T auf NSX-V migrieren. Ein Rollback der migrierten Arbeitslast-VMs wird nicht unterstützt. Die Problemumgehung besteht darin, die Arbeitslast-VMs zur NSX-T-Firewall-Ausschlussliste hinzuzufügen und die Arbeitslast-VMs dann mit vSphere vMotion zurück auf NSX-V zu migrieren.
- Die automatisierte Migration der DFW-Konfigurationen unterstützt Arbeitslast-VMs, die an NSX-v-logische Switches angehängt sind. Diese VMs werden zu NSX-T-Overlay-Segmenten migriert. Arbeitslast-VMs in NSX-v, die an verteilte virtuelle vSphere-Portgruppen angehängt sind, werden nicht automatisch zu verteilten virtuellen NSX-Portgruppen migriert. Um das Problem zu umgehen, müssen Sie die verteilten virtuellen NSX-Portgruppen manuell erstellen und die Arbeitslast-VMs an sie anhängen.
- DFW-Ausschlusslisten werden nicht migriert. Sie müssen diese nach der Migration auf NSX-T erneut erstellen.
- Während der Migration erstellte logische Ports und Switches werden nicht gelöscht, wenn die Arbeitslast-VMs gelöscht werden. Diese Ports und Switches müssen Sie über die NSX Manager-Benutzeroberfläche oder -API löschen.
- Die Standardsegmente in NSX-T unterstützen keine DHCP-Server, weshalb die Server nach der Migration inaktiv sind.