vCloud Director 8.10 unterstützt NSX Edge 6.x, sodass Sie ein Upgrade von vShield Edge auf NSX Edge durchführen können. Wenn Sie ein frühere Version von vCloud Director verwenden, wird NSX Edge 6.x nicht unterstützt, d. h., Sie können kein Upgrade für NSX Edge durchführen.

Vorbereitungen

  • Stellen Sie sicher, dass vShield Manager auf NSX Manager aktualisiert wurde.

  • Machen Sie sich während der Durchführung des Upgrades mit den operativen Auswirkungen des NSX Edge-Upgrades vertraut. Siehe Operative Auswirkungen von Upgrades für vCloud Networking and Security.

  • Stellen Sie sicher, dass ein lokaler Segment-ID-Pool vorhanden ist, auch wenn Sie nicht vorhaben, logische NSX-Switches zu erstellen.

  • Stellen Sie sicher, dass die Hosts über ausreichend Ressourcen zur Bereitstellung zusätzlicher NSX Edge Services Gateway-Appliances im Rahmen des Upgrades verfügen. Das ist vor allem dann wichtig, wenn Sie ein Upgrade für mehrere NSX Edge-Appliances gleichzeitig durchführen. Unter Systemvoraussetzungen für NSX werden die für jede NSX Edge-Größe erforderlichen Ressourcen dargestellt.

    • Für eine einzelne NSX Edge-Instanz befinden sich während des Upgrades zwei NSX Edge-Appliances der geeigneten Größe im eingeschalteten Status.

    • Ab der Version NSX 6.2.3 werden, wenn für eine NSX Edge-Instanz mit Hochverfügbarkeit (HA, High Availability) ein Upgrade durchgeführt wird, beide Ersetzungs-Appliances bereitgestellt, bevor die alten Appliances ersetzt werden. Das bedeutet, dass sich während des Upgrades einer bestimmten NSX Edge vier NSX Edge-Appliances der geeigneten Größe im eingeschalteten Status befinden. Nach dem Upgrade der NSX Edge-Instanz kann jede HA-Appliance aktiv werden.

    • Vor der Version NSX 6.2.3 wird, wenn für eine NSX Edge-Instanz mit Hochverfügbarkeit ein Upgrade durchgeführt wird, jeweils nur eine Ersetzungs-Appliance bereitgestellt, während die alten Appliances ersetzt werden. Es befinden sich dann während des Upgrades einer bestimmten NSX Edge drei NSX Edge-Appliances der geeigneten Größe im eingeschalteten Status. Nach dem Upgrade der NSX Edge-Instanz wird in der Regel die NSX Edge-Appliance mit dem HA-Index 0 aktiv.

  • Wenn L2 VPN auf einem NSX Edge aktiviert ist, müssen Sie die L2 VPN-Konfiguration vor dem Upgrade löschen. Nach dem Upgrade können Sie L2 VPN neu konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Sie können auf zweifache Weise ein Upgrade von vShield Edge auf NSX Edge durchführen: entweder mithilfe von NSX oder mit vCloud Director.

Erläuterungen zum Upgrade von Edge mithilfe von vCloud Director finden Sie unter „Upgrade von vCenter Server-Systemen, Hosts und NSX Edges“ im vCloud DirectorInstallations- und Upgrade-Handbuch.

Achtung:

Wenn Sie vCloud Director mit einer Version vor 8.10 verwenden, ist kein Upgrade von NSX Edge möglich.

Prozedur

  1. Wählen Sie im vSphere Web Client Networking & Security > NSX Edges aus.
  2. Doppelklicken Sie für jede NSX Edge-Instanz auf das Edge und überprüfen Sie vor dem Upgrade die im Folgenden aufgeführten Konfigurationseinstellungen.
    1. Klicken Sie auf Verwalten (Manage) > VPN > L2 VPN und überprüfen Sie, ob „L2 VPN“ aktiviert ist. Ist dies der Fall, notieren Sie die Konfigurationsdetails und löschen Sie dann die gesamte L2 VPN-Konfiguration.
    2. Klicken Sie auf Verwalten (Manage) > Routing > Statische Routen (Static Routes) und überprüfen Sie, ob für statische Routen eine Einstellung für den nächsten Hop vorhanden ist. Ist dies nicht der Fall, fügen Sie vor dem Upgrade von NSX Edge den nächsten Hop hinzu.
  3. Wählen Sie für jede NSX Edge-Instanz die Option Upgrade der Version durchführen (Upgrade Version) aus dem Menü Aktionen (Actions) aus.

    Falls das Upgrade mit der Fehlermeldung „Fehler beim Bereitstellen der Edge-Appliance“ fehlschlägt, stellen Sie sicher, dass der Host, auf dem die NSX Edge-Appliance bereitgestellt wird, verbunden ist und sich nicht im Wartungsmodus befindet.

Ergebnisse

Nach dem erfolgreichen Upgrade des NSX Edge lautet der Status „Bereitgestellt“ und in der Spalte Version wird die neue NSX-Version angezeigt.

Falls das Upgrade eines Edge fehlschlägt und kein Rollback auf die alte Version erfolgt, klicken Sie auf das Symbol NSX Edge erneut bereitstellen (Redeploy NSX Edge) und führen Sie dann das Upgrade erneut aus.

In NSX Edge-Firewallregeln wird „sourcePort“ nicht unterstützt. Daher müssen die Regeln von vShield Edge Version 5.5, die „sourcePort“ enthalten, während des Upgrades wie folgt geändert werden.

  • Wenn in der Regel keine applications-Einträge verwendet werden, wird ein Dienst mit den Einstellungen „protocol=any“, „port=any“ und „sourcePort=asDefinedInTheRule“ erstellt.

  • Wenn die Regel Einträge für „applications“ oder „applicationsGroups“ aufweist, werden diese Gruppierungsobjekte dupliziert, indem ihnen „sourcePort“ hinzugefügt wird. Deswegen sind die in der Firewallregel verwendeten groupingObjectIds nach dem Upgrade verändert.

Benutzerfirewallregeln in NSX Edge 6.x generieren keine internen IPSets und applicationSets auf der Basis einer Eingabe von REST-APIs. Stattdessen werden sie in einem nicht formatierten Format beibehalten. Während des Upgrades werden mit den intern generierten IPSets und applicationSets Regeln mit nicht formatierten Daten erstellt. Die internen gruppierten Objekte sind nicht mehr in den Benutzerfirewallregeln enthalten

Nächste Maßnahme

Konfigurieren Sie alle L2 VPN-Konfigurationen neu. Weitere Informationen finden Sie im Installationshandbuch für NSX unter „Überblick über L2 VPN“.