Sie können nur von vShield App Version 5.5 ein Upgrade auf Distributed Firewall durchführen. Wenn Ihre Infrastruktur eine Vorgängerversion von vShield App enthält, müssen Sie diese auf Version 5.5 aktualisieren, bevor Sie das Upgrade auf Version 6.2.x durchführen. Weitere Informationen zum Upgrade auf Version 5.5 finden Sie im vShield Installations- und Upgrade-Handbuch Version 5.5.

Vorbereitungen

  • vShield Manager wurde auf NSX Manager aktualisiert.

  • Die virtuellen Leitungen wurden auf logische NSX-Switches aktualisiert. Für Benutzer, die kein VXLAN verwenden, wurden Netzwerkvirtualisierungskomponenten installiert.

  • Wenn Sie vShield App 5.5-Regeln auf die Distributed Firewall migrieren möchten, dürfen Sie die vShield App-Appliances vor dem Upgrade auf die Distributed Firewall nicht löschen.

Warum und wann dieser Vorgang ausgeführt wird

Die Dauer des nachfolgend aufgeführten Vorgangs hängt von der Anzahl der Regeln in Ihrer Umgebung ab. Wenn Sie von vShield App auf die NSX Distributed Firewall (erweiterter Modus) migrieren, werden die Regeln migriert und übertragen. Dies führt zur Unterbrechung des Datenverkehrs. Dieser Schritt sollte deshalb in einem Wartungsfenster durchgeführt werden.

Prozedur

  1. Nach der Vorbereitung aller Cluster in Ihrer Umgebung für die Komponenten der Netzwerkvirtualisierung zeigt eine Meldung an, dass das Upgrade für die Firewall durchgeführt werden kann.

  2. Klicken Sie auf Upgrade durchführen (Upgrade).

    Die vShield App 5.5-Regeln werden in folgender Weise auf NSX migriert:

    1. In der zentralen Firewalltabelle wird für jeden Namespace (Datencenter und virtuelle Leitung), der in vShield App Version 5.5 konfiguriert wurde, ein neuer Bereich erstellt. Jeder Bereich verfügt über die entsprechenden Firewallregeln.

    2. Alle Regeln in jedem Bereich haben denselben Wert im Feld Angewendet auf (AppliedTo): Datencenter-ID für Datencenter-Namespace, virtuelle Leitungs-ID für virtuellen Leitungs-Namespace und Portgruppen-ID für portgruppenbasierten Namespace.

    3. Container, die auf verschiedenen Ebenen des Namespace erstellt wurden, werden auf die globale Ebene verschoben.

    4. Die Bereichsreihenfolge bleibt wie unten angegeben, um sicherzustellen, dass das Firewallverhalten nach der Durchführung des Upgrades gleich bleibt:

      Section_Namespace_Portgroup-1

      ..................

      Section_Namespace_Portgroup-N

      Section_Namespace_VirtualWire-1

      ..................

      Section_Namespace_VirtualWire-N

      Section_Namespace_Datacenter_1

      ..................

      Section_Namespace_Datacenter_N

      Default_Section_DefaultRule

    Nachdem das Upgrade abgeschlossen ist, zeigt die Spalte „Firewall“ Aktiviert (Enabled) an.

  3. Klicken Sie auf Home > Hosts und Cluster (Hosts and Clusters) und wechseln Sie zu den Hosts, auf denen vShield App-Dienst-VMs ausgeführt werden. Fahren Sie die Legacy vShield App-Dienst-VMs herunter.
  4. Wechseln Sie zu Networking & Security > Firewall und überprüfen Sie jeden aktualisierten Abschnitt bzw. jede aktualisierte Regel und testen Sie, ob sie wie vorgesehen funktionieren.
  5. Wechseln Sie zur Registerkarte Installation > Dienstbereitstellungen (Service Deployments) und stellen Sie sicher, dass alle Alarme aufgelöst wurden und dass als Dienststatus für die Legacy vShield App Erfolg (Succeeded) angezeigt wird.
  6. Wenn die Regeln korrekt funktionieren, wählen Sie in der Registerkarte Dienstbereitstellungen (Service Deployments) „vShield App“ aus und klicken Sie auf Dienstbereitstellung löschen (Delete Service Deployment) (), um die Legacy vShield App-Dienst-VMs zu entfernen.

Nächste Maßnahme

Upgrade von vShield Edge auf NSX Edge