Debe comprobar el estado del entorno de NSX Data Center for vSphere y solucionar los problemas encontrados. Además, dependiendo de su entorno, es posible que deba cambiar la configuración de NSX Data Center for vSphere para poder migrar a NSX-T Data Center.

Estado del sistema

Compruebe los siguientes estados del sistema:

  • Compruebe que los componentes de NSX-v estén en un estado en verde en el panel de control de NSX.
  • Compruebe que todos los hosts ESXi estén en un estado operativo. Solucione los problemas con los hosts, incluidos los estados desconectados. No debe haber reinicios ni tareas pendientes para entrar en el modo de mantenimiento.
  • Compruebe que no haya actualizaciones de NSX-v en curso.
  • Compruebe el estado de publicación de Distributed Firewall y Service Composer para asegurarse de que no haya ningún cambio sin publicar.

Configuración general

  • Realice una copia de seguridad de los entornos NSX-v y vSphere. Consulte "Copia de seguridad y restauración de NSX" en la Guía de administración de NSX.
  • Debe establecer el puerto de VXLAN en 4789. Si el entorno de NSX-v utiliza un puerto diferente, debe cambiarlo antes de poder migrar. Consulte "Cambiar el puerto VXLAN" en la Guía de administración de NSX de NSX-v.

Configuración del controlador

  • El coordinador de migración no es compatible con las zonas de transporte de NSX-v que usan el modo de replicación híbrido o de multidifusión. Se requiere un clúster de NSX Controller si VXLAN está en uso. Las topologías de microsegmentación respaldadas por VLAN no utilizan VXLAN y, por tanto, no requieren un clúster de NSX Controller.

Configuración de hosts

  • En todos los clústeres de hosts en el entorno de NSX-v, compruebe estas opciones y actualice si es necesario:
    • Establezca vSphere DRS según corresponda.

      Deshabilite vSphere DRS si se aplica una de las siguientes opciones:

      • Se utilizará el modo de migración Local.
      • Se utilizará el modo de migración Mantenimiento manual. Consulte la nota siguiente.
      • Si el modo de migración Mantenimiento automatizado se utiliza para la migración y la versión de vCenter Server es 6.5 o 6.7.
      • Nota: En el modo de migración Mantenimiento manual, si decide utilizar vMotion para migrar máquinas virtuales, tiene la flexibilidad de deshabilitar vSphere DRS o de utilizar uno de los siguientes niveles de automatización de vSphere DRS: Manual, Parcialmente automatizado o Totalmente automatizado.

      Establezca el modo de vSphere DRS en Completamente automatizado si:

      • El modo de migración Mantenimiento automatizado se utilizará para la migración si la versión de vCenter Server es 7.0.
    • Habilitar vSphere HA.
    • Establezca la versión de exportación del filtro de firewall distribuido como 1000. Consulte Configurar la versión de exportación del filtro de firewall distribuido en los hosts.
  • Para migrar las reglas de servicio de introspección de red, utilice el modo de migración de host Mantenimiento. No se admite el modo de migración Local.
  • Si tiene hosts que tienen instalado NSX-v, pero no se agregan a una instancia de vSphere Distributed Switch, debe agregarlos a los conmutadores distribuidos si desea migrarlos a NSX-T. Consulte Configurar los hosts no asociados a instancias de vSphere Distributed Switch para obtener más información.
  • En cada clúster que tenga NSX-v instalado, compruebe si Distributed Firewall está habilitado. Puede ver el estado habilitado en Instalación y actualización > Preparación del host.

    Si se habilita Distributed Firewall en cualquier clúster de NSX-v antes de la migración, se habilita en todos los clústeres cuando migran a NSX-T. Determine el impacto de habilitar Distributed Firewall en todos los clústeres y cambie la configuración de Distributed Firewall si es necesario.

Configuración de puerta de enlace de servicios Edge

  • Las puertas de enlace de servicios Edge deben utilizar BGP para el enrutamiento en dirección norte. Si se utiliza OSPF, debe volver a configurar que se use BGP antes de iniciar la migración.
  • Es posible que deba realizar cambios en la configuración de redistribución de rutas de NSX-v antes de que se inicie la migración.
    • Los filtros de prefijo configurados en el nivel de redistribución no se migran. Agregue los filtros que necesite como filtros BGP en la configuración del vecino BGP de la puerta de enlace de servicios Edge.
    • Después de la migración, las rutas aprendidas dinámicamente entre el enrutador lógico distribuido y la puerta de enlace de servicios Edge se convertirán en rutas estáticas y se redistribuirán en BGP. Si necesita filtrar cualquiera de estas rutas, antes de iniciar la migración, configure los filtros de vecinos BGP para denegar estos prefijos y permitir otros.
  • NSX-v es compatible con las sesiones de VPN de IPSec basadas en directivas donde las subredes locales y del mismo nivel de dos o más sesiones se superponen entre sí. Este comportamiento no se admite en NSX-T. Debe volver a configurar las subredes para que no se superpongan antes de iniciar la migración. Si no se resuelve este problema de configuración, se produce un error en el paso Migrar configuración.
  • Si tiene una puerta de enlace de servicios Edge que realiza una función de equilibrador de carga "one-armed", deberá cambiar las siguientes configuraciones si están presentes antes de importar la configuración:
    • Si la puerta de enlace de servicios Edge tiene una interfaz configurada para administración, debe eliminarla antes de la migración. Solo puede tener una interfaz conectada en una puerta de enlace de servicios Edge que proporcione una función de equilibrador de carga de un solo brazo. Si tiene más de una interfaz, se producirá un error en el paso Migrar configuración.
    • Si se deshabilita el firewall de puerta de enlace de servicios Edge y la regla predeterminada se establece en Denegar, debe habilitar el firewall y cambiar la regla predeterminada a Aceptar. Después de la migración, el firewall está habilitado en la puerta de enlace de nivel 1 y entra en efecto la regla predeterminada Aceptar. Cambiar la regla predeterminada a Aceptar antes de la migración impide que el tráfico entrante al equilibrador de carga se bloquee.
  • Compruebe que las puertas de enlace de servicios Edge estén todas conectadas correctamente a la topología que se está migrando. Si las puertas de enlace de servicios Edge forman parte del entorno de NSX-v, pero no están asociadas correctamente al resto del entorno, no se migran.
    Por ejemplo, si una puerta de enlace de servicios Edge está configurada como un equilibrador de carga "one-armed", pero tiene una de las siguientes configuraciones, no se migra:
    • La puerta de enlace de servicios Edge no tiene una interfaz de vínculo superior conectada a un conmutador lógico.
    • La puerta de enlace de servicios Edge tiene una interfaz de vínculo superior conectada a un conmutador lógico, pero la dirección IP de vínculo superior no coincide con la subred asociada con el enrutador lógico distribuido que se conecta al conmutador lógico.

Configuración de seguridad

  • Si tiene pensado utilizar vMotion para mover las máquinas virtuales durante la migración, deshabilite todas las directivas de SpoofGuard en NSX Data Center for vSphere para evitar la pérdida de paquetes.
    • El modo Mantenimiento automatizado utiliza DRS y vMotion para mover las máquinas virtuales durante la migración.
    • En el modo Mantenimiento manual, puede utilizar vMotion de forma opcional para mover las máquinas virtuales durante la migración.
    • El modo de migración Local no utiliza vMotion.

Configuración del grupo de seguridad

Si las directivas de seguridad existentes contienen reglas de servicio Guest Introspection que se aplican a grupos de seguridad con miembros de máquinas virtuales estáticos o dinámicos que no sean máquinas virtuales, siga estos pasos:
  1. Cree nuevos grupos de seguridad con máquinas virtuales solo en los criterios de pertenencia dinámica. Asegúrese de que los criterios de pertenencia dinámica generen los mismos miembros efectivos de la máquina virtual que los grupos de seguridad originales.
  2. Antes de ejecutar el coordinador de migración, actualice las directivas de seguridad existentes para aplicar los nuevos grupos de seguridad a las reglas de servicio Guest Introspection.

    Si prefiere no actualizar las directivas de seguridad existentes antes de la migración, puede seguir manteniendo los nuevos grupos de seguridad listos con los criterios de pertenencia dinámica correctos en el entorno de NSX-v. Durante el paso Resolver configuración del proceso de migración, cuando el coordinador de migración muestra mensajes de advertencia y le solicita que proporcione grupos de seguridad alternativos, seleccione los nuevos grupos de seguridad y continúe con la migración.

Sincronización de Service Composer

Asegúrese de que Service Composer esté sincronizado con el firewall distribuido antes de iniciar el coordinador de migración. Una sincronización manual garantiza que si realiza cambios en la configuración de la directiva antes de iniciar la migración, estos cambios también se aplicarán a las directivas de seguridad que se crearon con Security Composer. Por ejemplo, edite el nombre del grupo de seguridad que se utiliza en una regla de Firewall antes de iniciar la migración.

Para comprobar si el estado de Service Composer está sincronizado, siga estos pasos:
  1. En vSphere Client, vaya a Redes y seguridad > Seguridad > Service Composer.
  2. Haga clic en la pestaña Directivas de seguridad.
  3. Compruebe que el estado de sincronización sea En sincronización. Si no está sincronizado, haga clic en Sincronizar.

Es recomendable hacer clic siempre en el botón Sincronizar antes de iniciar el coordinador de migración, incluso cuando el estado de la sincronización se muestre en color verde. Realice esta sincronización manual independientemente de si realizó cambios de última hora en la configuración de la directiva.

Durante la migración, si el estado de Service Composer no está sincronizado, el paso Resolver configuración mostrará una advertencia. Para omitir la migración de las directivas de seguridad creadas mediante Service Composer, omita las secciones relevantes de firewall distribuido. De forma alternativa, puede cancelar la migración, obtener Service Composer en sincronización con el firewall distribuido y reiniciar la migración.