En esta migración, el coordinador de migración migra solo la configuración del firewall distribuido de NSX Data Center for vSphere a NSX-T Data Center.

Se migran las siguientes configuraciones de objetos lógicos:
  • Reglas de firewall distribuido (DFW) definidas por el usuario
  • Objetos de agrupamiento
    • Conjuntos de direcciones IP
    • Conjuntos de direcciones MAC
    • Grupos de seguridad
    • Servicios y grupos de servicios
    • Etiquetas de seguridad
  • Directivas de seguridad creadas con Service Composer (solo se migran las configuraciones de reglas de DFW)

    No se migran las configuraciones de la regla de introspección de red y la configuración del servicio de Guest Introspection en Service Composer.

Según la configuración de DFW, existen dos formas de migrar las máquinas virtuales de carga de trabajo después de migrar la configuración de DFW. Si "Se aplica a" no está configurado en ninguna de las reglas de DFW (esto significa que A "Se aplica a" se le asigna el valor "DFW"), puede utilizar vSphere Client para migrar las máquinas virtuales de carga de trabajo (siga el procedimiento Migrar máquinas virtuales de carga de trabajo (caso simple)). De lo contrario, deberá utilizar un script para migrar las máquinas virtuales (siga los procedimientos Crear grupos de máquinas virtuales para la migración de la carga de trabajo y Migrar máquinas virtuales de carga de trabajo (caso complejo)).

A partir de NSX-T 3.1.1, la migración de una implementación de NSX for vSphere de un solo sitio que contiene una instancia de NSX Manager en modo principal, no se admiten instancias secundarias de NSX Manager con objetos universales en el sitio principal. Una implementación de NSX for vSphere de un solo sitio se migra a un entorno de NSX-T de un solo sitio (no federado) solo con objetos locales.

Para obtener una lista detallada de todas las configuraciones admitidas para la migración de la configuración del firewall distribuido, consulte Compatibilidad de funciones detallada del coordinador de migración.

Dispone de los siguientes objetivos de migración:
  • Utilice el coordinador de migración para migrar solo la configuración del firewall distribuido actual de NSX-v a NSX-T Data Center.
  • Utilice el puente de Edge de capa 2 y vSphere vMotion para migrar las máquinas virtuales de carga de trabajo de NSX-v a NSX-T.

Para ampliar las redes de capa 2, puede utilizar el puente de Edge nativo de NSX-T.

Importante: Cuando se utiliza el enfoque de elevación y desplazamiento para migrar la configuración de DFW desde NSX-v a NSX-T, debe ejecutar el modo de migración solamente de DFW del coordinador de migración una única vez. Después de migrar la configuración de DFW a NSX-T, no debe actualizar la configuración de DFW en el entorno de NSX-v y volver a ejecutar el modo de migración solamente de DFW. No se recomienda ejecutar el modo de migración solamente de DFW varias veces.

Requisitos previos para la migración de solo DFW

  • Requisitos de versiones de software admitidas:
    • Se admite NSX-v 6.4.4, 6.4.5, 6.4.6, 6.4.8 y versiones posteriores.
    • NSX-T Data Center versión 3.1 o posteriores.

      NSX-T 3.1 solo admite esta migración con las API. La migración con la interfaz de usuario está disponible a partir de NSX-T 3.1.1.

  • Un nuevo NSX-T Data Center está preparado para esta migración, y un puente de capa 2 está preconfigurado para extender el conmutador lógico de VXLAN en NSX-v al segmento de superposición en NSX-T Data Center.
    Para obtener instrucciones detalladas, consulte:
  • No existen reglas de DFW definidas por el usuario en el NSX-T Data Center de destino antes de la migración.
  • Todos los estados del panel Información general del sistema del panel de control de NSX-v están en color verde.
  • No hay cambios sin publicar para el firewall distribuido y las directivas de Service Composer en el entorno de NSX-v.
  • La versión de exportación del firewall distribuido debe estar establecida en 1000 en los hosts de NSX-v. Debe comprobar la versión de exportación y actualizarla si fuera necesario. Para obtener más información, consulte Configurar la versión de exportación del filtro de firewall distribuido en los hosts.
  • Todos los hosts del clúster administrado por NSX (NSX-v y NSX-T) deben estar conectados a la misma versión de VDS, y cada host dentro del clúster administrado por NSX debe ser miembro de una única versión de VDS.
Nota:
  • La migración lift-and-shift de la configuración solo de DFW no implica la migración de hosts de NSX-v a NSX-T. Por lo tanto, no es obligatorio que la versión de ESXi que se utiliza en el entorno de NSX-v sea compatible con NSX-T.
  • En esta guía se explica el flujo de trabajo de migración de solo DFW en la interfaz de usuario del coordinador de migración. Si utiliza NSX-T 3.1, esta migración solo se admite con las API de NSX-T. Para migrar usando las API, consulte las llamadas de API que se explican en la sección Proceso de migración lift-and-shift en el artículo NSX Tech Zone.
  • En el modo de migración solamente de DFW del coordinador de migración, el estado de firewall (DVFilter) para las sesiones de conexión existentes se mantiene durante la migración, incluido vMotion. El estado del firewall se mantiene independientemente de si las máquinas virtuales se migran dentro de una sola vCenter Server o entre distintos vCenter Servers. Además, la pertenencia dinámica en las reglas de firewall se mantiene después de que el coordinador de migración migre las etiquetas de seguridad a las máquinas virtuales de carga de trabajo.
  • Los objetos que se crean durante la migración no se deben actualizar ni eliminar antes de que finalice la migración. Sin embargo, puede crear objetos adicionales en NSX-T, si es necesario.
  • En NSX-T, DFW está habilitado por defecto. De forma predeterminada, se permiten todos los flujos con orígenes y destinos como "cualquiera" en las reglas de DFW. Cuando el firewall distribuido está habilitado en el entorno de NSX-T, no podrá migrar las máquinas virtuales de carga de trabajo de NSX-T a NSX-v. No se admite la reversión de las máquinas virtuales de carga de trabajo migradas. La solución es agregar las máquinas virtuales de carga de trabajo a la lista de exclusión del firewall de NSX-T y, a continuación, migrar las máquinas virtuales de carga de trabajo de nuevo a NSX-v mediante vSphere vMotion.
  • La migración automatizada de las configuraciones de DFW admite máquinas virtuales de carga de trabajo conectadas a conmutadores lógicos NSX-v. Estas máquinas virtuales se migrarán a segmentos superpuestos de NSX-T. Las máquinas virtuales de carga de trabajo de NSX-v asociadas a grupos de puertos virtuales distribuidos de vSphere no se migran automáticamente a grupos de puertos virtuales distribuidos de NSX. Como solución alternativa, deberá crear los grupos de puertos virtuales distribuidos de NSX manualmente y asociarles las máquinas virtuales de carga de trabajo.
  • Las listas de exclusión de DFW no se migran. Debe volver a crearlas en NSX-T después de la migración.
  • Los puertos lógicos y los conmutadores que se crean durante la migración no se eliminan cuando se eliminan las máquinas virtuales de carga de trabajo. Debe eliminar estos puertos y conmutadores a través de la API o la interfaz de NSX Manager.