Compruebe el entorno de NSX-V antes de iniciar una migración de extremo a extremo.

Estado del sistema

Compruebe los siguientes estados del sistema:

  • Si su entorno es vSphere 7.0 o una versión posterior, actualice VDS a la versión 7.0 o una posterior.
  • Compruebe que los componentes de NSX-V estén en un estado en verde en el panel de control de NSX.
  • Compruebe que todos los hosts ESXi estén en un estado operativo. Solucione los problemas con los hosts, incluidos los estados desconectados. No debe haber reinicios ni tareas pendientes para entrar en el modo de mantenimiento.
  • Compruebe que no haya actualizaciones de NSX-V en curso.
  • Compruebe el estado de publicación de Distributed Firewall y Service Composer para asegurarse de que no haya ningún cambio sin publicar.
  • Puede tener vSphere High Availability (HA) habilitado si el entorno de NSX-V tiene VDS 7.0 o una versión posterior.

    Nota: HA no es compatible con versiones anteriores de VDS. Esto se debe a que si el entorno de NSX-V tiene VDS 6.5 o 6.7, y los puertos de vmkernel (vmks) están conectados a VDS, durante una migración local, los hosts y las máquinas virtuales pueden perder la conectividad de red durante un período de tiempo suficiente para activar HA. El mecanismo de HA intentará apagar, migrar y reiniciar las máquinas virtuales. Es posible que se produzca un error debido a que el entorno de NSX-V se está migrando a NSX-T. Como resultado, después de la migración, las máquinas virtuales pueden permanecer apagadas o no tener conectividad de red si están encendidas. Para evitar esta situación, deshabilite HA o asocie el VMK de administración a un VSS antes de iniciar la migración.

Configuración general

  • Realice una copia de seguridad de los entornos NSX-V y vSphere. Consulte "Copia de seguridad y restauración de NSX" en la Guía de administración de NSX.
  • Debe establecer el puerto de VXLAN en 4789. Si el entorno de NSX-V utiliza un puerto diferente, debe cambiarlo antes de poder migrar. Consulte "Cambiar el puerto VXLAN" en la Guía de administración de NSX de NSX-V.

Configuración del controlador

  • Las zonas de transporte de NSX-V que utilizan multidifusión o el modo de replicación híbrido no se pueden migrar. Se requiere un clúster de NSX Controller si VXLAN está en uso. Las topologías de microsegmentación respaldadas por VLAN no utilizan VXLAN y, por tanto, no requieren un clúster de NSX Controller.

Configuración de hosts

  • En todos los clústeres de hosts en el entorno de NSX-V, compruebe estas opciones y actualice si es necesario:
    • Establezca vSphere DRS según corresponda.

      Deshabilite vSphere DRS si se aplica una de las siguientes opciones:

      • Se utilizará el modo de migración Local. En este modo, los hosts no se ponen en modo de mantenimiento durante la migración y las máquinas virtuales experimentarán una interrupción de la red y del almacenamiento de red durante la migración. Este modo solo está disponible si el entorno es vSphere 6.x (VDS se migrará a N-VDS).
      • Se utilizará el modo de migración Mantenimiento manual. Si decide utilizar vMotion para migrar máquinas virtuales, puede deshabilitar vSphere DRS, o establecer el nivel de automatización de vSphere DRS en Manual, Parcialmente automatizado o Completamente automatizado.
      • Se utilizará el modo de migración Mantenimiento automatizado y la versión de VDS será la 6.5 o la 6.7.

      Establezca el modo de vSphere DRS en Completamente automatizado si:

      • Se utilizará el modo de migración Mantenimiento automatizado y la versión de VDS será la 7.0.

      Tenga en cuenta que en el modo Mantenimiento automatizado, el coordinador de migración no volverá a configurar las máquinas virtuales que están apagadas. Después de la migración, debe configurar manualmente estas máquinas virtuales antes de encenderlas.

  • Para migrar las reglas de servicio de introspección de red, utilice el modo de migración de host Mantenimiento. No se admite el modo de migración Local.
  • Si tiene hosts que tienen instalado NSX-V, pero no se agregan a una instancia de vSphere Distributed Switch, debe agregarlos a los conmutadores distribuidos si desea migrarlos a NSX-T. Consulte Configurar los hosts no asociados a instancias de vSphere Distributed Switch para obtener más información.
  • En cada clúster que tenga NSX-V instalado, compruebe si Distributed Firewall está habilitado. Puede ver el estado habilitado en Instalación y actualización > Preparación del host.

    Si se habilita Distributed Firewall en cualquier clúster de NSX-V antes de la migración, se habilita en todos los clústeres cuando migran a NSX-T. Determine el impacto de habilitar Distributed Firewall en todos los clústeres y cambie la configuración de Distributed Firewall si es necesario.

Configuración de puerta de enlace de servicios Edge

  • Es posible que deba realizar cambios en la configuración de redistribución de rutas de NSX-V antes de que se inicie la migración.
    • Los filtros de redistribución no se migran. Para BGP, los filtros se pueden mover al nivel de vecino de BGP.
    • Después de la migración, las rutas aprendidas dinámicamente entre el enrutador lógico distribuido y la puerta de enlace de servicios Edge se convertirán en rutas estáticas y se redistribuirán en BGP u OSPF. Si necesita filtrar cualquiera de estas rutas, puede configurarlas en el nivel de vecino de BGP o configurar manualmente las reglas de redistribución en NSX-T después de que se complete la migración de la configuración y antes de la migración total. Tenga en cuenta que si revierte la migración, también se eliminará la configuración manual de las reglas de redistribución.
    • La configuración de MTU predeterminada es 1500 en NSX-T. Si tiene requisitos de configuración de MTU no predeterminados, puede cambiar la configuración. Consulte Cambiar la configuración de MTU global.
  • NSX-V es compatible con las sesiones de VPN de IPSec basadas en directivas donde las subredes locales y del mismo nivel de dos o más sesiones se superponen entre sí. Este comportamiento no se admite en NSX-T. Debe volver a configurar las subredes para que no se superpongan antes de iniciar la migración. Si no se resuelve este problema de configuración, se produce un error en el paso Migrar configuración.
  • Si tiene una puerta de enlace de servicios Edge que realiza una función de equilibrador de carga "one-armed", deberá cambiar las siguientes configuraciones si están presentes antes de importar la configuración:
    • Si la puerta de enlace de servicios Edge tiene una interfaz configurada para administración, debe eliminarla antes de la migración. Solo puede tener una interfaz conectada en una puerta de enlace de servicios Edge que proporcione una función de equilibrador de carga de un solo brazo. Si tiene más de una interfaz, se producirá un error en el paso Migrar configuración.
    • Si se deshabilita el firewall de puerta de enlace de servicios Edge y la regla predeterminada se establece en Denegar, debe habilitar el firewall y cambiar la regla predeterminada a Aceptar. Después de la migración, el firewall está habilitado en la puerta de enlace de nivel 1 y entra en efecto la regla predeterminada Aceptar. Cambiar la regla predeterminada a Aceptar antes de la migración impide que el tráfico entrante al equilibrador de carga se bloquee.
  • Compruebe que las puertas de enlace de servicios Edge estén todas conectadas correctamente a la topología que se está migrando. Si las puertas de enlace de servicios Edge forman parte del entorno de NSX-V, pero no están asociadas correctamente al resto del entorno, no se migran.
    Por ejemplo, si una puerta de enlace de servicios Edge está configurada como un equilibrador de carga "one-armed", pero tiene una de las siguientes configuraciones, no se migra:
    • La puerta de enlace de servicios Edge no tiene una interfaz de vínculo superior conectada a un conmutador lógico.
    • La puerta de enlace de servicios Edge tiene una interfaz de vínculo superior conectada a un conmutador lógico, pero la dirección IP de vínculo superior no coincide con la subred asociada con el enrutador lógico distribuido que se conecta al conmutador lógico.

Configuración de seguridad

  • Si tiene pensado utilizar vMotion para mover las máquinas virtuales durante la migración, deshabilite todas las directivas de SpoofGuard en NSX-V para evitar la pérdida de paquetes.
    • El modo Mantenimiento automatizado utiliza DRS y vMotion para mover las máquinas virtuales durante la migración.
    • En el modo Mantenimiento manual, puede utilizar vMotion de forma opcional para mover las máquinas virtuales durante la migración.
    • El modo de migración Local no utiliza vMotion.

Configuración del grupo de seguridad

Si las directivas de seguridad existentes contienen reglas de servicio Guest Introspection que se aplican a grupos de seguridad con miembros de máquinas virtuales estáticos o dinámicos que no sean máquinas virtuales, siga estos pasos:
  1. Cree nuevos grupos de seguridad con máquinas virtuales solo en los criterios de pertenencia dinámica. Asegúrese de que los criterios de pertenencia dinámica generen los mismos miembros efectivos de la máquina virtual que los grupos de seguridad originales.
  2. Antes de iniciar la migración, actualice las directivas de seguridad existentes para aplicar los nuevos grupos de seguridad a las reglas de servicio Guest Introspection.

    Si prefiere no actualizar las directivas de seguridad existentes antes de la migración, puede seguir manteniendo los nuevos grupos de seguridad listos con los criterios de pertenencia dinámica correctos en el entorno de NSX-V. En el paso Resolver configuración del proceso de migración, se le pedirá que proporcione grupos de seguridad alternativos.

Sincronización de Service Composer

Asegúrese de que Service Composer esté sincronizado con el firewall distribuido antes de iniciar la migración. Una sincronización manual garantiza que si realiza cambios en la configuración de la directiva antes de iniciar la migración, estos cambios también se aplicarán a las directivas de seguridad que se crearon con Security Composer. Por ejemplo, edite el nombre del grupo de seguridad que se utiliza en una regla de Firewall antes de iniciar la migración.

Para comprobar si el estado de Service Composer está sincronizado, siga estos pasos:
  1. En vSphere Client, vaya a Redes y seguridad > Seguridad > Service Composer.
  2. Haga clic en la pestaña Directivas de seguridad.
  3. Compruebe que el estado de sincronización sea En sincronización. Si no está sincronizado, haga clic en Sincronizar.

Es recomendable hacer clic siempre en el botón Sincronizar antes de iniciar la migración, incluso cuando el estado de la sincronización se muestre en color verde. Realice esta sincronización manual independientemente de si realizó cambios de última hora en la configuración de la directiva.

Durante la migración, si el estado de Service Composer no está sincronizado, el paso Resolver configuración mostrará una advertencia. Para omitir la migración de las directivas de seguridad creadas mediante Service Composer, omita las secciones relevantes de firewall distribuido. De forma alternativa, puede revertir la migración, obtener Service Composer en sincronización con el firewall distribuido y reiniciar la migración.