En este modo de migración, se migra la configuración del firewall distribuido (DFW) de NSX-V a NSX-T. Si tiene el firewall de identidad (IDFW) configurado, también se migrará.
Para obtener más información sobre la migración de IDFW, consulte Migración del firewall de identidad (de extremo a extremo y lift-and-shift).
- Reglas de firewall distribuido (DFW) definidas por el usuario
- Objetos de agrupamiento
- Conjuntos de direcciones IP
- Conjuntos de direcciones MAC
- Grupos de seguridad
- Servicios y grupos de servicios
- Etiquetas de seguridad
- Directivas de seguridad creadas con Service Composer (solo se migran las configuraciones de reglas de DFW)
No se migran las configuraciones de la regla de introspección de red y la configuración del servicio de Guest Introspection en Service Composer.
Según la configuración de DFW, existen dos formas de migrar las máquinas virtuales de carga de trabajo después de migrar la configuración de DFW. Si "Se aplica a" no está configurado en ninguna de las reglas de DFW (esto significa que A "Se aplica a" se le asigna el valor "DFW"), puede utilizar vSphere Client para migrar las máquinas virtuales de carga de trabajo (siga el procedimiento Migrar máquinas virtuales de carga de trabajo (caso simple)). De lo contrario, deberá utilizar un script para migrar las máquinas virtuales (siga el procedimiento Migrar máquinas virtuales de carga de trabajo (caso complejo)).
La migración de una implementación de NSX-V de un solo sitio que contiene una instancia de NSX Manager en modo principal, no se admiten instancias secundarias de NSX Manager con objetos universales en el sitio principal. Una implementación de NSX-V de un solo sitio se migra a un entorno de NSX-T de un solo sitio (no federado) solo con objetos locales.
Para obtener una lista detallada de todas las configuraciones admitidas para la migración de la configuración del firewall distribuido, consulte Compatibilidad de funciones detallada para la migración.
- Migre solo la configuración de firewall distribuido existente de NSX-V a NSX-T.
- Utilice el puente de Edge de capa 2 y vSphere vMotion para migrar las máquinas virtuales de carga de trabajo de NSX-V a NSX-T.
Para ampliar las redes de capa 2, puede utilizar el puente de Edge nativo de NSX-T.
Requisitos previos para la migración de solo DFW
- Se prepara un nuevo entorno de NSX-T para esta migración.
- No existen reglas de DFW definidas por el usuario en NSX-T antes de la migración.
- Todos los estados del panel Información general del sistema del panel de control de NSX-V están en color verde.
- No hay cambios sin publicar para el firewall distribuido y las directivas de Service Composer en el entorno de NSX-V.
- Todos los hosts del clúster administrado por NSX (NSX-V y NSX-T) deben estar conectados a la misma versión de VDS, y cada host dentro del clúster administrado por NSX debe ser miembro de una única versión de VDS.
- La migración lift-and-shift de la configuración solo de DFW no implica la migración de hosts de NSX-V a NSX-T. Por lo tanto, no es obligatorio que la versión de ESXi que se utiliza en el entorno de NSX-V sea compatible con NSX-T.
- En el modo de migración solo de DFW, el estado de firewall (DVFilter) para las sesiones de conexión existentes se mantiene durante la migración, incluido vMotion. El estado del firewall se mantiene independientemente de si las máquinas virtuales se migran dentro de una sola vCenter Server o entre distintos vCenter Servers. Además, la pertenencia dinámica en las reglas de firewall se mantiene después de que las etiquetas de seguridad se migren a las máquinas virtuales de carga de trabajo.
- Los objetos que se crean durante la migración no se deben actualizar ni eliminar antes de que finalice la migración. Sin embargo, puede crear objetos adicionales en NSX-T, si es necesario.
- En NSX-T, DFW está habilitado por defecto. De forma predeterminada, se permiten todos los flujos con orígenes y destinos como "cualquiera" en las reglas de DFW. Cuando el firewall distribuido está habilitado en el entorno de NSX-T, no podrá migrar las máquinas virtuales de carga de trabajo de NSX-T a NSX-V. No se admite la reversión de las máquinas virtuales de carga de trabajo migradas. La solución es agregar las máquinas virtuales de carga de trabajo a la lista de exclusión del firewall de NSX-T y, a continuación, migrar las máquinas virtuales de carga de trabajo de nuevo a NSX-V mediante vSphere vMotion.
- La migración automatizada de las configuraciones de DFW admite máquinas virtuales de carga de trabajo conectadas a conmutadores lógicos NSX-v. Estas máquinas virtuales se migrarán a segmentos superpuestos de NSX-T. Las máquinas virtuales de carga de trabajo de NSX-v asociadas a grupos de puertos virtuales distribuidos de vSphere no se migran automáticamente a grupos de puertos virtuales distribuidos de NSX. Como solución alternativa, deberá crear los grupos de puertos virtuales distribuidos de NSX manualmente y asociarles las máquinas virtuales de carga de trabajo.
- Las listas de exclusión de DFW no se migran. Debe volver a crearlas en NSX-T después de la migración.
- Los puertos lógicos y los conmutadores que se crean durante la migración no se eliminan cuando se eliminan las máquinas virtuales de carga de trabajo. Debe eliminar estos puertos y conmutadores a través de la API o la interfaz de NSX Manager.
- Los segmentos predeterminados en NSX-T no admiten servidores DHCP y provocarán que los servidores estén inactivos después de la migración.