vCloud Director 8.10 es compatible con NSX Edge 6.x y le permite actualizar vShield Edge a NSX Edge. Si utiliza una versión anterior de vCloud Director, no será compatible con NSX Edge 6.x y no podrá actualizar NSX Edge.

Por qué y cuándo se efectúa esta tarea

Es posible actualizar vShield Edge a NSX Edge de dos maneras, mediante NSX o a través de vCloud Director.

Para actualizar Edge con vCloud Director, consulte cómo actualizar los sistemas de vCenter Server, los hosts y las instancias de NSX Edge en la Guía de instalación y actualizaciones de vCloud Director (Installation and Upgrade Guide).

Atención:

Si utiliza una versión anterior a vCloud Director 8.10, no actualice NSX Edge.

Requisitos

  • Compruebe que vShield Manager está actualizado a NSX Manager.

  • Tenga en cuenta el impacto operativo que produce la actualización de NSX Edge cuando la actualización está en curso. Consulte Impactos operativos de las actualizaciones de vCloud Networking and Security.

  • Compruebe que cuenta con un grupo de identificadores de segmento local aunque no tenga previsto crear conmutadores lógicos de NSX.

  • Compruebe que los hosts tienen recursos suficientes para implementar dispositivos de puerta de enlace de servicios NSX Edge durante la actualización, sobre todo si está actualizando varios dispositivos NSX Edge en paralelo. Consulte los Requisitos del sistema para NSX si desea obtener información sobre los recursos necesarios para el tamaño de cada instancia de NSX Edge.

    • Para una instancia sencilla de NSX Edge son necesarios dos dispositivos NSX Edge del tamaño adecuado que se mantengan encendidos durante la actualización.

    • A partir de la versión 6.2.3 de NSX, al actualizar una instancia de NSX Edge con High Availability, se implementarán los dos dispositivos de sustitución antes de reemplazar los dispositivos anteriores. Esto significa que habrá cuatro dispositivos NSX Edge de tamaño adecuado en el estado poweredOn durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se actualice de nuevo, cualquiera de los dispositivos con HA podrá activarse.

    • Antes de la versión 6.2.3 de NSX, al actualizar una instancia de NSX Edge con High Availability, solo se implementaba un dispositivo de sustitución a la vez cuando se sustituían los dispositivos antiguos. Esto significa que habrá tres dispositivos NSX Edge del tamaño adecuado en el estado poweredOn durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se actualiza, el dispositivo NSX Edge con HA con índice 0 se suele activar.

  • No se admite la actualización de NSX Edge 5.5 o 6.0 con una VPN de Capa 2 habilitada. Debe eliminar la configuración de la VPN de Capa 2 antes de realizar la actualización. Después de la actualización, puede volver a configurar la VPN de Capa 2. Consulte "Descripción general de VPN de Capa 2" en la Guía de instalación de NSX.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSX Edge (NSX Edges).
  3. Para cada instancia de NSX Edge, seleccione la opción Versión de actualización (Upgrade Version) en el menú Acciones (Actions).

    Si en la actualización aparece el mensaje de error "No se pudo implementar el dispositivo Edge" (Failed to deploy edge appliance), asegúrese de que el host donde se implementa el dispositivo NSX Edge esté conectado y no esté en modo de mantenimiento.

Resultados

Una vez que NSX Edge se actualiza correctamente, el Estado (Status) se implementa (Deployed) y la columna Versión (Version) muestra la nueva versión de NSX.

Si un dispositivo Edge no se puede actualizar y tampoco hay una reversión a la versión anterior, haga clic en el icono Volver a implementar NSX Edge (Redeploy NSX Edge) e intente actualizar nuevamente.

Las reglas del firewall de NSX Edge no admiten sourcePort, por eso las reglas de la versión 5.5 de vShield Edge que contienen sourcePort se modifican durante la actualización tal y como se especifica a continuación:

  • Si no existen aplicaciones que se usen en la regla, se crea un servicio con protocol=any, port=any y sourcePort=asDefinedInTheRule.

  • Si en la regla se usan aplicaciones o grupos de aplicaciones, estos objetos agrupados se duplican al agregarles el sourcePort. Debido a esto, el identificador groupingObjectIds utilizado en la regla del firewall cambia tras la actualización.

Las reglas de firewall de usuario en NSX Edge 6.x no generan IPSets ni applicationSets internos basados en entradas procedentes de API de REST. En su lugar, se mantendrán en el formato sin procesar. Durante la actualización, el IPSet y los applicationSets generados internamente se utilizan para crear reglas con datos sin procesar. El identificador interno groupingObjects ya no aparecerá en las reglas de firewall (firewallRules) del usuario.

Qué hacer a continuación

Si es necesario, vuelva a configurar la VPN de Capa 2. Consulte la Descripción general de la VPN de Capa 2 en la Guía de instalación de NSX.