vCloud Director 8.10 es compatible con NSX Edge 6.x y le permite actualizar vShield Edge a NSX Edge. Si utiliza una versión anterior de vCloud Director, no será compatible con NSX Edge 6.x y no podrá actualizar NSX Edge.

Antes de empezar

  • Compruebe que vShield Manager está actualizado a NSX Manager.

  • Tenga en cuenta el impacto operativo que produce la actualización de NSX Edge cuando la actualización está en curso. Consulte Impactos operativos de las actualizaciones de vCloud Networking and Security.

  • Compruebe que cuenta con un grupo de identificadores de segmento local aunque no tenga previsto crear conmutadores lógicos de NSX.

  • Compruebe que los hosts tienen recursos suficientes para implementar dispositivos de puerta de enlace de servicios NSX Edge durante la actualización, sobre todo si está actualizando varios dispositivos NSX Edge en paralelo. Consulte Requisitos del sistema para NSX para los recursos que sean necesarios según el tamaño de NSX Edge.

    • Para una instancia sencilla de NSX Edge son necesarios dos dispositivos NSX Edge del tamaño adecuado que se mantengan encendidos durante la actualización.

    • A partir de la versión 6.2.3 de NSX, al actualizar una instancia de NSX Edge con High Availability, se implementarán los dos dispositivos de sustitución antes de reemplazar los dispositivos anteriores. Esto significa que habrá cuatro dispositivos NSX Edge de tamaño adecuado en el estado poweredOn durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se actualice de nuevo, cualquiera de los dispositivos con HA podrá activarse.

    • Antes de la versión 6.2.3 de NSX, al actualizar una instancia de NSX Edge con High Availability, solo se implementaba un dispositivo de sustitución a la vez cuando se sustituían los dispositivos antiguos. Esto significa que habrá tres dispositivos NSX Edge del tamaño adecuado en el estado poweredOn durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se actualiza, el dispositivo NSX Edge con HA con índice 0 se suele activar.

  • Si tiene habilitada la VPN de Capa 2 en NSX Edge, debe eliminar su configuración antes de iniciar la actualización. Después de la actualización, puede volver a configurar la VPN de Capa 2.

Por qué y cuándo se efectúa esta tarea

Es posible actualizar vShield Edge a NSX Edge de dos maneras, mediante NSX o a través de vCloud Director.

Para actualizar Edge con vCloud Director, consulte cómo actualizar los sistemas de vCenter Server, los hosts y las instancias de NSX Edge en la Guía de instalación y actualizaciones de vCloud Director (Installation and Upgrade Guide).

Atención:

Si utiliza una versión anterior a vCloud Director 8.10, no actualice NSX Edge.

Procedimiento

  1. En vSphere Web Client, seleccione Redes y seguridad (Networking & Security) > NSX Edge.
  2. Haga doble clic en cada instancia de NSX Edge y, antes de actualizar, compruebe que tiene establecida la siguiente configuración.
    1. Haga clic en Administrar > VPN > VPN de Capa 2 (Manage > VPN > L2 VPN) y compruebe si la VPN de Capa 2 está habilitada. Si es así, elimine la configuración de la VPN de Capa 2 después de apuntar los detalles de dicha configuración.
    2. Haga clic en Administrar > Enrutamiento > Rutas estáticas y compruebe si alguna de las rutas estáticas no tiene la configuración del siguiente salto. Si alguna no la tiene, agregue el siguiente salto antes de actualizar NSX Edge.
  3. Para cada instancia de NSX Edge, seleccione la opción Versión de actualización (Upgrade Version) en el menú Acciones (Actions).

    Si en la actualización aparece el mensaje de error "No se pudo implementar el dispositivo Edge" (Failed to deploy edge appliance), asegúrese de que el host donde se implementa el dispositivo NSX Edge esté conectado y no esté en modo de mantenimiento.

Resultados

Una vez que NSX Edge se actualiza correctamente, el Estado (Status) se implementa (Deployed) y la columna Versión (Version) muestra la nueva versión de NSX.

Si un dispositivo Edge no se puede actualizar y tampoco hay una reversión a la versión anterior, haga clic en el icono Volver a implementar NSX Edge (Redeploy NSX Edge) e intente actualizar nuevamente.

Las reglas del firewall de NSX Edge no admiten sourcePort, por eso las reglas de la versión 5.5 de vShield Edge que contienen sourcePort se modifican durante la actualización tal y como se especifica a continuación:

  • Si no existen aplicaciones que se usen en la regla, se crea un servicio con protocol=any, port=any y sourcePort=asDefinedInTheRule.

  • Si en la regla se usan aplicaciones o grupos de aplicaciones, estos objetos agrupados se duplican al agregarles el sourcePort. Debido a esto, el identificador groupingObjectIds utilizado en la regla del firewall cambia tras la actualización.

Las reglas de firewall de usuario en NSX Edge 6.x no generan IPSets ni applicationSets internos basados en entradas procedentes de API de REST. En su lugar, se mantendrán en el formato sin procesar. Durante la actualización, el IPSet y los applicationSets generados internamente se utilizan para crear reglas con datos sin procesar. El identificador interno groupingObjects ya no aparecerá en las reglas de firewall (firewallRules) del usuario.

Qué hacer a continuación

Vuelva a configurar la VPN de Capa 2. Consulte la Descripción general de la VPN de Capa 2 en la Guía de instalación de NSX.