Solo se puede actualizar desde la versión de vShield 5.5 a NSX Edge 6.2.x. Si tiene una versión anterior de vShield Edge en su infraestructura, debe actualizar a la versión 5.5 antes de actualizar a la versión 6.2.x. Para más información sobre cómo actualizar a la versión 5.5, consulte la Guía de instalación y actualización de vShield (vShield Installation and Upgrade Guide) versión 5.5.

Antes de empezar

  • Compruebe que vShield Manager está actualizado a NSX Manager.

  • Tenga en cuenta el impacto operativo que produce la actualización de NSX Edge cuando la actualización está en curso. Consulte Impactos operativos de las actualizaciones de vCloud Networking and Security.

  • Compruebe que cuenta con un grupo de identificadores de segmento local aunque no tenga previsto crear conmutadores lógicos de NSX.

  • Compruebe que los hosts tienen recursos suficientes para implementar dispositivos de puerta de enlace de servicios NSX Edge durante la actualización, sobre todo si está actualizando varios dispositivos NSX Edge en paralelo. Consulte Requisitos del sistema para NSX para los recursos que sean necesarios según el tamaño de NSX Edge.

    • Para una instancia sencilla de NSX Edge son necesarios dos dispositivos NSX Edge del tamaño adecuado que se mantengan encendidos durante la actualización.

    • A partir de la versión 6.2.3 de NSX, al actualizar una instancia de NSX Edge con High Availability, se implementarán los dos dispositivos de sustitución antes de reemplazar los dispositivos anteriores. Esto significa que habrá cuatro dispositivos NSX Edge de tamaño adecuado en el estado poweredOn durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se actualice de nuevo, cualquiera de los dispositivos con HA podrá activarse.

    • Antes de la versión 6.2.3 de NSX, al actualizar una instancia de NSX Edge con High Availability, solo se implementaba un dispositivo de sustitución a la vez cuando se sustituían los dispositivos antiguos. Esto significa que habrá tres dispositivos NSX Edge del tamaño adecuado en el estado poweredOn durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se actualiza, el dispositivo NSX Edge con HA con índice 0 se suele activar.

  • Si tiene habilitada la VPN de Capa 2 en NSX Edge, debe eliminar su configuración antes de iniciar la actualización. Después de la actualización, puede volver a configurar la VPN de Capa 2.

Por qué y cuándo se efectúa esta tarea

Durante el proceso de actualización, se implementa un nuevo dispositivo virtual Edge junto con el existente. Cuando el nuevo dispositivo Edge está listo, las vNIC del dispositivo Edge anterior se desconectan y se conectan las del nuevo Edge. A continuación, el nuevo Edge envía paquetes gratuitos de ARP (GARP) para actualizar la caché de ARP de los conmutadores conectados. Cuando se implementa HA, el proceso de actualización se realiza dos veces.

Este proceso puede afectar de forma temporal el reenvío de paquetes. Para minimizar el impacto, configure el dispositivo Edge para que funcione en modo ECMP.

Las adyacencias de OSPF se retiran durante la actualización si el reinicio estable no está habilitado.

Procedimiento

  1. En vSphere Web Client, seleccione Redes y seguridad (Networking & Security) > NSX Edge.
  2. Haga doble clic en cada instancia de NSX Edge y, antes de actualizar, compruebe que tiene establecida la siguiente configuración.
    1. Haga clic en Administrar > VPN > VPN de Capa 2 (Manage > VPN > L2 VPN) y compruebe si la VPN de Capa 2 está habilitada. Si es así, elimine la configuración de la VPN de Capa 2 después de apuntar los detalles de dicha configuración.
    2. Haga clic en Administrar > Enrutamiento > Rutas estáticas y compruebe si alguna de las rutas estáticas no tiene la configuración del siguiente salto. Si alguna no la tiene, agregue el siguiente salto antes de actualizar NSX Edge.
  3. Para cada instancia de NSX Edge, seleccione la opción Versión de actualización (Upgrade Version) en el menú Acciones (Actions).

    Si en la actualización aparece el mensaje de error "No se pudo implementar el dispositivo Edge" (Failed to deploy edge appliance), asegúrese de que el host donde se implementa el dispositivo NSX Edge esté conectado y no esté en modo de mantenimiento.

Resultados

Una vez que NSX Edge se actualiza correctamente, el Estado (Status) se implementa (Deployed) y la columna Versión (Version) muestra la nueva versión de NSX.

Si un dispositivo Edge no se puede actualizar y tampoco hay una reversión a la versión anterior, haga clic en el icono Volver a implementar NSX Edge (Redeploy NSX Edge) e intente actualizar nuevamente.

Las reglas del firewall de NSX Edge no admiten sourcePort, por eso las reglas de la versión 5.5 de vShield Edge que contienen sourcePort se modifican durante la actualización tal y como se especifica a continuación:

  • Si no existen aplicaciones que se usen en la regla, se crea un servicio con protocol=any, port=any y sourcePort=asDefinedInTheRule.

  • Si en la regla se usan aplicaciones o grupos de aplicaciones, estos objetos agrupados se duplican al agregarles el sourcePort. Debido a esto, el identificador groupingObjectIds utilizado en la regla del firewall cambia tras la actualización.

Las reglas de firewall de usuario en NSX Edge 6.x no generan IPSets ni applicationSets internos basados en entradas procedentes de API de REST. En su lugar, se mantendrán en el formato sin procesar. Durante la actualización, el IPSet y los applicationSets generados internamente se utilizan para crear reglas con datos sin procesar. El identificador interno groupingObjects ya no aparecerá en las reglas de firewall (firewallRules) del usuario.

Qué hacer a continuación

Vuelva a configurar la VPN de Capa 2. Consulte la Descripción general de la VPN de Capa 2 en la Guía de instalación de NSX.

Actualizar Guest Introspection