Se puede actualizar a Distributed Firewall únicamente desde la versión 5.5 de vShield App. Si tiene una versión anterior de vShield App en su infraestructura, debe actualizar a la versión 5.5 antes de actualizar a la versión 6.2.x. Para más información sobre cómo actualizar a la versión 5.5, consulte la Guía de instalación y actualización de vShield (vShield Installation and Upgrade Guide) versión 5.5.

Antes de empezar

  • vShield Manager se actualizó a NSX Manager.

  • Los cables virtuales se actualizaron a conmutadores lógicos de NSX. Los usuarios que no utilicen VXLAN deben tener instalados los componentes de virtualización de la red.

  • Si quiere migrar las reglas de vShield App 5.5 a Distributed firewall, no elimine los dispositivos de vShield App antes de actualizar a Distributed firewall.

Por qué y cuándo se efectúa esta tarea

La duración del procedimiento siguiente depende del número de reglas que se encuentren en su entorno. Cuando se migra de vShield App a NSX Distributed Firewall (modo mejorado), se realiza una migración y un envío push de las reglas. Esto interrumpe el tráfico. Esta función se debe realizar durante un periodo de mantenimiento.

Procedimiento

  1. Tras preparar todos los clústeres de su entorno para los componentes de virtualización de la red, un mensaje informa de que el firewall se puede actualizar.

  2. Haga clic en Actualizar (Upgrade).

    Las reglas de vShield App 5.5 migran a NSX siguiendo este procedimiento:

    1. Se creará una nueva sección en la tabla de firewall para cada espacio de nombre (centro de datos y cables virtuales) que se configuran en la versión 5.5 de vShield App. Cada sección incluye las reglas correspondientes para el firewall.

    2. Todas las reglas de cada sección tienen el mismo valor en el campo Aplicado a (AppliedTo): ID del centro de datos para el espacio de nombres del centro de datos, ID de cables virtuales para el espacio de nombres de cables virtuales e ID de grupo de puertos para el espacio de nombres basado en el grupo de puertos.

    3. Los contenedores que se creen en niveles diferentes de espacios de nombres se trasladan a un nivel global.

    4. El orden de la sección debe ser el siguiente para asegurar que el firewall sigue cumpliendo su función tras la actualización:

      Section_Namespace_Portgroup-1

      ..................

      Section_Namespace_Portgroup-N

      Section_Namespace_VirtualWire-1

      ..................

      Section_Namespace_VirtualWire-N

      Section_Namespace_Datacenter_1

      ..................

      Section_Namespace_Datacenter_N

      Default_Section_DefaultRule

    Cuando la actualización finaliza, en la columna Firewall aparece Habilitado (Enabled).

  3. Haga clic en Inicio > Hosts y clústeres (Home > Hosts and Clusters) y diríjase a los hosts en los que se ejecutan las máquinas virtuales del servicio de vShield App. Desconecte las máquinas virtuales del servicio de vShield App heredado.
  4. Diríjase a Redes y seguridad > Firewall (Networking & Security > Firewall) y revise cada sección y regla actualizadas para comprobar que funcionan correctamente.
  5. Acceda a Instalación (Installation) > pestaña Implementación de servicios (Service Deployment) y compruebe que se han solucionado todas las situaciones de alarma y que el estado del servicio de vShield App heredado sea Correcto (Succeeded).
  6. Si las reglas funcionan correctamente, en la pestaña Implementaciones de servicios (Service Deployments), seleccione vShield App y haga clic en Eliminar implementación de servicio () (Delete Service Deployment ) para eliminar las máquinas virtuales del servicio de vShield App heredado.

Qué hacer a continuación

Actualizar vShield Edge a NSX Edge