Vous pouvez effectuer la mise à niveau vers Distributed Firewall uniquement à partir de vShield App version 5.5. Si vous disposez d'une version antérieure de vShield App dans votre infrastructure, vous devez mettre à niveau vers la version 5.5 avant de mettre à niveau vers la version 6.2.x. Pour plus d'informations sur la mise à niveau vers la version 5.5, consultez le Guide d'installation et de mise à niveau de vShield version 5.5.

La durée de la procédure suivante dépend du nombre de règles dans votre environnement. Lorsque vous effectuez la migration de vShield App vers NSX Distributed Firewall (mode amélioré), les règles sont migrées et transférées. Cela provoque une interruption du trafic. Ce travail doit être effectué lors d'une période de maintenance.

Conditions préalables

  • vShield Manager a été mis à niveau vers NSX Manager.

  • Les câbles virtuels ont été mis à niveau vers les commutateurs logiques NSX. Pour les utilisateurs non-VXLAN, des composants de virtualisation réseau ont été installés.

  • Si vous voulez migrer des règles de vShield App 5.5 vers Distributed Firewall, ne supprimez pas les dispositifs vShield App avant la mise à niveau vers Distributed Firewall.

Procédure

  1. Lorsque vous avez préparé tous les clusters dans votre environnement pour les composants de virtualisation réseau, un message indique que le pare-feu est prêt à être mis à niveau.

  2. Cliquez sur Mettre à niveau (Upgrade).

    Les règles de vShield App 5.5 sont migrées vers NSX de la façon suivante :

    1. Une section est créée dans la table de pare-feu centrale pour chaque espace de noms (centre de données et câble virtuel) configuré dans vShield App version 5.5. Chaque section inclut les règles de pare-feu correspondantes.

    2. Toutes les règles de chaque section ont la même valeur dans le champ AppliedTo : ID de centre de données pour l'espace de noms du centre de données, ID de câble virtuel pour l'espace de noms du câble virtuel et ID de groupe de ports pour l'espace de noms basé sur un groupe de ports.

    3. Les conteneurs créés à différents niveaux d'espace de noms sont déplacés vers le niveau global.

    4. L'ordre de la section est celui indiqué ci-dessous pour s'assurer que le comportement du pare-feu reste le même après la mise à niveau :

      Section_Namespace_Portgroup-1

      ..................

      Section_Namespace_Portgroup-N

      Section_Namespace_VirtualWire-1

      ..................

      Section_Namespace_VirtualWire-N

      Section_Namespace_Datacenter_1

      ..................

      Section_Namespace_Datacenter_N

      Default_Section_DefaultRule

    Après la mise à niveau, la colonne de pare-feu affiche Activé (Enabled).

  3. Cliquez sur Accueil (Home) > Hôtes et clusters (Hosts and Clusters) et accédez aux hôtes sur lesquels des machines virtuelles de service vShield App sont en cours d'exécution. Arrêtez les anciennes machines virtuelles de service vShield App.
  4. Accédez à Networking & Security > Pare-feu (Firewall) et inspectez chaque section et règle mises à niveau, puis vérifiez qu'elles fonctionnent comme prévu.
  5. Accédez à l'onglet Installation > Déploiements de services (Service Deployments) et vérifiez que toutes les alarmes sont résolues et que l'état de l'ancien service vShield App indique Réussi (Succeeded).
  6. Si les règles fonctionnent correctement, dans l'onglet Déploiements de services (Service Deployments), sélectionnez vShield App et cliquez sur Supprimer un déploiement de services (Delete Service Deployment) () pour supprimer les anciennes machines virtuelles de service vShield App.

Que faire ensuite

Mettre à niveau vShield Edge vers NSX Edge