In this migration, the migration coordinator migrates only the Distributed Firewall configuration from NSX Data Center for vSphere to NSX-T Data Center.

Les configurations d'objets logiques suivantes sont migrées :
  • Règles de pare-feu distribué (DFW) définies par l'utilisateur
  • Regroupement des objets
    • Ensembles d'adresses IP
    • Ensembles d'adresses MAC
    • Groupes de sécurité
    • Services et groupes de services
    • Balises de sécurité
  • Stratégies de sécurité créées à l'aide de Service Composer (seules les configurations de règles DFW sont migrées)

    La configuration du service Guest Introspection et les configurations de règle d'introspection réseau dans Service Composer ne sont pas migrées.

Depending on the DFW configuration, there are two ways to migrate the workload VMs after you migrate the DFW configuration. If "Applied To" is set to "DFW" and all the rules are IP-based, you only need to follow the procedure Migrer les VM de charge de travail (cas simple). In the cases listed below, you must follow the procedures Créer des groupes de machines virtuelles pour la migration de la charge de travail and Migrer les VM de charge de travail (cas complexe).
  • If "Applied To" is set to "DFW" in all the rules, and there are rules with Security Groups with dynamic memberships based on Security Tags or with static memberships.
  • If "Applied To" is set to a universal security group or a universal logical switch in any rule, and there are rules with Security Groups with dynamic memberships based on Security Tags or with static memberships.
  • If "Applied To" is set to a universal security group or a universal logical switch in any rule, and all the rules are IP-based.

À partir de NSX-T 3.1.1, la migration d'un déploiement de site unique NSX for vSphere qui contient un NSX Manager en mode principal, aucune instance secondaire de NSX Manager et des objets universels sur le site principal est prise en charge. Un tel déploiement de site unique NSX for vSphere est migré vers un environnement de site unique NSX-T (non fédéré) avec des objets locaux uniquement.

Pour voir une liste détaillée de toutes les configurations prises en charge pour la migration de la configuration de pare-feu distribué, reportez-vous à la section Prise en charge détaillée des fonctionnalités du coordinateur de migration.

You have the following migration goals:
  • Use the migration coordinator to migrate only the existing Distributed Firewall configuration from NSX-v to NSX-T Data Center.
  • Use Layer 2 Edge bridge and vSphere vMotion to migrate workload VMs from NSX-v to NSX-T.

To extend Layer 2 networks, you can use the NSX-T native Edge bridge.

Important : Lorsque vous utilisez l'approche « lift-and-shift » pour migrer la configuration DFW de NSX-v vers NSX-T, vous devez exécuter le mode de migration « DFW uniquement » du coordinateur de migration une seule fois. Une fois que la configuration DFW est migrée vers NSX-T, vous ne devez pas mettre à jour la configuration DFW dans votre environnement NSX-v et réexécuter le mode de migration « DFW uniquement ». Il n'est pas recommandé d'exécuter plusieurs fois le mode de migration « DFW uniquement ».

Prerequisites for DFW-Only Migration

  • Supported software version requirements:
    • Les versions 6.4.4, 6.4.5, 6.4.6, 6.4.8 et ultérieures de NSX-v sont prises en charge.
    • NSX-T Data Center version 3.1 or later.

      NSX-T 3.1 supports this migration only with APIs. Migration with UI is available starting in NSX-T 3.1.1.

  • A new NSX-T Data Center is prepared for this migration, and a Layer 2 bridge is pre-configured to extend the VXLAN Logical Switch in NSX-v to the overlay segment in NSX-T Data Center.
  • Aucune règle DFW définie par l'utilisateur n'existe déjà dans l'instance de NSX-T Data Center de destination avant cette migration.
  • Tous les états du volet Présentation du système du tableau de bord NSX-v sont verts.
  • Il n'y a aucune modification non publiée pour les stratégies de pare-feu distribué et de Service Composer dans l'environnement NSX-v.
  • La version d'exportation du pare-feu distribué doit être définie sur 1 000 sur les hôtes NSX-v. Vous devez vérifier la version d'exportation et la mise à jour si nécessaire. Pour plus d'informations, reportez-vous à la section Configurer la version d'exportation du filtre du pare-feu distribué sur des hôtes.
  • All hosts in the NSX-managed cluster (NSX-v as well as NSX-T) must be connected to the same version of VDS and each host within the NSX-managed cluster must be a member of a single version of VDS.
Note :
  • The lift and shift migration of DFW-only configuration does not involve migrating hosts from NSX-v to NSX-T. Therefore, it is not mandatory for the ESXi version that is used in your NSX-v environment to be supported by NSX-T.
  • This Guide explains the DFW-only migration workflow in the migration coordinator UI. If you are using NSX-T 3.1, this migration is supported only with NSX-T APIs. To migrate using APIs, see the API calls that are explained in the Lift and Shift Migration Process section of the NSX Tech Zone article.
  • In DFW-only migration mode of the migration coordinator, the firewall state (DVFilter) for existing connection sessions is maintained throughout the migration including vMotion. The firewall state is maintained regardless of whether the VMs are migrating within a single vCenter Server or across vCenter Servers. Also, the dynamic membership in the firewall rules is maintained after the migration coordinator migrates the Security Tags to the workload VMs.
  • Objects that are created during the migration must not be updated or deleted before the migration is finished. However, you can create additional objects in NSX-T, if necessary.
  • In NSX-T, DFW is enabled out of the box. All flows with sources and destinations as "any" in the DFW rules are allowed by default. When Distributed Firewall is enabled in the NSX-T environment, you cannot migrate the workload VMs again from NSX-T to NSX-v. Roll back of migrated workload VMs is not supported. The workaround is to add the workload VMs to the NSX-T Firewall Exclusion List, and then migrate the workload VMs back to NSX-v using vSphere vMotion.
  • The automated migration of the DFW configurations supports workload VMs that are attached to NSX-V logical switches. These VMs will be migrated to NSX-T overlay segments. Workload VMs in NSX-V that are attached to vSphere Distributed Virtual Port Groups are not automatically migrated to NSX Distributed Virtual Port Groups. As a workaround, you must create the NSX Distributed Virtual Port Groups manually and attach the workload VMs to them.