Quando i criteri di sicurezza nell'ambiente NSX-V utilizzano solo un servizio Network Introspection fornito da un partner, sono disponibili due approcci per eseguire la migrazione degli host preparati da NSX-V in NSX.

Entrambi gli approcci illustrati in questo argomento presuppongono che le macchine virtuali del servizio partner nell'ambiente NSX-V non vengano eliminate prima di avviare il coordinatore della migrazione. In base al tempo di inattività per la protezione della sicurezza che si è disposti ad accettare durante la migrazione degli host, scegliere l'approccio di migrazione degli host più adatto alle proprie esigenze.

Nota: Consultare il partner VMware prima di eseguire la migrazione degli host utilizzando uno dei due approcci. Verificare con il partner se il proprio servizio sia supportato per la migrazione in NSX e cercare gli input prima della migrazione. I partner avranno le istruzioni necessarie per migrare il proprio servizio in NSX.

Quando solo il servizio Network Introspection è in esecuzione sugli host di NSX-V la modalità di migrazione dell'host nella stessa posizione non è supportata. È supportata solo la modalità di migrazione Manutenzione. È tuttavia consigliabile utilizzare la modalità di migrazione della Manutenzione automatica.

Approccio 1: richiede più tempo di inattività per la protezione della sicurezza

Questo approccio è il più semplice dei due approcci di migrazione degli host. Tuttavia, l'operazione implica un tempo di inattività di protezione della sicurezza maggiore rispetto all'approccio 2. Si supponga di avere tre cluster nell'ambiente NSX-V: Cluster 1, Cluster 2 e Cluster 3.

In questo approccio, abilitare l'impostazione di migrazione Pausa tra i gruppi e migrare il Cluster 1 utilizzando la procedura standard di migrazione degli host descritta in Migrazione di host di NSX-V. Dopo la migrazione del cluster 1 in NSX, la migrazione si interrompe. Distribuire il servizio partner in Cluster 1 eseguendo una distribuzione del servizio basato su host o in cluster. A questo punto, disabilitare l'impostazione di migrazione Pausa tra i gruppi e continuare la migrazione dei cluster 2 e 3. Dopo la migrazione delle macchine virtuali del carico di lavoro nei Cluster 2 e 3 in NSX, questi carichi di lavoro possono iniziare a reindirizzare i pacchetti alle macchine virtuali del servizio partner nel cluster 1.

In questo approccio, è previsto un tempo di inattività della protezione della sicurezza durante la migrazione di Cluster 1.

Quando le macchine virtuali del carico di lavoro effettuano la migrazione a un host di NSX è previsto un tempo di inattività del traffico dati esistente durante la migrazione dell'host. Tuttavia, il nuovo traffico dati non dispone di un tempo di inattività per la protezione della sicurezza.

Approccio 2: richiede un tempo di inattività minimo per la protezione della sicurezza

Questo approccio richiede un intervento manuale con un'API di NSX per creare un gruppo host temporaneo. Abilitare l'impostazione di migrazione Pausa tra i gruppi e migrare qualsiasi host dal Cluster 1. Dopo la migrazione dell'host in Cluster 1 in NSX, il coordinatore della migrazione si interrompe. Distribuire un servizio partner in questo host migrato eseguendo una distribuzione del servizio in cluster. Continuare la migrazione degli host rimanenti nel Cluster 1. Dopo la migrazione di tutti gli host nel Cluster 1 in NSX, è possibile distribuire facoltativamente ulteriori SVM partner nel Cluster 1 eseguendo una distribuzione del servizio basato su host o in cluster.

La procedura dettagliata in questo argomento illustra il workflow di migrazione dell'host per un singolo cluster preparato da NSX-V che include tre host, come illustrato nella figura seguente. La procedura utilizza l'Approccio 2 per migrare questo Cluster 1 in NSX.

Esempio:

Figura 1. Gruppo di host 1 (cluster 1) prima della migrazione

Cluster 1 dispone di tre host preparati NSX for vSphere e ogni host dispone di una macchina virtuale del servizio partner.

Tutti gli host di questo cluster sono host ESXi. I criteri di sicurezza nell'ambiente NSX-V reindirizzano il traffico dei dati alle appliance virtuali del servizio partner che forniscono un servizio network introspection ai carichi di lavoro. Poiché NSX-V supporta solo una distribuzione del servizio basata sull'host, ogni host dispone di una singola macchina virtuale del servizio partner.

Per la migrazione degli host che utilizzano l'approccio 2, sono necessarie le seguenti impostazioni di configurazione:
  • La modalità di migrazione dell'host è impostata su Manutenzione automatica.
  • La pausa tra i gruppi è abilitata.
  • L'ordine di migrazione tra i gruppi è impostato su seriale.

Prerequisiti

  • Verificare che la migrazione dell'Edge sia terminata e che tutte le attività di routing e i servizi funzionino correttamente.
  • Nell'interfaccia utente di VMware vCenter, passare alla pagina Host e cluster e verificare che tutti gli host ESXi siano in uno stato operativo. Risolvere eventuali problemi con gli host, inclusi gli stati disconnessi. Per attivare e disattivare la modalità di manutenzione non devono essere presenti riavvii in sospeso o attività in sospeso.
  • Abilitare vSphere DRS nel cluster in fase di migrazione.
  • Abilitare vMotion sull'adattatore VMkernel di ciascun host nel cluster.
  • Assicurarsi che nel cluster di NSX-V sia disponibile una capacità di riserva adeguata in modo che gli host di migrazione possano passare alla modalità di manutenzione. Se non è disponibile una capacità di riserva sufficiente per eseguire la migrazione delle macchine virtuali del carico di lavoro di NSX-V in altri host del cluster, è previsto un ulteriore tempo di inattività della protezione della sicurezza.

Procedura

  1. Eseguire la seguente richiesta API per creare un gruppo di host temporaneo e spostare gli host 2 e 3 in questo gruppo temporaneo.
    POST https://{nsxt-mgr-ip}/api/v1/migration/migration-unit-groups
    Nel corpo della richiesta di questa API POST, specificare i seguenti dettagli:
    • Nome del gruppo di host temporaneo
    • Unità di migrazione (ID degli host 2 e 3)
    • Stato di migrazione del gruppo temporaneo (deve essere disabilitato)

    Per informazioni dettagliate su questa API e su una richiesta di POST API di esempio, consultare Guida di NSX API.

    È possibile ottenere gli ID host da VMware vCenter Managed Object Browser (MOB) in http://{vCenter-IP-Address}/mob, oppure eseguire la seguente API GET per recuperare gli ID host:

    GET https://{nsxt-mgr-ip}/api/v1/fabric/discovered-nodes

    Viene creato e visualizzato un gruppo di host temporaneo nella pagina Migra gli host. Il gruppo di host originale 1 (cluster 1) ora contiene solo host 1.
  2. Nella pagina Migra gli host accanto a Piano di migrazione host, fare clic su Impostazioni e verificare che le impostazioni siano configurate nel modo seguente:
    • Pausa tra i gruppi: abilitata
    • Ordine di migrazione tra i gruppi: seriale
  3. Eseguire la migrazione dell'host 1 in NSX.
    1. Fare clic su Avvia per avviare la migrazione dell'host.
      Le macchine virtuali del carico di lavoro 1 e 2 vengono migrate in altri host in modo che l'host 1 possa passare a una modalità di manutenzione. SVM partner di NSX-V nell'host 1 viene disattivata prima che l'host 1 entri in modalità di manutenzione.

      Si supponga che le macchine virtuali 1 e 2 siano migrate all'host 3 preparato con NSX-V. Dopo che la migrazione dell'host 1 è stata eseguita correttamente, il coordinatore della migrazione si sospende per l'input successivo.

    2. (Obbligatorio) Distribuire un servizio partner nell'host 1 utilizzando l'approccio di distribuzione in cluster.

      In questa fase, la distribuzione del servizio basato sull'host non è supportata. La distribuzione di un servizio partner nell'host 1 è necessaria per ridurre al minimo i tempi di inattività della protezione della sicurezza. Tenere presente che la protezione della sicurezza per i carichi di lavoro di NSX-V in esecuzione negli host 2 e 3 è ancora intatta. Il partner deve assicurarsi che i criteri di sicurezza specifici dei partner migrati siano disponibili nelle SVM del partner appena distribuite nell'host 1.

      Per la procedura dettagliata sulla distribuzione di un servizio partner in NSX, consultare Distribuzione di un servizio partner per Network Introspection. Ad esempio, specificare le seguenti impostazioni di configurazione per distribuire due macchine virtuali del servizio partner (SVM) nell'host 1:
      Configurazione Valore
      Tipo di distribuzione In cluster
      Host Host 1
      Numero di distribuzioni in cluster 2

      Il valore immesso nella casella di testo Numero di distribuzioni in cluster dipende dalla capacità delle risorse disponibile nell'host. In questo scenario si presuppone che siano disponibili due SVM partner nell'host 1. Questo valore può essere diverso nell'ambiente in uso.

      Dopo questo passaggio, il cluster è simile a quello illustrato nella figura seguente. L'host di colore verde rappresenta l'host migrato.
      Figura 2. Migrazione dell'host 1 in NSX

      Host 1 viene migrato in NSX-T e in questo host vengono distribuite due macchine virtuali del servizio partner.
  4. Eseguire la migrazione dell'host 2 e dell'host 3 in NSX.
    1. Spostare host 2 e host 3 dal gruppo di host temporaneo al gruppo di host originale 1 eseguendo la seguente richiesta dell'API POST:
      POST https://{nsxt-mgr-ip}/api/v1/migration/migration-unit-groups/{group-id}?action=add_migration_units

      Dove: group-id è l'ID del gruppo host di destinazione (gruppo di host 1). Nel corpo della richiesta dell'API POST, specificare l'ID degli host 2 e 3 che si desidera aggiungere al gruppo di host originale 1.

      Per informazioni dettagliate su questa API POST e su una richiesta di esempio dell'API POST, consultare Guida di NSX API.

      Ora, il gruppo di host originale 1 contiene gli host 1, 2 e 3 (nell'ordine specificato) e il gruppo di host temporaneo viene eliminato.
    2. Selezionare la casella di controllo posta accanto al gruppo di host originale 1 e quindi fare clic su Azioni > Modifica ordine di migrazione all'interno del gruppo. Verificare che l'ordine di migrazione all'interno del gruppo sia impostato su Seriale.
      Se necessario, è possibile impostare l'ordine di migrazione nel gruppo di host originale 1 su Parallelo.
    3. Fare clic su Continua per riprendere la migrazione dell'host.
      Viene innanzitutto eseguita la migrazione di Host 2 in NSX, quindi viene eseguita la migrazione dell'host 3. Per attivare la modalità di manutenzione per ogni host di migrazione, le macchine virtuali dei carichi di lavoro dell'host di migrazione vengono spostate negli host NSX-V o NSX. SVM partner di NSX-V nell'host di migrazione viene disattivata prima che l'host entri in modalità di manutenzione.
    Dopo questo passaggio, tutti gli host nel gruppo di host 1 (cluster 1) sono preparati con NSX. Il cluster è simile a quello illustrato nella figura seguente.
    Figura 3. Tutti gli host vengono migrati in NSX

    Tutti gli host vengono migrati in NSX-T e gli host 2 e 3 non dispongono di alcuna SVM partner NSX-T.
  5. (Facoltativo) Eseguire la migrazione di alcune macchine virtuali del carico di lavoro dagli host 1 e 2 all'host 3.
    Ad esempio, eseguire la migrazione delle macchine virtuali 4 e 5 all'host 3, come illustrato nella figura seguente.
    Figura 4. Cluster finale 1 dopo la migrazione

    Tutti gli host del cluster 1 vengono migrati in NSX-T.
  6. (Facoltativo) A partire da NSX 4.1.1, al termine della migrazione e prima di fare clic su Fine, è possibile fare clic su Genera report migrazione per verificare se alcuni oggetti sono stati migrati correttamente. Quando il report è pronto, fare clic su Scarica report.
    Il report contiene le seguenti informazioni:
    • Macchine virtuali con tag di sicurezza in NSX-V e dopo la migrazione. Se ci sono differenze, verranno elencate.
    • Gruppi di sicurezza in NSX-V e dopo la migrazione. Se ci sono differenze, verranno elencate.
  7. (Facoltativo) Dopo la migrazione in NSX di tutti gli host nel gruppo di host 1, è possibile eseguire una distribuzione del servizio basato su host o in cluster.

    La distribuzione di un servizio basato sull'host consente di proteggere il nuovo traffico di rete da una macchina virtuale del partner locale in ciascun host.

    Nota: Se il servizio Network Introspection è in esecuzione in più cluster preparati da NSX-V non è necessario distribuire le SVM partner negli altri cluster. Il traffico di rete attraverso le macchine virtuali del carico di lavoro di NSX negli altri cluster può utilizzare le SVM partner nel cluster 1 appena migrate. Il workflow di migrazione dell'host discusso in questa procedura è necessario solo per il primo cluster. È possibile eseguire la migrazione dei cluster rimanenti utilizzando la procedura di migrazione host standard.

Operazioni successive

Eliminare la distribuzione del servizio partner in NSX-V. Tenere presente che è possibile eliminare le SVM partner solo a livello di cluster. Ciò significa che è possibile eliminare la distribuzione del servizio solo dopo la migrazione di tutti gli host del gruppo di host 1 in NSX. Eseguire i passaggi seguenti per eliminare la distribuzione del servizio in NSX-V:
  1. Accedere al vSphere Client e passare a Rete e sicurezza > Installazione e Aggiornamento > Distribuzione servizio.
  2. Selezionare il servizio partner distribuito e fare clic su Elimina.