In questa modalità di migrazione, si esegue la migrazione della configurazione del firewall distribuito (DFW) da NSX-V a NSX. Se è stato configurato un firewall identità (IDFW), anche questo verrà migrato.

Per ulteriori informazioni sulla migrazione di IDFW, vedere Migrazione del firewall identità (End-to-End e Lift-and-Shift).

Vengono migrate le seguenti configurazioni di oggetti logici:
  • Regole firewall distribuito (DFW) definite dall'utente
  • Raggruppamento di oggetti
    • Set di IP
    • Set di MAC
    • Gruppi di sicurezza
    • Servizi e gruppi di servizi
    • Tag di sicurezza
  • Criteri di sicurezza creati utilizzando Service Composer (vengono migrate solo le configurazioni delle regole DFW)

    La configurazione del servizio Guest Introspection e le configurazioni della regola Network Introspection in Service Composer non vengono migrate.

In base alla configurazione DFW, esistono due modi per eseguire la migrazione delle macchine virtuali del carico di lavoro dopo la migrazione della configurazione DFW. Se "Si applica a" non è configurato in alcuna regola DFW (ciò significa che "Si applica a" è impostato su "DFW"), è possibile utilizzare vSphere Client per eseguire la migrazione delle macchine virtuali del carico di lavoro (vedere la procedura Migrazione delle macchine virtuali del carico di lavoro (caso semplice)). In caso contrario, è necessario utilizzare uno script per eseguire la migrazione delle macchine virtuali (seguire le procedure Creazione di gruppi di macchine virtuali per la migrazione dei carichi di lavoro e Migrazione delle macchine virtuali del carico di lavoro (caso complesso)).

È supportata la migrazione della distribuzione NSX-V di un singolo sito che contiene un NSX Manager nel nodo primario, nessun NSX Manager secondario e con oggetti universali nel sito primario. Tale distribuzione NSX-V di un singolo sito viene migrata in un ambiente NSX di un singolo sito (non federato) con soli oggetti locali.

Per un elenco dettagliato di tutte le configurazioni supportate per la migrazione della configurazione del firewall distribuito, vedere Informazioni dettagliate sul supporto delle funzionalità per la migrazione.

Gli obiettivi di migrazione sono i seguenti:
  • Migrare solo la configurazione del firewall distribuito esistente da NSX-V a NSX.
  • Utilizzare il bridge Edge di livello 2 e vSphere vMotion per eseguire la migrazione delle macchine virtuali del carico di lavoro da NSX-V a NSX.

Per estendere le reti di livello 2, è possibile utilizzare il bridge Edge nativo di NSX.

Importante: Quando si utilizza l'approccio lift-and-shift per migrare la configurazione DFW da NSX-V a NSX, è necessario eseguire la modalità di migrazione solo DFW una sola volta. Dopo la migrazione della configurazione DFW in NSX, è necessario non aggiornare la configurazione DFW nell'ambiente NSX-V ed eseguire nuovamente la modalità di migrazione solo DFW. Non è consigliabile eseguire più volte la modalità di migrazione solo DFW.

Prerequisiti per la migrazione solo DFW

  • Per questa migrazione viene preparato un nuovo ambiente NSX.
  • Nessuna regola DFW definita dall'utente esistente in NSX prima di questa migrazione.
  • Tutti gli stati nel riquadro Panoramica del sistema del dashboard di NSX-V sono verdi.
  • Non sono presenti modifiche non pubblicate per i criteri del firewall distribuito e Service Composer nell'ambiente NSX-V.
  • Tutti gli host nel cluster gestito da NSX (NSX-V e NSX) devono essere connessi alla stessa versione di VDS e ogni host all'interno del cluster gestito da NSX deve essere un membro di una singola versione di VDS.
Nota:
  • La migrazione di tipo "lift and shift" della configurazione solo DFW non comporta la migrazione degli host da NSX-V a NSX. Pertanto, non è obbligatorio che la versione di ESXi utilizzata nell'ambiente NSX-V sia supportata da NSX.
  • In modalità di migrazione solo DFW, lo stato del firewall (DVFilter) per le sessioni di connessione esistenti viene mantenuto per tutta la migrazione, incluso vMotion. Lo stato del firewall viene mantenuto indipendentemente dal fatto che le macchine virtuali vengano migrate in un singolo VMware vCenter o tra più vCenter Server. Inoltre, l'appartenenza dinamica alle regole del firewall viene mantenuta dopo la migrazione dei tag di sicurezza nelle macchine virtuali del carico di lavoro.
  • Gli oggetti creati durante la migrazione non devono essere aggiornati o eliminati prima del completamento della migrazione. Tuttavia, è possibile creare oggetti aggiuntivi in NSX, se necessario.
  • In NSX, DFW è abilitato per impostazione predefinita. Tutti i flussi con origini e destinazioni contrassegnate come "any" nelle regole DFW sono consentiti per impostazione predefinita. Quando il firewall distribuito è abilitato nell'ambiente NSX, non è possibile eseguire nuovamente la migrazione delle macchine virtuali del carico di lavoro da NSX a NSX-V. Il rollback delle macchine virtuali del carico di lavoro migrato non è supportato. La soluzione consiste nell'aggiungere le macchine virtuali del carico di lavoro all'elenco di esclusione del firewall di NSX e quindi eseguire nuovamente la migrazione delle macchine virtuali del carico di lavoro in NSX-V utilizzando vMotion vSphere.
  • La migrazione automatica delle configurazioni DFW supporta macchine virtuali del carico di lavoro collegate ai commutatori logici NSX-V. Queste macchine virtuali verranno migrate nei segmenti di overlay NSX. Le macchine virtuali del carico di lavoro in NSX-V collegate ai gruppi di porte virtuali distribuite di vSphere non vengono migrate automaticamente ai gruppi di porte virtuali distribuite di NSX. Come soluzione, è necessario creare manualmente i gruppi di porte virtuali distribuite di NSX e collegarvi le macchine virtuali del carico di lavoro.
  • Gli elenchi di esclusione DFW non vengono migrati. È necessario crearli di nuovo in NSX dopo la migrazione.
  • Le porte e i commutatori logici creati durante la migrazione non vengono eliminati in seguito all'eliminazione delle macchine virtuali del carico di lavoro. È necessario eliminarli tramite l'interfaccia utente o l'API di NSX Manager.
  • I segmenti predefiniti in NSX non supportano i server DHCP e questi verranno disattivati dopo la migrazione.