NSX-v 環境を確認して、見つかった問題を修正する必要があります。また、環境に応じて、NSX-T への移行前に NSX-v の構成に変更が必要になることがあります。

システム状態

次のシステム状態を確認します。

  • 環境が vSphere 7.0 以降の場合は、VDS を 7.0 以降にアップグレードします。
  • NSX-v コンポーネントが NSX ダッシュ ボードで緑色の状態になっていることを確認します。
  • すべての ESXi ホストが動作状態になっていることを確認します。切断状態を含む、ホストに関するすべての問題を解決します。メンテナンス モードを開始するには、保留中の再起動または保留中のタスクがないことを確認してください。
  • NSX-v のアップグレードが進行中でないことを確認します。
  • 分散ファイアウォールおよび Service Composer の状態が公開になっていて、未公開の変更がないことを確認します。
  • NSX-v 環境に VDS 7.0 以降がある場合は、vSphere High Availability (HA) を有効にできます。

    注:VDS の以前のバージョンでは HA はサポートされていません。このため、NSX-v 環境に VDS 6.5 または 6.7 があり、(vmk の)vmkernel ポートが VDS に接続されている場合、インプレース移行中にホストと仮想マシンのネットワーク接続が一定期間失われ、HA がトリガされることがあります。HA のメカニズムでは、仮想マシンのパワーオフ、移行、再起動が試行されます。NSX-v 環境が NSX-T に移行中のため、この処理は失敗することがあります。その結果、移行後に仮想マシンがパワーオフ状態のままになったり、パワーオンされていてもネットワーク接続が切断されている場合があります。この状況を回避するには、移行を開始する前に、HA を無効にするか、管理 VMK を VSS に接続します。

一般的な構成

  • NSX-vvSphere 環境をバックアップします。『NSX 管理ガイド』の「NSX のバックアップとリストア」を参照してください。
  • VXLAN ポートは 4789 に設定する必要があります。NSX-v 環境で別のポートを使用している場合は、移行する前に変更する必要があります。『NSX 管理ガイド』で NSX-v の「VXLAN ポートの変更」セクションを参照してください。

コントローラの構成

  • Migration Coordinator は、マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX-v トランスポート ゾーンをサポートしていません。VXLAN が使用されている場合は、NSX Controller クラスタが必要です。VLAN でバッキングされたマイクロセグメンテーション トポロジは VXLAN を使用しないため、NSX Controller クラスタは必要ありません。

ホスト構成

  • NSX-v 環境内のすべてのホスト クラスタでこれらの設定を確認し、必要に応じて更新します。
    • それに合わせて vSphereDRS を設定します。

      次のいずれかに該当する場合は、vSphere DRS を無効にします。

      • 移行モードに [インプレース] が使用されます。このモードでは、移行中にホストをメンテナンス モードに切り替えられません。また、移行中に仮想マシンでネットワークとネットワーク ストレージが停止します。このモードは、環境が vSphere 6.x の場合にのみ使用できます(VDS は N-VDS に移行されます)。
      • 移行モードに [手動メンテナンス] が使用されます。仮想マシンの移行に vMotion を使用する場合は、vSphere DRS を無効にするか、vSphere DRS 自動化レベルを手動、一部自動化、または完全自動化に設定します。
      • 移行モードに [自動メンテナンス ] が使用され、vCenter Server バージョンが 6.5 または 6.7 になります。

      次の場合には、vSphere DRS モードを完全自動化に設定します。

      • 移行モードに [自動メンテナンス ] が使用され、vCenter Server バージョンが 7.0 になります。

      [自動メンテナンス] モードでは、Migration Coordinator はパワーオフ状態の仮想マシンを再構成しません。移行後、これらの仮想マシンをパワーオンする前に、仮想マシンの構成を手動で行う必要があります。

    • 分散ファイアウォール フィルタのエクスポート バージョンを 1,000 に設定します。ホストにある分散ファイアウォール フィルタのエクスポート バージョンの構成 を参照してください。
  • ネットワーク イントロスペクション サービス ルールを移行するには、[メンテナンス] ホストの移行モードを使用します。[インプレース] 移行モードはサポートされません。
  • NSX-v がインストールされていて、vSphere Distributed Switch に追加されていないホストを NSX-T に移行する場合は、このホストを Distributed Switch に追加する必要があります。詳細については、vSphere Distributed Switch に接続されていないホストの構成を参照してください。
  • NSX-v がインストールされている各クラスタで、分散ファイアウォールが有効になっているかどうかを確認します。有効になっている状態を表示するには、[インストールとアップグレード] > [ホストの準備] の順に選択します。

    移行する前にすべての NSX-v クラスタで分散ファイアウォールが有効になっている場合は、NSX-T に移行すると、すべてのクラスタで分散ファイアウォールが有効になります。すべてのクラスタで分散ファイアウォールを有効にした場合の影響を判断し、必要に応じて、分散ファイアウォールの構成を変更します。

Edge Services Gateway の構成

  • 移行を開始する前に、NSX-v ルート再配分構成の変更が必要になる場合があります。
    • 再配分レベルに構成されたプレフィックス フィルタは移行されません。Edge Service Gateway の BGP ネイバーの構成で、BGP フィルタとして必要なフィルタを追加します。
    • 移行後、分散論理ルーターと Edge Services Gateway の間で動的に学習されたルートがスタティック ルートに変換され、すべてのスタティック ルートが BGP に再配分されます。移行を開始する前に、これらのルートをフィルタリングする必要がある場合は、これらのプレフィックスを拒否し、他のものを許可するように、BGP ネイバー フィルタを構成します。
  • NSX-v は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX-T ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成の問題が解決されない場合は、[構成の移行] の手順が失敗します。
  • ワンアーム ロード バランサ機能を実行している Edge Services Gateway を使用している場合、次の構成があれば、構成をインポートする前に変更しておく必要があります。
    • Edge Services Gateway に管理インターフェイスが構成されている場合は、移行前に削除する必要があります。ワンアーム ロード バランサの機能を提供する Edge Services Gateway に接続できるインターフェイスは 1 つのみです。複数のインターフェイスがある場合、[構成の移行] の手順が失敗します。
    • Edge Services Gateway ファイアウォールが無効になっていて、デフォルト ルールが拒否に設定されている場合は、ファイアウォールを有効にして、デフォルト ルールを承認に変更する必要があります。移行すると、ファイアウォールは Tier-1 ゲートウェイで有効になり、デフォルト ルールの承認が有効になります。移行前にデフォルト ルールを承認に変更すると、ロード バランサの受信トラフィックがブロックされなくなります。
  • すべての Edge Services Gateway が、移行中のトポロジに正しく接続されていることを確認します。Edge Services Gateway は NSX-v 環境に属している場合、環境内の他の部分に正しく接続されていないと移行されません。
    たとえば、Edge Services Gateway がワンアーム ロード バランサとして構成されていても、次のいずれかの構成が含まれている場合は、移行されません。
    • Edge Services Gateway に論理スイッチに接続されているアップリンク インターフェイスがない。
    • Edge Services Gateway に論理スイッチに接続されているアップリンク インターフェイスがあるが、アップリンクの IP アドレスが、論理スイッチに接続されている分散論理ルーターに関連付けられたサブネットと一致しない。

セキュリティ構成

  • 移行中に vMotion を使用して仮想マシンを移動する場合は、パケット ロスを防ぐため、NSX Data Center for vSphere ですべての SpoofGuard ポリシーを無効にします。
    • 自動メンテナンス モードの場合、移行中に DRS と vMotion を使用して仮想マシンを移動します。
    • 手動メンテナンス モードの場合は、オプションで vMotion を使用して、移行中に仮想マシンを移動できます。
    • 移行モードがインプレースの場合、vMotion は使用されません。

セキュリティ グループ構成

既存のセキュリティ ポリシーに含まれるゲスト イントロスペクション サービス ルールが、静的仮想マシン メンバーまたは仮想マシン以外の動的メンバーを含むセキュリ ティグループに適用される場合は、次の操作を行います。
  1. 動的なメンバーシップ基準にのみ、仮想マシンを含む新しいセキュリティ グループを作成します。動的なメンバーシップ基準によって、元のセキュリティ グループと同じ有効な仮想マシン メンバーが生成されることを確認します。
  2. Migration Coordinator を実行する前に、既存のセキュリティ ポリシーを更新して、ゲスト イントロスペクション サービス ルールに新しいセキュリティ グループを適用します。

    移行前に既存のセキュリティ ポリシーを更新しない場合でも、NSX-v 環境の適切な動的メンバーシップ基準で新しいセキュリティ グループを使用できます。移行プロセスの [構成の解決] の手順を実行しているときに、Migration Coordinator から警告メッセージが表示され、別のセキュリティ グループを指定するように求められたら、新しいセキュリティ グループを選択して移行を続行します。

Service Composer の同期

Migration Coordinator を開始する前に、Service Composer が分散ファイアウォールと同期していることを確認します。手動同期の場合、移行の開始前に変更されたポリシー構成が Security Composer で作成されたセキュリティ ポリシーにも適用されていることを確認します。たとえば、移行を開始する前に、ファイアウォール ルールで使用されるセキュリティ グループの名前を編集したとします。

Service Composer が同期状態かどうか確認するには、次の操作を行います。
  1. vSphere Client で、[ネットワークとセキュリティ] > [セキュリティ] > [Service Composer] の順に移動します。
  2. [セキュリティ ポリシー] タブをクリックします。
  3. 同期状態が [同期されています] になっていることを確認します。同期されていない場合は、[同期] をクリックします。

同期状態が緑色になっていても、Migration Coordinator を開始する前に必ず [同期] ボタンをクリックすることをおすすめします。移行の直前にポリシー構成を変更したかどうかにかかわらず、手動同期を行います。

移行中、Service Composer が同期された状態でないと、[構成の解決] の手順で警告が表示されます。Service Composer を使用して作成されたセキュリティ ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をキャンセルして、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。