NSX Data Center for vSphere 環境の状態を確認して、見つかった問題を修正する必要があります。また、環境に応じて、NSX-T Data Center への移行前に NSX Data Center for vSphere の構成に変更が必要になることがあります。

システム状態

次のシステム状態を確認します。

  • NSX-v コンポーネントが NSX ダッシュ ボードで緑色の状態になっていることを確認します。
  • すべての ESXi ホストが動作状態になっていることを確認します。切断状態を含む、ホストに関するすべての問題を解決します。メンテナンス モードを開始するには、保留中の再起動または保留中のタスクがないことを確認してください。
  • NSX-v のアップグレードが進行中でないことを確認します。
  • 分散ファイアウォールおよび Service Composer のステータスが公開になっていて、未公開の変更がないことを確認します。

一般的な構成

  • NSX-vvSphere 環境をバックアップします。『NSX 管理ガイド』の「NSX のバックアップとリストア」を参照してください。
  • VXLAN ポートは 4789 に設定する必要があります。NSX-v 環境で別のポートを使用している場合は、移行する前に変更する必要があります。『NSX 管理ガイド』で NSX-v の「VXLAN ポートの変更」セクションを参照してください。

コントローラの構成

  • Migration Coordinator は、マルチキャストまたはハイブリッド レプリケーション モードを使用した NSX-v トランスポート ゾーンをサポートしていません。VXLAN が使用されている場合は、NSX Controller クラスタが必要です。VLAN でバッキングされたマイクロセグメンテーション トポロジは VXLAN を使用しないため、NSX Controller クラスタは必要ありません。

ホスト構成

  • NSX-v 環境内のすべてのホスト クラスタでこれらの設定を確認し、必要に応じて更新します。
    • それに合わせて vSphereDRS を設定します。

      次のいずれかに該当する場合は、vSphere DRS を無効にします。

      • 移行モードに [インプレース] が使用されます。
      • 移行モードに [手動メンテナンス] が使用されます。以下の注を参照してください。
      • 移行モードに [自動メンテナンス ] が使用され、vCenter Server バージョンが 6.5 または 6.7 になります。
      • 注: 移行モードが [手動メンテナンス]の場合、仮想マシンの移行に vMotion の使用を選択すると、 vSphere DRS を無効にするか、いずれかの vSphere DRS 自動化レベル(手動、一部自動化、完全自動化)を使用します。

      次の場合には、vSphere DRS モードを完全自動化に設定します。

      • 移行モードに [自動メンテナンス ] が使用され、vCenter Server バージョンが 7.0 になります。
    • vSphere の高可用性を無効にします。
    • 分散ファイアウォール フィルタのエクスポート バージョンを 1,000 に設定します。ホストにある分散ファイアウォール フィルタのエクスポート バージョンの設定 を参照してください。
  • ネットワーク イントロスペクション サービス ルールを移行するには、[メンテナンス] ホストの移行モードを使用します。[インプレース] 移行モードはサポートされません。
  • NSX-v がインストールされていて、vSphere Distributed Switch に追加されていないホストを NSX-T に移行する場合は、このホストを Distributed Switch に追加する必要があります。詳細については、vSphere Distributed Switch に接続されていないホストの構成を参照してください。
  • NSX-v がインストールされている各クラスタで、分散ファイアウォールが有効になっているかどうかを確認します。有効になっているステータスを表示するには、[インストールとアップグレード] > [ホストの準備] の順に選択します。

    移行する前にすべての NSX-v クラスタで分散ファイアウォールが有効になっている場合は、NSX-T に移行すると、すべてのクラスタで分散ファイアウォールが有効になります。すべてのクラスタで分散ファイアウォールを有効にした場合の影響を判断し、必要に応じて、分散ファイアウォールの設定を変更します。

Edge Services Gateway の構成

  • Edge Services Gateway でノースバウンド ルーティングを行うには、BGP を使用する必要があります。OSPF が使用されている場合は、移行を開始する前に BGP を使用するように再構成する必要があります。
  • 移行を開始する前に、NSX-v ルート再配分設定の変更が必要になる場合があります。
    • 再配分レベルに設定されたプリフィックス フィルタは移行されません。Edge Service Gateway の BGP ネイバーの設定で、BGP フィルタとして必要なフィルタを追加します。
    • 移行後、分散論理ルーターと Edge Services Gateway の間で動的に学習されたルートがスタティック ルートに変換され、すべてのスタティック ルートが BGP に再配分されます。移行を開始する前に、これらのルートをフィルタリングする必要がある場合は、これらのプリフィックスを拒否し、他のものを許可するように、BGP ネイバー フィルタを構成します。
  • NSX-v は、複数のセッションのローカル サブネットとピア サブネットが互いに重複する、ポリシー ベースの IPSec VPN セッションをサポートしています。この動作は、NSX-T ではサポートされません。移行を開始する前に、サブネットが重複しないように再構成する必要があります。この構成の問題が解決されない場合は、[構成の移行] の手順が失敗します。
  • ワンアーム ロード バランサ機能を実行している Edge Services Gateway を使用している場合、次の構成があれば、構成をインポートする前に変更しておく必要があります。
    • Edge Services Gateway に管理インターフェイスが設定されている場合は、移行前に削除する必要があります。ワンアーム ロード バランサの機能を提供する Edge Services Gateway に接続できるインターフェイスは 1 つのみです。複数のインターフェイスがある場合、[構成の移行] の手順が失敗します。
    • Edge Services Gateway ファイアウォールが無効になっていて、デフォルト ルールが拒否に設定されている場合は、ファイアウォールを有効にして、デフォルト ルールを承認に変更する必要があります。移行すると、ファイアウォールは Tier-1 ゲートウェイで有効になり、デフォルト ルールの承認が有効になります。移行前にデフォルト ルールを承認に変更すると、ロード バランサの受信トラフィックがブロックされなくなります。
  • すべての Edge Services Gateway が、移行中のトポロジに正しく接続されていることを確認します。Edge Services Gateway は NSX-v 環境に属している場合、環境内の他の部分に正しく接続されていないと移行されません。
    たとえば、Edge Services Gateway がワンアーム ロード バランサとして構成されていても、次のいずれかの構成が含まれている場合は、移行されません。
    • Edge Services Gateway に論理スイッチに接続されているアップリンク インターフェイスがない。
    • Edge Services Gateway に論理スイッチに接続されているアップリンク インターフェイスがあるが、アップリンクの IP アドレスが、論理スイッチに接続されている分散論理ルーターに関連付けられたサブネットと一致しない。

セキュリティ構成

  • 移行中に vMotion を使用して仮想マシンを移動する場合は、パケット ロスを防ぐため、NSX Data Center for vSphere ですべての SpoofGuard ポリシーを無効にします。
    • 自動メンテナンス モードの場合、移行中に DRS と vMotion を使用して仮想マシンを移動します。
    • 手動メンテナンス モードの場合は、オプションで vMotion を使用して、移行中に仮想マシンを移動できます。
    • 移行モードがインプレースの場合、vMotion は使用されません。

セキュリティ グループ構成

既存のセキュリティ ポリシーに含まれるゲスト イントロスペクション サービス ルールが、静的仮想マシン メンバーまたは仮想マシン以外の動的メンバーを含むセキュリ ティグループに適用される場合は、次の操作を行います。
  1. 動的なメンバーシップ基準にのみ、仮想マシンを含む新しいセキュリティ グループを作成します。動的なメンバーシップ基準によって、元のセキュリティ グループと同じ有効な仮想マシン メンバーが生成されることを確認します。
  2. Migration Coordinator を実行する前に、既存のセキュリティ ポリシーを更新して、ゲスト イントロスペクション サービス ルールに新しいセキュリティ グループを適用します。

    移行前に既存のセキュリティ ポリシーを更新しない場合でも、NSX-v 環境の適切な動的メンバーシップ基準で新しいセキュリティ グループを使用できます。移行プロセスの [構成の解決] の手順を実行しているときに、Migration Coordinator から警告メッセージが表示され、別のセキュリティ グループを指定するように求められたら、新しいセキュリティ グループを選択して移行を続行します。

Service Composer の同期

Migration Coordinator を開始する前に、Service Composer が分散ファイアウォールと同期していることを確認します。手動同期の場合、移行の開始前に変更されたポリシー構成が Security Composer で作成されたセキュリティ ポリシーにも適用されていることを確認します。たとえば、移行を開始する前に、ファイアウォール ルールで使用されるセキュリティ グループの名前を編集したとします。

Service Composer が同期状態かどうか確認するには、次の操作を行います。
  1. vSphere Client で、[ネットワークとセキュリティ] > [セキュリティ] > [Service Composer] の順に移動します。
  2. [セキュリティ ポリシー] タブをクリックします。
  3. 同期状態が [同期されています] になっていることを確認します。同期されていない場合は、[同期] をクリックします。

同期状態が緑色になっていても、Migration Coordinator を開始する前に必ず [同期] ボタンをクリックすることをおすすめします。移行の直前にポリシー構成を変更したかどうかにかかわらず、手動同期を行います。

移行中、Service Composer が同期された状態でないと、[構成の解決] の手順で警告が表示されます。Service Composer を使用して作成されたセキュリティ ポリシーの移行をスキップするには、関連する分散ファイアウォール セクションをスキップします。移行をキャンセルして、分散ファイアウォールと Service Composer を同期してから移行を再開することもできます。