この移行では、Migration Coordinator は NSX Data Center for vSphere から NSX-T Data Center に分散ファイアウォール構成のみを移行します。

次の論理オブジェクト構成が移行されます。
  • ユーザー定義の分散ファイアウォール (DFW) ルール
  • グループ オブジェクト
    • IP セット
    • MAC セット
    • セキュリティ グループ
    • サービスとサービス グループ
    • セキュリティ タグ
  • Service Composer を使用して作成されたセキュリティ ポリシー(DFW ルール構成のみが移行される)

    Service Composer のゲスト イントロスペクション サービスの構成およびネットワーク イントロスペクション ルールの構成は移行されません。

DFW 構成によって、DFW 構成の移行後にワークロード仮想マシンを移行する方法が異なります。どの DFW ルールにも「適用先」が構成されていない場合(これは「適用先」が「DFW」に設定されていることを意味します)、vSphere Client を使用してワークロード仮想マシンを移行できます(ワークロード仮想マシンの移行(シンプルなケース)の手順に従います)。それ以外の場合は、スクリプトを使用して仮想マシンを移行する必要があります(ワークロードの移行のための仮想マシン グループの作成ワークロード仮想マシンの移行(複雑なケース)の手順に従います)。

NSX-T 3.1.1 以降では、プライマリ モードの NSX Manager とプライマリ サイト上のユニバーサル オブジェクト含むがセカンダリ NSX Manager を含まない、単一サイトの NSX for vSphere 展開の移行がサポートされています。このような単一サイトの NSX for vSphere の展開は、ローカル オブジェクトのみを使用する単一サイトの NSX-T 環境(非統合)に移行されます。

分散ファイアウォール構成の移行に対応している構成の詳細については、Migration Coordinator の機能サポートの詳細を参照してください。

この場合、次のことが移行の目標となります。
  • Migration Coordinator を使用して、既存の分散ファイアウォール構成のみを NSX-v から NSX-T Data Center に移行します。
  • レイヤー 2 Edge ブリッジと vSphere vMotion を使用して、NSX-v から NSX-T にワークロード仮想マシンを移行します。

レイヤー 2 ネットワークを拡張するには、NSX-T ネイティブ Edge ブリッジを使用します。

重要: DFW 構成を NSX-v から NSX-T に移行する際にリフトアンドシフトを使用する場合は、Migration Coordinator の「DFW のみ」移行モードを一度だけ実行する必要があります。DFW 構成を NSX-T に移行した後は、 NSX-v 環境の DFW 構成を更新し、「DFW のみ」移行モードを再度実行することはできません。「DFW のみ」移行モードを複数回実行することはお勧めしません。

DFW のみの移行の前提条件

  • サポートされるソフトウェア バージョンの最小要件:
    • NSX-v バージョン 6.4.4、6.4.5、6.4.6、6.4.8 およびそれ以降がサポートされています。
    • NSX-T Data Center バージョン 3.1 以降。

      NSX-T 3.1 は、API を使用する場合にのみこの移行をサポートします。ユーザー インターフェイスを使用した移行は NSX-T 3.1.1 以降で使用できます。

  • 新しい NSX-T Data Center でこの移行の準備ができている。また、レイヤー 2 ブリッジが、NSX-v の VXLAN 論理スイッチを NSX-T Data Center のオーバーレイ セグメントに拡張するように事前に構成されている。
    詳細な手順については、次を参照してください。
  • この移行前に、宛先の NSX-T Data Center にユーザー定義の DFW ルールが存在しない。
  • NSX-v ダッシュボードで、[システム概要] ペインのすべての状態が緑になっている。
  • NSX-v 環境で、分散ファイアウォールおよび Service Composer ポリシーに未公開の変更がない。
  • NSX-v ホストでは、分散ファイアウォールのエクスポート バージョンを 1000 に設定する必要があります。エクスポート バージョンを確認し、必要に応じて更新する必要があります。詳細については、ホストにある分散ファイアウォール フィルタのエクスポート バージョンの構成を参照してください。
  • NSX 管理対象クラスタ(NSX-v および NSX-T)内のすべてのホストが同じバージョンの VDS に接続し、NSX 管理対象クラスタ内の各ホストが 1 つのバージョンの VDS のメンバーになっている必要があります。
注:
  • DFW のみの構成のリフト アンド シフト移行には、NSX-v から NSX-T へのホストの移行は含まれません。したがって、NSX-v 環境で使用される ESXi バージョンが NSX-T でサポートされることは 必須ではありません。
  • このガイドでは、Migration Coordinator のユーザー インターフェイスでの DFW のみの移行ワークフローについて説明します。NSX-T 3.1 を使用している場合、この移行は NSX-T API でのみサポートされます。API を使用して移行するには、NSX Tech Zone の記事の Lift and Shift Migration Process セクションで説明されている API 呼び出しを参照してください。
  • Migration Coordinator の DFW のみの移行モードでは、既存の接続セッションのファイアウォール状態 (DVFilter) が、vMotion を含む移行全体を通じて維持されます。仮想マシンを単一の vCenter Server 内で移行しているか、vCenter Server 間で移行しているかにかかわらず、ファイアウォールの状態は維持されます。また、Migration Coordinator がセキュリティ タグをワークロード仮想マシンに移行した後も、ファイアウォール ルールの動的メンバーシップが維持されます。
  • 移行中に作成されたオブジェクトは、移行が完了する前に更新または削除することはできません。ただし、必要に応じて NSX-T に追加のオブジェクトを作成できます。
  • NSX-T では、DFW はすぐに使用できます。DFW ルール内の送信元と宛先のすべてのフローは、デフォルトで許可されています。NSX-T 環境で分散ファイアウォールが有効になっている場合、NSX-T から NSX-v にワークロード仮想マシンを再度移行することはできません。移行されたワークロード仮想マシンのロールバックはサポートされていません。この状況を回避するには、ワークロード仮想マシンを NSX-T ファイアウォール除外リストに追加してから、vSphere vMotion でワークロードを再度 NSX-v に移行します。
  • DFW 構成の自動移行では、NSX-v 論理スイッチに接続されたワークロード仮想マシンがサポートされます。これらの仮想マシンは、NSX-T オーバーレイ セグメントに移行されます。vSphere 分散仮想ポート グループに接続している NSX-v のワークロード仮想マシンは、NSX 分散仮想ポート グループに自動的に移行されません。これを回避するには、NSX 分散仮想ポート グループを手動で作成し、ワークロード仮想マシンを接続する必要があります。
  • DFW 除外リストは移行されません。移行後に、NSX-T で再作成する必要があります。
  • ワークロード仮想マシンを削除しても、移行中に作成された論理ポートとスイッチは削除されません。これらのポートとスイッチを削除するには、NSX Manager ユーザー インターフェイスまたは API を使用する必要があります。