分散ファイアウォール構成の移行

構成に関するすべての問題を解決したら、分散ファイアウォール構成を移行できます。構成が移行すると、論理オブジェクトの構成が NSX-T Data Center 環境で実現され、NSX Data Center for vSphere 論理オブジェクトの構成がレプリケートされます。

NSX-T 3.1.1 では、Migration Coordinator は NSX-V 環境を変更しません。これは、仮想マシンが同じ vCenter Server 内にある限り、NSX-V の動的メンバーシップが維持されていることを前提としています。仮想マシンを別の vCenter Server に移動してセキュリティを維持する場合は、仮想マシンを移動する前に、動的マッピングを反映するように NSX-V で IPset を手動で作成する必要があります。次の API 呼び出しを使用すると、NSX-V のマッピング情報を取得できます。

GET /api/2.0/services/securitygroup/<objectId>/translation/ipaddresses

前提条件

[構成の解決] 手順が完了していることを確認します。

手順

[構成の移行] 画面で [開始] をクリックします。
分散ファイアウォールの構成オブジェクトが NSX-T 環境に表示されていることを確認します。
移行した構成を確認するには、NSX-T NSX Manager インターフェイスまたは NSX-T API を使用します。
注：
- [構成の移行] の手順では、NSX-v のセキュリティタグは NSX-T に移行されません。このため、NSX-T 内のセキュリティタグベースの移行された動的グループは空です。NSX-v ではセキュリティタグはオブジェクトですが、NSX-T では仮想マシンの属性になるためです。これらのタグは、ワークロード仮想マシンを NSX-T に移行し、post_migrate アクションで vmgroup API エンドポイントを実行した後にのみワークロード仮想マシンに適用されます。詳細については、ワークロード仮想マシンの移行（複雑なケース）の手順 2 を参照してください。
  移行した NSX-T グループに静的メンバーシップがある場合、この手順が完了すると、これらのグループも空になります。これは、ワークロード仮想マシンが移行されるまで、固定メンバーは NSX-T グループでは使用できないためです。
  NSX-v 環境で使用されるのが IP アドレスベースの DFW ルールのみの場合、pre_migrate および post_migrate アクションを使用して vmgroup API エンドポイントを実行する必要はありません。
- NSX-T に論理構成が移行されている場合は、NSX-T NSX Manager データベースの構成が変更されますが、構成が有効になるまで時間がかかることがあります。
[続行] をクリックして続行します。
必要に応じて、移行した DFW 構成をロールバックできます。 NSX-T 3.1 では、DFW 構成のロールバックはサポートされていません。これは NSX-T 3.1.1 以降でサポートされています。
ロールバックでは、次の処理が行われます。
- NSX-T から移行された構成の削除。
- 前の手順で解決されたすべての問題のロールバック。
DFW の移行後に手動で作成した NSX-T オブジェクトは、ロールバック中に失われるリスクがあります。

次のタスク

デフォルトゲートウェイを NSX-T のゲートウェイに切り替えます。デフォルトゲートウェイの NSX-T Data Center への切り替えを参照してください。