NSX-V 環境のセキュリティ ポリシーで、パートナーから提供されるネットワーク イントロスペクション サービスのみを使用している場合、NSX-V 準備済みホストを NSX に移行する方法が 2 つあります。

このトピックで説明する方法では、Migration Coordinator の起動前に、NSX-V 環境内のパートナー サービス仮想マシン (SVM) が削除されていないことを前提としています。ホストの移行中に発生するセキュリティ保護のダウンタイムをどの程度許容できるかによって、最適なホストの移行方法を選択します。

注: どちらの方法でホストを移行する場合でも、その前に、VMware パートナーに相談してください。 NSX への移行がサポートされているかどうかをパートナーに確認して、移行の前に必要な情報を収集します。サービスを NSX に移行するためのガイダンスがパートナーから提供されます。

NSX-V ホストでネットワーク イントロスペクション サービスのみが実行されている場合、ホストの移行モードに [インプレース] は使用できません。移行モードに使用できるのは、[メンテナンス] のみです。ただし、自動メンテナンス移行モードを推奨します。

アプローチ 1:セキュリティ保護のダウンタイムを許容する

2 つの移行方法の中で、このアプローチのほうがシンプルです。ただし、アプローチ 2 に比べると、セキュリティ保護のダウンタイムが長くなります。NSX-V 環境内に、クラスタ 1、2、3 の 3 つのクラスタがあるとします。

このアプローチでは、移行設定の [グループ間の一時停止] を有効にし、NSX-V ホストの移行で説明している標準的なホストの移行手順でクラスタ 1 を移行します。クラスタ 1 を NSX に移行した後、移行は一時停止します。ホストベースまたはクラスタ化されたサービス展開を行い、クラスタ 1 にパートナー サービスを展開します。移行設定の [グループ間の一時停止] を無効にして、クラスタ 2 と 3 を移行します。クラスタ 2 と 3 のワークロード仮想マシンが NSX に移行された後、これらのワークロードは、クラスタ 1 のパートナー サービス仮想マシン (SVM) にパケットのリダイレクトを開始できます。

このアプローチでは、クラスタ 1 の移行中にセキュリティ保護のダウンタイムが発生することを想定しています。

ワークロード仮想マシンを NSX ホストに移行するときに、ホストの移行中にすでに発生しているデータ トラフィックでセキュリティ保護のダウンタイムが発生する可能性があります。ただし、新しいデータ トラフィックではセキュリティ保護のダウンタイムは発生しません。

アプローチ 2:セキュリティ保護のダウンタイムを最小限にする

このアプローチでは、NSX API を使用して手動で操作を行い、一時ホスト グループを作成する必要があります。移行設定の [グループ間の一時停止] を有効にして、クラスタ 1 から 1 台のホストを移行します。クラスタ 1 のこのホストを NSX に移行した後、Migration Coordinator が一時停止します。クラスタ化されたサービス展開を行い、移行されたこのホストにパートナー サービスを展開します。クラスタ 1 の残りのホストを移行します。クラスタ 1 のすべてのホストが NSX に移行されたら、ホストベースまたはクラスタ化されたサービス展開を行い、クラスタ 1 に追加のパートナー SVM を展開することもできます。

このトピックでは、次の図のように、3 台のホストから構成される単一の NSX-V 準備済みクラスタのホスト移行ワークフローについて説明します。この手順では、アプローチ 2 を使用してクラスタ 1 を NSX に移行します。

例:

図 1. 移行前のホスト グループ 1(クラスタ 1)

クラスタ 1 には 3 台の NSX for vSphere 準備済みホストがあり、各ホストに 1 台のパートナー サービス仮想マシンがあります。

このクラスタ内のホストはすべて ESXi ホストです。NSX-V 環境のセキュリティ ポリシーは、ネットワーク イントロスペクション サービスをワークロードに提供するパートナー サービス仮想アプライアンスにデータ トラフィックをリダイレクトします。NSX-V はホストベースのサービス展開のみをサポートするため、各ホストには 1 台のパートナー サービス仮想マシンがあります。

アプローチ 2 でホストを移行するには、次の構成設定が必要です。
  • ホストの移行モードが自動メンテナンスに設定されている。
  • グループ間の一時停止が有効になっている。
  • グループ間の移行順序が連続に設定されている。

前提条件

  • Edge の移行が終了し、すべてのルーティングおよびサービスが正しく動作していることを確認します。
  • VMware vCenter のユーザー インターフェイスで、[ホストおよびクラスタ] ページに移動し、すべての ESXi ホストが動作状態になっていることを確認します。切断状態を含む、ホストに関するすべての問題を解決します。メンテナンス モードを開始および終了するには、保留中の再起動または保留中のタスクがないことを確認してください。
  • 移行対象のクラスタで vSphere DRS を有効にしている。
  • クラスタの各ホストの VMkernel アダプタで vMotion を有効にしている。
  • NSX-V クラスタに十分な予備容量があり、移行するホストをメンテナンス モードにできる。NSX-V ワークロード仮想マシンをクラスタ内の他のホストに移行するのに十分な空き容量がない場合、セキュリティ保護で追加のダウンタイムが発生する可能性があります。

手順

  1. 次の API 要求を実行して一時ホスト グループを作成し、この一時グループにホスト 2 と 3 を移動します。
    POST https://{nsxt-mgr-ip}/api/v1/migration/migration-unit-groups
    この POST API の要求本文で、次の詳細を指定します。
    • 一時ホスト グループの名前。
    • 移行単位(ホスト 2 と 3 の ID)
    • 一時グループの移行状態(無効にする必要があります)

    この API の詳細と POST API 要求の例については、『NSX API ガイド』を参照してください。

    ホスト ID は、http://{vCenter-IP-Address}/mob にある VMware vCenter 管理対象オブジェクト ブラウザ (MOB) から取得できます。また、次の GET API を実行して取得することもできます。

    GET https://{nsxt-mgr-ip}/api/v1/fabric/discovered-nodes

    一時ホスト グループが作成され、 [ホストの移行] ページに表示されます。元のホスト グループ 1(クラスタ 1)には、ホスト 1 のみが含まれます。
  2. [ホストの移行] ページで、[ホストの移行プラン] の横にある [設定] をクリックし、設定が次のように構成されていることを確認します。
    • グループ間の一時停止:有効
    • グループ間の移行順序:連続
  3. ホスト 1 を NSX に移行します。
    1. [開始] をクリックして、ホストの移行を開始します。
      ワークロード仮想マシン 1 と 2 は別のホストに移行されるため、ホスト 1 をメンテナンス モードに切り替えることができます。ホスト 1 の NSX-V パートナー SVM は、ホスト 1 がメンテナンス モードになる前にパワーオフされます。

      仮想マシン 1 と 2 が NSX-V で準備されているホスト 3 に移行されているとします。ホスト 1 の移行に成功すると、次の入力のため、Migration Coordinator が一時停止します。

    2. (必須) クラスタ化された展開を行い、ホスト 1 にパートナー サービスを展開します。

      この段階では、ホストベースのサービス展開はサポートされていません。セキュリティ保護のダウンタイムを最小限にするには、ホスト 1 にパートナー サービスを展開する必要があります。ホスト 2 と 3 で実行されている NSX-V ワークロードのセキュリティ保護に変更はありません。パートナーは、移行されたパートナー固有のセキュリティ ポリシーがホスト 1 に新しく展開されたパートナー SVM で使用可能であることを確認する必要があります。

      NSX でのパートナー サービスの展開手順の詳細については、 ネットワーク イントロスペクションのパートナー サービスの展開を参照してください。たとえば、次の構成を指定して、ホスト 1 に 2 台のパートナー サービス仮想マシン (SVM) を展開します。
      構成
      展開タイプ クラスタ化
      ホスト ホスト 1
      クラスタ化された展開の数 2

      [クラスタ化された展開の数] テキスト ボックスに入力する値は、ホストで使用可能なリソースのキャパシティによって異なります。このシナリオでは、2 台のパートナー SVM をホスト 1 に展開できることを前提としています。この値は環境によって異なる場合があります。

      この手順の後、クラスタは次の図のようになります。緑の色のホストは、移行されたホストを表します。
      図 2. ホスト 1 は NSX に移行されています

      ホスト 1 が NSX-T に移行され、このホストに 2 台のパートナー サービス仮想マシンが展開されています。
  4. ホスト 2 と 3 を NSX に移行します。
    1. 次の POST API 要求を実行して、ホスト 2 と 3 を一時ホスト グループから元のホスト グループ 1 に移動します。
      POST https://{nsxt-mgr-ip}/api/v1/migration/migration-unit-groups/{group-id}?action=add_migration_units

      group-id は、宛先のホスト グループ(ホスト グループ 1)の ID です。POST API 要求の本文で、元のホスト グループ 1 に追加するホスト 2 と 3 の ID を指定します。

      この POST API の詳細と POST API 要求の例については、『NSX API ガイド』を参照してください。

      これで、指定した順序で元のホスト グループ 1 にホスト 1、2、3 が追加され、一時ホスト グループが削除されます。
    2. 元のホスト グループ 1 の横にあるチェック ボックスを選択して、[アクション] > [グループ内の移行順序の変更] の順にクリックします。グループ内の移行順序が [連続] に設定されていることを確認します。
      必要であれば、元のホスト グループ 1 の移行順序を [並行] に設定することもできます。
    3. [続行] をクリックして、ホストの移行を再開します。
      まず、ホスト 2 が NSX に移行され、その後ホスト 3 が移行されます。移行するホストをメンテナンス モードにするには、移行するホストのワークロード仮想マシンを NSX-V ホストまたは NSX ホストのいずれかに移動します。移行するホストがメンテナンス モードになる前に、移行するホスト上の NSX-V パートナー SVM がパワーオフされます。
    この手順を実行すると、ホスト グループ 1(クラスタ 1)内のすべてのホストが NSX で準備されます。クラスタは次の図のようになります。
    図 3. すべてのホストが NSX に移行されています

    すべてのホストが NSX-T に移行されています、ホスト 2 と 3 には NSX-T パートナー SVM ありません。
  5. (オプション) 一部のワークロード仮想マシンをホスト 1 と 2 からホスト 3 に移行します。
    たとえば、次の図のように、仮想マシン 4 と 5 をホスト 3 に移行します。
    図 4. 移行後の最終的なクラスタ 1

    クラスタ 1 のすべてのホストが NSX-T に移行されます。
  6. (オプション) NSX 4.1.1 以降では、移行が完了し、[終了] をクリックする前に [移行レポートの取得] をクリックすると、特定のオブジェクトが正しく移行されたかどうかを確認できます。レポートの準備ができたら、[レポートをダウンロード] をクリックします。
    レポートには、次の情報が含まれます。
    • NSX-V および移行後にセキュリティ タグを持つ仮想マシン。違いがある場合は、リストに表示されます。
    • NSX-V および移行後のセキュリティ グループ。違いがある場合は、リストに表示されます。
  7. (オプション) ホスト グループ 1 のすべてのホストが NSX に移行された後、ホストベースまたはクラスタ化されたサービス展開を行うことができます。

    ホストベースのサービス展開の場合、新しいネットワーク トラフィックを各ホストのローカルのパートナー SVM で保護できます。

    注: ネットワーク イントロスペクション サービスを複数の NSX-V 準備済みクラスタで実行している場合、他のクラスタにパートナー SVM を展開する必要はありません。他のクラスタの NSX ワークロード仮想マシンを経由するネットワーク トラフィックは、移行したクラスタ 1 のパートナー SVM を使用できます。この手順で説明するホストの移行ワークフローは、最初のクラスタに対してのみ使用する必要があります。残りのクラスタに対しては、標準のホストの移行手順を使用できます。

次のタスク

NSX-V でパートナー サービスの展開を削除します。パートナー SVM はクラスタ レベルでのみ削除できます。つまり、ホスト グループ 1 内のすべてのホストが NSX に移行された後にのみ、サービス展開を削除できます。次の手順で、 NSX-V のサービス展開を削除します。
  1. vSphere Client にログインして、[ネットワークとセキュリティ] > [インストールとアップグレード] > [サービスの展開] の順に移動します。
  2. 展開されたパートナー サービスを選択して、[削除] をクリックします。