分散ファイアウォール構成の移行

構成に関するすべての問題を解決したら、分散ファイアウォール構成を移行できます。構成が移行すると、論理オブジェクトの構成が NSX 環境で実現され、NSX-V 論理オブジェクトの構成がレプリケートされます。

NSX-V セキュリティグループが分散ファイアウォールルールで使用されている場合、インフラストラクチャの準備手順で、一時的な IP セットが NSX-V に追加されます。これは、仮想マシンが NSX-V から NSX に移行されるときにセキュリティを維持するために必要です。移行後、インフラストラクチャのファイナライズフェーズで、一時的な IP セットが削除されます。

インフラストラクチャの準備手順はスキップできます。ただし、インフラストラクチャのファイナライズフェーズが完了するまで、セキュリティが低下する可能性があります。

前提条件

[構成の解決] 手順が完了していることを確認します。

手順

[構成の移行] 画面で [開始] をクリックします。
分散ファイアウォールの構成オブジェクトが NSX 環境に表示されていることを確認します。
移行した構成を確認するには、NSX NSX Manager インターフェイスまたは NSX API を使用します。
注：
- [構成の移行] の手順では、NSX-V のセキュリティタグは NSX に移行されません。このため、NSX 内のセキュリティタグベースの移行された動的グループは空です。NSX-V ではセキュリティタグはオブジェクトですが、NSX では仮想マシンの属性になるためです。これらのタグは、ワークロード仮想マシンを NSX に移行し、post_migrate アクションで vmgroup API エンドポイントを実行した後にのみワークロード仮想マシンに適用されます。詳細については、ワークロード仮想マシンの移行（複雑なケース）の手順 2 を参照してください。
  移行した NSX グループに静的メンバーシップがある場合、この手順が完了すると、これらのグループも空になります。これは、ワークロード仮想マシンが移行されるまで、固定メンバーは NSX グループでは使用できないためです。
  NSX-V 環境で使用されるのが IP アドレスベースの DFW ルールのみの場合、pre_migrate および post_migrate アクションを使用して vmgroup API エンドポイントを実行する必要はありません。
- NSX に論理構成が移行されている場合は、NSX NSX Manager データベースの構成が変更されますが、構成が有効になるまで時間がかかることがあります。
[続行] をクリックして続行します。
必要に応じて、移行した DFW 構成をロールバックできます。
ロールバックでは、次の処理が行われます。
- NSX から移行された構成の削除。
- 前の手順で解決されたすべての問題のロールバック。
DFW の移行後に手動で作成した NSX オブジェクトは、ロールバック中に失われるリスクがあります。
[インフラストラクチャの準備] 手順で [開始] をクリックして、インフラストラクチャを準備します。
状態が [失敗] の場合は、失敗の詳細が表示されます。 [ロールバック] をクリックして問題を解決します。

結果

インフラストラクチャの準備手順が完了したら、次の手順を実行します。

デフォルトゲートウェイの NSX への切り替え
環境に応じて、手順ワークロード仮想マシンの移行（シンプルなケース）を実行するか、次の 2 つの手順を実行します。
ワークロードの移行のための仮想マシングループの作成
ワークロード仮想マシンの移行（複雑なケース）