構成に関するすべての問題を解決したら、分散ファイアウォール構成を移行できます。構成が移行すると、論理オブジェクトの構成が NSX 環境で実現され、NSX-V 論理オブジェクトの構成がレプリケートされます。

NSX-V セキュリティ グループが分散ファイアウォール ルールで使用されている場合、インフラストラクチャの準備手順で、一時的な IP セットが NSX-V に追加されます。これは、仮想マシンが NSX-V から NSX に移行されるときにセキュリティを維持するために必要です。移行後、インフラストラクチャのファイナライズ フェーズで、一時的な IP セットが削除されます。

インフラストラクチャの準備手順はスキップできます。ただし、インフラストラクチャのファイナライズ フェーズが完了するまで、セキュリティが低下する可能性があります。

前提条件

[構成の解決] 手順が完了していることを確認します。

手順

  1. [構成の移行] 画面で [開始] をクリックします。
  2. 分散ファイアウォールの構成オブジェクトが NSX 環境に表示されていることを確認します。

    移行した構成を確認するには、NSX NSX Manager インターフェイスまたは NSX API を使用します。

    注:
    • [構成の移行] の手順では、NSX-V のセキュリティ タグは NSX に移行されません。このため、NSX 内のセキュリティ タグ ベースの移行された動的グループは空です。NSX-V ではセキュリティ タグはオブジェクトですが、NSX では仮想マシンの属性になるためです。これらのタグは、ワークロード仮想マシンを NSX に移行し、post_migrate アクションで vmgroup API エンドポイントを実行した後にのみワークロード仮想マシンに適用されます。詳細については、ワークロード仮想マシンの移行(複雑なケース)の手順 2 を参照してください。

      移行した NSX グループに静的メンバーシップがある場合、この手順が完了すると、これらのグループも空になります。これは、ワークロード仮想マシンが移行されるまで、固定メンバーは NSX グループでは使用できないためです。

      NSX-V 環境で使用されるのが IP アドレス ベースの DFW ルールのみの場合、pre_migrate および post_migrate アクションを使用して vmgroup API エンドポイントを実行する必要はありません。

    • NSX に論理構成が移行されている場合は、NSX NSX Manager データベースの構成が変更されますが、構成が有効になるまで時間がかかることがあります。
  3. [続行] をクリックして続行します。
    必要に応じて、移行した DFW 構成をロールバックできます。

    ロールバックでは、次の処理が行われます。

    • NSX から移行された構成の削除。
    • 前の手順で解決されたすべての問題のロールバック。

    DFW の移行後に手動で作成した NSX オブジェクトは、ロールバック中に失われるリスクがあります。

  4. [インフラストラクチャの準備] 手順で [開始] をクリックして、インフラストラクチャを準備します。
    状態が [失敗] の場合は、失敗の詳細が表示されます。 [ロールバック] をクリックして問題を解決します。

結果

インフラストラクチャの準備手順が完了したら、次の手順を実行します。