您必須檢查 NSX Data Center for vSphere 環境的狀態並修正已找到的任何問題。此外,根據您的環境,可能還需要變更 NSX Data Center for vSphere 組態,才能移轉至 NSX-T Data Center

系統狀態

檢查下列系統狀態:

  • 確認 NSX 儀表板上的 NSX-v 元件處於綠色狀態。
  • 確認所有 ESXi 主機都處於運作狀態。解決主機的任何問題,包括已中斷連線的狀態。若要進入維護模式,不得有擱置中的重新開機或擱置中的工作。
  • 確認沒有任何 NSX-v 升級正在進行中。
  • 確認分散式防火牆和 Service Composer 的發佈狀態以確保沒有解除發佈的變更。

一般組態

  • 備份 NSX-vvSphere 環境。請參閱《NSX 管理指南》中的〈NSX 備份及還原〉。
  • VXLAN 連接埠必須設為 4789。如果 NSX-v 環境使用其他連接埠,您必須先進行變更,然後才能移轉。請參閱《NSX 管理指南》NSX-v 的〈變更 VXLAN 連接埠〉。

控制器組態

  • 移轉協調器不支援使用多點傳播或混合複寫模式的 NSX-v 傳輸區域。若 VXLAN 正在使用中,則需要 NSX Controller 叢集。VLAN 支援的微分割拓撲不使用 VXLAN,因此不需要 NSX Controller 叢集。

主機組態

  • NSX-v 環境中的所有主機叢集上,檢查這些設定,然後視需要進行更新:
    • 相應地設定 vSphere DRS。

      如果下列其中一項適用,請停用 vSphere DRS:

      • 將使用就地移轉模式。
      • 將使用手動維護移轉模式。請參閱下方附註。
      • 如果自動維護移轉模式將用於進行移轉,且 vCenter Server 版本為 6.5 或 6.7。
      • 備註:手動維護移轉模式下,如果您決定使用 vMotion 來移轉虛擬機器,您可以靈活地停用 vSphere DRS,或使用下列其中一個 vSphere DRS 自動化層級:手動、半自動或全自動。

      在下列情況下,將 vSphere DRS 模式設定為全自動:

      • 自動維護移轉模式將用於進行移轉,且 vCenter Server 版本為 7.0。
    • 停用 vSphere High Availability。
    • 將分散式防火牆篩選器的匯出版本設為 1000。請參閱在主機上設定分散式防火牆篩選器的匯出版本
  • 若要移轉網路自我檢查服務規則,請使用維護主機移轉模式。不支援就地移轉模式。
  • 如果您的主機已安裝 NSX-v,但尚未新增到 vSphere Distributed Switch,則當您想要將其移轉到 NSX-T 時必須先將其新增至分散式交換器。如需詳細資訊,請參閱設定未連結至 vSphere Distributed Switch 的主機
  • 在已安裝 NSX-v 的每個叢集上,檢查是否已啟用分散式防火牆。您可以在安裝和升級 > 主機準備中檢視已啟用的狀態。

    如果在移轉之前任何 NSX-v 叢集上啟用了分散式防火牆,則移轉至 NSX-T 時,會在所有叢集上啟用分散式防火牆。判斷在所有叢集上啟用分散式防火牆的影響,並視需要變更分散式防火牆組態。

Edge 服務閘道組態

  • Edge 服務閘道必須使用 BGP 進行北向路由。如果使用 OSPF,則必須重新設定為使用 BGP,才能開始移轉。
  • 在開始移轉之前,您可能需要變更 NSX-v 路由重新分配組態。
    • 在重新分配層級設定的首碼篩選器不會進行移轉。在 Edge 服務閘道的 BGP 芳鄰組態中,新增任何您所需的篩選器作為 BGP 篩選器。
    • 在移轉後,分散式邏輯路由器和 Edge 服務閘道之間的動態學習路由會轉換為靜態路由,且會將所有靜態路由重新分佈至 BGP。如果您需要篩選任何的這些路由,則在開始移轉之前,先設定 BGP 芳鄰篩選器,以拒絕這些首碼,同時允許其他首碼。
  • NSX-v 支援以原則為基礎的 IPSec VPN 工作階段,其中兩個或更多個工作階段的本機和對等子網路互相重疊。NSX-T 不支援此行為。您必須重新設定子網路,以便在開始移轉之前不會重疊。如果此組態問題未解決,則移轉組態步驟會失敗。
  • 如果您具有執行單肩負載平衡器功能的 Edge 服務閘道,則必須在匯入組態之前變更下列組態 (如果存在):
    • 如果 Edge 服務閘道有設定進行管理的介面,您必須在移轉前將其刪除。在提供單一裝載負載平衡器功能的 Edge 服務閘道上,您只能有一個連線介面。如果有多個介面,移轉組態步驟會失敗。
    • 如果 Edge 服務閘道防火牆已停用,且預設規則設定為拒絕,您必須啟用防火牆並將預設規則變更為 [接受]。移轉後,會在第 1 層閘道上啟用防火牆,且預設規則 [接受] 會生效。在移轉前將預設規則變更為 [接受],可防止負載平衡器的傳入流量遭到封鎖。
  • 確認 Edge 服務閘道均已正確連線至正在移轉的拓撲。如果 Edge 服務閘道是 NSX-v 環境的一部分,但未正確連結到環境其餘部分,則不會移轉它們。
    例如,如果 Edge 服務閘道設定為單肩負載平衡器,但具有下列組態之一,則不會進行移轉:
    • Edge 服務閘道沒有連線到邏輯交換器的上行介面。
    • Edge 服務閘道具有連線到邏輯交換器的上行介面,但是上行 IP 位址不符合與連線至邏輯交換器之分散式邏輯路由器相關聯的子網路。

安全性組態

  • 如果您計畫在進行移轉期間使用 vMotion 移動虛擬機器,請停用 NSX Data Center for vSphere 中的所有 SpoofGuard 原則,以防止封包遺失。
    • 自動維護模式會在移轉期間使用 DRS 和 vMotion 移動虛擬機器。
    • 在手動維護模式中,您可以在移轉期間選擇性地使用 vMotion 移動虛擬機器。
    • 就地移轉模式不會使用 vMotion。

安全群組組態

如果現有安全性原則包含的 Guest Introspection 服務規則套用至具有靜態虛擬機器成員或虛擬機器以外動態成員的安全群組,請執行下列步驟:
  1. 僅在動態成員資格準則中建立具有虛擬機器的新安全群組。請確保動態成員資格準則會產生與原始安全群組相同的有效虛擬機器成員。
  2. 執行移轉協調器之前,請更新現有的安全性原則,以將新的安全群組套用至 Guest Introspection 服務規則。

    如果您不想在進行移轉之前更新現有的安全性原則,則仍可使用 NSX-v 環境中正確的動態成員資格準則,讓新的安全群組保持準備就緒狀態。在移轉程序的解決組態步驟期間,當移轉協調器顯示警告訊息並提示您提供替代的安全群組時,請選取新的安全群組,並繼續進行移轉。

Service Composer 同步

啟動移轉協調器之前,請確保 Service Composer 與分散式防火牆同步。手動同步可確保在開始進行移轉之前,如果在原則組態中進行任何最後變更,則這些變更也會套用至使用 Security Composer 建立的安全性原則。例如,您可以先編輯在防火牆規則中使用的安全群組的名稱,然後再開始移轉。

若要確認 Service Composer 狀態是否同步,請執行下列步驟:
  1. vSphere Client 中,導覽至網路與安全性 > 安全性 > Service Composer
  2. 按一下安全性原則索引標籤。
  3. 確認同步狀態為同步中。如果未同步,請按一下同步

作為慣用的做法,即使同步狀態為綠色,啟動移轉協調器之前請一律按一下同步按鈕。無論您是否在原則組態中執行任何最後的變更,請執行此手動同步。

移轉期間,如果 Service Composer 狀態未同步,則解決組態步驟會顯示警告。您可以略過相關的分散式防火牆區段,以略過使用 Service Composer 所建立安全性原則的移轉。或者您也可以取消移轉,讓 Service Composer 與分散式防火牆同步,並重新啟動移轉。