在開始端對端移轉之前,請先檢查 NSX-V 環境。

系統狀態

檢查下列系統狀態:

  • 如果您的環境是 vSphere 7.0 或更新版本,請將 VDS 升級至 7.0 或更新版本。
  • 確認 NSX 儀表板上的 NSX-V 元件處於綠色狀態。
  • 確認所有 ESXi 主機都處於運作狀態。解決主機的任何問題,包括已中斷連線的狀態。若要進入維護模式,不得有擱置中的重新開機或擱置中的工作。
  • 確認沒有任何 NSX-V 升級正在進行中。
  • 確認分散式防火牆和 Service Composer 的發佈狀態以確保沒有解除發佈的變更。
  • 如果 NSX-V 環境具有 VDS 7.0 或更新版本,您可以啟用 vSphere High Availability (HA)。

    附註:先前版本的 VDS 不支援 HA。這是因為如果 NSX-V 環境具有 VDS 6.5 或 6.7,並且 VMKernel 連接埠 (vmk) 連接至 VDS,在就地移轉期間,主機和虛擬機器網路連線中斷的時間夠長足以觸發 HA。HA 機制將嘗試關閉虛擬機器的電源、移轉虛擬機器,然後重新啟動虛擬機器。這可能會失敗,因為正在將 NSX-V 環境移轉至 NSX-T。因此,在移轉之後,虛擬機器可能會保持電源關閉狀態,或者在開啟電源的情況下沒有網路連線。為了避免出現這種情況,請在開始移轉之前停用 HA 或將管理 VMK 連接至 VSS。

一般組態

  • 備份 NSX-VvSphere 環境。請參閱《NSX 管理指南》中的〈NSX 備份及還原〉。
  • VXLAN 連接埠必須設為 4789。如果 NSX-V 環境使用其他連接埠,您必須先進行變更,然後才能移轉。請參閱《NSX 管理指南》NSX-V 的〈變更 VXLAN 連接埠〉。

控制器組態

  • 不支援移轉使用多點傳播或混合式複寫模式的 NSX-V 傳輸區域。若 VXLAN 正在使用中,則需要 NSX Controller 叢集。VLAN 支援的微分割拓撲不使用 VXLAN,因此不需要 NSX Controller 叢集。

主機組態

  • NSX-V 環境中的所有主機叢集上,檢查這些設定,然後視需要進行更新:
    • 相應地設定 vSphere DRS。

      如果下列其中一項適用,請停用 vSphere DRS:

      • 將使用就地移轉模式。在此模式中,主機在移轉期間不會進入維護模式。在移轉期間,虛擬機器將會發生網路中斷和網路儲存區中斷。只有在環境為 vSphere 6.x 時,才能使用該模式 (VDS 將移轉至 N-VDS)。
      • 將使用手動維護移轉模式。如果您決定使用 vMotion 來移轉虛擬機器,您可以停用 vSphere DRS,或將 vSphere DRS 自動化層級設為「手動」、「半自動」或「全自動」。
      • 將使用自動維護移轉模式,且 VDS 版本為 6.5 或 6.7。

      在下列情況下,將 vSphere DRS 模式設定為全自動:

      • 將使用自動維護移轉模式,且 VDS 版本為 7.0。

      請注意,在自動維護模式下,移轉協調器不會重新設定已關閉電源的虛擬機器。移轉之後,您需要先手動設定這些虛擬機器,然後再開啟這些虛擬機器的電源。

  • 若要移轉網路自我檢查服務規則,請使用維護主機移轉模式。不支援就地移轉模式。
  • 如果您的主機已安裝 NSX-V,但尚未新增到 vSphere Distributed Switch,則當您想要將其移轉到 NSX-T 時必須先將其新增至分散式交換器。如需詳細資訊,請參閱設定未連結至 vSphere Distributed Switch 的主機
  • 在已安裝 NSX-V 的每個叢集上,檢查是否已啟用分散式防火牆。您可以在安裝和升級 > 主機準備中檢視已啟用的狀態。

    如果在移轉之前任何 NSX-V 叢集上啟用了分散式防火牆,則移轉至 NSX-T 時,會在所有叢集上啟用分散式防火牆。判斷在所有叢集上啟用分散式防火牆的影響,並視需要變更分散式防火牆組態。

Edge 服務閘道組態

  • 在開始移轉之前,您可能需要變更 NSX-V 路由重新分配組態。
    • 不會移轉重新分配篩選器。對於 BGP,可將篩選器移至 BGP 芳鄰層級。
    • 在移轉後,分散式邏輯路由器和 Edge 服務閘道之間動態學習的路由會轉換為靜態路由,且會將所有靜態路由重新分配至 BGP 或 OSPF。如果您需要篩選其中任何路由,您可以在 BGP 芳鄰層級設定這些路由,或是在組態移轉完成後,於完全移轉之前,在 NSX-T 上手動設定重新分配規則。請注意,如果您復原,也將移除您手動設定的重新分配規則組態。
    • NSX-T 上,預設 MTU 設定為 1500。如果您需要使用非預設 MTU 設定,可變更該設定。請參閱變更全域 MTU 設定
  • NSX-V 支援以原則為基礎的 IPSec VPN 工作階段,其中兩個或更多個工作階段的本機和對等子網路互相重疊。NSX-T 不支援此行為。您必須重新設定子網路,以便在開始移轉之前不會重疊。如果此組態問題未解決,則移轉組態步驟會失敗。
  • 如果您具有執行單肩負載平衡器功能的 Edge 服務閘道,則必須在匯入組態之前變更下列組態 (如果存在):
    • 如果 Edge 服務閘道有設定進行管理的介面,您必須在移轉前將其刪除。在提供單一裝載負載平衡器功能的 Edge 服務閘道上,您只能有一個連線介面。如果有多個介面,移轉組態步驟會失敗。
    • 如果 Edge 服務閘道防火牆已停用,且預設規則設定為拒絕,您必須啟用防火牆並將預設規則變更為 [接受]。移轉後,會在第 1 層閘道上啟用防火牆,且預設規則 [接受] 會生效。在移轉前將預設規則變更為 [接受],可防止負載平衡器的傳入流量遭到封鎖。
  • 確認 Edge 服務閘道均已正確連線至正在移轉的拓撲。如果 Edge 服務閘道是 NSX-V 環境的一部分,但未正確連結到環境其餘部分,則不會移轉它們。
    例如,如果 Edge 服務閘道設定為單肩負載平衡器,但具有下列組態之一,則不會進行移轉:
    • Edge 服務閘道沒有連線到邏輯交換器的上行介面。
    • Edge 服務閘道具有連線到邏輯交換器的上行介面,但是上行 IP 位址不符合與連線至邏輯交換器之分散式邏輯路由器相關聯的子網路。

安全性組態

  • 如果您計畫在進行移轉期間使用 vMotion 移動虛擬機器,請停用 NSX-V 中的所有 SpoofGuard 原則,以防止封包遺失。
    • 自動維護模式會在移轉期間使用 DRS 和 vMotion 移動虛擬機器。
    • 在手動維護模式中,您可以在移轉期間選擇性地使用 vMotion 移動虛擬機器。
    • 就地移轉模式不會使用 vMotion。

安全群組組態

如果現有安全性原則包含的 Guest Introspection 服務規則套用至具有靜態虛擬機器成員或虛擬機器以外動態成員的安全群組,請執行下列步驟:
  1. 僅在動態成員資格準則中建立具有虛擬機器的新安全群組。請確保動態成員資格準則會產生與原始安全群組相同的有效虛擬機器成員。
  2. 開始移轉之前,請更新現有的安全性原則,以將新的安全群組套用至 Guest Introspection 服務規則。

    如果您不想在進行移轉之前更新現有的安全性原則,則仍可使用 NSX-V 環境中正確的動態成員資格準則,讓新的安全群組保持準備就緒狀態。在移轉程序中的解決組態步驟中,系統將提示您提供替代的安全群組。

Service Composer 同步

開始移轉之前,請確保 Service Composer 與分散式防火牆同步。手動同步可確保在開始進行移轉之前,如果在原則組態中進行任何最後變更,則這些變更也會套用至使用 Security Composer 建立的安全性原則。例如,您可以先編輯在防火牆規則中使用的安全群組的名稱,然後再開始移轉。

若要確認 Service Composer 狀態是否同步,請執行下列步驟:
  1. vSphere Client 中,導覽至網路與安全性 > 安全性 > Service Composer
  2. 按一下安全性原則索引標籤。
  3. 確認同步狀態為同步中。如果未同步,請按一下同步

最佳做法是,即使同步狀態為綠色,開始移轉之前,請一律按一下同步按鈕。無論您是否在原則組態中執行任何最後的變更,請執行此手動同步。

移轉期間,如果 Service Composer 狀態未同步,則解決組態步驟會顯示警告。您可以略過相關的分散式防火牆區段,以略過使用 Service Composer 所建立安全性原則的移轉。或者您也可以復原移轉,讓 Service Composer 與分散式防火牆同步,並重新啟動移轉。