在此移轉模式下,您將分散式防火牆 (DFW) 組態從 NSX-V 移轉至 NSX。如果設定了身分識別防火牆 (IDFW),則也會移轉 IDFW。

如需有關移轉 IDFW 的詳細資訊,請參閱移轉身分識別防火牆 (「端對端」和「隨即」)

系統將會移轉下列邏輯物件組態:
  • 使用者定義的分散式防火牆 (DFW) 規則
  • 群組物件
    • IP 集合
    • MAC 集合
    • 安全群組
    • 服務和服務群組
    • 安全性標籤
  • 使用 Service Composer 建立的安全性原則 (僅會移轉 DFW 規則組態)

    Service Composer 中的 Guest Introspection 服務組態和網路自我檢查規則組態並不會移轉。

根據 DFW 組態,移轉 DFW 組態後,有兩種方式可以進行工作負載虛擬機器的移轉。如果未在任何 DFW 規則中設定 [套用至] (這表示該 [套用至] 設定為 [DFW]),則您可以使用 vSphere Client 來移轉工作負載虛擬機器 (請遵循 移轉工作負載虛擬機器 (簡單案例) 程序)。否則,您必須使用指令碼來移轉虛擬機器 (請遵循移轉工作負載虛擬機器 (複雜案例)程序)。

已支援對包含主要模式下的 NSX Manager、不含次要 NSX Manager,且主要站台上具有通用物件的單一站台 NSX-V 部署進行移轉。此類單一站台 NSX-V 部署會移轉至僅具有本機物件的單一站台 NSX 環境 (非同盟)。

如需有關分散式防火牆組態移轉所支援的所有組態詳細清單,請參閱移轉的詳細功能支援

您有下列移轉目標:
  • 僅將現有的分散式防火牆組態從 NSX-V 移轉至 NSX
  • 使用第 2 層 Edge 橋接器和 vSphere vMotion 將工作負載虛擬機器從 NSX-V 移轉至 NSX

若要延伸第 2 層網路,您可以使用 NSX 原生 Edge 橋接器。

重要: 使用隨即移轉方法將 DFW 組態從 NSX-V 移轉至 NSX 時,您必須僅執行一次僅 DFW 移轉模式。將 DFW 組態移轉至 NSX 後,您不得在 NSX-V 環境中更新 DFW 組態,然後再次執行僅 DFW 移轉模式。不建議多次執行僅 DFW 移轉模式。

僅移轉 DFW 的必要條件

  • 已針對這項移轉準備新的 NSX 環境。
  • 在進行此移轉之前,NSX 中不存在使用者定義的 DFW 規則。
  • NSX-V 儀表板的系統概觀窗格中的所有狀態均為綠色。
  • NSX-V 環境中,分散式防火牆和 Service Composer 原則沒有解除發佈的變更。
  • 在由 NSX 管理的叢集中 (NSX-V 以及 NSX),所有主機都必須連線至相同版本的 VDS,且在由 NSX 管理的叢集內,每部主機都必須是單一 VDS 版本的成員。
備註:
  • 執行僅限 DFW 組態的隨即移轉時,並不會將主機從 NSX-V 移轉至 NSX。因此,NSX 不一定要支援 NSX-V 環境中所使用的 ESXi 版本。
  • 在僅 DFW 移轉模式下,在整個移轉過程中 (包括 vMotion) 都會維持現有連線工作階段的防火牆狀態 (DVFilter)。無論是在單一 VMware vCenter 內還是跨 vCenter Server 移轉虛擬機器,都會維持防火牆狀態。此外,將安全性標籤移轉至工作負載虛擬機器後,都會維持防火牆規則中的動態成員資格。
  • 在移轉期間建立的物件不可在移轉完成之前更新或刪除。但如有必要,您可以在 NSX 中建立其他物件。
  • NSX 中,依預設會啟用 DFW。依預設會允許 DFW 規則中所有來源和目的地為「任何」的流量。在 NSX 環境中啟用分散式防火牆時,您無法將工作負載虛擬機器從 NSX 重新移轉至 NSX-V。不支援復原已移轉的工作負載虛擬機器。因應措施是將工作負載虛擬機器新增至 NSX 防火牆排除清單,然後使用 vSphere vMotion 將工作負載虛擬機器重新移轉回 NSX-V
  • DFW 組態的自動移轉支援連線到 NSX-v 邏輯交換器的工作負載虛擬機器。這些虛擬機器將移轉到 NSX 覆疊網路區段。連結到 vSphere 分散式虛擬連接埠群組的 NSX-v 中的工作負載虛擬機器不會自動移轉到 NSX 分散式虛擬連接埠群組。作為因應措施,您必須手動建立 NSX 分散式虛擬連接埠群組,並將工作負載虛擬機器連線到這些虛擬連接埠群組。
  • 不會移轉 DFW 排除清單。在移轉之後,您需要在 NSX 上重新建立這些清單。
  • 在刪除工作負載虛擬機器時,不會刪除在移轉期間建立的邏輯連接埠和交換器。您必須透過 NSX Manager UI 或 API 來刪除這些連接埠和交換器。
  • NSX 中的預設區段不支援 DHCP 伺服器,且將導致這些伺服器在移轉後關閉。