配置迁移
配置迁移涵盖所有必须转移到VMware NSX-T™ 环境的 NSX-V 设置和参数,以提供 NSX-V 环境的类似功能。
根据网络的复杂程度,它可以包括以下配置:
- VLAN 和叠加支持逻辑交换机
- L2 桥接、路由和 NAT
- 传输专区
- 分布式和边缘防火墙
- L2 和 L3 VPN
- 负载平衡器、DHCP 和 DNS
- 服务组成员、访客和网络自省
- 分组对象、IP 和 MAC 组、安全组、标记、服务和服务组
可通过以下方法之一进行配置:
- 手动或脚本 - 通过使用 NSX-T UI 或 Terraform 等脚本工具,可将 NSX-T 配置应用于所需的覆盖模式。
- Migration Coordinator - Migration Coordinator 是一款内置的自动迁移工具,旨在帮助从 NSX-V 迁移到 NSX-T。 VMware®完全支持该工具,并将其内置到 NSX-T Manager Appliance 中。 Migration Coordinator还可用作评估工具,检查现有的NSX-V环境是否适合使用Migration Coordinator进行迁移。 这不会造成中断,也不会改变 NSX-V 基础设施。
- 第三方工具 - 它提供基于用户界面的脚本,以实现配置的评估、迁移和回滚。 有关详细信息,请参阅 NSX-V 到 NSX-T 迁移工具。
如果配置比较简单,或者没有太多规则或定义,手动或脚本通常是迁移配置的最简单方法。 如果配置复杂,可考虑使用第三方工具。
迁移协调器支持其他迁移方式,如“就地迁移”,而IBM Cloud®不支持“就地迁移”。 更多信息,请参阅 《NSX-T 数据中心迁移指南 》。
了解分布式防火墙的复杂性
了解分布式防火墙配置的复杂性非常重要。
- 如果不使用分布式防火墙,则不得迁移配置。
- 如果分布式防火墙配置中的“应用于”设置为 "DFW",并且所有规则都基于 IP,那么迁移工作负载虚拟机只需一个阶段的过程。
- 如果您的 DFW 配置有以下情况,则需要对工作负载虚拟机采用多级方法:
- 如果所有规则中的“应用于”都设置为 "DFW",并且规则中的安全组具有基于安全标记的动态成员资格或静态成员资格。
- 如果任何规则中的“应用于”设置为通用安全组或通用逻辑交换机。 此外,如果规则中的安全组具有基于安全标记的动态成员资格或具有静态成员资格。
- 如果任何规则中的“应用于”设置为通用安全组或通用逻辑交换机,且所有规则都基于 IP。
分布式防火墙迁移指南
当您将工作负载虚拟机迁移到 NSX-T 环境时,分布式防火墙必须确保在迁移过程中不会中断工作负载虚拟机之间的通信。 因此,分布式防火墙的配置迁移分为两个阶段:
- 第一阶段将防火墙规则和组迁移到 NSX-T。
- 第二阶段为迁移的每个虚拟机创建特定的 VIF。 还包括为迁移的每个虚拟机创建基于 IP 集的规则,以确保迁移到 NSX-T 时不会出现安全漏洞。
需要注意的是:
- 在将虚拟机转移到 NSX-T 之前,不能应用标签。
- 没有标记的虚拟机移动会造成安全漏洞。
- 使用临时 IP 集允许逐步迁移,同时对两个 NSX 环境之间的流量实施微分段。
- 如果必须使用 vMotion, 则必须通过 API 启动 vMotion。 这样,虚拟机就会连接到预先创建的逻辑端口。
- 在迁移工作负载虚拟机时,会有一个迁移后步骤来移除临时 IPsec 组并标记迁移的虚拟机。
负载平衡器迁移指南
方法是在现有 NSX-V 配置的基础上,在 NSX-T 中并行配置负载平衡。 该操作允许进行测试,并在验证后切换到 NSX-T 负载平衡。 要将负载平衡服务从 NSX-V 迁移到 NSX-T,请考虑以下步骤:
- 部署一个新的 NSX-T Edge 群集,其中包含两个主动或备用配置的 Edge 节点虚拟机。
- 将 T1 路由器部署到带有集中服务端口 (CSP) 的边缘群集。
- 将配置与 NSX-V 负载平衡器相同的负载平衡器部署到边缘群集,并与 T1 路由器连接。
- 为每个服务器池分配一个新 VIP,以便测试客户端与服务器之间的连接。
- 将为 VIP 创建的新 NSX-T 网段添加到任何安全组规则中。 目前,您拥有:
- NSX-V 负载平衡器处于活动状态,因为 DNS 记录指向 NSX-V 负载平衡器上的 VIP。
- NSX-T 负载平衡器可用于测试配置。
- 要从 NSX-V 切换到 NSX-T 负载平衡器,请将 DNS 记录指向 NSX-T VIP。
配置迁移的注意事项
在规划和设计配置迁移时,请考虑以下几个方面:
- 您是否在 NSX-V 分布式防火墙规则中使用 vCenter-specific对象(例如群集、文件夹)? 虽然 NSX-V 和 NSX-T 中的微分段类似,但在迁移过程中必须考虑到它们之间的差异。 为 NSX-V 编写分布式防火墙规则的客户可能会使用 NSX-T 中无法使用的 vCenter-specific对象(例如,群集、文件夹)。 这些规则必须重写,以确保在 NSX-T 迁移后保持整体微分段设计和粒度。
- 您使用 IP 设置和安全组吗? 您必须根据 NSX-V 中的安全组在 NSX-T 中创建新的安全组。 您必须识别具有排除功能的 IP 组和安全组,以及具有包含多个标准的动态包含规则的安全组。
- 您是否使用基于安全组的防火墙规则,这些安全组根据安全标记动态包含虚拟机? 在 NSX-T 中,安全标记完全由 NSX-T 管理。 在安全标记应用到虚拟机之前,基于安全组(根据安全标记动态包含虚拟机)的防火墙规则不会生效。
- 使用了哪些类型的 NSX Edge 服务,如防火墙、L2VPN、负载平衡? 这些服务必须在 NSX-T 环境中重新创建。
- 您是否使用 NSX-V IPFIX 功能来捕获来自 NSX-V 逻辑交换机上运行的虚拟机和以虚拟机为目的地的流量? 您必须分析 NSX-T 取代数据包流转发功能的能力。
- 您是否使用 OSPF 作为动态路由协议? 您必须评估使用 BGP 取代 OSPF 的情况。
- 您是否使用 DLR 本机 L2 桥接,通过分布式虚拟交换机在虚拟机和裸机服务器之间桥接 L2 流量? 搜索 NSX-T 中桥接的替代解决方案。
- 您是否需要将虚拟机从 NSX-V 逐步迁移到 NSX-T,而不是全子网迁移? 通过使用 NSX-V 到 NSX-T 桥接器,可将同一 L2 域中的虚拟机从 NSX-V 逻辑交换机迁移到 NSX-T 网段。 另外,L2VPN 或 VMware HCX™ 可用于提供 L2 连接。