预先存在的
NSX-T
配置
您必须部署新的
NSX-T
环境。
如果迁移模式不适用于用户定义的拓扑,则在
导入配置
步骤期间,
NSX-T
环境中的所有
NSX-T
Edge 节点接口都将关闭。如果
NSX-T
环境正在使用中,这会中断流量。
跨 vCenter NSX
(NSX-T 3.2.1 及更高版本)是
(NSX-T 3.2.0) 是,但应没有辅助 NSX Manager
(NSX-T 3.2.1 及更高版本)仅当选择
迁移 NSX for vSphere
模式和
用户定义的拓扑
时才支持迁移。
(NSX-T 3.2.0) 支持迁移符合以下条件的单站点
NSX-V
部署:包含处于主模式的
NSX Manager
,但不含辅助 NSX Manager,且主站点上具有通用对象。这种单站点
NSX-V
部署将迁移到具有本地对象的单站点
NSX-T
环境(非联合)。不支持迁移具有一个主
NSX Manager
和多个辅助 NSX Manager 的跨 vCenter
NSX-V
部署。不过,如果将主要或辅助
NSX Manager
设置为单独或转换模式,则支持迁移。
VCF 工作负载域
(NSX-T 3.2.1 及更高版本)是
具有 Cloud Management Platform、集成堆栈解决方案或 PaaS 解决方案的
NSX-V
支持迁移具有
vRealize Automation
的
NSX-V
。
请联系您的 VMware 代表,然后再继续迁移。如果迁移集成的环境,脚本和集成可能会被破坏:
NSX-V
和 vCloud Director
具有集成堆栈解决方案的
NSX-V
具有 PaaS 解决方案(如 Pivotal Cloud Foundry、RedHat OpenShift)的
NSX-V
具有 vRealize Operations 工作流的
NSX-V
将数据路径绑定从
NSX-V
中的交换机安全模块迁移到
NSX-T
中的交换机安全模块
如果启用了 SpoofGuard,则会从交换机安全模块中迁移绑定以支持 ARP 抑制。
VSIP - 不支持交换机安全,因为 VSIP 绑定将作为静态配置的规则进行迁移。
发现配置文件
在迁移后使用逻辑交换机的 IP 发现配置以及全局和集群 ARP 和 DHCP 配置创建 ipdiscovery 配置文件。
Edge 服务网关或分布式逻辑路由器上的节点级别设置
不支持节点级别设置,例如,syslog 或 NTP 服务器。您可以在 NSX-T Edge 节点上手动配置 syslog 和 NTP。
Edge 服务网关接口的单播反向路径筛选 (Unicast Reverse Path Filter. URPF) 配置
NSX-T
网关接口上的 URPF 设置为“严格”。
最大传输单元 (Maximum Transmission Unit, MTU) 配置 Edge 服务网关接口
有关更改
NSX-T
上的默认 MTU 的信息,请参见
更改全局 MTU 设置
。
IP 多播路由
路由重新分发前缀筛选器
在
NSX-T
中不受支持。
NAT 规则:原始地址(SNAT 规则的源地址
以及 DNAT 规则的目标地址。)
NSX-V
API:originalAddress
NSX-T
API:source_network(SNAT 规则)或 destination_network(DNAT 规则)
NAT 规则:转换的地址
NSX-V
API:translatedAddress
NSX-T
API:translated_network
NAT 规则:在特定的接口上应用 NAT 规则
“应用于”必须为“任意”。
NAT 规则:日志记录
NSX-V
API:loggingEnabled
NSX-T
API:logging
NAT 规则:已启用
NSX-V
API:enabled
NSX-T
API:disabled
NAT 规则:描述
NSX-V
API:description
NSX-T
API:description
NAT 规则:协议
NSX-V
API:protocol
NSX-T
API:Service
NAT 规则:原始端口(SNAT 规则的源端口、DNAT 规则的目标端口)
NSX-V
API:originalPort
NSX-T
API:Service
NAT 规则:转换的端口
NSX-V
API:translatedPort
NSX-T
API:Translated_ports
NAT 规则:DNAT 规则中的源地址
NSX-V
API:dnatMatchSourceAddress
NSX-T
API:source_network
NAT 规则:
SNAT 规则中的目标地址
NSX-V
API:snatMatchDestinationAddress
NSX-T
API:destination_network
NAT 规则:
DNAT 规则中的源端口
NSX-V
API:dnatMatchSourcePort
NSX-T
API:Service
NAT 规则:
SNAT 规则中的目标端口
NSX-V
API:snatMatchDestinationPort
NSX-T
API:Service
NAT 规则:规则 ID
NSX-V
API:ruleID
NSX-T
API:id 和 display_name
基于 IPSec 的 L2VPN 配置 - 使用预共享密钥 (Pre-Shared Key, PSK)
在 L2VPN 上延伸的网络是覆盖网络逻辑交换机时支持。VLAN 网络不支持。
基于 IPSec 的 L2VPN 配置 - 使用基于证书的身份验证
基于 SSL 的 L2VPN 配置
具有本地输出优化的 L2VPN 配置
L2VPN 客户端模式
在
NSX-T
中,dpdaction 设置为“restart”并且无法进行更改。
如果将 dpdtimeout 的
NSX-V
设置设为 0,则会在
NSX-T
中禁用 dpd。否则,将忽略任何 dpdtimeout 设置并使用默认值。
更改了以下项的不活动对等检测 (Dead Peer Detection, dpd) 默认值:
dpddelay
NSX-V
dpdelay 映射到
NSX-T
dpdinternal。
两个或更多会话具有重叠的本地和对等子网。
NSX-V
支持基于策略的 IPSec VPN 会话,即两个或多个会话的本地和对等子网相互重叠。
NSX-T
不支持此行为。开始迁移之前,必须重新配置子网,使它们不重叠。如果此配置问题未解决,“迁移配置”步骤将失败。
将对等端点设置为“任意”的 IPSec 会话。
不会迁移配置。
对 securelocaltrafficbyip 扩展进行了更改。
NSX-T
服务路由器没有任何需要通过隧道发送的本地生成的流量。
对以下扩展进行了更改:
auto、sha2_truncbug、sareftrack、leftid、leftsendcert、leftxauthserver、leftxauthclient、leftxauthusername、leftmodecfgserver、leftmodecfgclient、modecfgpull、modecfgdns1、modecfgdns2、modecfgwins1、modecfgwins2、remote_peer_type、nm_configured、forceencaps、overlapip、aggrmode、rekey、rekeymargin、rekeyfuzz、compress、metric、disablearrivalcheck、failureshunt、leftnexthop、keyingtries
在
NSX-T
上不支持这些扩展,并且不会迁移对这些扩展进行的更改。
查看详细信息。
(NLB) 不会迁移监控器。
(ALB) 不会迁移 LDAP 和 MSSQL 监控器。如果 ALB 具有企业许可证,则会迁移 DNS 监控器;如果 ALB 具有基本许可证,则不会迁移 DNS 监控器。
应用程序规则
NSX-V
使用基于 HAProxy 的应用程序规则以支持 L7。在
NSX-T
中,这些规则基于 NGINX。无法迁移这些应用程序规则。您必须在迁移后创建新的规则。
L7 虚拟服务器端口范围
(NLB) 否
(ALB) 是
如果在虚拟服务器中使用 IPv6,则忽略整个虚拟服务器。
如果在池中使用 IPv6,仍会迁移池,但应移除相关的池成员。
URL、URI、HTTPHEADER 算法
查看详细信息。
(NLB) 不会迁移使用这些算法的池。
(ALB) 如果 ALB 具有企业许可证,则支持迁移。如果具有基本许可证,将向您提供反馈,要求您选择其他算法。
具有不同监控端口的 LB 池成员
查看详细信息。
(NLB) 不会迁移具有不同监控端口的池成员。
(ALB) 池成员会迁移,但不会采用监控端口配置。
池成员 minConn
SSL sessionID 持久性/表
(NLB) 否
(ALB) 是
MSRDP 持久性/会话表
Cookie 应用程序会话/会话表
(NLB) 否
(ALB) 是
应用程序持久性
(NLB) 否
(ALB) 是
以下内容的监控:
明确的转义
以下内容的监控:
重试次数最大值
Haproxy 优化/IPVS 优化
池 IP 筛选器
IPv4 地址
支持 IPv4 IP 地址。
如果使用“任意”,则仅迁移 IP 池的 IPv4 地址。
池 IP 筛选器
IPv6 地址
包含不支持的分组对象的池:
分布式端口组
MAC 集
虚拟应用程序
如果池包含不支持的分组对象,则会忽略这些对象,并使用支持的分组对象成员创建池。如果没有支持的分组对象成员,则会创建一个空池。
在分布式逻辑路由器上配置的 DHCP 中继指向在直接连接的 Edge 服务网关上配置的 DHCP 服务器
DHCP 中继服务器 IP 必须是 Edge 服务网关的内部接口 IP 之一。
必须在一个 Edge 服务网关上配置 DHCP 服务器,该网关直接连接到配置了 DHCP 中继的分布式逻辑路由器。
不支持使用 DNAT 转换与 Edge 服务网关内部接口不匹配的 DHCP 中继 IP。
仅在分布式逻辑路由器上配置 DHCP 中继,在连接的 Edge 服务网关上没有配置 DHCP 服务器
仅在 Edge 服务网关上配置 DHCP 服务器,在连接的分布式逻辑路由器上没有配置 DHCP 中继
孤立的 ip-pools/bindings
如果在 DHCP 服务器上配置了 ip-pools 或 static-bindings,但任何连接的逻辑交换机未使用它们,则会从迁移中跳过这些对象。
在具有直接连接的逻辑交换机的 Edge 服务网关上配置了 DHCP
在迁移期间,直接连接的 Edge 服务网关接口将作为集中式服务端口进行迁移。不过,
NSX-T
在集中式服务端口上不支持 DHCP 服务,因此,不会为这些接口迁移 DHCP 服务配置。
NSX-T
不支持引用未连接到
NSX-T
端口组或网络的对象。这些对象会在迁移完成后从源或目标中丢失。要避免出现此问题,请在迁移之前使用
NSX-V
中的 IP 地址引用这些对象。
在分布式防火墙中禁用的规则
在集群级别禁用分布式防火墙
在
NSX-T
上启用分布式防火墙时,将在所有集群上启用该防火墙。您无法在某些集群上启用该防火墙,而在其他集群上禁用该防火墙。
DFW 排除列表
不会迁移 DFW 排除列表。在迁移后,您需要在
NSX-T
上重新创建这些列表。
服务配置文件
不会迁移服务配置文件。您或合作伙伴必须在迁移之前创建服务配置文件。
在迁移的“解决配置”步骤中,系统将提示您将每个
NSX-V
服务配置文件映射到
NSX-T
服务配置文件。如果您跳过映射服务配置文件,则不会迁移使用这些服务配置文件的规则。
将在
NSX-T
中为
NSX-V
中的每个服务配置文件创建一个服务链。服务链是使用以下命名约定创建的:
Service-Chain-
service_profile_name
在服务链的正向路径和反向路径中使用相同的服务配置文件。
不会迁移合作伙伴服务虚拟机 (SVM)。无法在
NSX-T
中使用
NSX-V
合作伙伴 SVM。
对于
NSX-T
中的东西向网络侦测服务,必须将合作伙伴服务虚拟机部署在覆盖网络分段上。
区域映射到重定向策略。
ID 是由用户定义的,不会在
NSX-T
中自动生成。
如果
NSX-V
中的防火墙区域具有超过 1000 个规则,将在多个区域中迁移这些规则,每个区域 1000 个规则。例如,如果一个区域包含 2500 个规则,将创建三个策略:策略 1 具有 1000 个规则,策略 2 具有 1000 个规则,策略 3 具有 500 个规则。
NSX-V
中的有状态或无状态防火墙规则将迁移到
NSX-T
中的有状态或无状态重定向规则。
合作伙伴服务:规则
规则 ID
规则 ID 是由系统生成的。它可能与
NSX-V
中的规则 ID 不同。
服务配置文件绑定可以将分布式虚拟端口组 (Distributed Virtual Port Group, DVPG)、逻辑交换机和安全组作为其成员。
NSX-V
中的服务配置文件绑定映射到
NSX-T
中的重定向规则的“应用对象”字段。“应用对象”字段仅接受组,该字段确定规则的范围。
在
NSX-T
中,规则重定向是在策略级别完成的。重定向策略中的所有规则具有相同的范围(应用对象)。
NSX-T
重定向规则中的“应用对象”字段最多可以具有 128 个成员。如果服务配置文件绑定中的成员数量超过 128 个,请在开始迁移之前将其减少到 128 个或更少。
例如,假定服务配置文件绑定具有 140 个成员(安全组)。在开始迁移之前,请在
NSX-V
中执行以下步骤:
创建虚拟安全组。
将 13 个安全组移动到该虚拟安全组中。换言之,该虚拟安全组具有 13 个成员。
从服务配置文件中移除这 13 个安全组的绑定。现在,在服务配置文件绑定中具有 127 个成员 (140-13)。
将该虚拟安全组添加到服务配置文件绑定中。
现在,服务配置文件绑定中的成员总数为 128 (127 + 1)。
启用/禁用规则
NSX-V
中准备好 VXLAN 传输区域,您可以选择
NSX-T
中的默认覆盖网络传输区域以创建服务分段。如果一个或多个 VXLAN 传输区域准备了
NSX-V
,您必须选择任一覆盖网络传输区域以在
NSX-T
中创建服务分段。
NSX-V
中,服务配置文件具有优先级。如果服务具有多个服务配置文件,并且多个配置文件绑定到同一 vNIC,将在 vNIC 上先应用较高优先级的服务配置文件。但在
NSX-T
中,服务配置文件没有优先级。在多个重定向规则具有相同的“应用对象”设置时,规则顺序决定了先命中哪个规则。也就是说,在
NSX-T
规则表中,配置文件优先级较高的规则将放在配置文件优先级较低的规则前面。有关详细示例,请参见
NSX-T 中迁移的网络侦测规则的顺序
中的场景 2。
为了将流量重定向到多个服务,
NSX-V
在服务插入数据路径中使用多个 DVFilter 插槽。一个 DVFilter 插槽用于将流量重定向到一个服务。与低优先级的服务相比,高优先级的服务在插槽中的放置位置更高。在
NSX-T
中,仅使用单个 DVFilter 插槽,它将流量重定向到服务链。在迁移到
NSX-T
后,使用高优先级的合作伙伴服务的规则放在使用低优先级的合作伙伴服务的规则前面。有关详细示例,请参见
NSX-T 中迁移的网络侦测规则的顺序
中的场景 3。
不支持将 vNIC 上的流量重定向到多个合作伙伴服务。仅支持重定向到单个合作伙伴服务。虽然所有
NSX-V
规则都会迁移到
NSX-T
,但迁移的规则配置使用仅具有一个服务配置文件的服务链。您无法修改重定向规则中使用的现有服务链。
解决办法:要将 vNIC 上的流量重定向到多个服务,请创建新的服务链,并在该服务链中定义服务配置文件的顺序。更新迁移的规则以使用该新服务链。
NSX-V
环境中,如果在连接到虚拟机网络的虚拟机上运行网络侦测服务规则,在迁移主机后不再为这些虚拟机提供安全保护。要确保在迁移主机后在这些虚拟机的 vNIC 上实施网络侦测规则,您必须将这些虚拟机连接到
NSX-T
分段。
支持迁移安全组,并具有列出的限制。安全组将作为组迁移到
NSX-T
。请参见
NSX-T
Manager Web 界面中的
。
NSX-V
具有系统定义的安全组和用户定义的安全组。这些组将作为用户定义的组迁移到
NSX-T
。
迁移后的总组数可能不等于
NSX-V
上的安全组数。例如,包含虚拟机以作为源的分布式防火墙规则将迁移到包含将虚拟机作为成员的新组的规则。在迁移后,这会增加
NSX-T
上的总组数。
安全组最多可以包含 500 个静态成员。不过,如果在分布式防火墙规则中使用安全组,则会添加系统生成的静态成员,从而将有效限制降低到 499 或 498。
如果在第 2 层或第 3 层规则中使用安全组,则会将一个系统生成的静态成员添加到安全组中。
如果在第 2 层和第 3 层规则中使用安全组,则会添加两个系统生成的静态成员。
如果在“解决配置”步骤期间不存在任何成员,则不会迁移安全组。
安全组成员类型(“静态”或“实体属于”):
分布式端口组
传统端口组/网络
如果安全组包含任何不支持的成员类型,则不会迁移安全组。
安全组成员类型(“静态”或“实体属于”):
MAC 集
安全组、IP 集和 MAC 集将作为组迁移到
NSX-T
。如果
NSX-V
安全组包含 IP 集、MAC 集或嵌套安全组以作为静态成员,则会将相应组添加到父组中。
如果其中的一个静态成员未迁移到
NSX-T
,则父安全组不会迁移到
NSX-T
。
例如,具有超过 200 万个成员的 IP 集无法迁移到
NSX-T
。因此,无法迁移包含的 IP 集具有超过 200 万个成员的安全组。
安全组成员类型(“静态”或“实体属于”):
逻辑交换机(虚拟线路)
如果安全组包含未迁移到
NSX-T
分段的逻辑交换机,则安全组不会迁移到
NSX-T
。
安全组成员类型(“静态”或“实体属于”):
如果将安全标记作为静态成员添加到安全组中,或者使用“实体属于”将安全标记作为动态成员添加到安全组中,则要迁移的安全组必须具有安全标记。
如果将安全标记作为动态成员添加到安全组中(不使用“实体属于”),则在迁移安全组之前不会检查安全标记是否存在。
安全组成员类型(“静态”或“实体属于”):
vNIC 和虚拟机将作为 ExternalIDExpression 进行迁移。
在安全组迁移期间,将忽略孤立的虚拟机(从主机中删除的虚拟机)。
在
NSX-T
上显示这些组后,将在一段时间后更新虚拟机和 vNIC 成员资格。在此期间,可能具有临时组,并且可能将其临时组显示为成员。不过,在主机迁移完成后,不再显示这些额外的临时组。
使用“匹配正则表达式”运算符以查找动态成员资格
这仅影响安全标记和虚拟机名称。“匹配正则表达式”不适用于其他属性。
在以下属性的动态成员资格条件中使用其他可用运算符:
虚拟机名称
计算机名称
计算机操作系统名称
虚拟机名称、计算机名称和计算机操作系统名称的可用运算符为“包含”、“结尾为”、“等于”、“不等于”和“开头为”。
安全标记的可用运算符为“包含”、“结尾为”、“等于”和“开头为”。
“实体属于”条件
迁移静态成员的相同限制适用于“实体属于”条件。例如,如果安全组在定义中使用“实体属于集群”,则不会迁移安全组。
不会迁移包含使用 AND 合并在一起的“实体属于”条件的安全组。
安全组中的动态成员资格条件运算符(AND、OR)
在为
NSX-V
安全组定义动态成员资格时,您可以配置以下内容:
一个或多个动态集。
每个动态集可以包含一个或多个动态条件。例如,“虚拟机名称包含 web”。
您可以选择是匹配动态集中的任意还是全部动态条件。
您可以选择在动态集中使用 AND 或 OR 匹配条件。
NSX-V
不限制动态条件和动态集数,并且您可以使用 AND 和 OR 的任意组合。
在
NSX-T
中,您可以使用包含五个表达式的组。不会迁移包含超过五个表达式的
NSX-V
安全组。
可以迁移的安全组示例:
最多 5 个与 OR 相关的动态集,其中的每个动态集包含最多 5 个与 AND 相关的动态条件(
NSX-V
中的“全部”)。
1 个动态集,包含与 OR 相关的 5 个动态条件(
NSX-V
中的“任意”)。
1 个动态集,包含与 AND 相关的 5 个动态条件(
NSX-V
中的“任意”)。所有成员类型必须是相同的。
5 个与 AND 相关的动态集,每个动态集包含恰好 1 个动态条件。所有成员类型必须是相同的。
不支持将“实体属于”条件与 AND 运算符一起使用。
不会迁移包含不支持的方案的安全组的所有其他组合或定义。
在
NSX-V
中,安全标记是可应用于虚拟机的对象。在迁移到
NSX-T
时,安全标记是虚拟机的属性。
具有命名冲突的服务和服务组
如果在
NSX-T
中发现修改的服务或服务组存在名称冲突,则会在
NSX-T
中创建一个新服务,其名称格式为:<NSXv-Application-Name> migrated from NSX-V
将第 2 层服务与其他层中的服务合并在一起的服务组
NSX-T
不支持空服务。
第 2 层服务
NSX-V
第 2 层服务将作为
NSX-T
服务条目 EtherTypeServiceEntry 进行迁移。
第 3 层服务
根据协议,
NSX-V
第 3 层服务将迁移到
NSX-T
服务条目,如下所示:
TCP/UDP 协议:L4PortSetServiceEntry
ICMP/IPV6ICMP 协议:
ICMPTypeServiceEntry
IGMP 协议:IGMPTypeServiceEntry
其他协议:IPProtocolServiceEntry
第 4 层服务
作为
NSX-T
服务条目 ALGTypeServiceEntry 进行迁移。
第 7 层服务
作为
NSX-T
服务条目 Entry PolicyContextProfile 进行迁移
如果
NSX-V
第 7 层应用程序定义了端口和协议,则会在
NSX-T
中使用相应的端口和协议配置创建一个服务,并将其映射到 PolicyContextProfile。
第 7 层服务组
包含端口和协议的分布式防火墙、Edge 防火墙或 NAT 规则
NSX-T
需要使用一个服务以创建这些规则。如果具有相应的服务,则会使用该服务。如果没有相应的服务,则会使用规则中指定的端口和协议创建一个服务。
服务编排安全策略
安全策略中定义的防火墙规则将作为分布式防火墙规则迁移到
NSX-T
。
不会迁移服务编排安全策略中定义的禁用的防火墙规则。
将会迁移服务编排安全策略中定义的客户机侦测规则或网络侦测规则。
如果服务编排状态为“不同步”,“解决配置”步骤将显示警告。您可以跳过相关的分布式防火墙区域以跳过迁移服务编排策略。或者,您也可以回滚迁移,将服务编排与分布式防火墙同步,然后重新启动迁移。
未将服务编排安全策略应用于任何安全组
