虛擬雲網路

網路虛擬化NSX 技術文章系列二百零八: NSX – V轉T事前規劃及工具討論(五)

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

接續前篇,本篇內我們要以實際的畫面說明NSX V2T Migration Coordinator的DFW_Only移轉步驟。很快Recap一下,下圖是我們要實際移轉的架構:

左方是現有運作NSX for vSphere的環境,右方是採用NSX-T的新環境,移轉完成後,NSX所有的安全機制會由V版環境同步至T版環境內,虛機也可以由管理者手動由原本的V環境遷移至新的T環境內。

如前篇內說明,我們在此環境內部署的分散式防火牆相關元件包含Rule / Group / IPSET / Security Tag等的定義如下。

好的。在最前面的架構圖,大家可以看到我畫了5個步驟,接下來我們也會依據這個步驟逐步進行說明:

Step 0: 先建新環境

由於這是Lift and Shift,先建後拆的架構,首先客戶需要建立一個新的vCenter / vSphere資源池,並建立NSX-T Manager並完成vSphere內的Preparation。請注意,V2T Migration Coordinator僅支援全新安裝的NSX-T環境,移轉到一個已經在使用,上面有很多現有配置的環境是不支援的。

另外,NSX-T需要先將來源端這裡的vCenter加入Compute Manager內。在後續Migration Coordinator的步驟內,才能抓到來源端的相關資訊。

Step 1: 啟用V2T Migration Coordinator

在NSX-T全新安裝完成時,Migration Coordinator的服務是沒有啟用的,此時管理者在UI介面內也無法執行此功能。因此第一個步驟是管理者需要以SSH登入NSX Manager並啟用服務,如下圖:

執行上述指令後,回到NSX-T UI內,在System – Migrate內就可以看到不同的Migration選項了。我們要執行的是ADVANCED MIGRATION MODES內的Distributed Firewall這個選項,按GET STARTED就可啟動。

Step 2: 移轉前相容性檢查

進入Distributed Firewall的移轉介面後,首先第一個步驟是要讓Migration Coordinator接上來源端的vCenter與NSX for vSphere。此處非常直覺,請看畫面:

上述認證若沒問題,介面上就會顯示來源端VC / NSX for vSphere的相關資訊,且可以開始將相關配置輸入,如下圖:

接著按CONTINUE後,Migration Coordinator會檢查並列出在NSX for vSphere與NSX-T間的差異點,甚至可能會需要管理者輸入一些相關在T版環境內的配置值。此步驟內,管理者應該要一條條檢視各項需要注意點,接受或是進行對應需求的修改。

Step 3: 防火牆配置相關移轉

在前步驟內當管理者檢視並接受各項差異點後,按CONTINUE就可以啟動下一步實際的移轉動作。此步驟內,V版的相關配置會真正放到T版環境內,介面內會列出移轉是否成功,以及相關的數據。

此步驟內我想特別提出的,是這裡的過程都有ROLLBACK的機制。在這裡的ROLLBACK如果執行,都還可以把NSX-T內的配置移除,回復到原有、沒有移轉前的環境。

Step 4: 手動以vMotion或HCX移轉虛機

上面的步驟結束、按CONTINUE後,會出現說明要求管理者手動進行虛機移轉,如下圖:

在這裡,要採用哪種移轉方式,移轉的順序與時間,都由管理者自行決定。管理者可以選擇:

  • 如果在來源與目的端的vCenter使用相同的SSO,就可以在VC介面上直接進行Cross-vCenter vMotion。
  • 如果來源與目的端的vCenter是不同的SSO,仍然可以用vSphere的API來進行移轉
  • 如果客戶有HCX授權,以HCX的各種機制如vMotion / Bulk Migration / Replicated-Assisted-vMotion 當然是更建議的方法。

Step 5: Tag配對、檢查並結束移轉

最後還需要一個動作,目前還僅能用API的方法執行。當我們完成將所有虛機由來源端轉移到目的端後,還必須要告訴NSX-T Manager手動移轉已經完成。接著Manager會把在V版那邊於Step 3拿到的Tag / Group等等資訊,套用到這些移轉完成的虛機上。

下圖內是我用POSTMAN來執行這個finalize_infra動作的API。需要採用POST的HTTP Method,而API是 https://{NSX-Manager}/api/v1/migration?action=finalize_infra 。當然這邊也需要輸入相對的username與password以登入NSX。

當上面動作執行完,看到回應值為200後,整個DFW_Only的移轉機制就完成了。下面我把移轉完後,在T版內的Tag / Group / DFW Rule show給大家看,請與前篇在V版內的配置放在一起比較。首先是Tag,在V版內定義的v2t-web-tag有正確地出現於T版介面內,並且指定到web-01 / web-02兩個虛機上:

其次V版那邊的群組Web-Group以及IPSET集合也有正確移入T版環境內。下圖是Web-Group的成員與動態條件配置:

接著是Non-Internet-IPSET這個集合,在T版內變成一個配置靜態IP的群組:

最後,當然防火牆規則也正確移轉了:

好的,希望由前篇與本篇內的討論,讓大家可以親眼看到V2T Migration Coordinator工具內,如何進行DFW_only的配置移轉,包含了防火牆規則、群組、標籤等的移轉均能順利達成。而在下一篇,我想和大家就其他V2T移轉模式,尤其是NSX for vSphere Everything『全部轉移』的機制進行相關說明。

相关文章

评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注