在 VDS/VSS 和 NSX-T 虚拟交换机之间执行 vMotion－转官方文档

要求
从 NSX-T 3.0 开始，NSX-T 虚拟交换机可以是 N-VDS 或为 NSX 准备的 VDS。 以下矩阵适用于这两种 NSX-T 虚拟交换机型号。

下表列出了受支持的 vMotion 功能版本。
  vMotion	                                                               vSphere（vCenter Server 和 ESXi）	NSX-T版本
 源	  			   目标	 	 
VDS DVPG（无 NSX）	NSX-T VLAN segment	      6.7U1 或更高版本
                                                                                  6.5P03 或更高版本					2.2 或更高版本
VDS DVPG（无 NSX）	NSX-T overlay segment	6.7U2 或更高版本					2.2 或更高版本
VSS PG	            NSX-T VLAN segment	       6.7U2 或更高版本	2.2 或更高版本
VSS PG	            NSX-T overlay segment	6.7U2 或更高版本	2.2 或更高版本
VXLAN DVPG (NSX for vSphere overlay)	NSX-T overlay segment	6.7U2 或更高版本	2.5.2 或更高版本
VDS (on NSX prepared host)	NSX-T VLAN segment	6.7U2 或更高版本	2.5.2 或更高版本
VDS (on NSX prepared host)	NSX-T overlay segment	6.7U2 或更高版本	2.5.2 或更高版本

在 NSX-T 2.5.2 之前的版本中，不支持在 NSX-V（位于 VDS 上）与 N-VDS 之间执行 vMotion 操作，尤其是启用 DFW 的情况下。仅支持冷迁移。有关其他信息，请参见下述“限制”下的第 6 条。 
现在，从 NSX-T 2.5.2 开始，可以在 NSX for vSphere VXLAN 支持的逻辑交换机与 NSX-T 覆盖段之间进行 vMotion。关于 DFW：请参见下述“限制”下的第 6 条。
在 vMotion 过程中，在两个方向上均不会作为 vMotion 的一部分在目标上保留或应用源交换机配置和运行时状态。在发起 vMotion 之前，应准备好目标网络与源交换机配置进行奇偶校验。这适用于包括（但不限于）NIOC、Spoofguard 和交换机安全在内的功能。 
在 NSX-V 6.4.4 之后的版本中，将保留防火墙状态。 

使用 HTML5 vSphere Client 时请注意，vDS 和 NVDS 之间的 vMotion 预检查可能会失败，并显示错误。

当前连接的网络接口“网络适配器 1”使用的网络“DVSwitch: uuid”无法访问 (Currently connected network interface ‘Network adapter 1’ uses network ‘DVSwitch: uuid’, which is not accessible)。

vSphere 6.7 Update 3g 中已解决该问题。

作为受影响版本的权宜措施，可以使用 Flash vSphere Client 执行 vMotion 操作。

注意：Adobe Flash Player 已于 2020 年 12 月 31 日停止使用。更多信息，请参见 VMware Flash End of Life and Supportability。

限制

从 VDS/VSS 迁移到 NSX-T 虚拟交换机时，针对要迁移的虚拟机上的 vNIC 端口创建的流量筛选器（NIOC、Spoofguard 和交换机安全，不包括 DFW）以及 QOS 标记策略规则不会传输到目标。在端口集级别应用流量筛选和 QOS 标记策略规则，将虚拟机迁移回 VDS/VSS 主机时，将应用回在端口集上配置的规则。您必须在 NSX-T 中定义分段配置文件，以便在计划从 VDS/VSS 迁移到 NSX-T 以及使用流量筛选和 QOS 标记策略时重新创建这些类型的筛选器。
将虚拟机从 VDS/VSS 迁移到 NSX-T 虚拟交换机时，可能会根据 NSX-T 配置的某个组合阻止流量。一个组合是启用 Spoofguard 并且仅启用 DHCP 侦听。Spoofguard 从 IP 发现中为其白名单获取 IP 地址。迁移到 NSX-T 后，虚拟机可能会也可能不会执行 DHCP 事务以向 DHCP 服务器续订其分配的 DHCP IP 地址。只有在发生 DHCP 事务时才会发现此 IP。在此之前，Spoofguard 允许列表将为空，并且将丢弃传输自虚拟机的流量。 

需要在 NSX-V 迁移过程中禁用 Spoofguard，迁移后，在 IP 发现发现了要实施的必要 IP 地址集后在 NSX-T 中启用 Spoofguard。
除了受支持的 vCenter 内部版本外，源和目标 ESXi 主机都必须运行如上表所述的受支持版本。 

如果从运行不受支持的 ESXi 版本的主机发起 vMotion，则在发生故障时会破坏回滚。虚拟机的所有虚拟网卡端口都会失去网络连接。虚拟机处于此状态后，强烈建议不会进行重新配置虚拟机的任何尝试。要安全地恢复，请关闭虚拟机的电源，然后将虚拟机的虚拟网卡端口重新配置到所需的网络。
 
如果为每个虚拟机虚拟网卡配置了 NIOC/流量调整或带宽预留，且目标主机无法满足 NIOC 要求，则该端口最终将处于断开连接状态。要解决此问题，需要将虚拟网卡带宽预留更新为目标主机可以满足的值并重新连接，或者需要在发起 vMotion 之前在所有虚拟网卡上移除带宽预留。
 
不支持在 VSS/VDS 与 NSX-T 虚拟交换机之间执行容器虚拟机的 vMotion 操作。
NSX-V 与 NSX-T 上的 VDS 之间的分布式防火墙和 vMotion： 

要在不受影响的情况下允许 vMotion，您需要确保防火墙的导出版本至少为 1000。  这将允许保留防火墙状态。有关详细信息，请参见 NSX-T Data Center Migration Coordinator Guide 中的“在主机上配置分布式防火墙筛选器的导出版本”部分。

如果筛选器不一致，则可以在目标上禁用虚拟机端口，需要禁用/启用接口或断开端口的连接并重新连接。

更新筛选器的权宜措施是先将虚拟机置于 NSX-V 排除列表中，然后再执行 vMotion。

注意：将虚拟机从 NSX-V VDS 迁移到 NSX-T 虚拟交换机时，请注意 DFW 规则。您的 DFW 规则必须配置为涵盖您要执行的操作：

目标位置
源位置

示例：

如果在 NSX-V 中使用动态分组，并将虚拟机移动到新 vCenter 上的 NSX-T，由于该虚拟机不再存在于源 vCenter 的清单中，因此该虚拟机不再属于动态组。在这种情况下，您可能需要在源中更新 DFW 规则将虚拟机保留在动态分组中，例如使用基于 IP 的分组。

如果无法更改 DFW 筛选器版本，则在执行 vMotion 之前，请将虚拟机放置在目标 NSX-T 准备的主机上的排除列表中。

DFW 规则设计

您需要在 NSX-T DFW 规则中关注进出此迁移虚拟机的流。 
如果在 NSX-T 中使用动态组成员资格，则移动的虚拟机应直接包含在具有正确防火墙规则的组中。

重要信息：如果使用基于标记的分组，则在通过 NSX-T 迁移并查看虚拟机后，必须将标记添加到此虚拟机。使用目标上的排除列表会有所帮助。

请注意，将允许所有虚拟机流量。如果不允许，您可能必须基于 IP 地址来分组。
 
您还需要在 NSX-V DFW 规则中关注进出此迁移虚拟机的流。如果在源中的 NSX-V 上使用动态组成员资格，则应使用基于 IP 的分组以包括移动时（如果已不再存在于 vCenter 清单中）所创建的差异（此示例为移动到其他 VC 的情况）。

什么是差异？
将虚拟机移出 NSX-V 可以查看的清单（移动到其他 VC）时，该虚拟机不会成为使用动态分组的任何安全组成员资格的一部分。

例如：基于包含“WEB”的虚拟机名称的基于动态组的 SG1。此 SG1 用作防火墙规则中的目标，可允许到此 SG1 的流量。

将虚拟机移至不受 NSX-V 管理且 NSX-V 所在的 VC 无法查看的逻辑交换机时，SG1 组中不会再显示该对象。在“零信任”模式下，流向虚拟机的流量会被拒绝。