更新时间:2024-07-29
如需多个资源池组成的相互连通的网络域,实现云上虚拟设备跨资源池互联互通,并且被分布式防火墙统一管控,升级后需要部署SCP,组建连通域。请提前确认网口与网线等硬件资源能满足网络规划。
从低版本升级到VDI591R2,如果存在分布防火墙策略,则升级前检测包会进行拦截。
590以下版本(不含590):
1)存在分布式防火墙规则,拦截升级。
如果不需要保留规则,可以选择删除掉所有策略规则。
如果需要保留规则,联系技术支持处理。
补丁包、正式包可以通过 touch /tmp/skip_fw_check跳过检测( 保留原有的防火墙规则 )
2)如果存在条件策略关联分布式防火墙,拦截升级。 如果不需要保留规则,可以选择解除条件策略关联分布式防火墙规则的关联后升级。
如果需要保留条件策略关联分布式防火墙规则,联系技术支持处理
补丁包、正式包可以通过 touch /tmp/skip_condition_fw_check跳过检测( 保留原有的分布式防火墙关联防火墙规则 )
3)590版本出现上述拦截错误,表示当前版本 创建防火墙策略、规则或者包含重复的默认(系统)规则,需要删除出后再升级。
4)通过规则导出工具,可以导出历史规则到csv ,辅助技术支持识别新版本不支持的IP组、自定义服务和规则。
5)导出低版本分布式防火墙工具附件:
老版本VDC用户升级591及以后版本,需要保留分布式防火墙的历史配置(IP组、自定义服务、策略规则)。
6)提供自动导入功能,识别历史配置中可自动导入的配置。
a)进入到分布式防火墙界面,选中HCI集群后可以操作导入配置按钮
b)点击导入会提示,本次导入的配置数量。 (失效规则可以联系技术支持后台导出)
c)点击导入原有配置按钮,等待操作结果
d) 导入成功后的效果演示
备注:如果出现以下提示(对接SCP模式),需要登录 SCP平台操作“创建连通域”
请登录到SCP平台按提示,把升级前关联的集群组到一个连通域内
e)引用策略的升级
如果管理员之前配置了引用策略,在导入原有配置时,会将引用策略也导入进来。在VDC虚拟机类型引用策略和VDC用户类型引用策略下均导入一条历史的引用策略。
历史分布式防火墙引用策略(556版本存在3条引用防火墙策略 ,1条普通防火墙策略):
591及以后版本点击导入原有配置:
导入成功后,存在7条历史策略(3条用户类型引用策略,3条虚拟机类型引用策略和1条普通防火墙策略)。
如果升级前条件策略仍然关联分布式防火墙引用规则(采用了技术支持绕过方式,touch /tmp/skip_condition_fw_check方式跳过检测)。导入历史配置后会自动关联升级前的引用规则。
升级前条件策略(如5.5.6版本):
升级后591以后版本条件策略:
注意:
如果老架构的分布式防火墙策略对远程应用服务器生效,则升级到VDI5.9.1及以后的版本,需要在资源管理新建远程应用服务器资源,将升级后的HCI上对应的远程应用服务器虚拟机导入到VDC上的资源上,然后在分布式防火墙页面对远程应用服务器资源或者虚拟机进行配置。