请参考以下已知的限制和常见错误,以便对在 云原生实施模式 中管理公有云工作负载虚拟机进行故障排除。
注: 通过公有云可设置以下限制:
- 可应用于工作负载虚拟机的安全组数。
- 可为工作负载虚拟机实现的规则数。
- 每个安全组可以实现的规则数。
- 安全组分配的范围,例如,Microsoft Azure 中的网络安全组 (NSG) 的范围仅限于该区域,而 AWS 中安全组 (SG) 的范围仅限于该 VPC。
当前限制
当前版本对于工作负载虚拟机的 DFW 规则具有以下限制:
- 不支持嵌套组。
- 不支持没有虚拟机和/或 IP 地址作为成员的组,例如,不支持基于分段或逻辑端口的条件。
- 不支持将源和目标设为基于 IP 地址或 CIDR 的组。
- 不支持将源和目标设为“任意”。
- 应用对象组只能是源或目标或者“源 + 目标”组。其他选项均不受支持。
- 仅支持 TCP、UDP 和 ICMP。
注: 仅在 AWS 中:
不会在 AWS 上实现为 AWS VPC 中的工作负载虚拟机创建的拒绝规则,因为在 AWS 中所有虚拟机默认位于拒绝列表中。这会导致
NSX 中出现以下结果:
- 如果在虚拟机 1 和虚拟机 2 之间创建了拒绝规则,则不允许虚拟机 1 和虚拟机 2 之间的流量,这是由于默认的 AWS 行为所致,而不是因为拒绝规则。拒绝规则不会在 AWS 中实现。
- 假设在 NSX Manager 中为同一个虚拟机创建了以下两个规则,其中规则 1 的优先级高于规则 2:
- 虚拟机 1 到虚拟机 2 拒绝 SSH
- 虚拟机 1 到虚拟机 2 允许 SSH
常见错误及其解决方法
错误:未对虚拟机应用任何 NSX 策略。
如果您看到此错误,则表示没有对特定虚拟机应用任何 DFW 规则。在 NSX Manager 中编辑规则或的组以包含此虚拟机。
错误:不支持无状态 NSX 规则。
如果您看到此错误,则表示您已在无状态安全策略中为公有云工作负载虚拟机添加了 DFW 规则。这种情况不受支持。在“有状态”模式下创建新安全策略或使用现有安全策略。