请参考以下已知的限制和常见错误,以便对在 云原生实施模式 中管理公有云工作负载虚拟机进行故障排除。

注: 通过公有云可设置以下限制:
  • 可应用于工作负载虚拟机的安全组数。
  • 可为工作负载虚拟机实现的规则数。
  • 每个安全组可以实现的规则数。
  • 安全组分配的范围,例如,Microsoft Azure 中的网络安全组 (NSG) 的范围仅限于该区域,而 AWS 中安全组 (SG) 的范围仅限于该 VPC。
有关这些限制的详细信息,请参阅公有云文档。

当前限制

当前版本对于工作负载虚拟机的 DFW 规则具有以下限制:

  • 不支持嵌套组。
  • 不支持没有虚拟机和/或 IP 地址作为成员的组,例如,不支持基于分段或逻辑端口的条件。
  • 不支持将源和目标设为基于 IP 地址或 CIDR 的组。
  • 不支持将源和目标设为“任意”。
  • 应用对象组只能是源或目标或者“源 + 目标”组。其他选项均不受支持。
  • 仅支持 TCP、UDP 和 ICMP。
注: 仅在 AWS 中:
不会在 AWS 上实现为 AWS VPC 中的工作负载虚拟机创建的拒绝规则,因为在 AWS 中所有虚拟机默认位于拒绝列表中。这会导致 NSX 中出现以下结果:
  • 如果在虚拟机 1 和虚拟机 2 之间创建了拒绝规则,则不允许虚拟机 1 和虚拟机 2 之间的流量,这是由于默认的 AWS 行为所致,而不是因为拒绝规则。拒绝规则不会在 AWS 中实现。
  • 假设在 NSX Manager 中为同一个虚拟机创建了以下两个规则,其中规则 1 的优先级高于规则 2:
    1. 虚拟机 1 到虚拟机 2 拒绝 SSH
    2. 虚拟机 1 到虚拟机 2 允许 SSH
    拒绝规则会被忽略,因为它不会在 AWS 中实现,因此会实现“允许 SSH”规则。这与预期相反,这是由于默认的 AWS 行为所产生的限制所致。

常见错误及其解决方法

错误:未对虚拟机应用任何 NSX 策略。

如果您看到此错误,则表示没有对特定虚拟机应用任何 DFW 规则。在 NSX Manager 中编辑规则或的组以包含此虚拟机。

错误:不支持无状态 NSX 规则。

如果您看到此错误,则表示您已在无状态安全策略中为公有云工作负载虚拟机添加了 DFW 规则。这种情况不受支持。在“有状态”模式下创建新安全策略或使用现有安全策略。