我们以这样一种场景为例:存在两个策略域,且每个策略域均包含多个规则。作为 admin 用户,您并不能始终确定哪些虚拟机最终可以获得组的成员资格,因为虚拟机根据动态成员资格条件(例如,操作系统名称、计算机名称、用户、标记)与组相关联。

在以下情况下会出现冲突:

  • 一个虚拟机属于两个组,其中每个组由不同的配置文件进行保护。
  • 一个合作伙伴服务虚拟机与多个服务配置文件相关联。
  • 意外规则在客户机虚拟机上运行,或规则不在虚拟机组上运行。
  • 序列号未分配给策略规则或域。
表 1. 解决策略冲突
场景 预期端点保护流程 解决方案

一个虚拟机获得多个组的成员资格时。而且,每个组由不同类型的服务配置文件进行保护。

未对虚拟机应用预期保护。

基于组成员资格条件创建的虚拟机组意味着将虚拟机动态添加到该组。在这种情况下,同一虚拟机可以属于多个组。由于成员资格条件将虚拟机动态填充到组,因此无法预先确定虚拟机将属于哪个组。

假设虚拟机 1 属于组 1 和组 2。

  • 规则 1:对组 1(按操作系统名称)应用黄金级(服务配置文件),且序列号为 1
  • 规则 2:对组 2(按标记)应用白金级,且序列号为 10

端点保护策略在虚拟机 1 上运行黄金级服务配置文件,但不在虚拟机 1 上运行白金级服务配置文件。

更改规则 2 的序列号,使其在规则 1 之前运行。

  • NSX Policy Manager UI 上的规则列表中,将规则 2 拖动到规则 1 之前。

  • 使用 NSX Policy Manager API,手动为规则 2 添加更高的序列号。

当规则与同一个服务配置文件相关联以保护两个虚拟机组时。

端点保护不在第二个虚拟机组上运行该规则。

端点保护仅在虚拟机上运行第一个服务配置文件,因为同一个服务配置文件不能跨策略或域再次应用于任何其他规则。

假设虚拟机 1 属于组 1 和组 2。

规则 1:对组 1(按操作系统名称)应用黄金级(服务配置文件)

规则 2:对组 2(按标记)应用黄金级(服务配置文件)

  • 将组 2 添加到规则 1。(规则 1:对组 1、组 2 应用配置文件 1)