Stellen Sie sich ein Szenario vor, in dem zwei Richtliniendomänen vorhanden sind, die beide aus mehreren Regeln bestehen. Als Admin wissen Sie nie genau, welche VMs letztlich Mitglieder einer Gruppe werden, da VMs basierend auf dynamischen Mitgliedschaftskriterien (z. B. Name des Betriebssystems, Name des Computers, Benutzer, Tagging) mit einer Gruppe verknüpft werden.

Konflikte entstehen in folgenden Szenarien:

  • Eine VM ist Bestandteil zweier Gruppen, wobei jede Gruppe von einem anderen Profil geschützt wird.
  • Eine Partnerdienst-VM ist mit mehreren Dienstprofilen verknüpft.
  • Eine unerwartete Regel wurde auf einer Gast-VM ausgeführt oder eine Regel wurde auf einer Gast-VM nicht ausgeführt.
  • Richtlinienregeln oder Domänen wird keine Sequenznummer zugewiesen.
Tabelle 1. Lösen von Richtlinienkonflikten
Szenario Erwarteter Ablauf für Endpoint-Schutz Lösung

Eine VM wird Mitglied in mehreren Gruppen, wobei jede Gruppe von einem anderen Dienstprofiltyp geschützt wird.

Erwarteter Schutz wurde nicht auf die VM angewendet.

Eine mit einem Mitgliedschaftskriterium erstellte VM-Gruppe bedeutet, dass VMs dynamisch zur Gruppe hinzugefügt werden. In einem solchen Fall kann die gleiche VM mehreren Gruppen angehören. Es ist nicht möglich, im Voraus zu bestimmen, zu welcher Gruppe die VM gehören wird, da die VM über die Mitgliedschaftskriterien dynamisch in die Gruppe eingetragen wird.

Stellen Sie sich vor, dass VM-1 zu Gruppe 1 und Gruppe 2 gehört.

  • Regel 1: Auf Gruppe 1 (nach Betriebssystemname) wird „Gold“ (Dienstprofil) mit Sequenznummer 1 angewendet
  • Regel 2: Auf Gruppe 2 (nach Tag) wird „Platin“ (Dienstprofil) mit Sequenznummer 10 angewendet

Die Richtlinie für Endpoint-Schutz führt das Dienstprofil „Gold“, nicht aber das Dienstprofil „Platin“ auf VM 1 aus.

Ändern Sie die Sequenznummer von Regel 2 so, dass sie vor Regel 1 ausgeführt wird.

  • Ziehen Sie auf der Benutzeroberfläche von NSX-T Data Center Policy Manager Regel 2 vor Regel 1 in der Regelliste.

  • Fügen Sie mithilfe der NSX-T Data Center Policy Manager-API manuell eine höhere Sequenznummer für Regel 2 hinzu.

Eine Regel ordnet dasselbe Dienstprofil zum Schutz von zwei VM-Gruppen zu.

Der Endpoint-Schutz führt die Regel nicht in der zweiten VM-Gruppe aus.

Der Endpoint-Schutz führt nur das erste Dienstprofil auf der VM aus, da dasselbe Dienstprofil nicht erneut auf alle anderen Regeln für Richtlinien oder Domänen angewendet werden kann.

Stellen Sie sich vor, dass VM-1 zu Gruppe 1 und Gruppe 2 gehört.

Regel 1: Auf Gruppe 1 (nach Betriebssystemname) wird „Gold“ (Dienstprofil) angewendet

Regel 2: Auf Gruppe 2 (nach Tag) wird „Gold“ (Dienstprofil) angewendet

  • Fügen Sie Gruppe 2 zu Regel 1 hinzu. (Regel 1: Gruppe 1, Profil 1 wird auf Gruppe 2 angewendet)