Weitere Informationen zur Fehlerbehebung bei der Verwaltung Ihrer Public Cloud-Arbeitslast-VMs im Native Cloud-erzwungener Modus erhalten Sie unter diesen bekannten Einschränkungen und allgemeinen Fehlern.

Hinweis: Die folgenden Grenzwerte werden von Ihrer Public Cloud festgelegt:
  • Die Anzahl Sicherheitsgruppen, die auf eine Arbeitslast-VM angewendet werden können.
  • Die Anzahl Regeln, die für eine Arbeitslast-VM realisiert werden können.
  • Die Anzahl Regeln, die pro Sicherheitsgruppe realisiert werden können.
  • Der Geltungsbereich der Sicherheitsgruppenzuweisung, z. B. der Geltungsbereich der Netzwerksicherheitsgruppe (NSG) in Microsoft Azure, ist auf diese Region beschränkt, wohingegen der Geltungsbereich der Sicherheitsgruppe (SG) in AWS auf diese VPC beschränkt ist.
Weitere Informationen zu diesen Grenzwerten finden Sie in der Public Cloud-Dokumentation.

Aktuelle Einschränkungen

Die aktuelle Version weist die folgenden Einschränkungen für DFW-Regeln für Arbeitslast-VMs auf:

  • Geschachtelte Gruppen werden nicht unterstützt.
  • Gruppen ohne VM und/oder IP-Adresse als Mitglied werden nicht unterstützt, z. B. auf Segment- oder logischen Ports basierte Kriterien werden nicht unterstützt.
  • Sowohl Quelle als auch Ziel als IP-Adresse oder CIDR-basierte Gruppe wird nicht unterstützt.
  • Sowohl Quelle als auch Ziel als „ANY“ werden nicht unterstützt.
  • Die Gruppe Applied_To kann nur eine Quell- oder Zielgruppe oder eine Quell- und Zielgruppe sein. Andere Optionen werden nicht unterstützt.
  • Nur TCP, UDP und ICMP werden unterstützt.
Hinweis: Nur in AWS:
Ablehnungsregeln, die für Arbeitslast-VMs in Ihren AWS-VPCs erstellt wurden, werden in AWS nicht realisiert, da in AWS standardmäßig alles in die Negativliste verschoben wird. Dies führt zu den folgenden Ergebnissen in NSX:
  • Wenn es eine Ablehnungsregel zwischen VM1 und VM2 gibt, ist der Datenverkehr zwischen VM1 und VM2 aufgrund des standardmäßigen AWS-Verhaltens und nicht aufgrund der Ablehnungsregel unzulässig. Die Ablehnungsregel wird in AWS nicht realisiert.
  • Angenommen, die folgenden beiden Regeln werden in NSX Manager für dieselben VMs erstellt, wobei Regel 1 eine höhere Priorität hat als Regel 2:
    1. VM1 to VM2 DENY SSH
    2. VM1 to VM2 Allow SSH
    Die Ablehnungsregel wird ignoriert, da sie in AWS nicht realisiert wird. Daher wird die Allow SSH-Regel umgesetzt. Dies widerspricht der Erwartung, ist aber eine Einschränkung aufgrund des standardmäßigen AWS-Verhaltens.

Häufige Fehler und deren Auflösung

Fehler: auf VM wird keine NSX-Richtlinie angewendet.

Wenn dieser Fehler angezeigt wird, wurden keine der DFW-Regeln auf die jeweilige VM angewendet. Bearbeiten Sie die Regel oder die Gruppe in NSX Manager, um diese VM einzubeziehen.

Fehler: statusfreie NSX-Regel wird nicht unterstützt.

Wenn dieser Fehler angezeigt wird, bedeutet dies, dass Sie DFW-Regeln für Public Cloud-Arbeitslast-VMs in einer statusfreien Sicherheitsrichtlinie hinzugefügt haben. Dies wird nicht unterstützt. Erstellen Sie eine neue Sicherheitsrichtlinie oder verwenden Sie eine vorhandene Sicherheitsrichtlinie im statusbehafteten Modus.