Piense en un escenario con dos dominios de directiva, cada uno de los cuales consta de varias reglas. Como administrador, no siempre sabrá con seguridad cuáles son las máquinas virtuales que pueden acabar perteneciendo a un grupo, ya que las máquinas virtuales se asocian a un grupo en función de criterios de pertenencia dinámicos, como el nombre del sistema operativo, el nombre del equipo, el usuario o el etiquetado.

Los conflictos surgen en los siguientes escenarios:

  • Una máquina virtual forma parte de dos grupos, y cada grupo está protegido por un perfil diferente.
  • Una máquina virtual de servicio de partners está asociada con más de un perfil de servicio.
  • Una regla inesperada se ejecutó en una máquina virtual invitada, o una regla no se ejecuta en un grupo de máquinas virtuales.
  • El número de secuencia no se asigna a los dominios o las reglas de directivas.
Tabla 1. Resolver conflictos con la directiva
Escenario Flujo de protección de endpoints esperado Resolución

Una máquina virtual consigue la pertenencia a varios grupos. Cada grupo está protegido por un tipo de perfil de servicio diferente.

No se aplicó la protección esperada a la máquina virtual.

Un grupo de máquinas virtuales creado con un criterio de pertenencia implica que las máquinas virtuales se agregan al grupo de forma dinámica. En ese caso, la misma máquina virtual puede formar parte de varios grupos. No hay forma de determinar previamente el grupo del cual va a formar parte la máquina virtual porque los criterios de pertenencia cargan la máquina virtual en el grupo de manera dinámica.

Supongamos que la máquina virtual 1 forma parte del grupo 1 y del grupo 2.

  • Regla 1: al grupo 1 (según el nombre del sistema operativo) se le aplica el perfil Gold (perfil de servicio) con el número de secuencia 1
  • Regla 2: al grupo 2 (según la etiqueta) se le aplica el perfil Platinum con el número de secuencia 10

La directiva de protección de endpoints ejecuta el perfil de servicio Gold en la máquina virtual 1, pero no ejecuta el perfil de servicio Platinum en la máquina virtual 1.

Cambie el número de secuencia de la regla 2 de modo que se ejecute antes de la regla 1.

  • En la interfaz de usuario del administrador de directivas de NSX-T, arrastre la regla 2 antes de la regla 1 en la lista de reglas.

  • Mediante la API de administrador de directivas de NSX-T, agregue manualmente un número de secuencia superior para la regla 2.

Una regla asocia el mismo perfil de servicio para proteger los dos grupos de máquinas virtuales.

La protección de endpoints no ejecuta la regla en el segundo grupo de máquinas virtuales.

Esta protección solo ejecuta el primer perfil de servicio en la máquina virtual debido a que el mismo perfil de servicio no se puede volver a aplicar a ninguna otra regla entre directivas o dominios.

Supongamos que la máquina virtual 1 forma parte del grupo 1 y del grupo 2.

Regla 1: al grupo 1 (según el nombre del sistema operativo) se le aplica el perfil Gold (perfil de servicio)

Regla 2: al grupo 2 (según la etiqueta) se le aplica el perfil Gold (perfil de servicio)

  • Agregue el grupo 2 a la regla 1. (Regla 1: a los grupos 1 y 2 se les aplica el perfil 1)