Consulte estas limitaciones conocidas y errores comunes para solucionar problemas relacionados con la administración de las máquinas virtuales de carga de trabajo de nube pública en Modo forzado de nube nativa.

Nota: La nube pública establece los siguientes límites:
  • El número de grupos de seguridad que se pueden aplicar a una máquina virtual de carga de trabajo.
  • El número de reglas que se pueden aplicar a una máquina virtual de carga de trabajo.
  • El número de reglas que se pueden aplicar por grupo de seguridad.
  • El ámbito de la asignación del grupo de seguridad. Por ejemplo, el ámbito del grupo de seguridad de red (NSG) en Microsoft Azure se limita a esa región, mientras que el ámbito del grupo de seguridad (SG) en AWS se limita a esa VPC.
Consulte la documentación de nube pública para obtener más información sobre estos límites.

Limitaciones actuales

La versión actual tiene las siguientes limitaciones de las reglas de DFW para las máquinas virtuales de carga de trabajo:

  • No se admiten los grupos anidados.
  • No se admiten los grupos que no tengan una dirección IP o una máquina virtual como miembro (por ejemplo, no se admiten los criterios de segmentos o puertos lógicos basados en puertos).
  • No se admite el origen y el destino como dirección IP ni como grupo basado en CIDR.
  • No se admite el origen y el destino con el valor "CUALQUIERA".
  • El grupo Applied_To solo puede ser el origen o el destino, o bien los grupos de origen más destino. No se admiten otras opciones.
  • Se admiten los protocolos TCP, UDP e ICMP.
Nota: Solo en AWS:
Las reglas de denegación creadas para las máquinas virtuales de carga de trabajo en las VPC de AWS no se aplican en AWS porque en AWS todo se incluye de forma predeterminada en la lista de no permitidos. Esto da lugar a los siguientes resultados en NSX:
  • Si hay una regla de denegación entre VM1 y VM2, no se permite el tráfico entre VM1 y VM2 debido al comportamiento predeterminado de AWS, no debido a la regla de denegación. La regla de denegación no se aplicó en AWS.
  • Suponiendo que se crearon las dos reglas siguientes en NSX Manager para las mismas máquinas virtuales, teniendo la regla 1 una prioridad más alta que la regla 2:
    1. VM1 to VM2 DENY SSH
    2. VM1 to VM2 Allow SSH
    La regla de denegación se ignora porque no se aplicó en AWS y, por lo tanto, se aplicó la regla de permiso SSH. Esto es contrario a la expectativa, pero es una limitación debido al comportamiento predeterminado de AWS.

Errores comunes y su resolución

Error: No se aplicó ninguna directiva de NSX a la máquina virtual.

Si ve este error, no se aplicó ninguna de las reglas de DFW a la máquina virtual especificada. Edite la regla o el grupo en NSX Manager para incluir esta máquina virtual.

Error: Regla de NSX sin estado no admitida.

Si ve este error, significa que agregó reglas de DFW para máquinas virtuales de carga de trabajo de nube pública en una directiva de seguridad sin estado. Esto no está admitido. Cree una nueva o utilice una directiva de seguridad existente en el modo con estado.