Reportez-vous à ces limitations connues et erreurs courantes pour résoudre les problèmes de gestion de vos machines virtuelles de charge de travail de cloud public dans le Mode d'application du Cloud natif.

Note : Les limites suivantes sont définies par votre cloud public :
  • Le nombre de groupes de sécurité pouvant être appliqués à une machine virtuelle de charge de travail.
  • Le nombre de règles pouvant être réalisées pour une machine virtuelle de charge de travail.
  • Le nombre de règles pouvant être réalisées par groupe de sécurité.
  • L'étendue de l'attribution du groupe de sécurité, par exemple, l'étendue du groupe de sécurité réseau (NSG) dans Microsoft Azure est limitée à cette région, tandis que l'étendue du groupe de sécurité (SG) dans AWS est limitée à ce VPC.
Reportez-vous à la documentation du cloud public pour plus d'informations sur ces limites.

Limitations actuelles

La version actuelle présente les limitations suivantes concernant les règles DFW pour les machines virtuelles de charge de travail :

  • Les groupes imbriqués ne sont pas pris en charge.
  • Les groupes sans machine virtuelle ni adresse IP en tant que membre ne sont pas pris en charge ; par exemple, les critères basés sur le segment ou le port logique ne sont pas pris en charge.
  • La source et la destination comme adresse IP ou groupe basé sur CIDR ne sont pas prises en charge.
  • La source et la destination définies sur « ANY » ne sont pas prises en charge.
  • Le groupe Appliqué_à peut uniquement être une Source ou une Destination ou des groupes Source + Destination. Les autres options ne sont pas prises en charge.
  • Seuls TCP, UDP et ICMP sont pris en charge.
Note : Uniquement dans AWS :
Les règles de refus créées pour les machines virtuelles de charge de travail dans vos VPC AWS ne sont pas réalisées sur AWS, car dans AWS, tout est mis sur liste noire par défaut. Cela entraîne les résultats suivants dans NSX-T Data Center :
  • S'il existe une règle de refus entre VM1 et VM2, le trafic n'est pas autorisé entre VM1 et VM2 en raison du comportement AWS par défaut, pas en raison de la règle de refus. La règle de refus n'est pas réalisée dans AWS.
  • En supposant que les deux règles suivantes sont créées dans NSX Manager pour les mêmes machines virtuelles avec la règle 1 ayant une priorité plus élevée que la règle 2 :
    1. VM1 vers VM2 Refuser SSH
    2. VM1 vers VM2 Autoriser SSH
    la règle de refus est ignorée, car elle n'est pas réalisée dans AWS. Par conséquent, la règle Autoriser SSH est réalisée. Cela est contraire à l'attente, mais est une limitation en raison du comportement AWS par défaut.

Erreurs courantes et leur résolution

Erreur : aucune stratégie NSX n'est appliquée à la machine virtuelle.

Si vous voyez cette erreur, aucune des règles DFW n'a été appliquée à la machine virtuelle particulière. Modifiez la règle ou le groupe dans NSX Manager pour inclure cette machine virtuelle.

Erreur : la règle NSX sans état n'est pas prise en charge.

Si vous voyez cette erreur, cela signifie que vous avez ajouté des règles DFW pour les machines virtuelles de charge de travail de cloud public dans une stratégie de sécurité sans état. Cela n'est pas pris en charge. Créez une règle ou utilisez une stratégie de sécurité existante dans le mode avec état.