Envisagez un scénario dans lequel deux domaines de stratégie existent, chacun composé de plusieurs règles. En tant qu'admin, vous n'êtes pas toujours certain des machines virtuelles susceptibles de pouvoir appartenir à un groupe, les machines virtuelles étant associées à un groupe en fonction de critères d'appartenance dynamique, comme le nom du système d'exploitation, le nom de l'ordinateur, l'utilisateur et le marquage.

Des conflits surviennent dans les scénarios suivants :

  • Une machine virtuelle fait partie de deux groupes, chacun étant protégé par un profil différent.
  • Une machine virtuelle de service de partenaires est associée à plusieurs profils de service.
  • Une règle inattendue a été exécutée sur une machine virtuelle invitée ou en l'absence de l'exécution d'une règle sur un groupe de machines virtuelles.
  • Aucun numéro de séquence n'est attribué à des domaines ou des règles de stratégie.
Tableau 1. Résoudre les conflits de stratégies
Scénario Flux de protection du point de terminaison attendu Résolution

Lorsqu'une machine virtuelle parvient à appartenir à plusieurs groupes et que chaque groupe est protégé par un type de profil de service différent.

La protection attendue n'a pas été appliquée à la machine virtuelle.

Un groupe de machines virtuelles créé avec des critères d'appartenance implique l'ajout dynamique des machines virtuelles au groupe. Dans ce cas, la même machine virtuelle peut faire partie de plusieurs groupes. Il n'existe aucun moyen de déterminer au préalable à quel groupe une machine virtuelle va appartenir, car les critères d'appartenance ajoutent dynamiquement la machine virtuelle au groupe.

Imaginons que la machine virtuelle 1 fait partie du groupe 1 et du groupe 2.

  • Règle 1 : le groupe 1 (déterminé par le nom du système d'exploitation) reçoit le profil de service or avec le numéro de séquence 1.
  • Règle 2 : le groupe 2 (déterminé par la balise) reçoit le profil de service platine avec le numéro de séquence 10.

La stratégie de protection du point de terminaison exécute le profil de service or sur la machine virtuelle 1, mais n'y exécute pas le profil de service platine.

Modifiez le numéro de séquence de la règle 2 de manière à ce qu'il s'exécute avant la règle 1.

  • Dans l'interface utilisateur du gestionnaire de stratégies NSX, déplacez la règle 2 avant la règle 1 dans la liste des règles en la faisant glisser.

  • En utilisant l'API du gestionnaire de stratégies NSX, ajoutez manuellement un numéro de séquence plus élevé pour la règle 2.

Lorsqu'une règle associe un même profil de service pour protéger deux groupes de machines virtuelles.

La protection du point de terminaison n'exécute pas la règle sur le second groupe de machines virtuelles.

La protection du point de terminaison exécute uniquement le premier profil de service sur la machine virtuelle, car un même profil de service ne peut pas être appliqué une nouvelle fois sur une autre règle des stratégies ou du domaine.

Imaginons que la machine virtuelle 1 fait partie du groupe 1 et du groupe 2.

Règle 1 : le groupe 1 (déterminé par le nom du système d'exploitation) reçoit le profil de service or.

Règle 2 : le groupe 2 (déterminé par la balise) reçoit le profil de service or.

  • Ajoutez le groupe 2 à la règle 1. (Règle 1 : le groupe 1 et le groupe 2 reçoivent le profil 1.)