Fare riferimento alle limitazioni e agli errori comuni noti per risolvere i problemi relativi alla gestione delle macchine virtuali del carico di lavoro del cloud pubblico in Modalità Cloud applicato nativo.

Nota: I limiti seguenti sono impostati dal cloud pubblico:
  • Il numero di gruppi di sicurezza che possono essere applicati a una macchina virtuale di carico di lavoro.
  • Il numero di regole che possono essere realizzate per una macchina virtuale di carico di lavoro.
  • Il numero di regole che possono essere realizzate per gruppo di sicurezza.
  • L'ambito dell'assegnazione del gruppo di sicurezza, ad esempio, l'ambito del gruppo di sicurezza di rete (NSG) in Microsoft Azure è limitato a tale regione, mentre l'ambito del gruppo di sicurezza (SG) in AWS è limitato a tale VPC.
Per ulteriori informazioni su questi limiti, fare riferimento alla documentazione del cloud pubblico.

Limitazioni correnti

La versione corrente presenta le seguenti limitazioni per le regole del DFW per le macchine virtuali di carico di lavoro:

  • I gruppi nidificati non sono supportati.
  • I gruppi senza macchina virtuale e/o indirizzo IP come membro non sono supportati, ad esempio i criteri basati su segmento o porta logica non sono supportati.
  • Origine e destinazione entrambe non supportate come indirizzo IP o gruppo basato su CIDR.
  • L'origine e la destinazione entrambe come "ANY" non sono supportate.
  • Il gruppo Applied_To può essere solo di origine o destinazione oppure gruppi di origine + destinazione. Altre opzioni non sono supportate.
  • Sono supportati solo TCP, UDP e ICMP.
Nota: Solo in AWS:
Le regole di rifiuto create per le macchine virtuali di carico di lavoro nei VPC AWS non sono realizzate in AWS perché in AWS tutto è incluso nell'elenco di elementi non consentiti per impostazione predefinita. Ciò comporta i seguenti risultati in NSX-T Data Center:
  • Se è presente una regola di rifiuto tra VM1 e VM2, il traffico non è consentito tra VM1 e VM2 a causa del comportamento AWS predefinito, non a causa della regola di rifiuto. La regola di rifiuto non è realizzata in AWS.
  • Presupponendo che in NSX Manager siano create le due regole seguenti per le stesse macchine virtuali, la regola 1 ha una priorità più alta rispetto alla regola 2:
    1. Da VM1 a VM2 NEGA SSH
    2. Da VM1 a VM2 Consenti SSH
    la regola di rifiuto viene ignorata perché non è realizzata in AWS e quindi viene realizzata la regola di autorizzazione SSH. Questa situazione è contraria alle aspettative, ma è una limitazione a causa del comportamento AWS predefinito.

Errori comuni e loro risoluzione

Errore: nessun criterio di NSX applicato alla macchina virtuale.

Se viene visualizzato questo errore, nessuna delle regole DFW è stata applicata alla macchina virtuale specifica. Modificare la regola o il gruppo in NSX Manager per includere questa macchina virtuale.

Errore: la regola di NSX stateless non è supportata.

Se viene visualizzato questo errore, significa che sono state aggiunte regole DFW per le macchine virtuali di carico di lavoro del cloud pubblico in un criterio di sicurezza stateless. Questa operazione non è supportata. Creare un nuovo criterio di sicurezza o utilizzare un criterio di sicurezza esistente in modalità stateful.