Risoluzione dei conflitti dei criteri di endpoint

Si consideri uno scenario in cui sono presenti due domini dei criteri, ciascuno costituito da più regole. In qualità di amministratore, non sempre si è certi di quali macchine virtuali possono ottenere l'appartenenza a un gruppo perché le macchine virtuali vengono associate a un gruppo in base a criteri di appartenenza dinamica, come il nome del sistema operativo, il nome del computer, l'utente, l'assegnazione di tag.

I conflitti si verificano nei seguenti scenari:

Una macchina virtuale fa parte di due gruppi, ognuno dei quali è protetto da un profilo diverso.
Una macchina virtuale del servizio partner è associata a più profili di servizio.
È stata eseguita una regola imprevista su una macchina virtuale guest o quando una regola non viene eseguita su un gruppo di macchine virtuali.
Il numero di sequenza non viene assegnato ai domini o alle regole dei criteri.

Tabella 1. Risolvere i conflitti dei criteri
Scenario	Flusso di protezione endpoint previsto	Risoluzione
Quando una macchina virtuale ottiene l'appartenenza a più gruppi. E ogni gruppo è protetto da un tipo diverso di profilo di servizio. La protezione prevista non è stata applicata alla macchina virtuale.	Un gruppo di macchine virtuali creato con un criterio di appartenenza significa che le macchine virtuali vengono aggiunte al gruppo in modo dinamico. In questo caso, la stessa macchina virtuale può far parte di più gruppi. Non è possibile determinare in anticipo il gruppo di cui farà parte la macchina virtuale perché i criteri di appartenenza popolano dinamicamente la macchina virtuale nel gruppo. Si consideri che la macchina virtuale 1 fa parte del gruppo 1 e del gruppo 2. Regola 1: al Gruppo 1 (in base al nome del sistema operativo) viene applicato Gold (profilo di servizio) con il numero di sequenza 1 Regola 2: al Gruppo 2 (in base al tag) viene applicato Platinum con numero di sequenza 10 Il criterio di protezione endpoint esegue il profilo di servizio Gold ma non il profilo di servizio Platinum su VM1.	Modificare il numero di sequenza della Regola 2 in modo che venga eseguito prima della Regola 1. Nell'interfaccia utente di NSX Policy Manager, trascinare la Regola 2 prima della Regola 1 nell'elenco di regole. Utilizzando l'API di NSX Policy Manager, aggiungere manualmente un numero di sequenza più alto per la Regola 2.
Quando una regola associa lo stesso profilo di servizio per proteggere due gruppi di macchine virtuali. La protezione endpoint non esegue la regola nel secondo gruppo di macchine virtuali.	La protezione endpoint esegue solo il primo profilo di servizio nella macchina virtuale perché non è possibile applicare nuovamente lo stesso profilo di servizio a un'altra regola dei criteri o del dominio. Si consideri che la macchina virtuale 1 fa parte del gruppo 1 e del gruppo 2. Regola 1: al Gruppo 1 (in base al nome del sistema operativo) viene applicato Gold (profilo di servizio) Regola 2: al Gruppo 2 (in base al tag) viene applicato Gold (profilo di servizio)	Aggiungere il Gruppo 2 alla Regola 1. (Regola 1: al Gruppo 1 e al Gruppo 2 viene applicato il Profilo 1)