これらの既知の制限事項と一般的なエラーを参照して、Native Cloud 強制モード のパブリック クラウド ワークロード仮想マシンの管理に関するトラブルシューティングを行ってください。

注: パブリック クラウドにより、次の制限が設定されます。
  • ワークロード仮想マシンに適用できるセキュリティ グループの数。
  • ワークロード仮想マシンで認識できるルールの数。
  • セキュリティ グループごとに認識できるルールの数。
  • セキュリティ グループの割り当て範囲。たとえば、Microsoft Azure のネットワーク セキュリティ グループ (NSG) の場合はそのリージョンに限定されますが、AWS のセキュリティ グループ (SG) の場合は VPC に限定されます。
これらの制限の詳細については、パブリック クラウドのドキュメントを参照してください。

現在の制限事項

現在のリリースでは、ワークロード仮想マシンの DFW ルールに次の制限があります。

  • ネストされたグループはサポートされせん。
  • メンバーとして仮想マシンや IP アドレスを持たないグループはサポートされません(たとえば、セグメントや論理ポートベースの基準はサポートされません)。
  • 送信元と宛先の両方に IP アドレスまたは CIDR ベースのグループを設定できません。
  • 送信元と宛先の両方に「任意」を設定できません。
  • [Applied_To] グループには、送信元または宛先、あるいは送信元 + 宛先グループのみを指定できます。他のオプションは使用できません。
  • TCP、UDP および ICMP のみがサポートされます。
注: AWS のみ:
AWS VPC 内のワークロード仮想マシンに作成された拒否ルールは AWS で認識されません。AWS のデフォルトでは、すべてがブラックリストに登録されます。これにより、 NSX-T Data Center で次のような結果になります。
  • VM1 と VM2 の間に拒否ルールがある場合、拒否ルールではなく、デフォルトの AWS 動作が原因で、VM1 と VM2 間のトラフィックは許可されません。拒否ルールが AWS で認識されません。
  • NSX Manager で、同じ仮想マシンに次の 2 つのルールを作成し、ルール 1 がルール 2 より優先順位が高いとします。
    1. VM1 から VM2 への SSH 拒否
    2. VM1 から VM2 への SSH 許可
    拒否ルールは、AWS で認識されないため無視されます。SSH 許可ルールが認識されます。これは想定に反した結果ですが、AWS のデフォルトの動作による制限です。

一般的なエラーとその解決方法

[エラー:NSX ポリシーが仮想マシンに適用されていません。]

このエラーが表示された場合、特定の仮想マシンに DFW ルールが適用されていません。この仮想マシンが対象になるように、NSX Manager でルールまたはグループを編集します。

[エラー:ステートレス NSX ルールはサポートされていません。]

このエラーが表示された場合は、ステートレス セキュリティ ポリシーのパブリック クラウド ワークロード仮想マシンに DFW ルールを追加しています。これはサポートされません。新しいをセキュリティ ポリシーを作成するか、ステートフル モードで既存のセキュリティ ポリシーを使用します。