複数のルールでそれぞれ構成された 2 つのポリシー ドメインがあるシナリオを取り上げます。Admin は、グループのメンバーシップを最終的に取得できる仮想マシンを常に把握しているわけではありません。仮想マシンは OS 名、コンピュータ名、ユーザー、タグ付けなどの動的なメンバーシップ基準に基づいてグループに関連付けられるためです。

競合は次の場合に発生します。

  • 仮想マシンが 2 つのグループに属していて、それぞれのグループが異なるプロファイルで保護されている場合。
  • パートナー サービス仮想マシンが、複数のサービス プロファイルに関連付けられている場合。
  • ゲスト仮想マシンで予期せぬルールが実行されたか、仮想マシン グループでルールが実行されていない場合。
  • ポリシー ルールまたはドメインにシーケンス番号が割り当てられていない場合。
表 1. ポリシーの競合の解決
シナリオ 想定されるエンドポイント保護のフロー 解決方法

1 台の仮想マシンが複数のグループのメンバーシップを取得する。そして、各グループが、それぞれ異なるタイプのサービス プロファイルによって保護されている場合。

想定される保護が仮想マシンに適用されていない場合。

メンバーシップ基準に沿って作成された仮想マシン グループがあるということは、仮想マシンがグループに動的に追加されたことを意味します。このような場合は、同じ仮想マシンが複数のグループに属することができます。仮想マシンはメンバーシップ基準に沿ってグループに動的に設定されるため、仮想マシンが所属するグループを事前に判別することはできません。

仮想マシン 1 がグループ 1 およびグループ 2 に含まれているとします。

  • ルール 1:グループ 1(OS 名別)は、シーケンス番号 1 でゴールド(サービス プロファイル)に適用されます。
  • ルール 2:グループ 2(タグ別)は、シーケンス番号 10 でプラチナが適用されます。

エンドポイント保護ポリシーにより、ゴールド サービス プロファイルは仮想マシン 1 で実行されますが、プラチナ サービス プロファイルは仮想マシン 1 で実行されません。

ルール 1 よりも前に実行されるように、ルール 2 のシーケンス番号を変更します。

  • NSX-T Data Center Policy Manager のユーザー インターフェイスで、ルール 2 をルール リスト内のルール 1 より前の位置までドラッグします。

  • NSX-T Data Center Policy Manager API を使用して、ルール 2 にさらに大きなシーケンス番号を手動で追加します。

ルールにより、2 つの仮想マシン グループを保護するために同じサービス プロファイルが関連付けられている場合。

エンドポイントの保護を行っても、2 番目の仮想マシン グループではルールが実行されない場合。

エンドポイントの保護により、この仮想マシンでは最初のサービス プロファイルのみが実行されます。これは、ポリシーまたはドメインをまたがる他のルールに、同じサービス プロファイルを適用することはできないためです。

仮想マシン 1 がグループ 1 およびグループ 2 に含まれているとします。

ルール 1:グループ 1(OS 名別)は、ゴールド(サービス プロファイル)に適用されます。

ルール 2:グループ 2(タグ別)は、ゴールド(サービス プロファイル)に適用されます。

  • ルール 1 にグループ 2 を追加します。(ルール 1:グループ 1、グループ 2 にはプロファイル 1 が適用されます)