これらの既知の制限事項と一般的なエラーを参照して、Native Cloud 強制モード のパブリック クラウド ワークロード仮想マシンの管理に関するトラブルシューティングを行ってください。
注: パブリック クラウドにより、次の制限が設定されます。
- ワークロード仮想マシンに適用できるセキュリティ グループの数。
- ワークロード仮想マシンで認識できるルールの数。
- セキュリティ グループごとに認識できるルールの数。
- セキュリティ グループの割り当て範囲。たとえば、Microsoft Azure のネットワーク セキュリティ グループ (NSG) の場合はそのリージョンに限定されますが、AWS のセキュリティ グループ (SG) の場合は VPC に限定されます。
現在の制限事項
現在のリリースでは、ワークロード仮想マシンの DFW ルールに次の制限があります。
- ネストされたグループはサポートされせん。
- メンバーとして仮想マシンや IP アドレスを持たないグループはサポートされません(たとえば、セグメントや論理ポートベースの基準はサポートされません)。
- 送信元と宛先の両方に IP アドレスまたは CIDR ベースのグループを設定できません。
- 送信元と宛先の両方に「任意」を設定できません。
- [Applied_To] グループには、送信元または宛先、あるいは送信元 + 宛先グループのみを指定できます。他のオプションは使用できません。
- TCP、UDP および ICMP のみがサポートされます。
注: AWS のみ:
AWS VPC 内のワークロード仮想マシンに作成された拒否ルールは AWS で認識されません。AWS のデフォルトでは、すべてが拒否リストに登録されます。これにより、
NSX で次のような結果になります。
- VM1 と VM2 の間に拒否ルールがある場合、拒否ルールではなく、デフォルトの AWS 動作が原因で、VM1 と VM2 間のトラフィックは許可されません。拒否ルールが AWS で認識されません。
- NSX Manager で、同じ仮想マシンに次の 2 つのルールを作成し、ルール 1 がルール 2 より優先順位が高いとします。
- VM1 から VM2 への SSH 拒否
- VM1 から VM2 への SSH 許可
一般的なエラーとその解決方法
[エラー:NSX ポリシーが仮想マシンに適用されていません。]
このエラーが表示された場合、特定の仮想マシンに DFW ルールが適用されていません。この仮想マシンが対象になるように、NSX Manager でルールまたはグループを編集します。
[エラー:ステートレス NSX ルールはサポートされていません。]
このエラーが表示された場合は、ステートレス セキュリティ ポリシーのパブリック クラウド ワークロード仮想マシンに DFW ルールを追加しています。これはサポートされません。新しいをセキュリティ ポリシーを作成するか、ステートフル モードで既存のセキュリティ ポリシーを使用します。