각각 여러 규칙으로 구성된 2개의 정책 도메인이 있는 시나리오를 고려합니다. VM은 OS 이름, 컴퓨터 이름, 사용자, 태그 지정과 같은 동적 멤버 자격 조건을 기반으로 그룹에 연결되기 때문에, 결과적으로 어느 VM이 그룹의 멤버 자격을 가지게 되는지를 admin가 항상 확신할 수는 없습니다.

충돌은 다음과 같은 시나리오에서 발생합니다.

  • VM이 두 그룹에 속하며 각 그룹이 서로 다른 프로파일에 의해 보호됩니다.
  • 파트너 서비스 VM이 2개 이상의 서비스 프로파일과 연결되어 있습니다.
  • 예기치 않은 규칙이 게스트 VM에서 실행되었거나 규칙이 VM 그룹에서 실행되지 않습니다.
  • 순서 번호가 정책 규칙 또는 도메인에 할당되지 않았습니다.
표 1. 정책 충돌 해결
시나리오 예상된 끝점 보호 흐름 해결 방법

VM이 여러 그룹의 멤버 자격을 가지며 각 그룹이 서로 다른 유형의 서비스 프로파일을 통해 보호되는 경우.

예상 보호가 VM에 적용되지 않습니다.

멤버 자격 조건으로 생성된 VM 그룹은 VM이 동적으로 그룹에 추가됨을 의미합니다. 이 경우 동일한 VM이 여러 그룹에 속하게 될 수 있습니다. 멤버 자격 조건이 동적으로 VM을 그룹으로 채우기 때문에 VM이 속하게 되는 그룹을 미리 확인할 수 있는 방법이 없습니다.

VM 1이 그룹 1과 그룹 2에 속하는 경우를 고려합니다.

  • 규칙 1: 그룹 1(OS 이름별)에 순서 번호 1로 Gold(서비스 프로파일)가 적용됨
  • 규칙 2: 그룹 2(태그별)에 순서 번호 10으로 Platinum이 적용됨

끝점 보호 정책이 VM 1에서 Gold 서비스 프로파일을 실행하지만 VM1에서 Platinum 서비스 프로파일을 실행하지 않습니다.

규칙 1 앞에 실행되도록 규칙 2의 순서 번호를 변경합니다.

  • NSX-T Data Center Policy Manager UI에서 규칙 목록에서 규칙 1 앞에 규칙 2를 끌어옵니다.

  • NSX-T Data Center Policy Manager API를 사용하여 수동으로 규칙 2에 더 높은 순서 번호를 추가합니다.

규칙이 동일한 서비스 프로파일을 연결하여 두 VM 그룹을 보호하는 경우.

끝점 보호가 두 번째 VM 그룹에서 규칙을 실행하지 않습니다.

동일한 서비스 프로파일을 정책 또는 도메인 전체의 기타 규칙에 다시 적용할 수 없기 때문에 끝점 보호가 VM에서 첫 번째 서비스 프로파일만 실행합니다.

VM 1이 그룹 1과 그룹 2에 속하는 경우를 고려합니다.

규칙 1: 그룹 1(OS 이름별)에 Gold(서비스 프로파일)가 적용됨

규칙 2: 그룹 2(태그별)에 Gold(서비스 프로파일)가 적용됨

  • 그룹 2를 규칙 1에 추가합니다. (규칙 1: 그룹 1, 그룹 2에 프로파일 1이 적용됨)