假設有一個案例:有兩個原則網域,每個都包含多個規則。身為 admin,您並非總是能夠確定哪些虛擬機器會取得群組的成員資格,因為虛擬機器群組是根據動態成員資格準則 (例如作業系統名稱、電腦名稱、使用者、標記) 來與群組相關聯。

在下列情況下,將會出現衝突:

  • 虛擬機器屬於兩個群組,而每個群組受不同的設定檔保護。
  • 一個合作夥伴服務虛擬機器與多個服務設定檔相關聯。
  • 客體虛擬機器執行未預期的規則,或規則未在虛擬機器群組上執行。
  • 未指派順序編號給原則規則或網域。
表 1. 解決原則衝突
案例 預期的端點保護流量 解決方案

當虛擬機器取得多個群組的成員資格時,每個群組受不同類型的服務設定檔保護。

預期的保護未套用至虛擬機器。

使用成員資格準則建立虛擬機器群組,代表虛擬機器會以動態方式新增到群組。在此情況下,同一個虛擬機器可以屬於多個群組。您無法預先決定虛擬機器將屬於哪一個群組,因為成員資格準則會以動態方式將虛擬機器填入群組中。

將虛擬機器 1 視為屬於群組 1 和群組 2。

  • 規則 1:群組 1 (按作業系統名稱) 套用金級服務設定檔且順序編號為 1
  • 規則 2:群組 2 (按標籤) 套用白金級服務設定檔且順序編號為 10

端點保護原則會在虛擬機器 1 上執行金級服務設定檔,但不會在虛擬機器 1 上執行白金級服務設定檔。

變更規則 2 的順序編號,使其先於規則 1 執行。

  • NSX-T Data Center Policy Manager UI 上,於規則清單中將規則 2 拖曳到規則 1 之前。

  • 使用 NSX-T Data Center Policy Manager API,手動為規則 2 新增較高的順序編號。

當一個規則關聯同一個服務設定檔來保護兩個虛擬機器群組時,

端點保護不會在第二個虛擬機器群組上執行規則。

端點保護只會在虛擬機器上執行第一個服務設定檔,因為同一個服務設定檔無法再次套用至跨原則或網域的任何其他規則。

將虛擬機器 1 視為屬於群組 1 和群組 2。

規則 1:群組 1 (按作業系統名稱) 套用金級服務設定檔

規則 2:群組 2 (按標籤) 套用金級服務設定檔

  • 將群組 2 新增至規則 1。(規則 1:群組 1 和群組 2 均套用設定檔 1)