請參閱下列已知的限制和常見錯誤,以疑難排解您在 原生雲端強制執行模式 中管理公有雲工作負載虛擬機器時遇到的問題。
備註: 下列限制由您的公有雲所設定:
- 可套用至工作負載虛擬機器的安全群組數目。
- 可針對工作負載虛擬機器實現的規則數目。
- 每一安全群組可實現的規則數目。
- 安全群組指派的範圍,例如,Microsoft Azure 中網路安全群組 (NSG) 的範圍限制為該區域,而 AWS 中的安全群組 (SG) 的範圍則限制為該 VPC。
目前的限制
目前的版本對於工作負載虛擬機器的 DFW 規則具有下列限制:
- 不支援巢狀群組。
- 不支援未以虛擬機器和/或 IP 位址作為成員的群組,例如,不支援以區段或邏輯連接埠為基礎的準則。
- 不支援將來源和目的地設為以 IP 位址或 CIDR 為基礎的群組。
- 不支援將來源和目的地皆設為「任何」。
- Applied_To 群組只能是來源、目的地或「來源 + 目的地」群組。不支援其他選項。
- 僅支援 TCP、UDP 和 ICMP。
備註: 僅適用於 AWS 中:
為 AWS VPC 中工作負載虛擬機器建立的拒絕規則不會在 AWS 上實現,因為在 AWS 中,依預設會將所有項目加入拒絕的清單。這會在
NSX-T Data Center 中導致下列結果:
- 如果 VM1 和 VM2 之間有拒絕規則,則會因為預設的 AWS 行為而不允許 VM1 與 VM2 之間的流量,而非因為拒絕規則。拒絕規則在 AWS 中無法實現。
- 假設在 NSX Manager 中為相同的虛擬機器建立了下列兩個規則,規則 1 的優先順序高於規則 2:
- 拒絕 VM1 至 VM2 的 SSH
- 允許 VM1 至 VM2 的 SSH
常見錯誤及其解決方法
錯誤:未將任何 NSX 原則套用至虛擬機器。
如果您看到此錯誤,表示沒有任何 DFW 規則套用至特定虛擬機器。請在 NSX Manager 中編輯規則或群組,以納入此虛擬機器。
錯誤:不支援無狀態 NSX 規則。
如果您看到此錯誤,表示您已在無狀態安全性原則中新增公有雲工作負載虛擬機器的 DFW 規則。此動作不受支援。請在可設定狀態的模式中建立新的或使用現有的安全性原則。