請參閱下列已知的限制和常見錯誤,以疑難排解您在 原生雲端強制執行模式 中管理公有雲工作負載虛擬機器時遇到的問題。

備註: 下列限制由您的公有雲所設定:
  • 可套用至工作負載虛擬機器的安全群組數目。
  • 可針對工作負載虛擬機器實現的規則數目。
  • 每一安全群組可實現的規則數目。
  • 安全群組指派的範圍,例如,Microsoft Azure 中網路安全群組 (NSG) 的範圍限制為該區域,而 AWS 中的安全群組 (SG) 的範圍則限制為該 VPC。
如需關於這些限制的詳細資訊,請參閱公有雲說明文件。

目前的限制

目前的版本對於工作負載虛擬機器的 DFW 規則具有下列限制:

  • 不支援巢狀群組。
  • 不支援未以虛擬機器和/或 IP 位址作為成員的群組,例如,不支援以區段或邏輯連接埠為基礎的準則。
  • 不支援將來源和目的地設為以 IP 位址或 CIDR 為基礎的群組。
  • 不支援將來源和目的地皆設為「任何」。
  • Applied_To 群組只能是來源、目的地或「來源 + 目的地」群組。不支援其他選項。
  • 僅支援 TCP、UDP 和 ICMP。
備註: 僅適用於 AWS 中:
為 AWS VPC 中工作負載虛擬機器建立的拒絕規則不會在 AWS 上實現,因為在 AWS 中,依預設會將所有項目加入拒絕的清單。這會在 NSX-T Data Center 中導致下列結果:
  • 如果 VM1 和 VM2 之間有拒絕規則,則會因為預設的 AWS 行為而不允許 VM1 與 VM2 之間的流量,而非因為拒絕規則。拒絕規則在 AWS 中無法實現。
  • 假設在 NSX Manager 中為相同的虛擬機器建立了下列兩個規則,規則 1 的優先順序高於規則 2:
    1. 拒絕 VM1 至 VM2 的 SSH
    2. 允許 VM1 至 VM2 的 SSH
    拒絕規則會被忽略,因為它未在 AWS 中實現,因此會實現允許 SSH 規則。這與預期相反,因為這是預設 AWS 行為所造成的限制。

常見錯誤及其解決方法

錯誤:未將任何 NSX 原則套用至虛擬機器。

如果您看到此錯誤,表示沒有任何 DFW 規則套用至特定虛擬機器。請在 NSX Manager 中編輯規則或群組,以納入此虛擬機器。

錯誤:不支援無狀態 NSX 規則。

如果您看到此錯誤,表示您已在無狀態安全性原則中新增公有雲工作負載虛擬機器的 DFW 規則。此動作不受支援。請在可設定狀態的模式中建立新的或使用現有的安全性原則。