セキュリティ グループを削除すると Service Composer の同期が失敗して DFW ルールが無効になる
search cancel

セキュリティ グループを削除すると Service Composer の同期が失敗して DFW ルールが無効になる

book

Article ID: 339165

calendar_today

Updated On:

Products

VMware NSX Networking

Issue/Introduction

  • Service Composer のセキュリティ ポリシーで参照されているセキュリティ グループを削除すると、1 つまたは複数の分散ファイアウォール ルールが無効になる場合がある。
  • [ファイアウォール] ビューに、次のエラーが表示される場合がある。

Rule X has an invalid source
Rule Y has an invalid destination

  • その後の発行タスクが失敗し、Service Composer の同期が失敗する。


Symptoms:
免責事項:これは英文の記事「Service composer sync fails and DFW rules are invalid after a security group is removed (2150250)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。


Environment

VMware NSX for vSphere 6.3.x
VMware NSX for vSphere 6.2.x

Resolution

これは、VMware NSX for vSphere 6.2.x および 6.3 に影響する既知の問題です。

現在、解決方法はありません。

この問題を回避するには、GUI で無効な参照を無効にします。

  1. 削除した古いものと同じ名前の、新しい空のセキュリティ グループを作成します。
  2. 既存のセキュリティ ポリシーを編集し、[ファイアウォール ルール] で、先ほど作成したセキュリティ グループを編集して、再度追加します。
  3. [DFW] セクションで、ルールは無効と表示されなくなるはずです。
  4. [Service Composer] > [セキュリティ ポリシー] に移動し、ファイアウォール ルールが関連付けられている各セキュリティ ポリシーで、[アクション] をクリックし、[ファイアウォール構成を同期] をクリックします。

    DFW に強制同期すると、Service Composer のエラーが消えます。

:DFW ルールのソース / ターゲットの無効な参照は、API を使用して削除できます。ルールは Service Composer ポリシーで生成され、[編集] アイコンが灰色で表示されるため、ユーザー インターフェイスでルールを変更することはできません。

詳細については、『NSX 6.2 API Guide』の「ファイアウォール ルールの変更」セクションを参照してください。




Additional Information

この記事の更新時にアラートを受信する場合は、[Actions] ボックスで Subscribe to Article をクリックしてください。