当隔离策略已启用时:

  • 针对属于此 VPC 或 VNet 的任何工作负载虚拟机的所有接口进行的安全组 (SG) 或网络安全组 (NSG) 分配均由 NSX Cloud 管理,如下所示:
    • 为非受管虚拟机分配 quarantine NSG(在 Microsoft Azure 中)和 default 安全组(在 AWS 中)并将其隔离。这将限制此类虚拟机的出站流量并停止其所有入站流量。
    • 在虚拟机上安装 NSX 代理并在公有云中使用 nsx.network 对其进行标记时,未受管虚拟机可能会变为 NSX 管理的虚拟机。在默认情况下,NSX Cloud 将分配 vm-underlay-sg 以允许适当的入站/出站流量。
    • 如果在某个 NSX 管理的虚拟机上检测到威胁(如该虚拟机上的 NSX 代理被停止),则仍可向其分配 quarantinedefault 安全组并将其隔离。
    • 对安全组进行的任何手动更改将在 2 分钟内恢复为 NSX 确定的安全组。
    • 如果要将任何虚拟机移出隔离区,请将 vm-override-sg 作为唯一安全组分配给此虚拟机。NSX Cloud 不会自动更改 vm-override-sg 安全组,并允许通过 SSH 和 RDP 访问该虚拟机。移除 vm-override-sg 将再次导致虚拟机安全组恢复为 NSX 确定的安全组。
注: 启用隔离策略后,在虚拟机上安装 NSX 代理之前将 vm-override-sg 分配给虚拟机。按照安装 NSX 代理并将虚拟机标记为底层的过程执行操作后,从虚拟机中移除 vm-override-sg NSG。此后, NSX Cloud 会自动向 NSX 管理的虚拟机分配适当的安全组。必须执行此步骤,才能确保您在为 NSX Cloud 准备虚拟机时不会向虚拟机分配 quarantinedefault 安全组。