在启用隔离策略时,NSX Cloud 会管理此 VPC/VNet 中所有工作负载虚拟机的公有云安全组。

对安全组进行的任何手动更改将在两分钟内恢复为 NSX Cloud 分配的安全组。如果您不希望 NSX Cloud 将安全组分配给虚拟机,请在 CSM 中将这些虚拟机添加到“用户管理”列表。请参见 虚拟机的“用户管理”列表
注: 从“用户管理”列表中移除虚拟机时,将导致虚拟机恢复为 NSX Cloud 分配的安全组。

表 1. 启用隔离策略时 NSX Cloud 对公有云安全组的分配
虚拟机在公有云中是否标记有 nsx.network=default 虚拟机是否位于“用户管理”列表中? 启用隔离策略时虚拟机的公有云安全组以及相关说明
已标记 未添加到“用户管理”列表
  • 如果虚拟机不存在威胁:vm-underlay-sg
  • 如果虚拟机存在潜在威胁(请参见注释):default-vnet-<vnet-ID>-sg(在 Microsoft Azure 中);default(在 AWS 中)
    注: 在将 nsx.network=default 标记应用于工作负载虚拟机的 90 秒内,将会触发公有云安全组分配。您仍需要安装 NSX Tools 以将虚拟机交由 NSX 管理。在安装 NSX Tools 之前,标记的工作负载虚拟机会一直处于隔离状态。
,
未标记 未添加到“用户管理”列表 default-vnet-<vnet-ID>-sg(在 Microsoft Azure 中);default(在 AWS 中)。未标记的虚拟机被视为未受管,因此会被 NSX Cloud 隔离。
已标记 是,虚拟机位于“用户管理”列表中 保留现有的公有云安全组,因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行操作。
未标记

下表列出了隔离策略先禁用然后再启用时对安全组分配产生的影响:

表 2. 先禁用然后启用隔离策略时 NSX Cloud 对公有云安全组的分配
虚拟机在公有云中是否标记有 nsx.network=default 虚拟机是否位于“用户管理”列表中? 禁用隔离策略时虚拟机的现有公有云安全组 启用隔离策略后虚拟机的公有云安全组
未标记 未添加到“用户管理”列表 任何现有公有云安全组 default-vnet-<vnet-ID>-sg (Microsoft Azure) 或 default (AWS)
已标记 未添加到“用户管理”列表 vm-underlay-sgdefault-vnet-<vnet-ID>-sg (Microsoft Azure) 或者 default (AWS) 保留 NSX Cloud 分配的安全组,已标记虚拟机的安全组在启用或禁用隔离模式下是一致的。
已标记 是,虚拟机位于“用户管理”列表中 任何现有公有云安全组。 保留现有的公有云安全组,因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。
未标记