NSX Cloud 中的隔离策略功能为 NSX 管理的工作负载虚拟机提供了一种威胁检测机制。
两种虚拟机管理模式下的隔离策略实施方式有所不同。
| 与隔离策略相关的配置 | 在 NSX 实施模式下 | 在 云原生实施模式下 |
|---|---|---|
| 默认状态 | 使用 NSX Tools 部署 PCG 时处于禁用状态。您可以从 PCG 部署屏幕或以后启用它。请参见如何启用或禁用隔离策略。 | 始终启用。无法禁用。 |
| 自动创建的每种模式专用的安全组 | 所有正常运行的 NSX 管理的虚拟机均分配了 vm-underlay-sg 安全组。 | 为与 NSX Manager 中分布式防火墙策略匹配的 NSX 管理的工作负载虚拟机创建并应用 nsx-<NSX GUID> 安全组 |
| 自动创建的两种模式通用的公有云安全组: |
gw 安全组应用于 AWS 和 Microsoft Azure 中相应的
PCG 接口。
虚拟机安全组根据其当前状态以及启用还是禁用隔离策略,应用于 NSX 管理的虚拟机:
|
|
适用于 NSX 实施模式的常规建议:
对于棕地 (Brownfield) 部署,开始时为禁用:默认情况下禁用隔离策略。已在公有云环境中设置虚拟机时,对隔离策略使用禁用模式,直到载入工作负载虚拟机。这样可以确保您现有的虚拟机不会被自动隔离。
对于绿地 (Greenfield) 部署,开始时为启用:对于绿地部署,建议您启用隔离策略,以允许对由 NSX Cloud 管理的虚拟机执行威胁检测。
