禁用隔离策略时,NSX Cloud 不会管理未标记的虚拟机的公有云安全组。
但是,对于公有云中带
nsx.network=default 标记的虚拟机,
NSX Cloud 会根据虚拟机的状态分配相应的安全组。此行为与启用了隔离策略时的行为类似,但是隔离安全组中的规则(Microsoft Azure 中的
default-vnet-<vnet-id>-sg 和 AWS 中的
default)将采用与默认公有云安全组类似的方式进行配置,以便允许 VPC/VNet 中的所有内容,并拒绝所有其他入站流量。对已标记虚拟机的安全组进行的任何手动更改将在两分钟内恢复为
NSX Cloud 分配的安全组。
下表显示了在禁用隔离策略的情况下,NSX Cloud 如何管理工作负载虚拟机的公有云安全组。
| 虚拟机在公有云中是否标记有 nsx.network=default? | 是否将虚拟机添加到“用户管理”列表? | 禁用隔离策略时虚拟机的公有云安全组以及相关说明 |
|---|---|---|
| 虚拟机可能已标记或未标记 | 已添加到“用户管理”列表。 | 保留现有的公有云安全组,因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。 |
| 未标记 | 未添加到“用户管理”列表 | 保留现有公有云安全组,因为 NSX Cloud 不会对未标记的虚拟机执行操作。 |
| 已标记 | 未添加到“用户管理”列表 |
|
下表显示了在隔离策略之前已启用但现在又被禁用的情况下,NSX Cloud 如何管理虚拟机的公有云安全组:
| 虚拟机在公有云中是否标记有 nsx.network=default? | 虚拟机是否位于“用户管理”列表中? | 启用隔离策略时虚拟机的现有公有云安全组 | 禁用隔离策略后虚拟机的公有云安全组 |
|---|---|---|---|
| 虚拟机可能已标记或未标记 | 是,虚拟机位于“用户管理”列表中 | 任何现有公有云安全组 | 保留现有的公有云安全组,因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。
注: 如果
NSX Cloud 分配的任何安全组包含“用户管理”列表中的虚拟机,您必须手动将其移动到
default 安全组 (AWS) 或
default-vnet-<vnet-id>-sg 安全组 (Microsoft Azure)。
|
| 未标记 | 未添加到“用户管理”列表 | default-vnet-<vnet-id>-sg (Microsoft Azure) 或 default (AWS) | 禁用隔离策略时保留在现有安全组中,因为该安全组未进行标记,不会被视为由 NSX 管理。您可以根据需要手动将任何其他安全组分配给此虚拟机。 |
| 已标记 | 未添加到“用户管理”列表 | vm-underlay-sg 或 default-vnet-<vnet-id>-sg (Microsoft Azure) 或者 default (AWS) | 保留 NSX Cloud 分配的安全组,因为已标记虚拟机的安全组在启用或禁用隔离模式下是一致的。 |
