禁用隔离策略时,NSX Cloud 不会管理未标记的虚拟机的公有云安全组。

但是,对于公有云中带 nsx.network=default 标记的虚拟机, NSX Cloud 会根据虚拟机的状态分配相应的安全组。此行为与启用了隔离策略时的行为类似,但是隔离安全组中的规则(Microsoft Azure 中的 default-vnet-<vnet-id>-sg 和 AWS 中的 default)将采用与默认公有云安全组类似的方式进行配置,以便允许 VPC/VNet 中的所有内容,并拒绝所有其他入站流量。对已标记虚拟机的安全组进行的任何手动更改将在两分钟内恢复为 NSX Cloud 分配的安全组。
注: 如果您不希望 NSX Cloud 将安全组分配给 NSX 管理(标记)的虚拟机,请在 CSM 中将这些虚拟机添加到“用户管理”列表。请参见 虚拟机的“用户管理”列表

下表显示了在禁用隔离策略的情况下,NSX Cloud 如何管理工作负载虚拟机的公有云安全组。

表 1. 禁用隔离策略时 NSX Cloud 对公有云安全组的分配
虚拟机在公有云中是否标记有 nsx.network=default 是否将虚拟机添加到“用户管理”列表? 禁用隔离策略时虚拟机的公有云安全组以及相关说明
虚拟机可能已标记或未标记 已添加到“用户管理”列表。 保留现有的公有云安全组,因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。
未标记 未添加到“用户管理”列表 保留现有公有云安全组,因为 NSX Cloud 不会对未标记的虚拟机执行操作。
已标记 未添加到“用户管理”列表
  • 如果虚拟机不存在威胁:vm-underlay-sg
  • 如果虚拟机存在潜在威胁(请参见注释):default-vnet-<vnet-id>-sg(在 Microsoft Azure 中);default(在 AWS 中)
    注: 在将 nsx.network=default 标记应用于工作负载虚拟机的 90 秒内,将会触发公有云安全组分配。您仍需要安装 NSX Tools 以将虚拟机交由 NSX 管理。在安装 NSX Tools 之前,已标记的工作负载虚拟机会一直保留在默认安全组中。
,

下表显示了在隔离策略之前已启用但现在又被禁用的情况下,NSX Cloud 如何管理虚拟机的公有云安全组:

表 2. 先启用然后禁用隔离策略时 NSX Cloud 对公有云安全组的分配
虚拟机在公有云中是否标记有 nsx.network=default 虚拟机是否位于“用户管理”列表中? 启用隔离策略时虚拟机的现有公有云安全组 禁用隔离策略后虚拟机的公有云安全组
虚拟机可能已标记或未标记 是,虚拟机位于“用户管理”列表中 任何现有公有云安全组 保留现有的公有云安全组,因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。
注: 如果 NSX Cloud 分配的任何安全组包含“用户管理”列表中的虚拟机,您必须手动将其移动到 default 安全组 (AWS) 或 default-vnet-<vnet-id>-sg 安全组 (Microsoft Azure)。
未标记 未添加到“用户管理”列表 default-vnet-<vnet-id>-sg (Microsoft Azure) 或 default (AWS) 禁用隔离策略时保留在现有安全组中,因为该安全组未进行标记,不会被视为由 NSX 管理。您可以根据需要手动将任何其他安全组分配给此虚拟机。
已标记 未添加到“用户管理”列表 vm-underlay-sgdefault-vnet-<vnet-id>-sg (Microsoft Azure) 或者 default (AWS) 保留 NSX Cloud 分配的安全组,因为已标记虚拟机的安全组在启用或禁用隔离模式下是一致的。