Wenn die Quarantäne-Richtlinie aktiviert ist:

  • Die Zuweisung der Sicherheitsgruppe (SG bzw. der Netzwerk-Sicherheitsgruppe (NSG) für alle Schnittstellen für beliebige Workload-VMs, die zu dieser VPC bzw. diesem VNet gehören, wird von NSX Cloud wie folgt verwaltet:
    • Nicht verwaltete VMs werden in Microsoft Azure der NSG quarantine und in AWS der Sicherheitsgruppe default zugewiesen und in Quarantäne gestellt. Dies begrenzt den ausgehenden Datenverkehr und beendet allen eingehenden Datenverkehr zu solchen VMs.
    • Nicht verwaltete VMs können NSX-verwaltete VMs werden, wenn Sie NSX Agent auf der virtuellen Maschine installieren und Sie sie in der Public Cloud mit nsx.network taggen. Im Standardszenario weist NSX Cloudvm-underlay-sg zu, um entsprechenden eingehenden/ausgehenden Datenverkehr zuzulassen.
    • Einer NSX-verwalteten VM kann nach wie vor die Sicherheitsgruppe quarantine oder default zugewiesen werden, und sie kann in Quarantäne gestellt werden, wenn eine Bedrohung auf der VM erkannt wird, z. B. wenn NSX Agent auf der VM angehalten wird.
    • Alle manuellen Änderungen an den Sicherheitsgruppen werden innerhalb von zwei Minuten zu der/den durch NSX festgelegten Sicherheitsgruppe(n) zurückgesetzt.
    • Wenn Sie eine beliebige VM aus der Quarantäne verschieben möchten, weisen Sie vm-override-sg als einzige Sicherheitsgruppe für diese VM zu. NSX Cloud unterstützt keine automatische Änderung der Sicherheitsgruppe vm-override-sg und lässt den Zugriff auf die VM durch SSH und RDP zu. Das Entfernen von vm-override-sg bewirkt erneut, dass die VM-Sicherheitsgruppe(n) auf die durch NSX festgelegte Sicherheitsgruppe zurückgesetzt wird/werden.
Hinweis: Wenn die Quarantäne-Richtlinie aktiviert ist, weisen Sie Ihren VMs vm-override-sg zu, bevor Sie NSX Agent darauf installieren. Nachdem Sie den Installationsprozess von NSX Agent abgeschlossen und die VM als „Underlay“ markiert haben, entfernen Sie die NSG vm-override-sg aus der VM. NSX Cloud weist den von NSX verwalteten VMs anschließend automatisch die richtige Sicherheitsgruppe zu. Dieser Schritt ist notwendig, weil er sicherstellt, dass der VM nicht die Sicherheitsgruppe quarantine oder default zugewiesen wird, während Sie sie für NSX Cloud vorbereiten.