Cuando la directiva de cuarentena está habilitada:

  • La asignación de un grupo de seguridad (Security Group, SG) o un grupo de seguridad de red (Network Security Group, NSG) para todas las interfaces de cualquier máquina virtual de carga de trabajo que pertenezca a esta instancia de VPC o VNet se administra mediante NSX Cloud como se indica a continuación:
    • A las máquinas virtuales sin administrar se les asigna el NSG quarantine en Microsoft Azure, mientras que el grupo de seguridad default en AWS se pone en cuarentena. Esto limita el tráfico saliente y detiene todo el tráfico entrante a esas máquinas virtuales.
    • Las máquinas virtuales sin administrar pueden convertirse en máquinas virtuales administradas por NSX cuando se instala el agente NSX en la máquina virtual y se etiquetan en la nube pública con nsx.network. En el escenario predeterminado, NSX Cloud asigna el grupo de seguridad vm-underlay-sg para permitir el tráfico entrante y saliente correspondiente.
    • A una máquina virtual administrada por NSX todavía se le puede asignar el grupo de seguridad quarantine o default y se la puede poner en cuarentena si se detecta una amenaza en la máquina virtual; por ejemplo, si se detiene el agente NSX en la máquina virtual.
    • Cualquier cambio manual realizado en los grupos de seguridad se revertirá a los grupos de seguridad determinados por NSX pasados dos minutos.
    • Si desea sacar una máquina virtual de la cuarentena, asigne vm-override-sg como único grupo de seguridad para esta máquina virtual. NSX Cloud no cambia automáticamente el grupo de seguridad de vm-override-sg y permite el acceso de SSH y RDP a la máquina virtual. La eliminación de vm-override-sg hará que los grupos de seguridad de la máquina virtual se restauren de nuevo al grupo de seguridad determinado por NSX.
Nota: Cuando se habilita la directiva de cuarentena, asigne vm-override-sg a las máquinas virtuales antes de instalar el agente NSX en ellas. Después de seguir el proceso de instalación del agente NSX y de etiquetar la máquina virtual como subyacente, elimine el NSG vm-override-sg de la máquina virtual. NSX Cloud asignará automáticamente el grupo de seguridad adecuado a las máquinas virtuales administradas por NSX a partir de ahí. Este paso es necesario, ya que garantiza que el grupo de seguridad quarantine o default no se asigne a la máquina virtual mientras la esté preparando para NSX Cloud.