NSX Cloud ne gère pas les groupes de sécurité de cloud public de machines virtuelles non balisées lorsque la stratégie de mise en quarantaine est désactivée.

Toutefois, pour les machines virtuelles balisées avec nsx.network=default dans le cloud public, NSX Cloud attribue les groupes de sécurité appropriés en fonction de l'état de la machine virtuelle. Ce comportement est similaire au moment où la stratégie de mise en quarantaine est activée. Les règles dans les groupes de sécurité de mise en quarantaine default-vnet-<vnet-id>-sg dans Microsoft Azure et default dans AWS sont configurées de la même manière que les groupes de sécurité de cloud public par défaut, ce qui autorise tout ce qui se trouve dans le VPC/VNet et refuse tout autre trafic entrant. Les modifications manuelles apportées aux groupes de sécurité des machines virtuelles balisées sont annulées sur le groupe de sécurité déterminé par NSX Cloud dans un délai de deux minutes.
Note : Si vous ne souhaitez pas que NSX Cloud attribue des groupes de sécurité à vos machines virtuelles gérées par NSX (balisées), mettez-les sur liste blanche dans CSM. Reportez-vous à la section Mise sur liste blanche de machines virtuelles.

Le tableau suivant montre comment NSX Cloud gère les groupes de sécurité de cloud public des machines virtuelles de charge de travail lorsque la stratégie de mise en quarantaine est désactivée.

Tableau 1. Attribution par NSX Cloud de groupes de sécurité de cloud public lorsque la stratégie de mise en quarantaine est désactivée
La machine virtuelle est-elle balisée avec nsx.network=default dans le cloud public ? La machine virtuelle est-elle sur liste blanche ? Groupe de sécurité de cloud public de la machine virtuelle lorsque la stratégie de mise en quarantaine est désactivée et explication
La machine virtuelle peut être balisée ou non Sur liste blanche Conserve le groupe de sécurité de cloud public existant, car NSX Cloud n'effectue aucune action sur les machines virtuelles sur liste blanche.
Non balisée Non sur liste blanche Conserve le groupe de sécurité de cloud public existant, car NSX Cloud n'effectue aucune action sur les machines virtuelles non balisées.
Balisée Non sur liste blanche
  • Si la machine virtuelle n'a pas de menaces : vm-underlay-sg
  • Si la machine virtuelle a des menaces potentielles (voir la remarque) : default-vnet-<vnet-id>-sg dans Microsoft Azure ; default dans AWS
    Note : L'attribution de groupes de sécurité de cloud public est déclenchée dans les 90 secondes après l'application de la balise nsx.network=default à vos machines virtuelles de charge de travail. Vous devez toujours installer NSX Tools pour que les machines virtuelles soient gérées par NSX. Tant que NSX Tools n'est pas installé, vos machines virtuelles de charge de travail balisées restent dans le groupe de sécurité par défaut.
,

Le tableau suivant montre comment NSX Cloud gère les groupes de sécurité de cloud public des machines virtuelles si la stratégie de mise en quarantaine a été activée avant et qu'elle est maintenant désactivée :

Tableau 2. Attribution par NSX Cloud de groupes de sécurité de cloud public lorsque la stratégie de mise en quarantaine est désactivée après avoir été d'abord activée
La machine virtuelle est-elle balisée avec nsx.network=default dans le cloud public ? La machine virtuelle est-elle sur liste blanche ? Groupe de sécurité de cloud public existant de la machine virtuelle lorsque la stratégie de mise en quarantaine est activée Groupe de sécurité de cloud public de la machine virtuelle après la désactivation de la stratégie de mise en quarantaine
La machine virtuelle peut être balisée ou non Sur liste blanche Tout groupe de sécurité de cloud public existant Conserve le groupe de sécurité de cloud public existant, car NSX Cloud n'effectue aucune action sur les machines virtuelles sur liste blanche.
Note : Si vous disposez d'une machine virtuelle sur liste blanche dans des groupes de sécurité attribués par NSX Cloud, vous devez la transférer manuellement vers le groupe de sécurité default dans AWS et le groupe de sécurité default-vnet-<vnet-id>-sg dans Microsoft Azure.
Non balisée Non sur liste blanche default-vnet-<vnet-id>-sg (Microsoft Azure) ou default (AWS) Reste dans les groupes de sécurité existants lors de la désactivation de la stratégie de mise en quarantaine, car elle n'est pas balisée et n'est pas considérée comme gérée par NSX. Vous pouvez attribuer manuellement un autre groupe de sécurité à cette machine virtuelle, le cas échéant.
Balisée Non sur liste blanche vm-underlay-sg ou default-vnet-<vnet-id>-sg (Microsoft Azure) ou default (AWS) Conserve le groupe de sécurité attribué par NSX Cloud, car il est cohérent pour les machines virtuelles balisées dans les modes activé ou désactivé de la mise en quarantaine.