NSX Cloud ne gère pas les groupes de sécurité de cloud public de machines virtuelles non balisées lorsque la stratégie de mise en quarantaine est désactivée.

Toutefois, pour les machines virtuelles balisées avec nsx.network=default dans le cloud public, NSX Cloud attribue les groupes de sécurité appropriés en fonction de l'état de la machine virtuelle. Ce comportement est similaire au moment où la stratégie de mise en quarantaine est activée. Les règles dans les groupes de sécurité de mise en quarantaine default-vnet-<vnet-id>-sg dans Microsoft Azure et default dans AWS sont configurées de la même manière que les groupes de sécurité de cloud public par défaut, ce qui autorise tout ce qui se trouve dans le VPC/VNet et refuse tout autre trafic entrant. Les modifications manuelles apportées aux groupes de sécurité des machines virtuelles balisées sont annulées sur le groupe de sécurité déterminé par NSX Cloud dans un délai de deux minutes.
Note : Si vous ne souhaitez pas que NSX Cloud attribue des groupes de sécurité à vos machines virtuelles gérées par NSX (balisées), ajoutez-les à la liste Géré par l'utilisateur dans CSM. Reportez-vous à la section Liste Géré par l'utilisateur pour les machines virtuelles.

Le tableau suivant montre comment NSX Cloud gère les groupes de sécurité de cloud public des machines virtuelles de charge de travail lorsque la stratégie de mise en quarantaine est désactivée.

Tableau 1. Attribution par NSX Cloud de groupes de sécurité de cloud public lorsque la stratégie de mise en quarantaine est désactivée
La machine virtuelle est-elle balisée avec nsx.network=default dans le cloud public ? La machine virtuelle est-elle ajoutée à la liste Géré par l'utilisateur ? Groupe de sécurité de cloud public de la machine virtuelle lorsque la stratégie de mise en quarantaine est désactivée et explication
La machine virtuelle peut être balisée ou non Ajoutée à la liste Géré par l'utilisateur. Conserve le groupe de sécurité de cloud public existant, car NSX Cloud n'effectue aucune action sur les machines virtuelles sur la liste Géré par l'utilisateur.
Non balisée Non ajoutée à la liste Géré par l'utilisateur Conserve le groupe de sécurité de cloud public existant, car NSX Cloud n'effectue aucune action sur les machines virtuelles non balisées.
Balisée Non ajoutée à la liste Géré par l'utilisateur
  • Si la machine virtuelle n'a pas de menaces : vm-underlay-sg
  • Si la machine virtuelle a des menaces potentielles (voir la remarque) : default-vnet-<vnet-id>-sg dans Microsoft Azure ; default dans AWS
    Note : L'attribution de groupes de sécurité de cloud public est déclenchée dans les 90 secondes après l'application de la balise nsx.network=default à vos machines virtuelles de charge de travail. Vous devez toujours installer NSX Tools pour que les machines virtuelles soient gérées par NSX. Tant que NSX Tools n'est pas installé, vos machines virtuelles de charge de travail balisées restent dans le groupe de sécurité par défaut.
,

Le tableau suivant montre comment NSX Cloud gère les groupes de sécurité de cloud public des machines virtuelles si la stratégie de mise en quarantaine a été activée avant et qu'elle est maintenant désactivée :

Tableau 2. Attribution par NSX Cloud de groupes de sécurité de cloud public lorsque la stratégie de mise en quarantaine est désactivée après avoir été d'abord activée
La machine virtuelle est-elle balisée avec nsx.network=default dans le cloud public ? La machine virtuelle se trouve-t-elle dans la liste Géré par l'utilisateur ? Groupe de sécurité de cloud public existant de la machine virtuelle lorsque la stratégie de mise en quarantaine est activée Groupe de sécurité de cloud public de la machine virtuelle après la désactivation de la stratégie de mise en quarantaine
La machine virtuelle peut être balisée ou non Oui, la machine virtuelle se trouve dans la liste Géré par l'utilisateur Tout groupe de sécurité de cloud public existant Conserve le groupe de sécurité de cloud public existant, car NSX Cloud n'effectue aucune action sur les machines virtuelles sur la liste Géré par l'utilisateur.
Note : Si vous disposez d'une machine virtuelle dans la liste Géré par l'utilisateur dans des groupes de sécurité attribués par NSX Cloud, vous devez la transférer manuellement vers le groupe de sécurité default dans AWS et le groupe de sécurité default-vnet-<vnet-id>-sg dans Microsoft Azure.
Non balisée Non ajoutée à la liste Géré par l'utilisateur default-vnet-<vnet-id>-sg (Microsoft Azure) ou default (AWS) Reste dans les groupes de sécurité existants lors de la désactivation de la stratégie de mise en quarantaine, car elle n'est pas balisée et n'est pas considérée comme gérée par NSX. Vous pouvez attribuer manuellement un autre groupe de sécurité à cette machine virtuelle, le cas échéant.
Balisée Non ajoutée à la liste Géré par l'utilisateur vm-underlay-sg ou default-vnet-<vnet-id>-sg (Microsoft Azure) ou default (AWS) Conserve le groupe de sécurité attribué par NSX Cloud, car il est cohérent pour les machines virtuelles balisées dans les modes activé ou désactivé de la mise en quarantaine.