検疫ポリシーが有効な場合:

  • この VPC または VNet に属するワークロード仮想マシンのすべてのインターフェイスに、セキュリティ グループ (SG) またはネットワーク セキュリティ グループ (NSG) を割り当てる方法は、NSX Cloud によって次のように管理されます。
    • Microsoft Azure では管理対象外の仮想マシンに quarantine NSG が、AWS では default セキュリティ グループが割り当てられ、隔離されます。この仮想マシンからの送信トラフィックは制限され、すべての受信トラフィックは停止します。
    • 管理対象外の仮想マシンを NSX の管理対象仮想マシンにするには、仮想マシンに NSX Agent をインストールして、パブリック クラウドで nsx.network のタグを付ける必要があります。デフォルトでは、適切な受信/送信トラフィックを許可するため、NSX Cloudvm-underlay-sg を割り当てます。
    • 仮想マシン上の NSX Agent が停止するなど、仮想マシンでセキュリティ上の問題が検出された場合、NSX の管理対象仮想マシンであっても、quarantine または default のセキュリティ グループを割り当て、隔離することができます。
    • セキュリティ グループが手動で変更されても、ネットワーク セキュリティ グループで定義されたセキュリティ グループに 2 分以内に戻されます。
    • 隔離された仮想マシンを検疫から解除するには、この仮想マシンのセキュリティ グループに、vm-override-sg のみを割り当てます。NSX Cloudvm-override-sg セキュリティ グループを自動的に変更しないため、仮想マシンへの SSH および RDP アクセスが許可されます。vm-override-sg の割り当てを解除すると、仮想マシンのセキュリティ グループは、NSX で定義されたセキュリティ グループに再び戻されます。
注: 検疫ポリシーが有効な場合は、NSX Agent をインストールする前に、仮想マシンに vm-override-sg を割り当てます。NSX Agent のインストール プロセスを実行して、仮想マシンをアンダーレイとしてタグ付けした後で、 vm-override-sg NSG の割り当てを仮想マシンから解除します。以降、 NSX Cloud は NSX の管理対象仮想マシンに適切なセキュリティ グループを自動的に割り当てます。 NSX Cloud 向けに仮想マシンを準備している間に quarantine または default セキュリティ グループが割り当てられないようにするには、この手順を実行する必要があります。