NSX Cloud の検疫ポリシー機能を使用すると、NSX が管理するワークロード仮想マシンに対する脅威を検出できます。
2 つの仮想マシン管理モードによって、検疫ポリシーの実装方法が異なります。
検疫ポリシーに関連する構成 | NSX 強制モード の場合 | Native Cloud 強制モード の場合 |
---|---|---|
デフォルトの状態 | NSX Tools を使用して PCG を展開すると無効になります。これは、PCG の展開画面で有効にできます。検疫ポリシーを有効または無効にする方法 を参照してください。 | 常に有効。無効にできません。 |
各モードに自動生成される固有のセキュリティ グループ | 良好な状態の NSX 管理対象仮想マシンには vm-underlay-sg セキュリティ グループが割り当てられます。 | NSX Manager の分散ファイアウォール ポリシーと一致する NSX 管理対象ワークロード仮想マシンには、nsx-<NSX GUID> セキュリティ グループが作成され、適用されます |
両方のモードに共通の自動生成されるパブリック クラウド セキュリティ グループ: |
[gw] セキュリティ グループは、AWS または Microsoft Azure のそれぞれの
PCG インターフェイスに適用されます。
[vm] セキュリティ グループは、現在の状態と検疫ポリシーの設定(有効または無効)に応じて、NSX 管理対象の仮想マシンに適用されます。
|
NSX 強制モード の一般的な推奨事項:
[既存環境]への展開を無効で開始する場合: 検疫ポリシーは、デフォルトで無効です。パブリック クラウド環境に仮想マシンが設定済みの場合は、ワークロード仮想マシンのオンボーディングが完了するまで、検疫ポリシーを無効モードにします。これにより、既存の仮想マシンが自動的に隔離されないようにします。
[新規] 展開を有効で開始する場合:新規の展開では、検疫ポリシーを有効にして、仮想マシンの脅威の検出を NSX Cloud で管理することが推奨されます。