検疫ポリシーが無効になっている場合、NSX Cloud はタグ付けされていない仮想マシンのパブリック クラウド セキュリティ グループを管理しません。
ただし、パブリック クラウドで
nsx.network=default とタグ付けされた仮想マシンの場合、
NSX Cloud は仮想マシンの状態に応じて適切なセキュリティ グループを割り当てます。この動作は、検疫ポリシーが有効になっている場合と似ていますが、検疫セキュリティ グループ(Microsoft Azure の
default-vnet-<vnet-id>-sg と AWS の
default)のルールは、デフォルトのパブリック クラウド セキュリティ グループのように構成されます。ここでは、VPC/VNet 内のトラフィックはすべて許可され、その他の受信トラフィックはすべて拒否されます。タグ付けされた仮想マシンのセキュリティ グループが手動で変更されても、
NSX Cloud に割り当てられたセキュリティ グループに 2 分以内に戻されます。
注:
NSX Cloud が NSX 管理(タグ付き)の仮想マシンにセキュリティ グループを割り当てないようにするには、CSM でこれらの仮想マシンをユーザー管理リストに追加します。
仮想マシンのユーザー管理リスト を参照してください。
次の表は、検疫ポリシーが無効になっている場合に、NSX Cloud がワークロード仮想マシンのパブリック クラウド セキュリティ グループをどのように管理するのかを示しています。
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 | 仮想マシンがユーザー管理リストに追加されているか。 | 検疫ポリシーが無効になっている場合の仮想マシンのパブリック クラウド セキュリティ グループと説明 |
---|---|---|
仮想マシンにタグ付けされる場合とタグ付けされない場合がある | ユーザー管理リストに追加されている。 | NSX Cloud は、ユーザー管理リストの仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループを保持します。 |
タグ付けなし | ユーザー管理リストに追加されていない | NSX Cloud はタグ付けされていない仮想マシンにアクションを行わないため、既存のパブリック クラウド セキュリティ グループが維持されます。 |
タグ付き | ユーザー管理リストに追加されていない |
|
次の表は、以前に有効だった検疫ポリシーが無効になっているときに、NSX Cloud が仮想マシンのパブリック クラウド セキュリティ グループをどのように管理するのかを示しています。
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 | ユーザー管理リストに仮想マシンがあるか | 検疫ポリシーが有効になっていたときの仮想マシンの既存のパブリック クラウド セキュリティ グループ | 検疫ポリシーが無効になった後の仮想マシンのパブリック クラウド セキュリティ グループ |
---|---|---|---|
仮想マシンにタグ付けされる場合とタグ付けされない場合がある | 仮想マシンはユーザー管理リストに含まれている | 既存のパブリック クラウド セキュリティ グループ | NSX Cloud は、ユーザー管理リストの仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループを保持します。
注:
NSX Cloud が割り当てられた任意のセキュリティ グループにユーザー管理リストの仮想マシンが存在する場合、その仮想マシンを AWS の
default セキュリティ グループまたは Microsoft Azure の
default-vnet-<vnet-id>-sg セキュリティ グループに手動で移動する必要があります。
|
タグ付けなし | ユーザー管理リストに追加されていない | default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS) | 検疫ポリシーが無効になっていると、タグ付けがなく NSX の管理対象とみなされないため、既存のセキュリティ グループがそのまま残ります。必要に応じて、この仮想マシンに別のセキュリティ グループを手動で適用できます。 |
タグ付き | ユーザー管理リストに追加されていない | vm-underlay-sg または default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS) | 隔離モードが有効か無効かに関わらず、タグ付けされた仮想マシンのセキュリティ グループは維持されるため、NSX Cloud が割り当てたセキュリティ グループを維持します。 |