検疫ポリシーが無効になっている場合、NSX Cloud はタグ付けされていない仮想マシンのパブリック クラウド セキュリティ グループを管理しません。

ただし、パブリック クラウドで nsx.network=default とタグ付けされた仮想マシンの場合、 NSX Cloud は仮想マシンの状態に応じて適切なセキュリティ グループを割り当てます。この動作は、検疫ポリシーが有効になっている場合と似ていますが、検疫セキュリティ グループのルール(Microsoft Azure の default-vnet-<vnet-id>-sg と AWS の default)はデフォルトのパブリック クラウド セキュリティ グループと類似しています。このルールでは、VPC/VNet 内のトラフィックはすべて許可されますが、それ以外の受信トラフィックはすべて拒否されます。タグ付けされた仮想マシンのセキュリティ グループが手動で変更されても、 NSX Cloud に割り当てられたセキュリティ グループに 2 分以内に戻されます。
注: NSX Cloud が NSX 管理の(タグ付けされた)仮想マシンにセキュリティ グループを割り当てないようにするには、CSM でこれらの仮想マシンをホワイトリストに登録します。 ホワイトリストへの仮想マシンの登録 を参照してください。

次の表は、検疫ポリシーが無効になっている場合に、NSX Cloud がワークロード仮想マシンのパブリック クラウド セキュリティ グループをどのように管理するのかを示しています。

表 1. 検疫ポリシーが無効になっている場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 仮想マシンがホワイトリストに登録されているか。 検疫ポリシーが無効になっている場合の仮想マシンのパブリック クラウド セキュリティ グループと説明
仮想マシンにタグ付けされる場合とタグ付けされない場合がある ホワイトリスト登録済み NSX Cloud は、ホワイトリストに登録された仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループが保持されます。
タグ付けなし ホワイトリストに登録されていない NSX Cloud はタグ付けされていない仮想マシンにアクションを行わないため、既存のパブリック クラウド セキュリティ グループが維持されます。
タグ付き ホワイトリストに登録されていない
  • 仮想マシンに脅威がない場合:vm-underlay-sg
  • 仮想マシンに潜在的な脅威(注を参照)がある場合:Microsoft Azure では default-vnet-<vnet-id>-sg、AWS では default
    注: ワークロード仮想マシンに nsx.network=default タグが適用されてから 90 秒以内に、パブリック クラウド セキュリティ グループの割り当てが開始します。NSX で管理する仮想マシンには、引き続き NSX Tools をインストールする必要があります。 NSX Tools がインストールされるまで、タグ付けされたワークロード仮想マシンはデフォルトのセキュリティ グループに残ります。

次の表に、以前に有効だった検疫ポリシーが無効になっている場合、NSX Cloud が仮想マシンのパブリック クラウド セキュリティ グループをどのように管理するかを示します。

表 2. 検疫ポリシーが有効から無効になった場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 仮想マシンがホワイトリストに登録されているか。 検疫ポリシーが有効になっていたときの仮想マシンの既存のパブリック クラウド セキュリティ グループ 検疫ポリシーが無効になった後の仮想マシンのパブリック クラウド セキュリティ グループ
仮想マシンにタグ付けされる場合とタグ付けされない場合がある ホワイトリスト登録済み 既存のパブリック クラウド セキュリティ グループ NSX Cloud は、ホワイトリストに登録された仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループが保持されます。
注: NSX Cloud で割り当てられたセキュリティ グループ内にホワイトリストに登録済みの仮想マシンが存在する場合は、その仮想マシンを AWS の default セキュリティ グループまたは Microsoft Azure の default-vnet-<vnet-id>-sg セキュリティ グループに手動で移動する必要があります。
タグ付けなし ホワイトリストに登録されていない default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS) 検疫ポリシーが無効になっていると、タグ付けがなく NSX の管理対象とみなされないため、既存のセキュリティ グループがそのまま残ります。必要に応じて、この仮想マシンに別のセキュリティ グループを手動で割り当てることができます。
タグ付き ホワイトリストに登録されていない vm-underlay-sg または default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS) 隔離モードが有効か無効かに関わらず、タグ付けされた仮想マシンのセキュリティ グループは維持されるため、NSX Cloud が割り当てたセキュリティ グループを維持します。