検疫ポリシーが有効になっている場合、NSX Cloud はこの VPC/VNet 内のすべてのワークロード仮想マシンのパブリック クラウド セキュリティ グループを管理します。

セキュリティ グループが手動で変更されても、 NSX Cloud に割り当てられたセキュリティ グループに 2 分以内に戻されます。 NSX Cloud が仮想マシンにセキュリティ グループを割り当てないようにするには、 CSM でこれらの仮想マシンをユーザー管理リストに追加します。 仮想マシンのユーザー管理リスト を参照してください。
注: 仮想マシンをユーザー管理リストから削除すると、仮想マシンは、 NSX Cloud に割り当てられたセキュリティ グループに戻ります。

表 1. 検疫ポリシーが有効になっている場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 ユーザー管理リストに仮想マシンがあるか 検疫ポリシーが有効になっている場合の仮想マシンのパブリック クラウド セキュリティ グループと説明
タグ付き ユーザー管理リストに追加されていない
  • 仮想マシンに脅威がない場合:vm-underlay-sg
  • 仮想マシンに潜在的な脅威(注を参照)がある場合:Microsoft Azure では default-vnet-<vnet-ID>-sg、AWS では default
    注: ワークロード仮想マシンに nsx.network=default タグが適用されてから 90 秒以内に、パブリック クラウド セキュリティ グループの割り当てが開始します。NSX で管理する仮想マシンには、引き続き NSX Tools をインストールする必要があります。 NSX Tools がインストールされるまで、タグ付けされたワークロード仮想マシンは隔離されます。
タグ付けなし ユーザー管理リストに追加されていない default-vnet-<vnet-ID>-sg (Microsoft Azure)、default (AWS)タグ付けの仮想マシンは管理対象外と見なされ、NSX Cloud によって隔離されます。
タグ付き 仮想マシンはユーザー管理リストに含まれている NSX Cloud は、ユーザー管理リストの仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループを保持します。
タグ付けなし

次の表は、無効だった検疫ポリシーを有効にした場合にセキュリティ グループの割り当てが受ける影響を示したものです。

表 2. 検疫ポリシーが無効から有効になった場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 ユーザー管理リストに仮想マシンがあるか 検疫ポリシーが無効になっていたときの仮想マシンの既存のパブリック クラウド セキュリティ グループ 検疫ポリシーが有効になった後の仮想マシンのパブリック クラウド セキュリティ グループ
タグ付けなし ユーザー管理リストに追加されていない 既存のパブリック クラウド セキュリティ グループ default-vnet-<vnet-ID>-sg (Microsoft Azure)、default (AWS)
タグ付き ユーザー管理リストに追加されていない vm-underlay-sg または default-vnet-<vnet-ID>-sg (Microsoft Azure)、default (AWS) 隔離モードが有効か無効かに関わらず、タグ付けされた仮想マシンのセキュリティ グループは維持されるため、NSX Cloud が割り当てたセキュリティ グループを維持します。
タグ付き 仮想マシンはユーザー管理リストに含まれている 既存のパブリック クラウド セキュリティ グループ。 NSX Cloud は、ユーザー管理リストの仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループを保持します。
タグ付けなし