検疫ポリシーが有効になっている場合、NSX Cloud はこの VPC/VNet 内のすべてのワークロード仮想マシンのパブリック クラウド セキュリティ グループを管理します。

セキュリティ グループが手動で変更されても、 NSX Cloud に割り当てられたセキュリティ グループに 2 分以内に戻されます。 NSX Cloud が仮想マシンにセキュリティ グループを割り当てないようにするには、 CSM でこれらの仮想マシンをホワイトリストに登録します。 ホワイトリストへの仮想マシンの登録 を参照してください。
注: 仮想マシンをホワイトリストから削除すると、仮想マシンは、 NSX Cloud に割り当てられたセキュリティ グループに戻ります。

表 1. 検疫ポリシーが有効になっている場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 仮想マシンがホワイトリストに登録されているか。 検疫ポリシーが有効になっている場合の仮想マシンのパブリック クラウド セキュリティ グループと説明
タグ付き ホワイトリストに登録されていない
  • 仮想マシンに脅威がない場合:vm-underlay-sg
  • 仮想マシンに潜在的な脅威(注を参照)がある場合:Microsoft Azure では default-vnet-<vnet-ID>-sg、AWS では default
    注: ワークロード仮想マシンに nsx.network=default タグが適用されてから 90 秒以内に、パブリック クラウド セキュリティ グループの割り当てが開始します。NSX で管理する仮想マシンには、引き続き NSX Tools をインストールする必要があります。 NSX Tools がインストールされるまで、タグ付けされたワークロード仮想マシンは隔離されます。
タグ付けなし ホワイトリストに登録されていない default-vnet-<vnet-ID>-sg (Microsoft Azure)、default (AWS)タグ付けの仮想マシンは管理対象外と見なされ、NSX Cloud によって隔離されます。
タグ付き ホワイトリスト登録済み NSX Cloud は、ホワイトリストに登録された仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループが保持されます。
タグ付けなし

次の表は、無効だった検疫ポリシーを有効にした場合にセキュリティ グループの割り当てが受ける影響を示したものです。

表 2. 検疫ポリシーが無効から有効になった場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 仮想マシンがホワイトリストに登録されているか。 検疫ポリシーが無効になっていたときの仮想マシンの既存のパブリック クラウド セキュリティ グループ 検疫ポリシーが有効になった後の仮想マシンのパブリック クラウド セキュリティ グループ
タグ付けなし ホワイトリストに登録されていない 既存のパブリック クラウド セキュリティ グループ default-vnet-<vnet-ID>-sg (Microsoft Azure)、default (AWS)
タグ付き ホワイトリストに登録されていない vm-underlay-sg または default-vnet-<vnet-ID>-sg (Microsoft Azure)、default (AWS) 隔離モードが有効か無効かに関わらず、タグ付けされた仮想マシンのセキュリティ グループは維持されるため、NSX Cloud が割り当てたセキュリティ グループを維持します。
タグ付き ホワイトリスト登録済み 既存のパブリック クラウド セキュリティ グループ。 NSX Cloud は、ホワイトリストに登録された仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループが保持されます。
タグ付けなし