検疫ポリシーが無効になっている場合、NSX Cloud はタグ付けされていない仮想マシンのパブリック クラウド セキュリティ グループを管理しません。

ただし、パブリック クラウドで nsx.network=default とタグ付けされた仮想マシンの場合、 NSX Cloud は仮想マシンの状態に応じて適切なセキュリティ グループを割り当てます。この動作は、検疫ポリシーが有効になっている場合と似ていますが、検疫セキュリティ グループ(Microsoft Azure の default-vnet-<vnet-id>-sg と AWS の default)のルールは、デフォルトのパブリック クラウド セキュリティ グループのように構成されます。ここでは、VPC/VNet 内のトラフィックはすべて許可され、その他の受信トラフィックはすべて拒否されます。タグ付けされた仮想マシンのセキュリティ グループが手動で変更されても、 NSX Cloud に割り当てられたセキュリティ グループに 2 分以内に戻されます。
注: NSX Cloud が NSX 管理(タグ付き)の仮想マシンにセキュリティ グループを割り当てないようにするには、CSM でこれらの仮想マシンをユーザー管理リストに追加します。 仮想マシンのユーザー管理リストを参照してください。

次の表は、検疫ポリシーが無効になっている場合に、NSX Cloud がワークロード仮想マシンのパブリック クラウド セキュリティ グループをどのように管理するのかを示しています。

表 1. 検疫ポリシーが無効になっている場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 仮想マシンがユーザー管理リストに追加されているか。 検疫ポリシーが無効になっている場合の仮想マシンのパブリック クラウド セキュリティ グループと説明
仮想マシンにタグ付けされる場合とタグ付けされない場合がある ユーザー管理リストに追加されている。 NSX Cloud は、ユーザー管理リストの仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループを保持します。
タグ付けなし ユーザー管理リストに追加されていない NSX Cloud はタグ付けされていない仮想マシンにアクションを行わないため、既存のパブリック クラウド セキュリティ グループが維持されます。
タグ付き ユーザー管理リストに追加されていない
  • 仮想マシンに脅威がない場合:vm-underlay-sg
  • 仮想マシンに潜在的な脅威(注を参照)がある場合:Microsoft Azure では default-vnet-<vnet-id>-sg、AWS では default
    注: ワークロード仮想マシンに nsx.network=default タグが適用されてから 90 秒以内に、パブリック クラウド セキュリティ グループの割り当てが開始します。NSX で管理する仮想マシンには、引き続き NSX Tools をインストールする必要があります。 NSX Tools がインストールされるまで、タグ付けされたワークロード仮想マシンはデフォルトのセキュリティ グループに残ります。

次の表は、以前に有効だった検疫ポリシーが無効になっているときに、NSX Cloud が仮想マシンのパブリック クラウド セキュリティ グループをどのように管理するのかを示しています。

表 2. 検疫ポリシーが有効から無効になった場合の NSX Cloud によるパブリック クラウド セキュリティ グループの割り当て
パブリック クラウドで仮想マシンに nsx.network=default というタグが付いているか。 ユーザー管理リストに仮想マシンがあるか 検疫ポリシーが有効になっていたときの仮想マシンの既存のパブリック クラウド セキュリティ グループ 検疫ポリシーが無効になった後の仮想マシンのパブリック クラウド セキュリティ グループ
仮想マシンにタグ付けされる場合とタグ付けされない場合がある 仮想マシンはユーザー管理リストに含まれている 既存のパブリック クラウド セキュリティ グループ NSX Cloud は、ユーザー管理リストの仮想マシンにアクションを実行しないため、既存のパブリック クラウド セキュリティ グループを保持します。
注: NSX Cloud が割り当てられた任意のセキュリティ グループにユーザー管理リストの仮想マシンが存在する場合、その仮想マシンを AWS の default セキュリティ グループまたは Microsoft Azure の default-vnet-<vnet-id>-sg セキュリティ グループに手動で移動する必要があります。
タグ付けなし ユーザー管理リストに追加されていない default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS) 検疫ポリシーが無効になっていると、タグ付けがなく NSX の管理対象とみなされないため、既存のセキュリティ グループがそのまま残ります。必要に応じて、この仮想マシンに別のセキュリティ グループを手動で適用できます。
タグ付き ユーザー管理リストに追加されていない vm-underlay-sg または default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS) 隔離モードが有効か無効かに関わらず、タグ付けされた仮想マシンのセキュリティ グループは維持されるため、NSX Cloud が割り当てたセキュリティ グループを維持します。