격리 정책을 사용하도록 설정하면:

  • 이 VPC 또는 VNet에 속하는 워크로드 VM의 모든 인터페이스에 대한 SG(보안 그룹) 또는 NSG(네트워크 보안 그룹) 할당이 다음과 같은 조건 하에 NSX Cloud에서 관리됩니다.
    • 관리되지 않는 VM은 Microsoft Azure에서 quarantine NSG 및 AWS에서 default 보안 그룹이 할당되고 격리됩니다. 이렇게 하면 아웃바운드 트래픽이 제한되고 해당 VM에 대한 모든 인바운드 트래픽이 중지됩니다.
    • 관리되지 않는 VM에 NSX 에이전트를 설치하고 공용 클라우드에서 nsx.network 태그를 지정하면 해당 VM이 NSX로 관리되는 VM이 될 수 있습니다. 기본 시나리오에서 NSX Cloud는 적절한 인바운드/아웃바운드 트래픽 허용하기 위해 vm-underlay-sg를 할당합니다.
    • VM에서 위협이 감지되면(예: NSX 에이전트가 VM에서 중지됨) NSX로 관리되는 VM에도 quarantine 또는 default 보안 그룹을 할당하고 격리할 수 있습니다.
    • 보안 그룹이 수동으로 변경되면 2분 내에 NSX 결정 보안 그룹으로 되돌려집니다.
    • VM을 격리 구역 외부로 이동하려면 vm-override-sg를 이 VM에 대한 유일한 보안 그룹으로 할당합니다. NSX Cloudvm-override-sg 보안 그룹을 자동으로 변경하지 않으며 VM에 대한 SSH 및 RDP 액세스를 허용합니다. vm-override-sg를 제거하면 VM 보안 그룹이 NSX 결정 보안 그룹으로 다시 되돌려집니다.
참고: 격리 정책을 사용하도록 설정하는 경우 VM에 NSX 에이전트를 설치하기 전에 vm-override-sg를 할당합니다. NSX 에이전트를 설치하고 VM에 언더레이로 태그를 지정하는 프로세스를 수행한 후에 VM에서 vm-override-sg NSG를 제거합니다. NSX Cloud는 그런 다음 NSX로 관리되는 VM에 적절한 보안 그룹을 자동으로 할당합니다. 이 단계는 NSX Cloud에 대해 VM을 준비하는 동안 VM에 quarantine 또는 default 보안 그룹이 할당되지 않도록 하기 때문에 필요합니다.