啟用隔離原則時:

  • 針對屬於此 VPC 或 VNet 之任何工作負載虛擬機器的所有介面的安全群組 (SG) 或網路安全群組 (NSG) 指派均由 NSX Cloud 管理,如下所示:
    • 未受管理的虛擬機器獲指派 Microsoft Azure 中的 quarantine NSG 和 AWS 中的 default 安全群組,且遭到隔離。這會限制輸出流量,並停止此類虛擬機器的所有輸入流量。
    • 當您在虛擬機器上安裝 NSX 代理程式,並在公有雲中使用 nsx.network 進行標記時,未受管理的虛擬機器會變為 NSX 管理的虛擬機器。在預設情況下,NSX Cloud 將指派 vm-underlay-sg 以允許適當的輸入/輸出流量。
    • 如果在 NSX 管理的虛擬機器上偵測到威脅,例如,如果虛擬機器上的 NSX 代理程式已停止,則該虛擬機器仍可指派有 quarantinedefault 安全群組並遭到隔離。
    • 對安全群組的任何手動變更都將在兩分鐘內還原為 NSX 決定的安全群組。
    • 如果您想要將任何虛擬機器移出隔離所,請將 vm-override-sg 做為唯一的安全群組指派給此虛擬機器。NSX Cloud 不會自動變更 vm-override-sg 安全群組,並且允許 SSH 和 RDP 存取虛擬機器。移除 vm-override-sg 將再次導致虛擬機器安全群組還原為 NSX 決定的安全群組。
備註: 啟用隔離原則時,將 vm-override-sg 指派給您的虛擬機器,然後在其上安裝 NSX 代理程式。執行安裝 NSX 代理程式並將虛擬機器標記為底層的程序後,從虛擬機器移除 vm-override-sg NSG。之後, NSX Cloud 將會自動指派適當的安全群組給 NSX 管理的虛擬機器。此步驟是必要的,因為它可確保在針對 NSX Cloud 準備時,虛擬機器未獲指派 quarantinedefault 安全群組。