NSX Cloud 中的隔離原則功能可為 NSX 管理的工作負載虛擬機器提供威脅偵測機制。

在兩個虛擬機器管理模式中,隔離原則會以不同的方式實作。

表 1. NSX 強制執行模式原生雲端強制執行模式 中的隔離原則實作方式
隔離原則的相關組態 NSX 強制執行模式 原生雲端強制執行模式
預設狀態 使用 NSX Tools 部署 PCG 時會停用。您可以在 PCG 部署畫面中加以啟用,或稍後再啟用。請參閱如何啟用或停用隔離原則 一律啟用。無法停用。
自動建立各個模式的唯一安全群組 為所有狀況良好、由 NSX 管理的虛擬機器指派 vm-underlay-sg 安全群組。 對於由 NSX 管理,且與 NSX Manager 中 Distributed Firewall 原則相符的工作負載虛擬機器,系統會建立並套用 nsx-<NSX GUID> 安全群組。
自動建立兩種模式通用的公有雲安全群組:
在 AWS 和 Microsoft Azure 中,分別將 gw 安全群組套用至各自的 PCG 介面。
  • gw-mgmt-sg
  • gw-uplink-sg
  • gw-vtep-sg
vm 安全群組會根據其目前狀態以及隔離原則為啟用或停用,套用至由 NSX 管理的虛擬機器:
  • Microsoft Azure 中的 vm-quarantine-sg 和 AWS 中的 default
    備註: 在 AWS 中, default 安全群組已存在。它不是由 NSX Cloud 建立的。

NSX 強制執行模式 的一般建議:

棕地部署開始為已停用:依預設會停用隔離原則。如果已在公有雲環境中設定虛擬機器,請使用隔離原則的已停用模式,直到工作負載虛擬機器上線。這可確保您現有的虛擬機器不會自動隔離。

綠地部署開始為已啟用:對於綠地部署,建議您啟用隔離原則,以允許虛擬機器的威脅偵測由 NSX Cloud 進行管理。