隔離原則停用時,NSX Cloud 不會對未標記的虛擬機器管理公有雲安全群組。
但對於在公有雲中使用
nsx.network=default 標記的虛擬機器,
NSX Cloud 會根據虛擬機器的狀態指派適當的安全群組。此行為與隔離原則啟用時相似,但隔離安全群組中的規則:
default-vnet-<vnet-id>-sg (Microsoft Azure) 和
default (AWS) 的設定類似於預設公有雲安全群組,以允許 VPC/VNet 內的所有項目,並拒絕所有其他輸入流量。對已標記的虛擬機器進行安全群組的任何手動變更後,變更都將在兩分鐘內還原為
NSX Cloud 指派的安全群組。
下表顯示在隔離原則停用時,NSX Cloud 將如何管理工作負載虛擬機器的公有雲安全群組。
虛擬機器在公有雲中是否標記了 nsx.network=default? | 虛擬機器是否已新增至「使用者管理」清單? | 虛擬機器在隔離原則停用時的公有雲安全群組及相關說明 |
---|---|---|
虛擬機器可能已標記或未標記 | 已新增至「使用者管理」清單。 | 保留現有公有雲安全群組,因為 NSX Cloud 不會對「使用者管理」清單中的虛擬機器採取任何動作。 |
未標記 | 未新增至「使用者管理」清單 | 保留現有的公有雲安全群組,因為 NSX Cloud 不會對未標記的虛擬機器採取動作。 |
已標記 | 未新增至「使用者管理」清單 |
|
下表說明如果先前啟用了隔離原則,而現在已停用,NSX Cloud 將如何管理虛擬機器的公有雲安全群組:
虛擬機器在公有雲中是否標記了 nsx.network=default? | 虛擬機器是否在「使用者管理」清單中? | 虛擬機器在隔離原則啟用時的現有公有雲安全群組 | 虛擬機器在隔離原則停用後的公有雲安全群組 |
---|---|---|---|
虛擬機器可能已標記或未標記 | 是,虛擬機器在「使用者管理」清單中 | 任何現有的公有雲安全群組 | 保留現有公有雲安全群組,因為 NSX Cloud 不會對「使用者管理」清單中的虛擬機器採取任何動作。
備註: 如果您在任何
NSX Cloud 指派的安全群組中有位於「使用者管理」清單的虛擬機器,則必須手動將其移至 AWS 中的
default 安全群組,以及 Microsoft Azure 中的
default-vnet-<vnet-id>-sg 安全群組。
|
未標記 | 未新增至「使用者管理」清單 | default-vnet-<vnet-id>-sg (Microsoft Azure) 或 default (AWS) | 停用隔離原則時會保留在現有的安全群組中,因為其未標記且不會被視為受 NSX 管理。您可以視需要將任何其他安全群組手動指派至此虛擬機器。 |
已標記 | 未新增至「使用者管理」清單 | vm-underlay-sg 或 default-vnet-<vnet-id>-sg (Microsoft Azure) 或 default (AWS) | 保留 NSX Cloud 指派的安全群組,因為在啟用或停用隔離的模式下,已標記的虛擬機器具有一致的安全群組。 |