隔離原則停用時,NSX Cloud 不會對未標記的虛擬機器管理公有雲安全群組。

但對於在公有雲中使用 nsx.network=default 標記的虛擬機器, NSX Cloud 會根據虛擬機器的狀態指派適當的安全群組。此行為與隔離原則啟用時相似,但隔離安全群組中的規則: default-vnet-<vnet-id>-sg (Microsoft Azure) 和 default (AWS) 的設定類似於預設公有雲安全群組,以允許 VPC/VNet 內的所有項目,並拒絕所有其他輸入流量。對已標記的虛擬機器進行安全群組的任何手動變更後,變更都將在兩分鐘內還原為 NSX Cloud 指派的安全群組。
備註: 如果您不想要讓 NSX Cloud 將安全群組指派給由 NSX 管理的虛擬機器 (已標記),請將其新增至 CSM 中的「使用者管理」清單。請參閱 虛擬機器的使用者管理清單

下表顯示在隔離原則停用時,NSX Cloud 將如何管理工作負載虛擬機器的公有雲安全群組。

表 1. NSX Cloud 在隔離原則停用時指派公有雲安全群組的方式
虛擬機器在公有雲中是否標記了 nsx.network=default 虛擬機器是否已新增至「使用者管理」清單? 虛擬機器在隔離原則停用時的公有雲安全群組及相關說明
虛擬機器可能已標記或未標記 已新增至「使用者管理」清單。 保留現有公有雲安全群組,因為 NSX Cloud 不會對「使用者管理」清單中的虛擬機器採取任何動作。
未標記 未新增至「使用者管理」清單 保留現有的公有雲安全群組,因為 NSX Cloud 不會對未標記的虛擬機器採取動作。
已標記 未新增至「使用者管理」清單
  • 如果虛擬機器沒有威脅:vm-underlay-sg
  • 如果虛擬機器有潛在威脅 (請參閱附註):Microsoft Azure 中的 default-vnet-<vnet-id>-sg;AWS 中的 default
    備註: 公有雲安全群組的指派會在 nsx.network=default 標籤套用至工作負載虛擬機器後的 90 秒內觸發。您仍然需要安裝 NSX Tools,虛擬機器才會由 NSX 管理。在安裝 NSX Tools 之前,已標記的工作負載虛擬機器仍會保留在預設安全群組中。
,

下表說明如果先前啟用了隔離原則,而現在已停用,NSX Cloud 將如何管理虛擬機器的公有雲安全群組:

表 2. NSX Cloud 在隔離原則從原先的啟用狀態改為停用時指派公有雲安全群組的方式
虛擬機器在公有雲中是否標記了 nsx.network=default 虛擬機器是否在「使用者管理」清單中? 虛擬機器在隔離原則啟用時的現有公有雲安全群組 虛擬機器在隔離原則停用後的公有雲安全群組
虛擬機器可能已標記或未標記 是,虛擬機器在「使用者管理」清單中 任何現有的公有雲安全群組 保留現有公有雲安全群組,因為 NSX Cloud 不會對「使用者管理」清單中的虛擬機器採取任何動作。
備註: 如果您在任何 NSX Cloud 指派的安全群組中有位於「使用者管理」清單的虛擬機器,則必須手動將其移至 AWS 中的 default 安全群組,以及 Microsoft Azure 中的 default-vnet-<vnet-id>-sg 安全群組。
未標記 未新增至「使用者管理」清單 default-vnet-<vnet-id>-sg (Microsoft Azure) 或 default (AWS) 停用隔離原則時會保留在現有的安全群組中,因為其未標記且不會被視為受 NSX 管理。您可以視需要將任何其他安全群組手動指派至此虛擬機器。
已標記 未新增至「使用者管理」清單 vm-underlay-sgdefault-vnet-<vnet-id>-sg (Microsoft Azure) 或 default (AWS) 保留 NSX Cloud 指派的安全群組,因為在啟用或停用隔離的模式下,已標記的虛擬機器具有一致的安全群組。