禁用隔离策略时，nsx cloud 不会管理未标记的虚拟机的

禁用隔离策略时，NSX Cloud 不会管理未标记的虚拟机的公有云安全组。

但是，对于公有云中带 nsx.network=default 标记的虚拟机， NSX Cloud 会根据虚拟机的状态分配相应的安全组。此行为与启用了隔离策略时的行为类似，但是隔离安全组中的规则（Microsoft Azure 中的 default-vnet--sg 和 AWS 中的 default）将采用与默认公有云安全组类似的方式进行配置，以便允许 VPC/VNet 中的所有内容，并拒绝所有其他入站流量。对已标记虚拟机的安全组进行的任何手动更改将在两分钟内恢复为 NSX Cloud 分配的安全组。

下表显示了在禁用隔离策略的情况下，NSX Cloud 如何管理工作负载虚拟机的公有云安全组。

虚拟机在公有云中是否标记有 nsx.network=default？

是否将虚拟机添加到“用户管理”列表？

虚拟机可能已标记或未标记 已添加到“用户管理”列表。 保留现有的公有云安全组，因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。

未标记 未添加到“用户管理”列表 保留现有公有云安全组，因为 NSX Cloud 不会对未标记的虚拟机执行操作。

如果虚拟机不存在威胁：vm-underlay-sg

注： 在将 nsx.network=default 标记应用于工作负载虚拟机的 90 秒内，将会触发公有云安全组分配。在安装 NSX Tools 之前，已标记的工作负载虚拟机会一直保留在默认安全组中。

下表显示了在隔离策略之前已启用但现在又被禁用的情况下，NSX Cloud 如何管理虚拟机的公有云安全组：

虚拟机可能已标记或未标记 是，虚拟机位于“用户管理”列表中 任何现有公有云安全组 保留现有的公有云安全组，因为 NSX Cloud 不对“用户管理”列表中的虚拟机执行任何操作。

未标记 未添加到“用户管理”列表 default-vnet--sg (Microsoft Azure) 或 default (AWS) 禁用隔离策略时保留在现有安全组中，因为该安全组未进行标记，不会被视为由 NSX 管理。您可以根据需要手动将任何其他安全组分配给此虚拟机。