IBM 中的网络安全组 Power Virtual Server

网络地址组s

网络地址组 (NAG) 是一个或多个外部网络地址范围（如无类域间路由 (CIDR)）的集合，与 Power Virtual Server 工作区中已配置的网络资源没有直接关系。 NAG 用于对外部网络地址范围进行分类，如通过 Transit Gateway 或 PER 本地访问的网络地址范围，如 IBM Cloud Private 端点。

NAG 在 NSG 规则中用作参考点，通过将多个外部 IP 地址、子网或虚拟网段归入一个实体（NAG）来简化 NSG 的实施。 与在 NSG 安全规则中列出多个 IP 地址或子网相比，您可以参考 NAG，将同一规则应用于该组中的所有地址。

使用 NAG 有以下好处：

• 简化外部网络地址 NSG 规则的管理
• 在多个地址间应用安全策略时降低复杂性
• 提高可扩展性，因为您可以向 NAG 添加新的 IP 地址、子网或虚拟网段，而无需修改 NSG 规则

成员

成员是在 Power Virtual Server 工作区中配置的一个或多个网络接口。 网络接口可以通过以太网 MAC 地址或 IPv4 地址来识别。 同一网络接口不得作为成员添加到两个不同的 NSG，一个使用 MAC 地址，另一个使用 IPv4 地址。 这样做可能会导致意想不到的行为。

NSG 是成员和安全规则的集合。 更多信息，请参阅 规则。

NSG 成员只能与一个 NSG 建立联系。 已配置的网络资源不能同时属于多个 NSG。

规则

规则或安全规则定义了允许或拒绝到达 NSG 成员的入站网络流量。 默认情况下，除非明确定义了安全规则，否则所有入站网络流量都会被拒绝，并且不会到达 NSG 的任何成员。 要了解有关定义规则以允许入站流量的更多信息，请参阅 在 NSG 上创建新规则。

自动允许所有出站流量。

规则评估顺序

规则确定允许或拒绝入站网络流量的顺序取决于以下关键因素：

• 拒绝规则总是先进行评估，并具有最高优先级。 如果“拒绝”规则与流量相匹配，则会立即阻止流量并停止评估，无论现有的“允许”规则如何。

• 系统只有在处理完拒绝规则后，才会处理允许规则。 如果没有匹配到“拒绝”规则，系统将继续评估“允许”规则。

• 如果多条“允许”规则重叠，则遵守并应用列表中第一条匹配规则。 规则重叠不会造成冲突。 例如，

  • 规则 A：允许 TCP All.

  • 规则 B：允许 TCP Port 22.

    结果：任一规则都可能被应用，这取决于先匹配的规则是哪一条。

• 默认情况下，不匹配任何 Allow（允许）规则的流量会按照隐式 Deny（拒绝）规则被拒绝。

流量匹配中的 NAG 优先级

查看以下信息，了解入站网络流量如何与 NAG 匹配：

• 入站网络流量与任何自定义 NAG 中最特定的 CIDR 匹配。 评估 NAG 的“允许”或“拒绝”规则时，源 IP 地址将与自定义 NAG 中最特定的 CIDR 匹配，而不是与默认 NAG (0.0.0.0/0) 匹配。

• 如果源 IP 属于更具体的 NAG，则必须有明确的 NSG 规则允许来自该 NAG 的网络流量。

• 如果在自定义 NAG 中存在更具体的 CIDR，则依靠默认 NAG (0.0.0.0/0) 不允许入站流量。

例如，考虑一个远程系统和一个自定义 NAG，其配置如下：

• IP 地址为 10.55.55.2 的远程系统。
• 使用 CIDR 的现有自定义 NAG 10.55.55.0/24.

要允许来自 10.55.55.2 的流量，NSG 规则必须明确允许来自自定义 NAG (10.55.55.0/24) 的流量。这种流量与默认 NAG (0.0.0.0/0) 不匹配。

有关使用 NAG 的更多信息，请参阅 在工作区中创建和管理 NAG。

在工作区中启用或禁用 NSG

您可以在启用了 PER 和增强型 CRN 的工作区中启用或禁用 NSG 功能。 但是，不能在以前、手动、VPN 或云连接工作区中启用 NSG。

要确定 Power Virtual Server 工作区是否具备支持 NSG 的先决条件，请运行以下 IBM Cloud CLI 命令：

ibmcloud resource service-instance <WORKSPACE_CRN> -o json

验证 resourceCRNs 属性是否存在，其值是否设置为 true：

"extensions": {
            "resourceCRNs": true
        },

要在现有工作区启用或禁用 NSG 功能，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择要启用或禁用 NSG 功能的工作区。 显示工作区详细信息面板。

4. 将网络安全组开关设置为已启用或已禁用。

在工作区中启用 NSG 功能后，会自动创建一个默认 NSG，其中包含工作区中任何现有 NIC 附件的成员，并有两条规则。 第一条规则允许来自“默认”NSG 其他成员的所有双向通信 (Protocol=ALL)。 第二条规则允许与“默认”NAG（工作区外的 0.0.0.0/0 网络 CIDR）进行所有双向通信（Protocol=ALL ）。

在禁用工作区 网络安全组 s 功能之前，必须删除所有现有的 NSG 和 NAG，但标记为默认的 NSG 和 NAG 除外。

可以删除默认规则，以实现同一 NSG 成员之间以及与外部地址之间的完全隔离。 删除默认规则后，默认情况下会拒绝所有入站流量。 要删除这些规则，请完成 从现有 NSG 中删除规则 一节中列出的步骤。

在工作区中创建和管理 NSG

您可以在工作区中创建一个 NSG，既可以使用默认配置，不定义任何规则或添加任何成员，也可以在创建 NSG 时定义入站规则并添加成员。

使用默认配置创建 NSG

在工作区创建 NSG 时，无需强制定义安全规则或向 NSG 添加成员。 不过，使用默认设置创建 NSG 后，您可以稍后向其中添加规则和成员。

默认情况下，所有入站网络流量都会被拒绝，并且不会到达 网络安全组 的任何成员。 要使用默认配置创建 NSG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择要创建 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 单击创建网络安全组。 显示创建网络安全组页面。

7. 在常规部分，在名称字段中输入网络安全组的名称，然后单击继续。

8. 要稍后定义入站安全规则并向 NSG 添加成员，请单击继续 > 完成 > 创建。

创建包含入站规则和成员的 NSG

要允许或拒绝入站流量，必须明确定义入站规则。 要创建和定义带有入站规则和成员的 NSG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择要创建 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 单击创建网络安全组。 显示创建网络安全组面板。

7. 在常规部分，在名称字段中输入网络安全组的名称，然后单击继续。

8. 在入站规则（可选）部分，单击创建规则。 显示创建规则面板。

9. 选择以下任一操作：

   • 允许：使用该选项允许来自指定远程的网络流量。
   • 拒绝：使用此选项可通过覆盖允许规则来创建流量例外。

10. 根据要控制的流量类型选择以下协议之一：

• Transmission Control Protocol (TCP）：适用于可靠的、面向连接的流量，如网络（ / ）、SSH、RDP、FTP 和数据库。HTTPHTTPS 该协议保证所有发送的数据包都能按正确的顺序到达目的地。

• User Datagram Protocol (UDP）：适用于实时通信、快速和无连接流量，如 DNS、网络监控、视频流和游戏。VoIP, 本协议不保证送达、顺序或纠错。

• Internet Control Message Protocol (ICMP): 理想的网络诊断工具，如 和。ping traceroute 与 TCP 或 UDP 不同，ICMP 不支持应用程序之间的数据传输。

• 任意：适用于创建适用于特定端口或一组端口上任何协议的规则。 不过，该选项不提供对基于特定协议的安全控制。

11. 根据上一步从列表中选择的协议，完成以下步骤：

• TCP

  1. 远程：选择 网络安全组 或 网络地址组，以允许或拒绝规则的流量。 如果您想要的 网络地址组 不存在，请点击 “创建网络地址组” 进行创建。

  2. 源端口范围：指定入站流量的源端口范围。 有效范围为 1–65535。

  3. 目标端口范围：指定接收入站流量的端口范围。 有效范围为 1–65535。

  4. 允许/拒绝标记：您可以使用高级部分从允许/拒绝标记列表中选择一个或多个 TCP 标记，以便根据所选标记评估传入数据包。 如果不选择任何标记，网络结构不会应用基于标记的过滤。 当您选择多个标记时，网络结构只对同时存在所有选定标记的数据包应用规则。 因此，传入的数据包必须包含您选择的每一个标记，规则才能生效。 您可以选择以下 TCP 标志：

     • ack
     • fin
     • rst
     • syn

• UDP

  1. 远程：选择 网络安全组 或 网络地址组，以允许或拒绝规则的流量。 如果没有看到想要的 网络地址组，请单击“创建网络地址组”创建一个。

  2. 源端口范围：指定入站流量来源的端口范围。 有效范围为 1–65535。

  3. 目标端口范围：指定接收入站流量的端口范围。 有效范围为 1–65535。

• ICMP

  1. 远程：选择 网络安全组 或 网络地址组，以允许或拒绝规则的流量。 如果您想要的 网络地址组 不存在，请点击 “创建网络地址组” 进行创建。

  2. ICMP 报文类型：从列表中选择所需的信息类型。 支持的类型有

     • all
     • echo
     • echo-reply
     • source-quench
     • time-exceeded
     • destination-unreach

• 任意

  1. 远程：选择 网络安全组 或 网络地址组，以允许或拒绝规则的流量。 如果您想要的 网络地址组 不存在，请点击 “创建网络地址组” 进行创建。

12. 单击创建规则。

13. 单击“继续”将成员添加到 NSG。

14. 在“成员（可选）”部分，单击“添加成员”。 列出属于工作区的所有现有虚拟服务器实例。 如果没有看到任何列出的虚拟服务器，可以按照 创建 IBM Power Virtual Server 上提供的步骤创建一个。

将成员添加到 网络安全组 后，就可以控制这些成员的入站网络流量。 一个会员同时只能与一个 网络安全组 关联。

15. 选择虚拟服务器实例，然后单击下一步。 显示属于虚拟服务器实例的网络接口列表。

16. 从列表中选择一个或多个网络接口，然后单击添加成员。

17. 单击完成。

18. 单击创建。 您可以在“网络安全组”选项卡上找到您创建的 NSG。

创建 NSG 后，可以通过执行以下操作对其进行管理：

• 重新命名 NSG
• 克隆 NSG
• 删除 NSG

重新命名 NSG

要重命名 NSG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要重新命名的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 单击要重命名的 NSG 条目上的溢出菜单（带 3 个竖点的图标），然后选择“编辑”。 显示编辑网络安全组详细信息面板。

7. 在“名称”字段中输入 NSG 的新名称，然后单击“保存”。

克隆 NSG

克隆 NSG 时，会创建一个新的 网络安全组，其规则和成员配置与克隆的原始 NSG 相同。 要克隆 NSG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要克隆的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 单击要克隆的 NSG 条目上的溢出菜单（带 3 个竖点的图标），然后选择“克隆”。 将显示克隆网络安全组对话框。

7. 在“名称”字段中输入 NSG 的名称，然后单击“克隆”。

删除 NSG

您可以删除已创建的 NSG。 但是，不能删除在 Power Virtual Server 工作区启用 NSG 功能时创建的默认 NSG。

在删除所有相关规则和成员之前，不能删除 NSG 或 NAG。 更多信息，请参阅 从现有 NSG 中删除规则 和 从 NSG 中删除成员。

要删除 NSG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要删除的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 单击要删除的 NSG 条目上的溢出菜单（带 3 个竖点的图标），然后选择“删除”。 出现删除网络安全组确认消息框。

7. 单击“删除”启动删除请求。 无法撤销此操作。

删除 Power Virtual Server 工作区时，该工作区中的所有 NSG 也会被删除。

在工作区中创建和管理 NAG

NAG 是入站规则的一部分，用于定义从 Power Virtual Server 工作区外部网络地址到 NSG 成员的入站流量。 由于 NAG 用于识别 Power Virtual Server 工作区外部的网络流量，因此可以在工作区中创建 NAG 并为其添加 CIDR 成员。 在一个工作区中最多可创建 10 个 NAG。

要创建 NAG，请完成以下步骤：

1 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择要创建 NAG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示网络安全组页面。

6. 选择“网络地址组”选项卡。 显示现有 NAG 列表。

7. 单击创建网络地址组。 显示创建网络地址组面板。

8. 在名称字段中输入 NAG 的名称。 您还可以在用户标签（可选） 字段中提供用户标签。

9. 您还可以选择使用 CIDR 字段，通过 CIDR 添加外部 IP 地址来添加成员。 请注意，同一个 CIDR 不能在多个 NAG 中使用。 请遵循以下使用 CIDR 添加成员的指南：

   • 您必须使用 RFC 1518 和 RFC 1519 文档中定义的 CIDR 符号。
   • 有效的 CIDR 格式为 <IPv4 address>/<number>。 例如，192.168.1.0/24 代表 192.168.1.0 — 192.168.1.255 的 IP 范围，10.0.0.0/16 代表 10.0.0.0—10.0.255.255 的 IP 范围。
   • 单击“添加另一个”添加更多成员。

   创建 NAG 时，添加的成员不能超过三个。 创建 NAG 后，还可添加更多成员。

   除了客户自定义的 NAG 外，为方便起见，还提供了一个默认 NAG，由 0.0.0.0/0 CIDR 组成。

   CIDR 161.26.0.0/16 可用于识别 IBM Cloud IaaS 专用端点，如 DNS、Linux® 软件库和 NTP。 CIDR 166.8.0.0/14 可用于识别 IBM Cloud PaaS 专用端点，如 IBM Cloud Databases。

10. 单击创建组。

创建 NAG 后，可以通过执行以下操作对其进行管理：

• 重命名 NAG
• 删除 NAG

重命名 NAG

要重命名 NAG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要重命名的 NAG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。

6. 选择“网络地址组”选项卡。 显示现有 NAG 列表。

7. 单击要重命名的 NAG 条目最右侧的溢出菜单（带 3 个竖点的图标），然后选择“编辑”。 显示编辑网络地址组详细信息面板。

8. 输入 NAG 的新名称，然后单击保存。

删除 NAG

要删除 NAG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要删除的 NAG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。

6. 选择“网络地址组”选项卡。 显示现有 NAG 列表。

7. 单击要删除的 NAG 条目上的溢出菜单（带 3 个竖点的图标），然后选择“删除”。 出现删除网络地址组确认消息框。

8. 单击“删除”启动删除请求。 无法撤销此操作。

在 NSG 中创建和管理入站规则

您可以通过执行以下操作来管理 NSG 中的入站安全规则：

• 在 NSG 上创建规则
• 在现有 NSG 上克隆规则
• 从现有 NSG 中删除规则

在 NSG 上创建规则

可以在两点上创建 NSG 规则。 首先，在最初创建 NSG 时；其次，在以后重新访问现有 NSG 的“网络安全组详细信息”页面时。 要在创建 NSG 时为 NSG 创建规则，请完成“创建具有入站规则和成员的 NSG”部分中提供的步骤。

NSG 是无状态的，由于自动允许所有出站流量，因此必须为所有从其他 NSG 或 NAG 流入 NSG 成员的返回数据包定义规则。

要在现有 NSG 上创建规则，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要创建规则的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 选择要创建规则的 NSG。 显示网络安全组详细信息页面。

7. 在“入站规则”部分，单击“创建规则”。 显示创建规则面板。

8. 完成 创建具有入站规则和成员的 NSG 部分中提供的步骤。

在现有 NSG 上克隆规则

要创建与现有入站规则配置相同的入站规则，可以克隆现有 NSG 的规则。 请注意，只能克隆 NSG 中的规则，而不能克隆成员。 克隆现有规则时，所有属性（如操作（允许或拒绝）、协议、远程、源端口和目标端口范围）都会复制到新规则中。 克隆过程可确保成员从一个 NSG 转移到另一个 NSG 时，NSG 中的所有规则都会转移。

您还可以自定义规则的克隆属性，从而高效、快速地创建不同的规则。 要克隆现有规则，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要克隆的带有规则的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 选择包含要克隆的规则的 NSG。 显示所选 NSG 的“网络安全组详情”页面。

7. 在“入站规则”部分，选择包含要克隆规则的选项卡 （TCP、UDP、ICMP 或任意 ）。

8. 单击要克隆的规则条目上的溢出菜单（带 3 个竖点的图标），然后选择复制。 显示创建规则面板。

9. 单击创建规则。 创建的新规则配置完全相同。 您也可以在单击“创建规则”之前进行必要的更改，创建具有不同配置的规则。

从现有 NSG 中删除规则

要从现有 NSG 中删除一条规则，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含要删除规则的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 选择带有要删除的规则的 NSG。 显示所选 NSG 的“网络安全组详情”页面。

7. 在“入站规则”部分，选择包含要删除规则的选项卡 （TCP、UDP、ICMP 或 Any ）。

8. 单击要克隆的规则条目上的溢出菜单（带 3 个竖点的图标），然后选择删除。 出现删除网络安全组规则确认消息框。

9. 单击“删除”启动删除请求。 无法撤销此操作。

为 NSG 添加成员并对其进行管理

您可以通过执行以下操作来管理与 NSG 关联的成员：

• 将成员添加到 网络安全组
• 将成员从一个 NSG 移至另一个 NSG
• 从 网络安全组

将成员添加到 网络安全组

您可以向 NSG 添加成员，以控制相关网络接口的入站网络流量。

成员可在两点添加。 首先，在最初创建 NSG 时；其次，在以后重新访问现有 NSG 的 网络安全组 详细页面时。 要在创建 NSG 时添加成员，请完成“创建带有入站规则和成员的 NSG”部分中提供的步骤。

要向现有 NSG 添加成员，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 工作空间 "页面显示现有工作空间列表。

3. 选择包含 NSG 的工作区以添加成员。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 选择要添加成员的 NSG。 显示所选 NSG 的“网络安全组详情”页面。

7. 在“成员”部分，单击“添加成员”。 列出属于工作区的现有虚拟服务器实例。 如果未列出虚拟服务器，则可以通过完成 创建 IBM Power Virtual Server 中提供的步骤来创建虚拟服务器。

   一个会员同时只能与一个 网络安全组 关联。

8. 选择虚拟服务器实例，然后单击下一步。 显示属于虚拟服务器实例一部分的所有现有网络接口。

9. 从列表中选择一个或多个网络接口，然后单击添加成员。

10. 单击创建。

将成员从一个 NSG 移至另一个 NSG

在下列情况下，您可以使用“移动”选项将成员从一个 NSG 转移到另一个 NSG：

• 安全策略变更：当安全策略或要求发生变化时，可以使用移动选项将更新的规则应用到特定成员，而不影响原始 NSG 中的其他成员。

• 环境分割：在网络重新配置或重组期间，例如分离开发、暂存和生产环境时，您可以将成员移动到不同的 NSG，以实现成员隔离并满足合规性或操作要求。

• 访问控制调整：当某个成员需要访问不同的服务或外部网络时，您可以将该成员转移到一个新的 NSG，并制定适当的规则，以确保所需的连接性和权限。

• 事件响应和故障排除：在应对网络安全事件或排除连接问题时，您可以将受影响的成员转移到限制性更强或隔离的 NSG 中，以遏制安全威胁并安全地测试网络行为。

当您将网络接口（成员）从一个 网络安全组 移至另一个 时，更改会立即应用，无需批准。 成员成功迁移并与新的 NSG 建立联系后，新的 NSG 规则立即生效。

要将成员从一个 NSG 移至另一个 NSG，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 显示“工作空间”页面，其中包含现有工作空间的列表。

3. 选择包含要移动成员的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 选择要移动成员的 NSG。 显示所选 NSG 的“网络安全组详情”页面。

7. 在“成员”部分，单击要移动的成员条目的溢出菜单（带 3 个竖点的图标），然后选择“移动”。 将显示移动网络接口对话框。

8. 从目标网络安全组列表中，选择要将成员移动到的 NSG。

9. 单击移动网络接口。

将成员从 NSG 除名

要删除与 NSG 关联的成员，请完成以下步骤：

1. 打开 Power Virtual Server 用户界面 IBM Cloud.

2. 单击导航面板中的工作空间。 显示“工作空间”页面，其中包含现有工作空间的列表。

3. 选择包含要从中删除成员的 NSG 的工作区。 显示工作区详细信息面板。

4. 单击查看虚拟服务器。

5. 在导航面板中，单击网络 > 网络安全组。 显示“网络安全组”页面，在“网络安全组”选项卡上有现有 NSG 的列表。

6. 选择要删除成员的 NSG。 显示所选 NSG 的“网络安全组详情”页面。

7. 在“成员”部分，单击要从 NSG 中删除的成员条目的删除图标。 出现删除网络安全组成员确认消息框。

8. 单击“删除”启动删除请求。 无法撤销此操作。

删除连接到虚拟机的网络接口或子网时，网卡也会从所有关联的 NSG 中分离。