在 Windows Admin Center 中使用标记配置网络安全组
适用于:Azure Stack HCI 版本 22H2
适用于:Windows Server 2025
本文介绍如何在 Windows Admin Center 中使用网络安全标记配置网络安全组。
使用网络安全标记,可以创建自定义用户定义的标记、将这些标记附加到虚拟机 (VM) 网络接口以及根据这些标记(通过网络安全组)应用网络访问策略。
先决条件
完成以下先决条件以将网络安全组与标记配合使用:
已在群集上安装 Azure Stack HCI 操作系统版本 22H2。
已安装网络控制器。 网络控制器强制实施默认网络策略。
你有一个可应用网络安全组的虚拟机。 有关详细信息,请参阅如何通过 Windows Admin Center 管理 VM。
你具有管理员权限或等同于群集节点和网络控制器的权限。
你已拥有 Windows Server 2025 或更高版本。 有关详细信息,请参阅 Windows Server 入门。
已安装网络控制器。 有关详细信息,请参阅使用 SDN Express 部署 SDN 基础结构。
你有一个可应用网络安全组的虚拟机。 有关详细信息,请参阅如何通过 Windows Admin Center 管理 VM。
你具有管理员权限或等同于群集节点和网络控制器的权限。
使用网络安全标记简化安全性
可以使用网络安全组基于网络构造(如网络前缀和子网)配置访问策略。 例如,如果要限制 Web 服务器 VM 与数据库 VM 之间的通信,则必须标识相应的网络子网并创建策略来拒绝这些子网之间的通信。 然而,此方法存在一些限制:
安全策略与网络构造相关联,这意味着你需要知道特定网段上驻留着哪些应用程序。 了解网络基础结构和体系结构变得至关重要。
为应用程序生成策略时,你可能需要在不同的方案中重复使用它们。 例如,如果你的生产 Web 应用只能通过端口 80 从 Internet 访问,并且无法由生产或其他环境中的应用访问,那么你将对任何新应用采用类似的策略。 但是,使用网络分段时,由于每个应用具有唯一的网络元素,因此需要重新创建策略。
如果停用旧应用程序并在同一网络段中部署新应用,则需要策略调整。
借助网络安全标记,就不再需要跟踪应用程序托管的网段。 网络安全标记简化了策略管理,避免了与网络构造相关的复杂性。 让我们重新考虑 Web 服务器和数据库 VM 的示例:使用“Web”和“数据库”网络安全标记来标记相应的 VM,然后创建一个规则来限制“Web”和“数据库”标记之间的通信。
创建基于网络安全组的网络安全标记
要创建基于网络安全组的网络安全标记,请执行以下步骤:
创建网络安全标记
在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。
在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。
在“网络安全组”下选择“网络安全标记”选项卡,然后选择“新建”。
在“创建网络安全标记”窗格的“名称”字段中输入网络安全标记的名称。
(可选)在“类型”字段中输入标记的类型。 该字段可帮助你对标记进行分类,以简化管理工作。 例如,同一“应用程序”类型可以有不同的标签,如 SQL、Web、IOT、Sensor 等。
选择“提交”。
将网络安全标记分配给 VM
可以在创建新 VM 时或在更改现有 VM 的属性时,将网络安全标记分配给 VM。
在创建 VM 的过程中分配网络安全标记
若要查看创建新 VM 的分步说明,请参阅创建新 VM。
在创建新 VM 时分配网络安全标记:
在 Windows Admin Center 主屏幕中的“所有连接”下,选择创建 VM 时要基于的服务器或群集。
在“工具”下,向下滚动并选择“虚拟机”。
在“虚拟机”下选择“清单”选项卡,然后依次选择“添加”和“新建”。
在“新建虚拟机”下,为 VM 输入一个名称。
输入 VM 的其他属性。
在“网络”下,选择之前在创建网络安全标记部分中创建的网络安全标记。
选择“创建”。
将网络安全标记分配给现有 VM
通过更改现有 VM 的设置,可向其分配网络安全标记。 有关如何更改 VM 设置的详细说明,请参阅更改 VM 设置。
在“工具”下,向下滚动到“网络”区域,然后选择“虚拟机” 。
选择“清单”选项卡,选择一个 VM,然后选择“设置” 。
在“设置”页上,选择“网络”。
在“网络安全标记”部分下,选择“添加网络安全标记”,选择之前在创建网络安全标记部分中创建的网络安全标记。
选择“保存网络设置”。
创建网络安全组
在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。
在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。
在“网络安全组”下选择“清单”选项卡,然后选择“新建”。
在“网络安全组”窗格中,键入网络安全组的名称,然后选择“提交”。
在“网络安全组”下,验证新网络安全组的“预配状态”是否显示“成功”。
创建网络安全组规则
创建网络安全组后,即可创建网络安全组规则。 如果要将网络安全组规则应用于入站和出站流量,则需创建两个规则。
在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中创建网络安全组的群集。
在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。
在“网络安全组”下,选择“清单”选项卡,然后选择之前在创建网络安全组部分中创建的网络安全组。
在“网络安全规则”下选择“新建”。
在右侧“网络安全规则”窗格中,提供以下信息:
字段 描述 名称 规则名称。 Priority 规则的优先级。 可接受的值为 101 到 65000。 值越小,表示优先级越高。 类型 规则类型。 该规则类型可以是入站或出站。 协议 与传入或传出数据包匹配的协议。 可接受的值为“全部”、“TCP”和“UDP” 。 Source 选择“网络安全标记”。
注意:可以选择地址前缀或网络安全标记,但不能同时选择两者。源安全标记类型 (可选)选择标记的类型。 源安全标记 选择之前在创建网络安全标记部分中创建的网络安全标记。 源端口范围 指定要与传入或传出数据包匹配的源端口范围。 可以输入 *
以指定所有源端口。目标 选择“网络安全标记”。
注意:可以选择地址前缀或网络安全标记,但不能同时选择两者。 源和目标可能有所不同。目标安全标记类型 (可选)选择标记的类型。 目标安全标记 选择之前在创建网络安全标记部分中创建的网络安全标记。 目标端口范围 指定要与传入或传出数据包匹配的目标端口范围。 可以输入 *
以指定所有目标端口。操作 如果与上述条件匹配,则指定允许或阻止数据包。 可接受的值为“允许”和“拒绝” 。 Logging 指定为规则启用或禁用日志记录。 如果启用了日志记录,则会在主机计算机上记录与此规则匹配的所有流量。 选择“提交”。
应用网络安全组
可以将网络安全组应用于:
将网络安全组应用于网络安全标记
将网络安全组应用于网络安全标记时,网络安全组规则会应用于与该网络安全标记关联的所有 VM 网络接口。
若要通过 Windows Admin Center 将网络安全组应用到网络安全标记,请执行以下步骤:
在 Windows Admin Center 主屏幕中的“所有连接”下,选择要在其中应用网络安全组的群集。
在“工具”下,向下滚动到“网络”区域,然后选择“网络安全组”。
在“网络安全组”下,选择“网络安全标记”选项卡。
选择要编辑的网络安全标记,然后选择“设置”。
在所选标记的“编辑网络安全标记”窗格中,选择要应用于网络安全标记的网络安全组。
选择“提交”。
后续步骤
如需相关信息,另请参阅: