Konfigurieren von Netzwerksicherheitsgruppen mit Tags im Windows Admin Center
Gilt für: Azure Local, Versionen 23H2 und 22H2
Gilt für: Windows Server 2025
In diesem Artikel wird beschrieben, wie Sie Netzwerksicherheitsgruppen mit Netzwerksicherheitstags in Windows Admin Center konfigurieren.
Mit Netzwerksicherheitstags können Sie benutzerdefinierte benutzerdefinierte Tags erstellen, diese Tags an Ihre VM-Netzwerkschnittstellen anfügen und Netzwerkzugriffsrichtlinien (mit Netzwerksicherheitsgruppen) basierend auf diesen Tags anwenden.
Voraussetzungen
Führen Sie die folgenden Voraussetzungen aus, um Netzwerksicherheitsgruppen mit Tags zu verwenden:
Sie haben das Azure Stack HCI-Betriebssystem, Version 22H2 oder höher, auf Ihrem System installiert. Weitere Informationen finden Sie unter Installieren des Azure Stack HCI-Betriebssystems, Version 23H2.
Sie haben einen Netzwerkcontroller installiert. Der Netzwerkcontroller erzwingt die Standardnetzwerkrichtlinien. Weitere Informationen finden Sie unter Installieren des Netzwerkcontrollers.
Sie haben ein logisches Netzwerk oder ein virtuelles Netzwerk zu verwenden. Weitere Informationen finden Sie unter Erstellen eines logischen Netzwerks oder Erstellen eines virtuellen Netzwerks.
Sie verfügen über einen virtuellen Computer, auf den eine Netzwerksicherheitsgruppe angewendet werden soll. Weitere Informationen finden Sie unter Verwalten von virtuellen Computern mit Windows Admin Center.
Sie verfügen über Administratorberechtigungen oder gleichwertig mit den Clusterknoten und dem Netzwerkcontroller.
Sie verfügen über Windows Server 2025 oder höher. Weitere Informationen finden Sie unter "Erste Schritte mit Windows Server".
Sie haben einen Netzwerkcontroller installiert. Weitere Informationen finden Sie unter Bereitstellen einer SDN-Infrastruktur mit SDN Express.
Sie haben ein logisches Netzwerk oder ein virtuelles Netzwerk zu verwenden. Weitere Informationen finden Sie unter Erstellen eines logischen Netzwerks oder Erstellen eines virtuellen Netzwerks.
Sie verfügen über einen virtuellen Computer, auf den eine Netzwerksicherheitsgruppe angewendet werden soll. Weitere Informationen finden Sie unter Verwalten von virtuellen Computern mit Windows Admin Center.
Sie verfügen über Administratorberechtigungen oder gleichwertig mit den Clusterknoten und dem Netzwerkcontroller.
Vereinfachen der Sicherheit mit Netzwerksicherheitstags
Mit Netzwerksicherheitsgruppen können Sie Zugriffsrichtlinien basierend auf Netzwerkkonstrukten wie Netzwerkpräfixen und Subnetzen konfigurieren. Wenn Sie beispielsweise die Kommunikation zwischen Ihren Webserver-VMs und Datenbank-VMs einschränken möchten, müssen Sie die entsprechenden Netzwerksubnetze identifizieren und eine Richtlinie erstellen, um die Kommunikation zwischen diesen Subnetzen zu verweigern. Bei diesem Ansatz gibt es jedoch einige Einschränkungen:
Ihre Sicherheitsrichtlinien sind an Netzwerkkonstrukte gebunden, was bedeutet, dass Sie wissen müssen, welche Anwendungen sich in bestimmten Netzwerksegmenten befinden. Das Verständnis Ihrer Netzwerkinfrastruktur und -architektur wird entscheidend.
Beim Erstellen von Richtlinien für Anwendungen sollten Sie sie in verschiedenen Szenarien wiederverwenden. Wenn Ihre Produktionsweb-App beispielsweise nur über Port 80 aus dem Internet erreicht werden kann und von anderen Apps in Produktions- oder anderen Umgebungen nicht erreicht werden kann, verfügen Sie für jede neue App über eine ähnliche Richtlinie. Bei der Netzwerksegmentierung wird das Erneute Erstellen von Richtlinien jedoch aufgrund eindeutiger Netzwerkelemente für jede App erforderlich.
Wenn Sie eine alte Anwendung außer Betrieb setzen und ein neues innerhalb desselben Netzwerksegments bereitstellen, sind Richtlinienanpassungen erforderlich.
Mit Netzwerksicherheitstags müssen Sie die Netzwerksegmente, in denen Ihre Anwendungen gehostet werden, nicht mehr nachverfolgen. Netzwerksicherheitstags vereinfachen die Richtlinienverwaltung und vermeiden die Komplexitäten im Zusammenhang mit Netzwerkkonstrukten. Lassen Sie uns das Beispiel mit Webserver- und Datenbank-VMs überdenken: Markieren Sie die entsprechenden virtuellen Computer mit "Web" und "Datenbank"-Netzwerksicherheitstags, und erstellen Sie dann eine Regel, um die Kommunikation zwischen "Web" und "Datenbank"-Tags einzuschränken.
Erstellen von netzwerksicherheitstagsbasierten Netzwerksicherheitsgruppen
Führen Sie die folgenden Schritte aus, um netzwerksicherheitstagsbasierte Netzwerksicherheitsgruppen zu erstellen:
Weisen Sie einem virtuellen Computer ein Netzwerksicherheitstag zu.
Erstellen Sie eine Netzwerksicherheitsregel für die Netzwerksicherheitsgruppe.
Erstellen von Netzwerksicherheitstags
Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf dem Sie die Netzwerksicherheitsgruppe erstellen möchten.
Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.
Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Netzwerksicherheitstags" und dann "Neu" aus.
Geben Sie im Bereich "Netzwerksicherheitstag erstellen" im Feld "Name" einen Namen für das Netzwerksicherheitstag ein.
(Optional) Geben Sie im Feld "Typ " einen Typ für das Tag ein. Dieses Feld ist nützlich, wenn Sie Kategorien für eine einfache Verwaltung kategorisieren möchten. Sie können z. B. unterschiedliche Tags mit demselben Typ "Application" haben, z. B. SQL, Web, IOT, Sensor usw.
Klicken Sie auf Senden.
Zuweisen eines Netzwerksicherheitstags zu einem virtuellen Computer
Sie können einem virtuellen Computer entweder beim Erstellen einer neuen VM oder beim Ändern der Eigenschaften einer vorhandenen VM ein Netzwerksicherheitstag zuweisen.
Zuweisen eines Netzwerksicherheitstags während der Erstellung eines virtuellen Computers
Schrittweise Anleitungen zum Erstellen eines neuen virtuellen Computers finden Sie unter Erstellen eines neuen virtuellen Computers.
So weisen Sie beim Erstellen einer neuen VM ein Netzwerksicherheitstag zu:
Wählen Sie auf der Startseite von Windows Admin Center unter Alle Verbindungen den Server oder Cluster aus, auf oder in dem Sie die VM erstellen möchten.
Scrollen Sie unter Tools nach unten, und wählen Sie Virtuelle Computer aus.
Wählen Sie unter "Virtuelle Computer" die Registerkarte "Inventar" aus, wählen Sie "Hinzufügen" und dann "Neu" aus.
Geben Sie in das Feld Neuer virtueller Computer einen Namen für Ihre VM ein.
Geben Sie andere Eigenschaften für den virtuellen Computer ein.
Wählen Sie unter "Netzwerk" das zuvor erstellte Netzwerksicherheitstag unter "Netzwerksicherheitstag erstellen" aus.
Klicken Sie auf Erstellen.
Zuweisen eines Netzwerksicherheitstags zu einer vorhandenen VM
Sie können einem vorhandenen virtuellen Computer ein Netzwerksicherheitstag zuweisen, indem Sie seine Einstellungen ändern. Ausführliche Anweisungen zum Ändern von VM-Einstellungen finden Sie unter Ändern von VM-Einstellungen.
Scrollen Sie unter Tools zum Bereich Netzwerk, und wählen Sie die Option Virtuelle Computer aus.
Wählen Sie die Registerkarte Bestand, eine VM und dann die Option Einstellungen aus.
Klicken Sie auf der Seite Einstellungen auf Netzwerke.
Wählen Sie im Abschnitt "Netzwerksicherheitstag " die Option "Netzwerksicherheitstag hinzufügen" aus, wählen Sie das zuvor erstellte Netzwerksicherheitstag in der Kategorie "Netzwerksicherheit erstellen" aus.
Wählen Sie " Netzwerkeinstellungen speichern" aus.
Erstellen einer Netzwerksicherheitsgruppe
Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf dem Sie die Netzwerksicherheitsgruppe erstellen möchten.
Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.
Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Bestand" und dann "Neu" aus.
Geben Sie im Bereich "Netzwerksicherheitsgruppen " einen Namen für die Netzwerksicherheitsgruppe ein, und wählen Sie dann "Absenden" aus.
Überprüfen Sie unter "Netzwerksicherheitsgruppen", ob der Bereitstellungsstatus der neuen Netzwerksicherheitsgruppe "Erfolgreich" angezeigt wird.
Erstellen einer Netzwerksicherheitsgruppen-Regel
Nachdem Sie eine Netzwerksicherheitsgruppe erstellt haben, können Sie Netzwerksicherheitsgruppenregeln erstellen. Wenn Sie Netzwerksicherheitsgruppenregeln sowohl auf eingehenden als auch auf ausgehenden Datenverkehr anwenden möchten, müssen Sie zwei Regeln erstellen.
Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf dem Sie die Netzwerksicherheitsgruppe erstellen möchten.
Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.
Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Bestand " und dann die Zuvor erstellte Netzwerksicherheitsgruppe in "Netzwerksicherheitsgruppe erstellen" aus.
Wählen Sie unter "Netzwerksicherheitsregel" "Neu" aus.
Geben Sie im Bereich "Netzwerksicherheitsregel" auf der rechten Seite die folgenden Informationen an:
Feld Beschreibung des Dataflows Name Name der Regel. Priorität Priorität der Regel. Zulässige Werte sind 101 bis 65000. Ein niedrigerer Wert gibt eine höhere Priorität an. Typen Der Typ der Regel. Dieser Regeltyp kann eingehend oder ausgehend sein. Protokoll Protokoll, das mit einem eingehenden oder ausgehenden Paket übereinstimmt. Zulässige Werte sind Alle, TCP und UDP. Quelle Wählen Sie "Netzwerksicherheitstag" aus.
Hinweis: Sie können entweder ein Adresspräfix oder ein Netzwerksicherheitstag auswählen, aber nicht beides.Quellsicherheitstagtyp (Optional) Wählen Sie einen Typ für das Tag aus. Quellsicherheitstag Wählen Sie ein Zuvor erstelltes Netzwerksicherheitstag im Tag "Netzwerksicherheit erstellen" aus. Quellportbereich Geben Sie den Quellportbereich an, der mit einem eingehenden oder ausgehenden Paket übereinstimmt. Sie können eingeben *
, um alle Quellports anzugeben.Ziel Wählen Sie "Netzwerksicherheitstag" aus.
Hinweis: Sie können entweder ein Adresspräfix oder ein Netzwerksicherheitstag auswählen, aber nicht beides. Quelle und Ziel können unterschiedlich sein.Zielsicherheitstagtyp (Optional) Wählen Sie einen Typ für das Tag aus. Zielsicherheitstag Wählen Sie ein Zuvor erstelltes Netzwerksicherheitstag im Tag "Netzwerksicherheit erstellen" aus. Zielportbereich Geben Sie den Zielportbereich an, der mit einem eingehenden oder ausgehenden Paket übereinstimmt. Sie können eingeben *
, um alle Zielports anzugeben.Aktionen Wenn die oben genannten Bedingungen übereinstimmen, geben Sie an, ob das Paket zugelassen oder blockiert werden soll. Zulässige Werte sind Zulassen und Verweigern. Logging Geben Sie an, ob die Protokollierung für die Regel aktiviert oder deaktiviert werden soll. Wenn die Protokollierung aktiviert ist, wird sämtlicher Datenverkehr, der dieser Regel entspricht, auf den Hostcomputern protokolliert. Klicken Sie auf Senden.
Netzwerksicherheitsgruppe anwenden
Sie können eine Netzwerksicherheitsgruppe auf Folgendes anwenden:
Anwenden einer Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag
Wenn Sie eine Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag anwenden, gelten die Netzwerksicherheitsgruppenregeln für alle VM-Netzwerkschnittstellen, die diesem Netzwerksicherheitstag zugeordnet sind.
Führen Sie die folgenden Schritte aus, um eine Netzwerksicherheitsgruppe auf ein Netzwerksicherheitstag über Windows Admin Center anzuwenden:
Wählen Sie auf der Startseite von Windows Admin Center unter "Alle Verbindungen" den Cluster aus, auf den Sie die Netzwerksicherheitsgruppe anwenden möchten.
Scrollen Sie unter "Extras" nach unten zum Netzwerkbereich , und wählen Sie "Netzwerksicherheitsgruppen" aus.
Wählen Sie unter "Netzwerksicherheitsgruppen" die Registerkarte "Netzwerksicherheitstags " aus.
Wählen Sie das Netzwerksicherheitstag aus, das Sie bearbeiten möchten, und wählen Sie dann "Einstellungen" aus.
Wählen Sie im Bereich "Netzwerksicherheitstag bearbeiten" für das ausgewählte Tag die Netzwerksicherheitsgruppe aus, die Sie auf das Netzwerksicherheitstag anwenden möchten.
Klicken Sie auf Senden.
Nächste Schritte
Verwandte Informationen finden Sie außerdem unter: