Crear grupos de seguridad de red en máquinas virtuales de Azure locales en implementaciones de varios racks (versión preliminar)

Se aplica a: Implementaciones multirack de Azure Local 2511 y versiones posteriores

En este artículo se explica cómo crear y configurar grupos de seguridad de red (NSG) para administrar el flujo de tráfico de datos en una implementación con múltiples bastidores de Azure Local.

Importante

Esta característica está actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Acerca de los NSGs en máquinas virtuales locales en Azure en implementaciones de varios racks.

Use un grupo de seguridad de red para filtrar el tráfico de red entre redes lógicas, subredes de red virtual o máquinas virtuales (VM) en Azure Local. Configure un grupo de seguridad de red con reglas de seguridad que permitan o denieguen el tráfico de red entrante o saliente. Las reglas de seguridad de red controlan el tráfico en función de:

Direcciones IP de origen y destino.
Números de puerto.
Protocolos (TCP/UDP).
Dirección (entrante o saliente).

En los diagramas siguientes se muestra cómo asociar grupos de seguridad de red a redes lógicas, subredes de red virtual e interfaces de red de máquina virtual en una implementación de varios bastidores.

El diagrama del escenario 1 muestra una configuración de red con dos redes lógicas:

Red lógica A
- Subred: 192.168.1.0/24, VLAN 206
- Tiene web de máquina virtual en 192.168.1.3.
- La regla NSG permite el acceso saliente a Internet.
- La Web de VM puede acceder a Internet.
Red lógica B
- Subred: 192.168.2.0/24, VLAN 310
- Tiene VM SQL en 192.168.2.3.
- La regla de NSG bloquea el acceso saliente a Internet.
- VM SQL ejecuta SQL Server localmente sin estar expuesto a Internet.

En este ejemplo, el grupo de seguridad de red controla el flujo de tráfico entre las redes lógicas A y B, y entre vm Web y VM SQL.

El escenario 2 muestra una configuración de red con dos redes virtuales:

Red virtual A:
- Esta red tiene un espacio ip privado de 10.0.0.0/24.
- Contiene dos subredes que hospedan las máquinas virtuales de front-end y back-end.
  - Subred A (10.0.0.0/26)
    - Hospeda el front-end de máquina virtual en la versión 10.0.0.5.
    - Las reglas de NSG permiten el acceso entrante y saliente a Internet.
    - El front-end de máquina virtual puede enviar y recibir tráfico de Internet libremente.
  - Subred B (10.0.1.64/26)
    - Hospeda el back-end de máquina virtual en la versión 10.0.1.6.
    - Las reglas de NSG permiten que el tráfico saliente a la WAN local llegue a las demás redes virtuales y deniegue todo el tráfico entrante de Internet.
    - El VM Backend puede comunicarse con el VM Frontend y con la red virtual B a través de la WAN empresarial.
    - El back-end de máquina virtual no se expone a Internet.
Red virtual B:
- Esta red también tiene un espacio ip privado de 10.0.0.0/24.
- Contiene componentes de aplicación solo internos.
- Subred C (10.0.0.0/26)
  - Hostea la máquina virtual SQL en 10.0.1.6 y la máquina virtual interna en 10.0.1.7.
  - Las reglas NSG definidas en el nivel de subred bloquean todo el acceso saliente a Internet.
  - Las reglas de NSG definidas en el nivel de interfaz de red (10.0.1.7) invalidan el NSG de nivel de subred y deniega todo el tráfico HTTPS entrante y saliente. Sin embargo, la máquina virtual interna puede comunicarse con la máquina virtual de SQL.
  - Las máquinas virtuales internas están aisladas de Internet.
En el diagrama se resalta cómo diferentes partes de una aplicación pueden tener acceso público a Internet, acceso exclusivo a la WAN empresarial y acceso completamente aislado y solo interno. Se pueden implementar controles de tráfico granulares con NSGs asociados bien a las subredes de la red virtual o a las interfaces de red.

Prerrequisitos

Tiene acceso a una implementación de múltiples bastidores.
- Esta instancia tiene una ubicación personalizada.
- Tiene acceso a una suscripción de Azure con el control de acceso basado en roles (RBAC) adecuado y los permisos asignados. Para más información, consulte Asignación de roles RBAC locales de Azure.
- Tiene al menos una red lógica o una red virtual con una o varias subredes. Opcionalmente, también puede tener interfaces de red configuradas en estos recursos de red. Para obtener más información, consulte Creación de redes lógicas, Creación de redes virtuales y Creación de interfaces de red.
Si usa un cliente para conectarse a la instancia, asegúrese de instalar la CLI de Azure más reciente y la stack-hci-vm extensión. Para más información, consulte Requisitos previos de administración de máquinas virtuales locales de Azure.

Creación de grupos de seguridad de red y reglas de seguridad de red

En las secciones siguientes se explica cómo crear grupos de seguridad de red (NSG) y reglas de seguridad de red en las implementaciones de varios bastidores mediante la CLI de Azure.

Conéctese a una máquina en su instancia.
Inicie sesión. Ejecute el siguiente comando para iniciar sesión en su cuenta de Azure:
```
az login --use-device-code
```
Establezca la suscripción. Ejecute el comando siguiente para establecer el contexto de suscripción en la suscripción donde se implementa la instancia local de Azure:
```
az account set --subscription "<Subscription ID or Name>"
```

Creación de un grupo de seguridad de red (NSG)

Cree un grupo de seguridad de red (NSG) para administrar el flujo de tráfico de datos en Azure Local. Puede crear un NSG y asociarlo a una interfaz de red, una subred de red virtual o una red lógica.

Advertencia

Un NSG vacío solo permite el tráfico entrante a una interfaz de red desde dentro de la misma red lógica o red virtual. Cualquier otro tráfico entrante se deniega de forma predeterminada, a menos que se permita explícitamente el uso de reglas de seguridad de red en el grupo de seguridad de red asociado a la interfaz de red, la red lógica o la subred de red virtual.

Establezca los parámetros siguientes en la sesión de la CLI de Azure.

$resource_group="examplerg"      
$nsgname="examplensg"     
$customLocationId="/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl" 
$location="eastus"

Los parámetros para la creación de grupos de seguridad de red se tabulan de la siguiente manera:

Parámetros	Description
name	Nombre del grupo de seguridad de red que cree. Asegúrese de proporcionar un nombre que siga las reglas de los recursos de Azure.
ubicación	Región Azure para asociar con su grupo de seguridad de red. Por ejemplo, esto podría ser `eastus`, `westeurope`. Para facilitar la administración, use la misma ubicación que la instancia local de Azure.
grupo de recursos	Nombre del grupo de recursos donde se crea el grupo de seguridad de red. Para facilitar la administración, use el mismo grupo de recursos que Azure Local.
subscription	Nombre o identificador de la suscripción donde se implementa Azure Local.
ubicación personalizada	Identificador de Azure Resource Manager de la ubicación personalizada asociada con su Azure Local.

Ejecute el comando siguiente para crear un grupo de seguridad de red (NSG) en la instancia.

az stack-hci-vm network nsg create -g $resource_group --name $nsgname --custom-location $customLocationId --location $location

El comando crea un grupo de seguridad de red (NSG) con el nombre especificado y lo asocia a la ubicación personalizada especificada.

Expanda para ver una salida de ejemplo.

{ 
  "eTag": null, 
  "extendedLocation": { 

    "name": "/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl", 
    "type": "CustomLocation" 

  }, 

  "id": "/subscriptions/<Subscription ID>/resourceGroups/examplerg/providers/Microsoft.AzureStackHCI/networkSecurityGroups/examplensg", 

  "location": "eastus", 
  "name": "examplensg", 
  "properties": { 
    "networkInterfaces": [], 
    "provisioningState": "Succeeded", 
    "subnets": [] 
  }, 

  "resourceGroup": "examplerg", 
  "systemData": { 
    "createdAt": "2025-03-11T22:56:05.968402+00:00", 
    "createdBy": "gus@contoso.com", 
    "createdByType": "User", 
    "lastModifiedAt": "2025-03-11T22:56:13.438321+00:00", 
    "lastModifiedBy": "<User ID>", 
    "lastModifiedByType": "Application" 
  }, 

  "tags": null, 
  "type": "microsoft.azurestackhci/networksecuritygroups" 
}

Sugerencia

Use az stack-hci-vm network nsg create -h para obtener ayuda con la CLI.

Creación de una regla de seguridad de red

Después de crear un grupo de seguridad de red, cree reglas de seguridad de red. Para aplicar reglas al tráfico entrante y saliente, cree dos reglas.

Creación de una regla de seguridad de entrada

Establezca los parámetros siguientes en la sesión de la CLI de Azure.

$resource_group="examplerg"      
$nsgname="examplensg"     
$customLocationId="/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl" 
$location="eastus"
$securityrulename_in="examplensr" 
$sportrange="*" 
$saddprefix="10.0.0.0/24" 
$dportrange="80" 
$daddprefix="192.168.99.0/24" 
$description="Inbound security rule"

Los parámetros para la creación de grupos de seguridad de red se tabulan de la siguiente manera:

Parámetros	Description
name	Nombre de la regla de seguridad de red que se crea para Azure Local. Asegúrese de proporcionar un nombre que siga las reglas de los recursos de Azure.
nsg-name	Nombre del grupo de seguridad de red que contiene esta regla de seguridad de red. Asegúrese de proporcionar un nombre que siga las reglas de los recursos de Azure.
ubicación	Regiones de Azure según lo especificado por `az account list-locations -o table`. Por ejemplo, esto podría ser `eastus`, `westeurope`. Si no especifica la ubicación, se usa la ubicación del grupo de recursos.
grupo de recursos	Nombre del grupo de recursos donde se crea el grupo de seguridad de red. Para facilitar la administración, use el mismo grupo de recursos que Azure Local.
subscription	Nombre o identificador de la suscripción donde se implementa Azure Local. Esta suscripción puede ser diferente de la que se usa para las máquinas virtuales locales de Azure.
ubicación personalizada	Use este parámetro para proporcionar la ubicación personalizada asociada a Azure Local donde va a crear este grupo de seguridad de red.
direction	La dirección de la regla especifica si la regla se aplica al tráfico entrante o saliente. Los valores permitidos son salientes o entrantes (valor predeterminado).
intervalos de puertos de origen	Especifique el intervalo de puertos de origen 0 y 65535 para que coincida con un paquete entrante o saliente. El valor predeterminado `*` especifica todos los puertos de origen.
prefijos de dirección de origen	Especifique las direcciones CIDR o de origen. El valor predeterminado es `*`.
prefijos-de-dirección-de-destino	Especifique los intervalos IP de CIDR o de destino. El valor predeterminado es `*`.
intervalos de puertos de destino	Escriba un puerto específico o un intervalo de puertos que esta regla permita o deniega. Escriba un asterisco (*) para permitir el tráfico en cualquier puerto.
protocolo	Protocolo para que coincida con un paquete entrante o saliente. Los valores aceptables son `` (valor predeterminado), All, TCP* y UDP.
access	Si coinciden las condiciones anteriores, especifique para permitir o bloquear el paquete. Los valores aceptables son Allow y Deny con el valor predeterminado Permitir.
priority	Especifique una prioridad única para cada regla de la colección. Los valores aceptables son de 100 a 4096. Un valor inferior representa una prioridad más alta. Los grupos de seguridad de red (NSG) evalúan las reglas por prioridad y detienen su evaluación en la primera coincidencia. Se recomienda dejar espacio en el intervalo de prioridad para futuras reglas.
descripción	Descripción opcional de esta regla de seguridad de red. La descripción es un máximo de 140 caracteres.

Ejecute el comando siguiente para crear una regla de seguridad de red de entrada en la instancia. Esta regla bloquea todo el tráfico ICMP entrante a máquinas virtuales locales de Azure (excepto los puertos de administración que desea habilitar) y permite todo el acceso saliente.

az stack-hci-vm network nsg rule create -g $resource_group --nsg-name $nsgname --name $securityrulename_in --priority 400 --custom-location $customLocationId --access "Deny" --direction "Inbound" --location $location --protocol "*" --source-port-ranges $sportrange --source-address-prefixes $saddprefix --destination-port-ranges $dportrange --destination-address-prefixes $daddprefix --description $description

El comando crea una regla de seguridad de red y la asocia al grupo de seguridad de red especificado.  

Expanda esta sección para ver una salida de ejemplo.

{ 
  "extendedLocation": { 
    "name": "/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl", 
    "type": "CustomLocation" 
  }, 

  "id": "/subscriptions/<Subscription ID>/resourceGroups/examplerg/providers/Microsoft.AzureStackHCI/networkSecurityGroups/examplensg/securityRules/examplensr", 
  "name": "examplensr", 
  "properties": { 
    "access": "Deny", 
    "description": "Inbound security rule", 
    "destinationAddressPrefixes": [ 
      "192.168.99.0/24" 
    ], 

    "destinationPortRanges": [ 
      "80" 
    ], 

    "direction": "Inbound", 
    "priority": 400, 
    "protocol": "*", 
    "provisioningState": "Succeeded", 
    "sourceAddressPrefixes": [ 
      "10.0.0.0/24" 
    ], 

    "sourcePortRanges": [ 
      "*" 
    ] 

  }, 

  "resourceGroup": "examplerg", 
  "systemData": { 
    "createdAt": "2025-03-11T23:25:37.369940+00:00", 
    "createdBy": "gus@contoso.com", 
    "createdByType": "User", 
    "lastModifiedAt": "2025-03-11T23:25:37.369940+00:00", 
    "lastModifiedBy": "gus@contoso.com", 
    "lastModifiedByType": "User" 
  }, 

  "type": "microsoft.azurestackhci/networksecuritygroups/securityrules" 
}

Sugerencia

Use az stack-hci-vm network nsg rule create -h para obtener ayuda con la CLI de Azure.

Crea una regla de seguridad de salida

Ejecute el comando siguiente para crear una regla de seguridad de red saliente que deniegue el tráfico al destino port 80 y los prefijos especificados.

az stack-hci-vm network nsg rule create -g $resource_group --nsg-name $nsgname --name $securityrulename_out --priority 500 --custom-location $customLocationId --access "Deny" --direction "Outbound" --location $location --protocol "*" --source-port-ranges $sportrange --source-address-prefixes $saddprefix --destination-port-ranges $dportrange --destination-address-prefixes $daddprefix --description $description

Ejecute el siguiente comando para bloquear todo el tráfico saliente:

Set --source-address-prefixes "" --source-port-ranges "" --destination-address-prefixes "" --destination-port-ranges "" --protocol "*"

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-02-19