在 Windows Admin Center 中使用標籤設定網路安全組
適用於:Azure Local 2311.2 和更新版本
適用於:Windows Server 2025
本文說明如何在 Windows Admin Center 中使用網路安全組來設定網路安全組。
使用網路安全標籤,您可以建立自定義使用者定義標籤、將這些標籤附加至虛擬機(VM) 網路介面,並根據這些標籤套用網路存取原則(具有網路安全組)。
必要條件
完成下列必要條件,以搭配標籤使用網路安全組:
您的系統上已安裝 Azure Stack HCI 作業系統 22H2 版或更新版本。 如需詳細資訊,請參閱如何 安裝 Azure Stack HCI 操作系統 23H2 版。
您已安裝網路控制站。 網路控制站會強制執行預設網路原則。 如需詳細資訊,請參閱如何 安裝網路控制站。
您有一個要套用網路安全組的 VM。 如需詳細資訊,請參閱如何使用 Windows Admin Center 管理 VM。
您具有系統管理員許可權,或相當於叢集節點和網路控制站。
您有 Windows Server 2025 或更新版本。 如需詳細資訊,請參閱 開始使用 Windows Server。
您已安裝網路控制站。 如需詳細資訊,請參閱如何使用 SDN Express 部署 SDN 基礎結構。
您有一個要套用網路安全組的 VM。 如需詳細資訊,請參閱如何使用 Windows Admin Center 管理 VM。
您具有系統管理員許可權,或相當於叢集節點和網路控制站。
使用網路安全性標籤簡化安全性
網路安全組可讓您根據網路建構來設定存取原則,例如網路前綴和子網。 例如,如果您想要限制 Web 伺服器 VM 與資料庫 VM 之間的通訊,您必須識別對應的網路子網,並建立原則來拒絕這些子網之間的通訊。 不過,此方法有一些限制:
您的安全策略會系結至網路建構,這表示您必須知道哪些應用程式位於特定網路區段上。 瞭解您的網路基礎結構和架構會變得至關重要。
建置應用程式的原則時,您可能會想要在不同案例中重複使用它們。 例如,如果您的生產 Web 應用程式只能透過來自因特網的埠 80 連線到,而且無法由生產環境或其他環境中的其他應用程式連線,則您對於任何新應用程式都有類似的原則。 不過,透過網路分割,重新建立原則會因為每個應用程式的唯一網路元素而變得必要。
如果您解除委任舊的應用程式,並在相同的網路區段內部署新的應用程式,則需要原則調整。
使用網路安全性標籤,您不再需要追蹤應用程式裝載所在的網路區段。 網路安全性標籤可簡化原則管理,並避免與網路建構相關聯的複雜度。 讓我們重新考慮使用 Web 伺服器和資料庫 VM 的範例:使用 “Web” 和 “Database” 網络安全性標籤對應的 VM 標記,然後建立規則來限制 “Web” 和 “Database” 卷標之間的通訊。
建立以網路安全組為基礎的網路安全組
若要建立以網路安全組為基礎的網路安全組,請遵循下列步驟:
建立網路安全組的網路安全性規則。
建立網路安全性標籤
在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。
在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。
在 [網络安全組] 底下,選取 [網络安全卷標] 索引卷標,然後選取 [新增]。
在 [建立網络安全卷標] 窗格中,於 [名稱] 字段中輸入網路安全標籤的名稱。
(選擇性)在 [ 類型] 欄位中,輸入標記的類型。 如果您想要將標籤分類以方便管理,此欄位會很有用。 例如,您可以使用相同類型 「Application」 的不同標記,例如 SQL、Web、IOT、Sensor 等。
選取 [提交]。
將網路安全性標籤指派給 VM
您可以在建立新的 VM 時,或在變更現有 VM 的屬性時,將網路安全性標籤指派給 VM。
在建立 VM 期間指派網路安全性標籤
如需如何建立新 VM 的逐步指示,請參閱 建立新的 VM。
若要在建立新的 VM 時指派網路安全性標籤:
在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立 VM 的伺服器或叢集。
在 [工具] 底下,向下卷動並選取 [虛擬機]。
在 [虛擬機] 下,選取 [清查] 索引卷標,選取 [新增],然後選取 [新增]。
在 [新增虛擬機] 下,輸入 VM 的名稱。
輸入 VM 的其他屬性。
選取 建立。
將網路安全性標籤指派給現有的 VM
您可以藉由變更其設定,將網路安全標籤指派給現有的 VM。 如需如何變更 VM 設定的詳細指示,請參閱 變更 VM 設定。
在 [工具] 下,向下捲動至 [網络] 區域,然後選取 [虛擬機]。
選取 [清查] 索引卷標,選取 VM,然後選取 [設定]。
在 [ 設定] 頁面上,選取 [ 網络]。
在 [網络安全性卷標] 區段下,選取 [新增網络安全性卷標],選取您稍早建立的網络安全性標籤,在 [建立網络安全性卷標] 中。
選取 [ 儲存網络設定]。
建立網路安全性群組
在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。
在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。
在 [網络安全組] 底下,選取 [清查] 索引卷標,然後選取 [新增]。
在 [ 網络安全組] 窗格中,輸入網路安全組的名稱,然後選取 [ 提交]。
在 [ 網络安全組] 底下,確認 新網路安全組的 [布建] 狀態 顯示 [成功]。
建立網路安全性群組規則
建立網路安全組之後,您就可以建立網路安全組規則。 如果您想要將網路安全組規則同時套用至輸入和輸出流量,您必須建立兩個規則。
在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。
在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。
在 [網络安全組] 下,選取 [清查] 索引卷標,然後在 [建立網路安全組] 中選取您稍早建立的網路安全組。
在 [網络安全性規則] 底下,選取 [新增]。
在右側的 [ 網路安全規則] 窗格中,提供下列資訊:
欄位 描述 名稱 規則的名稱。 優先順序 規則的優先順序。 可接受的值為 101 到 65000。 較低的值表示較高的優先順序。 類型 規則的類型。 此規則類型可以是 輸入 或 輸出。 通訊協定 比對傳入或傳出封包的通訊協定。 可接受的值為 All、 TCP 和 UDP。 來源 選取 [ 網络安全性標籤]。
注意: 您可以選取位址前綴或網路安全性標籤,但不能同時選取兩者。來源安全性標籤類型 (選擇性)選取標籤的類型。 來源安全性標籤 在 [建立網络安全性標籤] 中 ,選取您稍早建立的網路安全性標籤。 來源埠範圍 指定來源埠範圍,以符合傳入或傳出封包。 您可以輸入 *
以指定所有來源埠。目的地 選取 [ 網络安全性標籤]。
注意: 您可以選取位址前綴或網路安全性標籤,但不能同時選取兩者。 來源和目的地可能不同。目的地安全性標籤 (選擇性)選取標籤的類型。 目的地安全性標籤 在 [建立網络安全性標籤] 中 ,選取您稍早建立的網路安全性標籤。 目的地埠範圍 指定目的地埠範圍,以符合傳入或傳出封包。 您可以輸入 *
指定所有目的地連接埠。動作 如果符合上述條件,請指定 允許或封鎖封包。 可接受的值為 Allow 和 Deny。 Logging 指定要啟用或停用規則的記錄。 如果已啟用記錄,則會在主計算機上記錄此規則所比對的所有流量。 選取 [提交]。
套用網路安全組
您可以將網路安全組套用至:
將網路安全組套用至網路安全標籤
當您將網路安全組套用至網路安全標籤時,網路安全組規則會套用至與該網路安全標籤相關聯的所有 VM 網路介面。
若要透過 Windows Admin Center 將網路安全組套用至網路安全標籤,請遵循下列步驟:
在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要套用網路安全組的叢集。
在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。
在 [網络安全組] 底下,選取 [網络安全卷標] 索引標籤。
選取您要編輯的網路安全性標籤,然後選取 [ 設定]。
在所選標籤標的 [ 編輯網路安全卷標 ] 窗格中,選取您要套用至網路安全標籤的網路安全組。
選取 [提交]。
下一步
如需相關資訊,另請參閱: