共用方式為


在 Windows Admin Center 中使用標籤設定網路安全組

適用於:Azure Local 2311.2 和更新版本

適用於:Windows Server 2025

本文說明如何在 Windows Admin Center 中使用網路安全組來設定網路安全組。

使用網路安全標籤,您可以建立自定義使用者定義標籤、將這些標籤附加至虛擬機(VM) 網路介面,並根據這些標籤套用網路存取原則(具有網路安全組)。

必要條件

完成下列必要條件,以搭配標籤使用網路安全組:

  • 您的系統上已安裝 Azure Stack HCI 作業系統 22H2 版或更新版本。 如需詳細資訊,請參閱如何 安裝 Azure Stack HCI 操作系統 23H2 版

  • 您已安裝網路控制站。 網路控制站會強制執行預設網路原則。 如需詳細資訊,請參閱如何 安裝網路控制站

  • 您有要使用的邏輯網路或虛擬網路。 如需詳細資訊,請參閱如何 建立邏輯網路建立虛擬網路

  • 您有一個要套用網路安全組的 VM。 如需詳細資訊,請參閱如何使用 Windows Admin Center 管理 VM。

  • 您具有系統管理員許可權,或相當於叢集節點和網路控制站。

  • 您有 Windows Server 2025 或更新版本。 如需詳細資訊,請參閱 開始使用 Windows Server

  • 您已安裝網路控制站。 如需詳細資訊,請參閱如何使用 SDN Express 部署 SDN 基礎結構。

  • 您有要使用的邏輯網路或虛擬網路。 如需詳細資訊,請參閱如何 建立邏輯網路建立虛擬網路

  • 您有一個要套用網路安全組的 VM。 如需詳細資訊,請參閱如何使用 Windows Admin Center 管理 VM。

  • 您具有系統管理員許可權,或相當於叢集節點和網路控制站。

使用網路安全性標籤簡化安全性

網路安全組可讓您根據網路建構來設定存取原則,例如網路前綴和子網。 例如,如果您想要限制 Web 伺服器 VM 與資料庫 VM 之間的通訊,您必須識別對應的網路子網,並建立原則來拒絕這些子網之間的通訊。 不過,此方法有一些限制:

  • 您的安全策略會系結至網路建構,這表示您必須知道哪些應用程式位於特定網路區段上。 瞭解您的網路基礎結構和架構會變得至關重要。

  • 建置應用程式的原則時,您可能會想要在不同案例中重複使用它們。 例如,如果您的生產 Web 應用程式只能透過來自因特網的埠 80 連線到,而且無法由生產環境或其他環境中的其他應用程式連線,則您對於任何新應用程式都有類似的原則。 不過,透過網路分割,重新建立原則會因為每個應用程式的唯一網路元素而變得必要。

  • 如果您解除委任舊的應用程式,並在相同的網路區段內部署新的應用程式,則需要原則調整。

使用網路安全性標籤,您不再需要追蹤應用程式裝載所在的網路區段。 網路安全性標籤可簡化原則管理,並避免與網路建構相關聯的複雜度。 讓我們重新考慮使用 Web 伺服器和資料庫 VM 的範例:使用 “Web” 和 “Database” 網络安全性標籤對應的 VM 標記,然後建立規則來限制 “Web” 和 “Database” 卷標之間的通訊。

建立以網路安全組為基礎的網路安全組

若要建立以網路安全組為基礎的網路安全組,請遵循下列步驟:

  1. 建立一或多個網路安全性標籤

  2. 將網路安全性標籤指派給 VM

  3. 建立網路安全組

  4. 建立網路安全組的網路安全性規則。

  5. 將網路安全組套用至 VM、網路子網、網路安全性捲標

建立網路安全性標籤

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。

  2. 在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。

  3. 在 [網络安全組] 底下,選取 [網络安全卷標] 索引卷標,然後選取 [新增]。

  4. 在 [建立網络安全卷標] 窗格中,於 [名稱] 字段中輸入網路安全標籤的名稱。

    [建立網络安全卷標] 窗格的螢幕快照。

  5. (選擇性)在 [ 類型] 欄位中,輸入標記的類型。 如果您想要將標籤分類以方便管理,此欄位會很有用。 例如,您可以使用相同類型 「Application」 的不同標記,例如 SQL、Web、IOT、Sensor 等。

  6. 選取 [提交]

將網路安全性標籤指派給 VM

您可以在建立新的 VM 時,或在變更現有 VM 的屬性時,將網路安全性標籤指派給 VM。

在建立 VM 期間指派網路安全性標籤

如需如何建立新 VM 的逐步指示,請參閱 建立新的 VM

若要在建立新的 VM 時指派網路安全性標籤:

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立 VM 的伺服器或叢集。

  2. 在 [工具]下,向下卷動並選取 [虛擬機]。

  3. 在 [虛擬機] 下,選取 [清查] 索引卷標,選取 [新增],然後選取 [新增]。

  4. 在 [新增虛擬機] 下,輸入 VM 的名稱。

  5. 輸入 VM 的其他屬性。

  6. 在 [網络] 底下,選取您稍早建立的網路安全性標籤,在 [建立網络安全性卷標] 中

    此螢幕快照顯示建立新 VM 時指派網路安全性標籤的步驟。

  7. 選取 建立

將網路安全性標籤指派給現有的 VM

您可以藉由變更其設定,將網路安全標籤指派給現有的 VM。 如需如何變更 VM 設定的詳細指示,請參閱 變更 VM 設定

  1. 在 [工具] 下,向下捲動至 [網络] 區域,然後選取 [虛擬機]。

  2. 選取 [清查] 索引卷標,選取 VM,然後選取 [設定]。

  3. 在 [ 設定] 頁面上,選取 [ 網络]。

  4. 在 [網络安全性卷標] 區段下,選取 [新增網络安全性卷標],選取您稍早建立的網络安全性標籤,在 [建立網络安全性卷標] 中

  5. 選取 [ 儲存網络設定]。

建立網路安全性群組

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。

  2. 在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。

  3. 在 [網络安全組] 底下,選取 [清查] 索引卷標,然後選取 [新增]。

  4. 在 [ 網络安全組] 窗格中,輸入網路安全組的名稱,然後選取 [ 提交]。

    顯示 [網路安全組] 窗格的螢幕快照。

  5. 在 [ 網络安全組] 底下,確認 新網路安全組的 [布建] 狀態 顯示 [成功]。

建立網路安全性群組規則

建立網路安全組之後,您就可以建立網路安全組規則。 如果您想要將網路安全組規則同時套用至輸入和輸出流量,您必須建立兩個規則。

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要建立網路安全組的叢集。

  2. 在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。

  3. 在 [網络安全組] 下,選取 [清查] 索引卷標,然後在 [建立網路安全組] 中選取您稍早建立的網路安全組。

  4. 在 [網络安全性規則] 底下,選取 [新增]。

  5. 在右側的 [ 網路安全規則] 窗格中,提供下列資訊:

    欄位 描述
    名稱 規則的名稱。
    優先順序 規則的優先順序。 可接受的值為 10165000。 較低的值表示較高的優先順序。
    類型 規則的類型。 此規則類型可以是 輸入輸出
    通訊協定 比對傳入或傳出封包的通訊協定。 可接受的值為 AllTCPUDP
    來源 選取 [ 網络安全性標籤]。

    注意: 您可以選取位址前綴或網路安全性標籤,但不能同時選取兩者。
    來源安全性標籤類型 (選擇性)選取標籤的類型。
    來源安全性標籤 在 [建立網络安全性標籤] 中 ,選取您稍早建立的網路安全性標籤
    來源埠範圍 指定來源埠範圍,以符合傳入或傳出封包。 您可以輸入 * 以指定所有來源埠。
    目的地 選取 [ 網络安全性標籤]。

    注意: 您可以選取位址前綴或網路安全性標籤,但不能同時選取兩者。 來源和目的地可能不同。
    目的地安全性標籤 (選擇性)選取標籤的類型。
    目的地安全性標籤 在 [建立網络安全性標籤] 中 ,選取您稍早建立的網路安全性標籤
    目的地埠範圍 指定目的地埠範圍,以符合傳入或傳出封包。 您可以輸入 * 指定所有目的地連接埠。
    動作 如果符合上述條件,請指定 允許或封鎖封包。 可接受的值為 AllowDeny
    Logging 指定要啟用或停用規則的記錄。 如果已啟用記錄,則會在主計算機上記錄此規則所比對的所有流量。
  6. 選取 [提交]

套用網路安全組

您可以將網路安全組套用至:

將網路安全組套用至網路安全標籤

當您將網路安全組套用至網路安全標籤時,網路安全組規則會套用至與該網路安全標籤相關聯的所有 VM 網路介面。

若要透過 Windows Admin Center 將網路安全組套用至網路安全標籤,請遵循下列步驟:

  1. 在 Windows Admin Center 主畫面的 [所有連線] 底下,選取您要套用網路安全組的叢集。

  2. 在 [工具] 底下,向下捲動至 [網络] 區域,然後選取 [網络安全組]。

  3. 在 [網络安全組] 底下,選取 [網络安全卷標] 索引標籤

  4. 選取您要編輯的網路安全性標籤,然後選取 [ 設定]。

  5. 在所選標籤標的 [ 編輯網路安全卷標 ] 窗格中,選取您要套用至網路安全標籤的網路安全組。

    顯示如何將現有網路安全組套用至網路安全標籤的螢幕快照。

  6. 選取 [提交]

下一步

如需相關資訊,另請參閱: