Condividi tramite

Usare i criteri di accesso di rete predefiniti nelle macchine virtuali in Azure Local

  • Articolo

Si applica a: Azure Locale 2311.2 e versioni successive

Si applica a: Windows Server 2025

Questo articolo descrive come abilitare i criteri di accesso alla rete predefiniti e assegnarli alle macchine virtuali.

I criteri di rete predefiniti possono essere usati per proteggere le macchine virtuali in esecuzione da attacchi esterni non autorizzati. Questi criteri bloccano tutti gli accessi in ingresso alle macchine virtuali (ad eccezione delle porte di gestione specificate che si desidera abilitare) consentendo l'accesso in uscita. Usare questi criteri per assicurarsi che le macchine virtuali del carico di lavoro abbiano accesso solo agli asset necessari, rendendo difficile la diffusione delle minacce in un secondo momento.

Nota

In questa versione è possibile abilitare e assegnare criteri di rete predefiniti tramite Windows Admin Center.

Prerequisiti

Completare i prerequisiti seguenti per usare i criteri di accesso alla rete:

  • Nel sistema è installato il sistema operativo Azure Stack HCI versione 23H2 o successiva. Per altre informazioni, vedere Come installare il sistema operativo Azure Stack HCI versione 23H2.

  • Il controller di rete è installato. Il controller di rete applica i criteri di rete predefiniti. Per altre informazioni, vedere Come installare il controller di rete.

  • Si dispone di una rete logica o di una rete virtuale da usare. Per altre informazioni, vedere Creare una rete logica o Creare una rete virtuale.

  • È disponibile una macchina virtuale a cui applicare i criteri. Per altre informazioni, vedere Come gestire le macchine virtuali con Windows Admin Center.

  • Si dispone di autorizzazioni di amministratore o equivalenti ai nodi di sistema e al controller di rete.

  • Windows Server 2025 o versione successiva. Per altre informazioni, vedere Introduzione a Windows Server.

  • Il controller di rete è installato. Il controller di rete applica i criteri di rete predefiniti. Per altre informazioni, vedere Come installare il controller di rete.

  • Si dispone di una rete logica o di una rete virtuale da usare. Per altre informazioni, vedere Creare una rete logica o Creare una rete virtuale.

  • È disponibile una macchina virtuale a cui applicare i criteri. Per altre informazioni, vedere Come gestire le macchine virtuali con Windows Admin Center.

  • Si dispone di autorizzazioni di amministratore o equivalenti ai nodi di sistema e al controller di rete.

Assegnare criteri di rete predefiniti a una macchina virtuale

È possibile collegare i criteri predefiniti a una macchina virtuale in due modi:

  • Durante la creazione della macchina virtuale. È necessario collegare la macchina virtuale a una rete logica (rete VLAN tradizionale) o a una rete virtuale SDN.
  • Dopo la creazione della macchina virtuale.

Creare e collegare reti

A seconda del tipo di rete a cui si vuole collegare la macchina virtuale, i passaggi potrebbero essere diversi.

  • Collegare macchine virtuali a una rete fisica: creare una o più reti logiche per rappresentare tali reti fisiche. A logical network is just a representation of one or more physical networks available to Azure Local. Per altre informazioni, vedere Come creare una rete logica.

  • Collegare macchine virtuali a una rete virtuale SDN: creare una rete virtuale prima di creare la macchina virtuale. Per altre informazioni, vedere Come creare una rete virtuale.

Collegare una macchina virtuale a una rete logica

Dopo aver creato una rete logica in Windows Admin Center, è possibile creare una macchina virtuale in Windows Admin Center e collegarla alla rete logica. Come parte della creazione della macchina virtuale, selezionare la modalità di isolamento come rete logica, selezionare la subnet logica appropriata nella rete logica e specificare un indirizzo IP per la macchina virtuale.

Nota

A differenza di Locale di Azure, versione 22H2, non è più possibile connettere una macchina virtuale direttamente a una VLAN usando Windows Admin Center. È invece necessario creare una rete logica che rappresenta la VLAN, creare una subnet di rete logica con la VLAN e quindi collegare la macchina virtuale alla subnet di rete logica.

Nota

È necessario creare una rete logica che rappresenta la VLAN, creare una subnet di rete logica con la VLAN e quindi collegare la macchina virtuale alla subnet di rete logica.

Ecco un esempio che spiega come collegare la macchina virtuale direttamente a una VLAN quando è installato il controller di rete. In questo esempio viene illustrato come connettere la macchina virtuale a VLAN 5:

  1. Creare una rete logica con qualsiasi nome. Assicurarsi che La virtualizzazione di rete sia disabilitata.

  2. Aggiungere una subnet logica con qualsiasi nome. Specificare l'ID VLAN (5) durante la creazione della subnet.

  3. Applicare le modifiche.

  4. Quando si crea una macchina virtuale, collegarla alla rete logica e alla subnet di rete logica creata in precedenza. Per altre informazioni, vedere Come creare una rete logica.

    Screenshot che mostra come collegare la macchina virtuale direttamente a VLAN.

Applicare i criteri di rete predefiniti

Quando si crea una macchina virtuale tramite Windows Admin Center, viene visualizzata un'impostazione Livello di sicurezza.

Screenshot che mostra le tre opzioni del livello di sicurezza per le macchine virtuali in Windows Admin Center.

Si dispone di tre opzioni:

  • Nessuna protezione : scegliere questa opzione se non si vogliono applicare criteri di accesso alla rete per la macchina virtuale. Quando questa opzione è selezionata, tutte le porte nella macchina virtuale vengono esposte a reti esterne che comportano un rischio per la sicurezza. Questa opzione non è consigliata.

    Screenshot che mostra l'opzione Nessuna protezione selezionata per le macchine virtuali in Windows Admin Center.

  • Aprire alcune porte : scegliere questa opzione per passare con i criteri predefiniti. I criteri predefiniti bloccano tutti gli accessi in ingresso e consentono l'accesso in uscita. Facoltativamente, è possibile abilitare l'accesso in ingresso a una o più porte ben definite, ad esempio HTTP, HTTPS, SSH o RDP in base alle esigenze.

    Screenshot che mostra le porte che possono essere aperte nelle macchine virtuali specificate durante la creazione di macchine virtuali in Windows Admin Center.

  • Usare un gruppo di sicurezza di rete esistente: scegliere questa opzione per applicare criteri personalizzati. Si specifica un gruppo di sicurezza di rete (NSG) già creato.

    Screenshot che mostra il gruppo di sicurezza di rete esistente selezionato durante la creazione della macchina virtuale in Windows Admin Center.

Macchine virtuali create all'esterno di Windows Admin Center

Potrebbero verificarsi problemi quando si creano macchine virtuali all'esterno di Windows Admin Center e sono stati abilitati i criteri di accesso di rete predefiniti. Ad esempio, sono stati abilitati i criteri di accesso alla rete predefiniti e sono state create macchine virtuali usando l'interfaccia utente hyper-V o il cmdlet PowerShell New-VM.

  • Le macchine virtuali potrebbero non avere connettività di rete. Poiché la macchina virtuale viene gestita da un'estensione del commutatore Hyper-V denominata VFP (Virtual Filtering Platform) e, per impostazione predefinita, la porta Hyper-V connessa alla macchina virtuale è bloccata.

    Per sbloccare la porta, eseguire i comandi seguenti da una sessione di PowerShell in un host Hyper-V in cui si trova la macchina virtuale:

    1. Esegui PowerShell come amministratore.

    2. Scaricare e installare il modulo SdnDiagnostics . Esegui questo comando:

      Install-Module -Name SdnDiagnostics

      In alternativa, se già installato, usare il comando seguente:

      Update-Module -Name SdnDiagnostics

      Accettare tutte le richieste di installazione da PowerShell Gallery.

    3. Verificare se la porta VFP viene applicata alla macchina virtuale

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>

      Assicurarsi che le informazioni sul profilo della porta VFP vengano restituite per l'adattatore. In caso contrario, procedere con l'associazione di un profilo di porta.

    4. Specificare le porte da sbloccare nella macchina virtuale.

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2

  • La macchina virtuale non ha criteri di rete predefiniti applicati. Poiché questa macchina virtuale è stata creata all'esterno di Windows Admin Center, i criteri predefiniti per la macchina virtuale non vengono applicati e le impostazioni di rete per la macchina virtuale non vengono visualizzate correttamente. Per correggere questo problema, seguire questa procedura:

    In Windows Admin Center creare una rete logica. Creare una subnet nella rete logica e non specificare alcun prefisso VLAN o subnet. Collegare quindi una macchina virtuale alla rete logica seguendo questa procedura:

    1. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Macchine virtuali

    2. Selezionare la scheda Inventario , selezionare la macchina virtuale e quindi selezionare Impostazioni.

    3. Nella pagina Impostazioni selezionare Reti.

    4. Per Modalità di isolamento selezionare Rete logica.

    5. Selezionare la rete logica e la subnet logica creata in precedenza.

      1. Per Livello di sicurezza sono disponibili due opzioni:

        1. Nessuna protezione: scegliere questa opzione se non si vogliono criteri di accesso alla rete per le macchine virtuali.
        2. Usare un gruppo di sicurezza di rete esistente: scegliere questa opzione se si vogliono applicare i criteri di accesso alla rete per le macchine virtuali. È possibile creare un nuovo gruppo di sicurezza di rete e collegarlo alla macchina virtuale oppure collegare qualsiasi gruppo di sicurezza di rete esistente alla macchina virtuale.

    Screenshot che mostra come abilitare la rete predefinita per VLAN.

  • La macchina virtuale non ha criteri di rete predefiniti applicati. Poiché questa macchina virtuale è stata creata all'esterno di Windows Admin Center, i criteri predefiniti per la macchina virtuale non vengono applicati e le impostazioni di rete per la macchina virtuale non vengono visualizzate correttamente. Per correggere questo problema, seguire questa procedura:

    In Windows Admin Center creare una rete logica. Creare una subnet nella rete logica e non specificare alcun prefisso VLAN o subnet. Collegare quindi una macchina virtuale alla rete logica seguendo questa procedura:

    1. In Strumenti scorrere verso il basso fino all'area Rete e selezionare Macchine virtuali

    2. Selezionare la scheda Inventario , selezionare la macchina virtuale e quindi selezionare Impostazioni.

    3. Nella pagina Impostazioni selezionare Reti.

    4. Per Modalità di isolamento selezionare Rete logica.

    5. Selezionare la rete logica e la subnet logica creata in precedenza.

      1. Per Livello di sicurezza sono disponibili due opzioni:

        1. Nessuna protezione: scegliere questa opzione se non si vogliono criteri di accesso alla rete per le macchine virtuali.
        2. Usare un gruppo di sicurezza di rete esistente: scegliere questa opzione se si vogliono applicare i criteri di accesso alla rete per le macchine virtuali. È possibile creare un nuovo gruppo di sicurezza di rete e collegarlo alla macchina virtuale oppure collegare qualsiasi gruppo di sicurezza di rete esistente alla macchina virtuale.

    Screenshot che mostra come abilitare la rete predefinita per VLAN.

Passaggi successivi

Altre informazioni su: