Compartilhar via

Usar políticas de acesso à rede padrão em máquinas virtuais no Azure Local, versão 23H2

  • Artigo

Aplica-se a: Azure Local, versão 23H2

Aplica-se a: Windows Server 2025

Este artigo descreve como habilitar políticas de acesso à rede padrão e atribuí-las a VMs (máquinas virtuais).

As políticas de rede padrão podem ser usadas para proteger máquinas virtuais em execução contra ataques externos não autorizados. Essas políticas bloqueiam todo o acesso de entrada a máquinas virtuais (exceto as portas de gerenciamento especificadas que você deseja habilitar) enquanto permitem todo o acesso de saída. Use essas políticas para garantir que suas VMs de carga de trabalho tenham acesso apenas aos ativos necessários, dificultando a propagação lateral das ameaças.

Observação

Nesta versão, você pode habilitar e atribuir políticas de rede padrão por meio do Windows Admin Center.

Pré-requisitos

Conclua os seguintes pré-requisitos para usar políticas de acesso à rede:

  • Você tem o sistema operacional Azure Stack HCI, versão 23H2 ou posterior instalado em seu sistema. Para obter mais informações, consulte como instalar o sistema operacional Azure Stack HCI, versão 23H2.

  • Você tem o Controlador de Rede instalado. O Controlador de Rede impõe as diretivas de rede padrão. Para obter mais informações, consulte como instalar o Controlador de Rede.

  • Você tem uma rede lógica ou uma rede virtual para usar. Para obter mais informações, consulte como Criar uma rede lógica ou Criar uma rede virtual.

  • Você tem uma VM à qual aplicar políticas. Para obter mais informações, consulte como gerenciar VMs com Windows Admin Center.

  • Você tem permissões de administrador ou equivalentes aos nós do sistema e ao controlador de rede.

  • Você tem o Windows Server 2025 ou posterior. Para obter mais informações, consulte Introdução ao Windows Server.

  • Você tem o Controlador de Rede instalado. O Controlador de Rede impõe as diretivas de rede padrão. Para obter mais informações, consulte como instalar o Controlador de Rede.

  • Você tem uma rede lógica ou uma rede virtual para usar. Para obter mais informações, consulte como Criar uma rede lógica ou Criar uma rede virtual.

  • Você tem uma VM à qual aplicar políticas. Para obter mais informações, consulte como gerenciar VMs com Windows Admin Center.

  • Você tem permissões de administrador ou equivalentes aos nós do sistema e ao controlador de rede.

Atribuir políticas de rede padrão a uma VM

Você pode anexar políticas padrão a uma VM de duas maneiras:

  • Durante a criação da VM. Você precisa anexar a VM a uma rede lógica (rede VLAN tradicional) ou a uma rede virtual SDN.
  • Pós-criação da VM.

Criar e anexar redes

Dependendo do tipo de rede à qual você deseja anexar sua VM, as etapas podem ser diferentes.

  • Anexar VMs a uma rede física: crie uma ou mais redes lógicas para representar essas redes físicas. Uma rede lógica é apenas uma representação de uma ou mais redes físicas disponíveis para o Azure Local. Para obter mais informações, consulte como Criar uma rede lógica.

  • Anexar VMs a uma rede virtual SDN: crie uma rede virtual antes de criar a VM. Para obter mais informações, consulte como Criar uma rede virtual.

Anexar VM a uma rede lógica

Depois de criar uma rede lógica no Windows Admin Center, você pode criar uma VM no Windows Admin Center e anexá-la à rede lógica. Como parte da criação da VM, selecione o Modo de Isolamento como Rede Lógica, selecione a Sub-rede Lógica apropriada na Rede Lógica e forneça um endereço IP para a VM.

Observação

Ao contrário do Azure Local, versão 22H2, você não pode mais conectar uma VM diretamente a uma VLAN usando Windows Admin Center. Em vez disso, você deve criar uma rede lógica que represente a VLAN, criar uma sub-rede de rede lógica com a VLAN e, em seguida, anexar a VM à sub-rede de rede lógica.

Observação

Você deve criar uma rede lógica que represente a VLAN, criar uma sub-rede de rede lógica com a VLAN e, em seguida, anexar a VM à sub-rede de rede lógica.

Aqui está um exemplo que explica como você pode anexar sua VM diretamente a uma VLAN quando o Controlador de Rede está instalado. Neste exemplo, demonstramos como conectar sua VM à VLAN 5:

  1. Crie uma rede lógica com qualquer nome. Certifique-se de que a virtualização de rede esteja desativada.

  2. Adicione uma sub-rede lógica com qualquer nome. Forneça o ID da VLAN (5) ao criar a sub-rede.

  3. Aplique as alterações.

  4. Ao criar uma VM, anexe-a à rede lógica e à sub-rede de rede lógica criada anteriormente. Para obter mais informações, consulte como Criar uma rede lógica.

    Captura de tela mostrando como anexar a VM diretamente à VLAN.

Aplicar políticas de rede padrão

Ao criar uma VM por meio do Windows Admin Center, você verá uma configuração de nível de segurança.

Captura de tela mostrando as três opções de nível de segurança para VMs no Windows Admin Center.

Você tem três opções:

  • Sem proteção – escolha essa opção se não quiser impor nenhuma política de acesso à rede à sua VM. Quando essa opção é selecionada, todas as portas em sua VM são expostas a redes externas que representam um risco de segurança. Essa opção não é recomendada.

    Captura de tela mostrando a opção Sem proteção selecionada para VMs no Windows Admin Center.

  • Abrir algumas portas - Escolha esta opção para ir com as políticas padrão. As políticas padrão bloqueiam todo o acesso de entrada e permitem todo o acesso de saída. Opcionalmente, você pode habilitar o acesso de entrada a uma ou mais portas bem definidas, por exemplo, HTTP, HTTPS, SSH ou RDP de acordo com seus requisitos.

    Captura de tela mostrando as portas que podem ser abertas em VMs especificadas durante a criação da VM no Windows Admin Center.

  • Usar NSG existente – escolha essa opção para aplicar políticas personalizadas. Você especifica um NSG (Grupo de Segurança de Rede) que você já criou.

    Captura de tela mostrando o grupo de segurança de rede existente selecionado durante a criação da VM no Windows Admin Center.

VMs criadas fora do Windows Admin Center

Você pode encontrar problemas ao criar VMs fora do Windows Admin Center e tiver habilitado políticas de acesso à rede padrão. Por exemplo, você habilitou políticas de acesso à rede padrão e criou VMs usando a interface do usuário do Hyper-V ou o cmdlet New-VM do PowerShell.

  • As VMs podem não ter conectividade de rede. Como a VM está sendo gerenciada por uma extensão de comutador Hyper-V chamada VFP (Virtual Filtering Platform) e, por padrão, a porta Hyper-V conectada à VM está no estado bloqueado.

    Para desbloquear a porta, execute os seguintes comandos em uma sessão do PowerShell em um host Hyper-V em que a VM está localizada:

    1. Execute o PowerShell como administrador.

    2. Baixe e instale o módulo SdnDiagnostics . Execute o comando a seguir:

      Install-Module -Name SdnDiagnostics

      Como alternativa, se já estiver instalado, use o seguinte comando:

      Update-Module -Name SdnDiagnostics

      Aceite todos os prompts para instalar a partir da Galeria do PowerShell.

    3. Confirme se a porta VFP está aplicada à VM

      Get-SdnVMNetworkAdapterPortProfile -VMName <VMName>

      Certifique-se de que as informações do perfil da porta VFP sejam retornadas para o adaptador. Caso contrário, prossiga com a associação de um perfil de porta.

    4. Especifique as portas a serem desbloqueadas na VM.

      Set-SdnVMNetworkAdapterPortProfile -VMName <VMName> -MacAddress <MACAddress> -ProfileId ([guid]::Empty) -ProfileData 2

  • A VM não tem políticas de rede padrão aplicadas. Como essa VM foi criada fora do Windows Admin Center, as políticas padrão da VM não são aplicadas e as Configurações de Rede da VM não são exibidas corretamente. Para corrigir esse problema, siga estas etapas:

    No Windows Admin Center, crie uma rede lógica. Crie uma sub-rede na rede lógica e não forneça ID de VLAN ou prefixo de sub-rede. Em seguida, anexe uma VM à rede lógica usando as seguintes etapas:

    1. Em Ferramentas, role para baixo até a área Rede e selecione Máquinas virtuais

    2. Selecione a guia Inventário , selecione a VM e, em seguida, selecione Configurações.

    3. Na página Configurações , selecione Redes.

    4. Para Modo de isolamento, selecione Rede lógica.

    5. Selecione a rede lógica e a sub-rede lógica que você criou anteriormente.

      1. Para o nível de segurança, você tem duas opções:

        1. Sem proteção: escolha esta opção se você não quiser nenhuma política de acesso à rede para suas VMs.
        2. Usar NSG existente: escolha esta opção se quiser aplicar políticas de acesso à rede para suas VMs. Você pode criar um novo NSG e anexá-lo à VM ou anexar qualquer NSG existente à VM.

    Captura de tela mostrando como habilitar a rede padrão para VLAN.

  • A VM não tem políticas de rede padrão aplicadas. Como essa VM foi criada fora do Windows Admin Center, as políticas padrão da VM não são aplicadas e as Configurações de Rede da VM não são exibidas corretamente. Para corrigir esse problema, siga estas etapas:

    No Windows Admin Center, crie uma rede lógica. Crie uma sub-rede na rede lógica e não forneça ID de VLAN ou prefixo de sub-rede. Em seguida, anexe uma VM à rede lógica usando as seguintes etapas:

    1. Em Ferramentas, role para baixo até a área Rede e selecione Máquinas virtuais

    2. Selecione a guia Inventário , selecione a VM e, em seguida, selecione Configurações.

    3. Na página Configurações , selecione Redes.

    4. Para Modo de isolamento, selecione Rede lógica.

    5. Selecione a rede lógica e a sub-rede lógica que você criou anteriormente.

      1. Para o nível de segurança, você tem duas opções:

        1. Sem proteção: escolha esta opção se você não quiser nenhuma política de acesso à rede para suas VMs.
        2. Usar NSG existente: escolha esta opção se quiser aplicar políticas de acesso à rede para suas VMs. Você pode criar um novo NSG e anexá-lo à VM ou anexar qualquer NSG existente à VM.

    Captura de tela mostrando como habilitar a rede padrão para VLAN.

Próximas etapas

Saiba mais sobre: