دعم لنشر Hyper-V توسيع قوائم Acl المنفذ في VMM R2 System Center 2012 مع التحديث التراكمي 8

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية3101161
الموجز
المسؤولين من Microsoft System Center 2012 R2 إدارة الجهاز الظاهري (VMM) الآن مركزياً إنشاء وإدارة Hyper-V المنفذ قوائم التحكم بالوصول (ACLs) في VMM.
معلومات أخرى
لمزيد من المعلومات حول التحديث التراكمي 8 لإدارة الجهاز الظاهري R2 System Center 2012، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

3096389 مجموعة التحديثات 8 لإدارة الجهاز الظاهري R2 System Center 2012

قاموس المصطلحات

لقد تحسن طراز كائن إدارة الجهاز الظاهري عن طريق إضافة التالية المفاهيم الجديدة في مجال إدارة الشبكة.
  • قائمة التحكم بالوصول المنفذ (المنافذ ACL)
    كائن المرتبط بمختلف أوليات VMM الشبكة تصف أمان الشبكة. المنفذ ACL بمثابة مجموعة من القواعد ACL أو إدخالات التحكم بالوصول. يمكن إرفاق ACL لأي رقم شبكة الأوليات، مثل شبكة اتصال الجهاز الظاهري VM الشبكة الفرعية، محول شبكة الاتصال الظاهرية أو خادم إدارة VMM نفسه VMM (صفر أو أكثر). يمكن أن تحتوي على ACL أي عدد القواعد ACL (صفر أو أكثر). يمكن أن يكون كل متوافق VMM شبكة أساسية (VM الشبكة الفرعية VM، محول شبكة الاتصال الظاهرية أو خادم إدارة VMM) المرفق ACL منفذ واحد أو لا شيء.
  • منفذ إدخال تحكم بالوصول أو قاعدة ACL
    كائن يصف نهج التصفية. يمكنك موجودة في نفس المنفذ ACL عدة قواعد ACL وتطبيقه استناداً إلى أولوياتها. يتوافق كل قاعدة ACL لمنفذ واحد ACL.
  • الإعدادات العمومية
    مفهوم ظاهري يصف منفذ ACL الذي يتم تطبيقه على كافة محولات الشبكة الظاهري VM في البنية التحتية. يوجد أي نوع كائن منفصل "الإعدادات العمومية". بدلاً من ذلك، المنفذ "الإعدادات العمومية" ACL يصل إلى ملقم إدارة VMM نفسها. يمكن أن يكون كائن ملقم إدارة VMM ACL منفذ واحد أو لا شيء.
لمزيد من المعلومات حول الكائنات التي كانت متاحة في مجال إدارة شبكة الاتصال، راجع أساسيات كائن شبكة إدارة الجهاز الظاهري.

ماذا يمكنني أن أفعل بهذه الميزة؟

باستخدام واجهة PowerShell في VMM، يمكنك الآن أن تتخذ الإجراءات التالية:
  • تحديد منفذ ACLs وقواعد ACL الخاصة بهم.
    • يتم تطبيق القواعد بمنافذ محول ظاهري Hyper-V ملقمات "ميناء الموسعة قوائم التحكم بالوصول" (فمنيتووركادابتيريكستينديداكل) في مصطلحات Hyper-V. وهذا يعني أنه يتم تطبيقها فقط على ملقمات المضيف Windows Server 2012 R2 (و Hyper-V Server R2 2012).
    • لن يخلق VMM ACLs المنفذ Hyper-V "القديمة" (فمنيتووركادابتيراكل). ولذلك، لا يمكنك تطبيق ACLs المنفذ بملقمات المضيف Windows Server 2012 (أو Hyper-V Server 2012) باستخدام VMM.
    • كافة قواعد ACL المنافذ التي تم تعريفها في VMM باستخدام هذه الميزة يتم حسب الحالة (ل TCP). لا يمكنك إنشاء قواعد ACL عديمي الجنسية ل TCP باستخدام VMM.
    لمزيد من المعلومات حول ميزة ACL المنفذ موسع في Windows Server Hyper-V R2 2012، إنشاء نهج أمان باستخدام قوائم التحكم بالوصول إلى المنفذ الموسع ل Windows Server 2012 R2.
  • إرفاق منفذ ACL الإعدادات العمومية. وهذا يطبق على كافة محولات الشبكة الظاهري VM. يتوفر فقط للمسؤولين الكامل.
  • إرفاق منفذ (acls) التي تم إنشاؤها لشبكة VM أو الشبكات الفرعية الجهاز الظاهري VM محولات شبكة الاتصال الظاهرية. يكون هذا متوفراً لكامل المسؤولين والمسؤولين المستأجر ومستخدمو الخدمة الذاتية (الاعتقال).
  • عرض وتحديث قواعد ACL المنافذ التي تم تكوينها على بنك VM الفردية.
  • حذف منفذ ACLs وقواعد ACL الخاصة بهم.
يتم تغطية كل إجراء من هذه الإجراءات بالتفصيل لاحقاً في هذا المقال.

نرجو إفادتكم بأن هذه الوظيفة يتم عرضها فقط من خلال PowerShell cmdlets ولن تظهر في واجهة المستخدم وحدة VMM (باستثناء حالة "الامتثال").

ما لم أفعل مع هذه الميزة؟

  • إدارة/تحديث القواعد الفردية لمثيل واحد عند مشاركة ACL بين مثيلات متعددة. تتم إدارتها مركزياً ضمن موقعها الأصل ACLs كافة القواعد وتطبيق أينما يتم إرفاق ACL.
  • إرفاق أكثر من ACL وحدة.
  • تطبيق ACLs المنفذ لمحولات شبكة الاتصال الظاهرية (فنيكس) في القسم الأصلي Hyper-V (إدارة نظام التشغيل).
  • إنشاء قواعد ACL المنافذ التي تتضمن بروتوكولات مستوى IP (بخلاف TCP أو UDP).
  • تطبيق ACLs المنفذ لشبكات منطقية مواقع الشبكة (الشبكة المنطقية التعاريف)، شبكات vLANs الشبكة الفرعية وأخرى أوليات VMM الشبكة التي تم سردها من قبل لا.

كيف يتم استخدام هذه الميزة؟

تعريف قوائم Acl منفذ جديد وقواعد المنفذ ACL

يمكنك الآن إنشاء قوائم التحكم في الوصول، ونظمها ACL مباشرة من VMM باستخدام PowerShell cmdlets.

إنشاء قائمة تحكم بالوصول الجديد

تضاف cmdlets PowerShell الجديدة التالية:

سكبورتاكل الجديدة -الاسمسلسلة> [-الوصفسلسلة>]

-الاسم: اسم المنفذ ACL

– وصف: وصف المنفذ ACL (معلمة اختيارية)

الحصول على سكبورتاكل

استرداد كافة قوائم Acl المنفذ

-الاسم: اختيارياً إجراء التصفية حسب الاسم

-معرف: اختيارياً إجراء التصفية حسب المعرف

نماذج الأوامر

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


تعريف قواعد ACL المنفذ لمنفذ ACL
يحتوي على مجموعة قواعد منافذ ACL كل منفذ ACL. تتضمن كل قاعدة معلمات مختلفة.

  • اسم
  • الوصف
  • النوع: الواردة/الصادرة (الاتجاه الذي سيتم تطبيق ACL)
  • الإجراء: السماح/الرفض (إجراء ACL للسماح لحركة المرور أو لحظر حركة المرور)
  • سورسيدريسبريفيكس:
  • سورسيبورترانجي:
  • ديستيناتيونادريسبريفيكس:
  • ديستيناتيونبورترانجي:
  • بروتوكول: TCP/Udp/أي (ملاحظة: مستوى IP بروتوكولات غير معتمدة في قوائم Acl المنفذ التي يتم تعريفها بواسطة VMM. فهي لا تزال تدعمها أصلاً Hyper-V.)
  • الأولوية: 1-65535 (الرقم الأقل له الأولوية). يرتبط هذا الأولوية الطبقة التي يتم تطبيقها فيه. (مزيد من المعلومات حول كيفية تطبيق القواعد ACL على أساس الأولوية والكائن الذي تم ACL المرفق التالي.)

Cmdlets PowerShell الجديدة التي تمت إضافتها

جديد-سكبورتاكلرولي -بورتاكلبورتاكل>-الاسمسلسلة> [-وصف <string>]-نوع <Inbound |="" outbound="">-إجراء <Allow |="" deny="">-الأولوية <uint16>-بروتوكول <Tcp |="" udp="" |="" any="">[-سورسيدريسبريفيكس <string: ipaddress="" |="" ipsubnet="">] [-سورسيبورترانجي <string:X|X-Y|Any>] [-ديستيناتيونادريسبريفيكس <string: ipaddress="" |="" ipsubnet="">] [-ديستيناتيونبورترانجي <string:X|X-Y|Any>]

الحصول على سكبورتاكلرولي

استرداد كافة قواعد ACL المنفذ.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • الاسم: اختيارياً إجراء التصفية حسب الاسم
  • معرف: اختيارياً إجراء التصفية حسب المعرف
  • بورتاكل: تصفية اختيارياً بمنفذ ACL
نماذج الأوامر

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

إرفاق وفصل ACLs المنفذ



يمكن إرفاق قوائم التحكم بالوصول لما يلي:
  • إعدادات عمومية (ينطبق على كافة محولات الشبكة VM. فقط المسؤولين الكامل ذلك.)
  • شبكة VM (admins الكامل/المستأجر المسؤولين/الاعتقال ذلك.)
  • الشبكة الفرعية VM (admins الكامل/المستأجر المسؤولين/الاعتقال ذلك.)
  • محولات شبكة الاتصال الظاهرية (admins الكامل/المستأجر المسؤولين/الاعتقال ذلك.)

الإعدادات العمومية

تنطبق هذه القواعد ACL المنفذ على كافة محولات الشبكة الظاهري VM في البنية التحتية.

تم تحديث cmdlets PowerShell الموجودة بمعايير جديدة لإرفاق وفصل ACLs المنفذ.

مجموعة سكفمسيرفير -فمسيرفيرفمسيرفير> [-بورتاكلنيتووركاكسيسكونتروليست> | -ريموفيبورتاكل]
  • بورتاكل: جديد معلمة اختيارية تقوم بتكوين المنفذ المحدد ACL الإعدادات العمومية.
  • ريموفيبورتاكل: معلمة اختيارية جديدة تزيل أي تكوين المنفذ ACL من الإعدادات العمومية.
الحصول على سكفمسيرفير: إرجاع منفذ مكون ACL في الكائن الذي تم إرجاعه.

نماذج الأوامر

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

شبكة VM


سيتم تطبيق هذه القواعد على كافة محولات الشبكة الظاهري VM المتصلة بهذه الشبكة على الجهاز الظاهري.

تم تحديث cmdlets PowerShell الموجودة بمعايير جديدة لإرفاق وفصل ACLs المنفذ.

سكفمنيتوورك الجديدة [-بورتاكلنيتووركاكسيسكونتروليست>] [باقي المعلمات]

-بورتاكل: معلمة اختيارية جديدة تمكنك من تحديد منفذ ACL شبكة VM أثناء الإنشاء.

مجموعة سكفمنيتوورك [-بورتاكلنيتووركاكسيسكونتروليست> | -ريموفيبورتاكل] [باقي المعلمات]

-بورتاكل: معلمة اختيارية جديدة تمكنك من تعيين ACL منفذ شبكة VM.

-ريموفيبورتاكل: معلمة اختيارية جديدة تزيل أي تكوين منفذ الشبكة VM ACL.

الحصول على سكفمنيتوورك: إرجاع منفذ مكون ACL في الكائن الذي تم إرجاعه.

نماذج الأوامر

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

الشبكة الفرعية VM


سيتم تطبيق هذه القواعد على كافة محولات الشبكة الظاهري VM المتصلة بهذه الشبكة الفرعية VM.

تم تحديث cmdlets PowerShell القائمة مع معلمة جديدة لربط وفصل ACLs المنفذ.

سكفمسوبنيت الجديدة [-بورتاكلنيتووركاكسيسكونتروليست>] [باقي المعلمات]

-بورتاكل: معلمة اختيارية جديدة تمكنك من تحديد منفذ ACL للشبكة الفرعية VM أثناء الإنشاء.

مجموعة سكفمسوبنيت [-بورتاكلنيتووركاكسيسكونتروليست> | -ريموفيبورتاكل] [باقي المعلمات]

-بورتاكل: معلمة اختيارية جديدة تمكنك من تعيين منفذ ACL للشبكة الفرعية VM.

-ريموفيبورتاكل: معلمة اختيارية جديدة تزيل أي تكوين منفذ الشبكة الفرعية VM ACL.

الحصول على سكفمسوبنيت: إرجاع منفذ مكون ACL في الكائن الذي تم إرجاعه.

نماذج الأوامر

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

محول شبكة الاتصال الظاهرية الجهاز الظاهري (فمنيك)


تم تحديث cmdlets PowerShell الموجودة بمعايير جديدة لإرفاق وفصل ACLs المنفذ.

سكفيرتوالنيتووركادابتير الجديدة [-بورتاكلنيتووركاكسيسكونتروليست>] [باقي المعلمات]

-بورتاكل: معلمة اختيارية جديدة تمكنك من تحديد منفذ ACL لمحول شبكة الاتصال الظاهرية أثناء قيامك بإنشاء بنك جديد.

مجموعة سكفيرتوالنيتووركادابتير [-بورتاكلنيتووركاكسيسكونتروليست> | -ريموفيبورتاكل] [باقي المعلمات]

-بورتاكل: معلمة اختيارية جديدة تسمح لك بتعيين منفذ ACL لمحول شبكة الاتصال الظاهرية.

-ريموفيبورتاكل: معلمة اختيارية جديدة تزيل أي تكوين المنفذ ACL من محول شبكة الاتصال الظاهرية.

الحصول على سكفيرتوالنيتووركادابتير: إرجاع منفذ مكون ACL في الكائن الذي تم إرجاعه.

نماذج الأوامر

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

تطبيق قواعد المنفذ ACL

عند تحديث نظام رصد السفن بعد إرفاق ACLs المنفذ، لاحظت أنه يتم عرض حالة نظام رصد السفن ك "غير متوافق مع" في طريقة عرض الجهاز الظاهري مساحة النسيج. (للتبديل إلى طريقة عرض الجهاز الظاهري، يجب عليك أولاً بالاستعراض إلى العقدة شبكات منطقية أو عقده مساحة نسيج تبديل منطقية ). يجب أن تدرك حدث تحديث الجهاز الظاهري تلقائياً في الخلفية (في جدول). لذلك، حتى في حالة عدم تحديث VMs صراحة، فسينتقلون إلى حالة غير متوافقة في نهاية المطاف.



عند هذه النقطة، ACLs المنفذ لم يتم تطبيق نظام رصد السفن ومحولات شبكة الاتصال الظاهرية ذات الصلة بها. لتطبيق ACLs المنفذ، يجب عليك تشغيل عملية تعرف باسم عملية الإصلاح. هذا لا يحدث تلقائياً، ويجب أن تبدأ بشكل صريح بناء على طلب المستخدم.

لبدء تشغيل عملية الإصلاح، يمكنك النقر ريميدياتي على الشريط أو تشغيل cmdlet سكفيرتوالنيتووركادابتير الإصلاح . لا توجد أية تغييرات معينة لبناء جملة cmdlet لهذه الميزة.

إصلاح سكفيرتوالنيتووركادابتير -فيرتوالنيتووركادابتيرفيرتوالنيتووركادابتير>

علاج هذه VMs سيتم تعليمها على أنها متوافقة مع وسيتم التأكد من أنه يتم تطبيق ACLs المنفذ الموسعة. يجب أن تدرك أن المنفذ ACLs لن تنطبق على أي نظام رصد السفن في النطاق حتى إصلاح بشكل صريح.

عرض قواعد المنفذ ACL

لعرض قوائم التحكم بالوصول و ACL القواعد، يمكنك استخدام cmdlets PowerShell التالية.

Cmdlets PowerShell الجديدة التي تمت إضافتها

استرداد ACLs المنفذ

تعيين المعلمة 1. للحصول على كافة أو حسب الاسم: الحصول على سكبورتاكل [-اسم <> </>]

تعيين المعلمة 2. للحصول على معرف: الحصول على سكبورتاكل -معرف <> [-اسم <> </>]

استرداد قواعد المنفذ ACL

تعيين المعلمة 1. كافة أو حسب الاسم: الحصول على سكبورتاكلرولي [-اسم <> </>]

تعيين المعلمة 2. حسب المعرف: الحصول على سكبورتاكلرولي -معرف <>

تعيين المعلمة 3. كائن ACL: الحصول على سكبورتاكلرولي -بورتاكلنيتووركاكسيسكونتروليست>

تحديث القواعد ACL المنفذ

عندما تقوم بتحديث ACL المرتبط بمحولات شبكة الاتصال، تنعكس التغييرات في كافة مثيلات محول شبكة الاتصال التي تستخدم ذلك ACL. ل ACL المرتبط بالشبكة الفرعية VM أو VM الشبكة، يتم تحديث كافة مثيلات محول الشبكة المتصل بالشبكة الفرعية بالتغييرات.

ملاحظة: يتم إجراء تحديث القواعد ACL على محولات شبكة الاتصال الفردية في نفس الوقت في نظام أفضل جهد حاول واحد. توضع محولات لا يمكن تحديث لأي سبب من الأسباب "الأمن إينكومبليانت"، وانتهاء المهمة مع رسالة خطأ تنص على أن محولات شبكة الاتصال لم يتم تحديثها بنجاح. "الأمن إينكومبليانت" هنا إلى عدم تطابق في الإيرادات المتوقعة مقارنة بقواعد ACL الفعلي. المحول سيكون حالة توافق "غير متوافق مع" معا مع رسائل الخطأ المتعلقة. راجع المقطع السابق لمزيد من المعلومات حول علاج الأجهزة الظاهرية غير المتوافقة.
إضافة cmdlet PowerShell جديد
مجموعة سكبورتاكل -بورتاكلبورتاكل> [-اسماسم>] [-الوصف <>n >]

مجموعة سكبورتاكلرولي -بورتاكلروليبورتاكلرولي> [-اسماسم>] [-الوصفسلسلة>] [-نوعبورتاكلروليديريكشن> {الوارد | الصادرة}] [-الإجراءبورتاكلروليكشن> {يسمح | رفض}] [-سورسيدريسبريفيكسسلسلة>] [-سورسيبورترانجيسلسلة>] [-ديستيناتيونادريسبريفيكسسلسلة>] [-ديستيناتيونبورترانجيسلسلة>] [-بروتوكولبورتاكلروليبروتوكول> {Tcp | Udp | أي}]

مجموعة سكبورتاكل: تغيير وصف ACL المنفذ.
  • الوصف: تحديث الوصف.

مجموعة سكبورتاكلرولي: تغيير معلمات قاعدة المنفذ ACL.
  • الوصف: تحديث الوصف.
  • نوع: تحديث الاتجاه الذي يتم تطبيق ACL.
  • الإجراء: تحديث إجراء ACL.
  • بروتوكول: تحديث البروتوكول الذي سيتم تطبيق ACL.
  • ذات الأولوية: التحديثات الأولوية.
  • سورسيدريسبريفيكس: تحديث بادئة عنوان المصدر.
  • سورسيبورترانجي: تحديث نطاق المنفذ المصدر.
  • ديستيناتيونادريسبريفيكس: تحديث بادئة عنوان الوجهة.
  • ديستيناتيونبورترانجي: تحديث نطاق المنفذ الوجهة.

حذف منفذ ACLs وقواعد المنفذ ACL

يمكن حذف ACL فقط إذا كان هناك أية تبعيات المرتبطة به. تتضمن تبعيات VM VM/شبكة الاتصال/الشبكة الفرعية الافتراضية المحول/العالمية إعدادات الشبكة المرفقة بقائمة التحكم في الوصول. عند محاولة حذف منفذ ACL باستخدام PowerShell cmdlet، cmdlet سيكشف ما إذا كان المنفذ ACL يتم إرفاق أي التبعيات وسيتم طرح رسائل الخطأ المناسبة.

إزالة منفذ ACLs

تم إضافة cmdlets PowerShell الجديد:

إزالة سكبورتاكل -بورتاكلنيتووركاكسيسكونتروليست>

إزالة قواعد المنفذ ACL

تم إضافة cmdlets PowerShell الجديد:

إزالة سكبورتاكلرولي -بورتاكلرولينيتووركاكسيسكونتروليسترولي>

يجب أن تدرك أن حذف VM الشبكة الفرعية/VM/محول شبكة الاتصال تلقائياً بإزالة الاقتران مع ذلك ACL.

أن تنفصل ACL أيضا عن محول شبكة الاتصال/الشبكة الفرعية/VM الجهاز الظاهري بتغيير الكائن VMM الشبكات المعنية. للقيام بذلك، استخدم cmdlet -مجموعة رمز التبديل -ريموفيبورتاكل ، كما هو موضح في الأقسام السابقة. في هذه الحالة، المنفذ ACL ستكون بعيدة عن كائن الشبكة المعنية ولكن لن يتم حذف من البنية التحتية VMM. ولذلك، فإنه يمكن إعادة استخدامها فيما بعد.

التغييرات خارج النطاق لقواعد ACL

إذا نفعل خارج النطاق (خارج النطاق) التغييرات في قواعد ACL من منفذ محول ظاهري Hyper-V (باستخدام cmdlets Hyper-V الأصلية مثل إضافة فمنيتووركادابتيريكستينديداكل)، "تحديث الجهاز الظاهري" سيعرض محول شبكة الاتصال باسم "إينكومبليانت الأمان." ثم سيجري استصلاحها محول الشبكة من VMM كما هو موضح في المقطع "تطبيق ACLs المنفذ". على الرغم من ذلك، عملية الإصلاح إلى الكتابة فوق كافة قواعد ACL المنفذ المعرفة خارج VMM مع تلك التي كان من المتوقع من VMM.

منفذ ACL قاعدة الأولوية وتطبيق الأسبقية (خيارات متقدمة)

المفاهيم الأساسية

كل قاعدة ACL المنفذ في منفذ ACL على خاصية تسمى "الأولوية". يتم تطبيق القواعد بالترتيب بناء على أولوياتها. المبادئ الأساسية التالية بتعريف قواعد الأسبقية:
  • كلما قلت أولوية أعلى الأسبقية رقم. فإذا عدة قواعد ACL المنفذ تتعارض مع بعضها البعض، يفوز القاعدة ذات أولوية أدنى.
  • لا يؤثر إجراء قاعدة الأسبقية. فخلافا لقوائم التحكم في الوصول NTFS (على سبيل المثال)، هنا ليس لدينا مفهوم مثل "الرفض دائماً الأسبقية على السماح".
  • على نفس الأولوية (نفس القيمة الرقمية)، لا يمكن أن يكون هناك قاعدتان بنفس الاتجاه. يمنع هذا السلوك حالة افتراضية فيه أحد تعريف قواعد "رفض" و "السماح" بأولوية متساوية، لأن هذا سيؤدي في غموض أو تعارض.
  • يعرف تعارض قواعد اثنين أو أكثر من الحصول على نفس الدرجة من الأولوية ونفس الاتجاه. قد يحدث تعارض وجود قاعدتين ACL المنفذ بنفس الأولوية والاتجاه في اثنين (acls) التي يتم تطبيقها على مستويات مختلفة، وتتداخل جزئيا تلك المستويات. فقد يكون هناك كائن (على سبيل المثال، فمنيك) التي تقع في نطاق كل من المستويين. مثال شائع لتداخل هي شبكة VM والشبكة الفرعية VM في نفس الشبكة.

تطبيق ACLs المنفذ متعددة لكيان واحد

لأن تطبيق ACLs منفذ مختلف VMM كائنات شبكة الاتصال (أو على مستويات مختلفة، على النحو المبين سابقا)، محول شبكة اتصال ظاهرية VM واحد (فمنيك) يمكن أن تقع في نطاق ACLs المنفذ متعددة. في هذا السيناريو، يتم تطبيق قواعد ACL المنفذ من كافة قوائم Acl المنفذ. ومع ذلك، يمكن أسبقية هذه القواعد مختلفة، اعتماداً على عدة VMM الجديدة تحسين الإعدادات الموضحة لاحقاً في هذه المقالة.

إعدادات التسجيل

يتم تعريف هذه الإعدادات كقيم Dword في "تسجيل Windows" ضمن المفتاح التالي على ملقم إدارة VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

يرجى أخذ العلم سوف تؤثر هذه الإعدادات على سلوك ACLs المنفذ عبر كامل البنية التحتية VMM.

منفذ فعال أولوية القاعدة ACL

في هذه المناقشة، سوف يصف لنا أسبقية قواعد ACL المنفذ الفعلي عند تطبيق منفذ عدة قوائم التحكم بالوصول إلى كيان واحد "أولوية القاعدة فعالة". نرجو إفادتكم بأن هناك إعداد منفصلة أو الكائن في VMM تحديد أو عرض "أولوية القاعدة فعالة". يتم حسابها في وقت التشغيل.

هناك وضعان العمومية التي يمكن احتساب "سريان قاعدة الأولوية". تبديل الأوضاع إعداد التسجيل:
PortACLAbsolutePriority

القيم المقبولة لهذا الإعداد هي 0 (صفر) أو 1، حيث يشير 0 إلى السلوك الافتراضي.

الأولوية النسبية (السلوك الافتراضي)

لتمكين هذا الوضع، تعيين الخاصية بورتاكلابسولوتيبريوريتي في التسجيل إلى قيمة 0 (صفر). وينطبق هذا الوضع أيضا إذا لم يتم تعريف الإعداد في التسجيل (مثلاً, إذا لم يتم إنشاء الخاصية).

في هذا الوضع، تطبيق المبادئ التالية بالإضافة إلى المفاهيم الأساسية التي تم وصفها سابقا:
  • يتم الاحتفاظ بالأولوية ضمن نفس المنفذ ACL. ولذلك، تعامل نسبي داخل ACL أولوية القيم التي تم تعريفها في كل قاعدة.
  • عندما تقوم بتطبيق ACLs المنفذ متعددة، يتم تطبيق القواعد الخاصة بهم في مستودعات. يتم تطبيق القواعد من نفس ACL (التابعة لكائن محدد) معا في نفس المستودع. أسبقية مستودعات معينة تعتمد على الكائن الذي ترتبط المنفذ ACL.
  • هنا، أي القواعد التي يتم تعريفها في إعدادات عمومية ACL (بغض النظر عن الأولويات الخاصة بها كما هو محدد في منفذ ACL) دائماً الأسبقية على القواعد التي تم تعريفها في دوري إبطال آسيا التي يتم تطبيقها على فمنيك، وهكذا. وبعبارة أخرى، فرض فصل طبقة.

في النهاية، "أولوية القاعدة الفعال" يمكن أن تختلف عن القيمة الرقمية التي تقوم بتعريفها في خصائص قاعدة المنفذ ACL. مزيد من المعلومات حول كيف يتم فرض هذا السلوك وكيف يمكنك تغيير المنطق يتبع.

  1. يمكن تغيير ترتيب الأسبقية فيه ثلاثة مستويات "الخاصة بالكائن" (أي فمنيك، شبكة فرعية VM وشبكة VM).

    1. لا يمكن تغيير ترتيب الإعدادات العمومية. دائماً يأخذ الأسبقية (أو أمر = 0).
    2. المستويات الثلاثة الأخرى، يمكنك تعيين الإعدادات التالية إلى قيمة رقمية بين 0 و 3، حيث 0 الأسبقية (ما يعادل الإعدادات العمومية) و 3 أسبقية أقل:
      • PortACLVMNetworkAdapterPriority
        (الافتراضي هو 1)
      • PortACLVMSubnetPriority
        (الافتراضي هو 2)
      • PortACLVMNetworkPriority
        (القيمة الافتراضية هي 3)
    3. إذا قمت بتعيين نفس قيمة (من 0 إلى 3) لإعدادات التسجيل هذه متعددة، أو إذا قمت بتعيين قيمة خارج النطاق 0 إلى 3، ستفشل VMM إلى السلوك الافتراضي.
  2. هي طريقة إنفاذ أمر تغيير "أفضلية القاعدة فعالة" كي تحظى ACL القواعد التي يتم تعريفها على مستوى أعلى أولوية أعلى (هو أصغر قيمة رقمية). عند حساب ACL فعالة، كل قيمة لأفضلية القاعدة النسبية هي "صدم" بالقيمة الخاصة بالمستوى أو "خطوة".
  3. القيمة الخاصة بمستوى هي "خطوة" الذي يفصل بين مستويات مختلفة. بشكل افتراضي، حجم "الخطوة" هو 10000 وتكوين إعداد التسجيل التالية:
    PortACLLayerSeparation
  4. وهذا يعني أنه، في هذا الوضع، أي أولوية القاعدة الفردية ضمن دوري إبطال آسيا (أي قاعدة يتم التعامل معها نسبي) لا يمكن أن تتجاوز قيمة الإعداد التالية:
    PortACLLayerSeparation
    (افتراضياً، 10000)
مثال التكوين
افترض أن كافة الإعدادات على القيم الافتراضية. (يرد وصف سابقا.)
  1. لدينا ACL التي ترتبط بها فمنيك (بورتاكلفمنيتووركادابتيربريوريتي = 1).
  2. أولوية فعالة لكافة القواعد التي تم تعريفها في دوري إبطال آسيا هذا هو الاصطدام ب 10000 (القيمة بورتاكلاييرسيباريشن).
  3. نقوم بتعريف قاعدة في هذا ACL ذات أولوية التي تم تعيينها إلى 100.
  4. وسيكون أولوية سريان هذه القاعدة 10000 + 100 = 10100.
  5. القاعدة ستأخذ الأسبقية على القواعد الأخرى داخل نفس ACL الذي الأولوية أكبر من 100.
  6. القاعدة دائماً تأخذ الأولوية على أي القواعد التي تم تعريفها في قوائم التحكم في الوصول مرفقة على الشبكة VM ومستوى الشبكة الفرعية VM. (هذا صحيح لأن تعتبر تلك المستويات "الأدنى").
  7. القاعدة لا تأخذ الأولوية على أي القواعد التي يتم تعريفها في إعدادات عمومية ACL.
مزايا هذا الوضع
  • هناك ظروف أمنية أفضل في وحدات سيناريو متعددة المستأجرين لمنفذ ACL القواعد التي يتم تعريفها بواسطة المشرف النسيج (على مستوى إعدادات عمومية) دائماً أسبقية على أي القواعد التي يتم تعريفها بالمستأجرين أنفسهم.
  • يتم منع التعارضات القاعدة ACL المنفذ (أي غموض) تلقائياً بسبب فصل طبقة. من السهل جداً التنبؤ بأي قواعد فعالة ولماذا.
وتحذر بهذا الوضع
  • مرونة أقل. إذا قمت بتعريف قاعدة (على سبيل المثال، "رفض كافة حركات المرور المنفذ 80") في إعدادات عمومية، ابدأ إنشاء استثناء نقاوة من هذه القاعدة في طبقة السفلية (على سبيل المثال، "السماح المنفذ 80 فقط على هذا الجهاز الظاهري الذي يقوم بتشغيل خادم ويب شرعية").

الأولوية النسبية

لتمكين هذا الوضع، تعيين الخاصية بورتاكلابسولوتيبريوريتي في التسجيل إلى قيمة 1.

في هذا الوضع، تطبيق المبادئ التالية بالإضافة إلى المفاهيم الأساسية التي تم وصفها سابقا:
  • إذا كان كائن يقع ضمن نطاق ACLs متعددة (على سبيل المثال، شبكة VM والشبكة الفرعية VM)، يتم تطبيق كافة القواعد التي تم تعريفها في أي قوائم التحكم في الوصول مرفقة بترتيب موحد (أو كمستودع واحد). توجد أي فصل مستوى ولا "الاهتزاز" على الإطلاق.
  • تعامل جميع الأولويات القاعدة كالمطلقة، تماما كما يتم تحديدها في كل قاعدة أولوية من الأولويات. وبعبارة أخرى، أولوية كل قاعدة فعالة هو نفس ما يتم تعريفه في قاعدة نفسها ولم تتغير عن طريق مشغل VMM قبل تطبيقه.
  • يكون كافة إعدادات التسجيل الأخرى الموضحة في القسم السابق أي تأثير.
  • في هذا الوضع، لا يمكن أن يتجاوز أي أولوية القاعدة الفردية في ACL (أي قاعدة أولوية التي يتم التعامل معها مطلق) 65535.
مثال التكوين
  1. في إعدادات عمومية ACL، يمكنك تعريف قاعدة الأولوية الخاصة بها التي تم تعيين إلى 100.
  2. في دوري إبطال آسيا التي ترتبط بها فمنيك، يمكنك تعريف قاعدة يتم تعيين الأولوية الخاصة بها إلى 50.
  3. القاعدة التي تم تعريفها على مستوى فمنيك الأسبقية لأن له أولوية أعلى (أي انخفاض قيمة رقمية).
مزايا هذا الوضع
  • مزيد من المرونة. يمكنك إنشاء استثناءات "لمرة واحدة" من قواعد الإعدادات العمومية على المستويات الأدنى (على سبيل المثال، الشبكة الفرعية VM أو فمنيك).
وتحذر بهذا الوضع
  • التخطيط قد تصبح أكثر تعقيداً لأنه لا يوجد مستوى فصل. ويمكن أن يكون هناك قاعدة على أي مستوى يتجاوز القواعد الأخرى التي تم تعريفها على كائنات أخرى.
  • في بيئات متعددة المستأجرين، يمكن أن تتأثر الأمان لأن مستأجر إنشاء قاعدة على مستوى الشبكة الفرعية VM يتجاوز النهج الذي يحدده المسؤول النسيج على مستوى إعدادات عمومية.
  • تعارضات القاعدة (أي غموض) لم يتم إنهاؤها تلقائياً ويمكن أن يحدث. منع التعارضات فقط على نفس مستوى ACL VMM. لا يمكن منع الصراعات عبر ACLs المرفقة على كائنات مختلفة. في حالات النزاع، سبب VMM لا يمكن حل التعارض تلقائياً، سيتم إيقاف تطبيق القواعد وسيتم طرح خطأ.

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 3101161 - آخر مراجعة: 10/29/2015 23:33:00 - المراجعة: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbmt KB3101161 KbMtar
تعليقات