Podpora nasazení technologie Hyper-V, rozšířený port ACL v System Center 2012 R2 VMM s kumulativní aktualizací 8

Souhrn

Správci z Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) můžete nyní centrálně vytvářet a spravovat Hyper-V portu seznamů řízení přístupu (ACL) v VMM.

Další informace

Další informace o 8 kumulativní aktualizace pro System Center 2012 R2 Virtual Machine Manager klepněte na následující číslo článku databáze Microsoft Knowledge Base:



3096389 kumulativní aktualizace 8 pro System Center 2012 R2 Virtual Machine Manager

Glosář

Jsme zlepšily objektový model Virtual Machine Manager přidáním následující nové koncepce v oblasti správy sítě.
  • Seznam řízení přístupu port (port ACL)
    Objekt, který je připojen do různých sítí primitiv VMM popisující zabezpečení sítě. Port ACL slouží jako kolekce položek řízení přístupu nebo pravidel ACL. Seznam ACL lze připojit libovolný počet (nula nebo více) VMM sítě primitiv, například sítě VM, VM podsítě, virtuální síťový adaptér nebo samotný server pro správu VMM. Seznam ACL může obsahovat libovolný počet (nula nebo více) pravidla ACL. Každý kompatibilní VMM základní sítě (sítě VM, VM podsítě, virtuální síťový adaptér nebo server pro správu VMM) může mít jeden port, který je připojen seznam ACL nebo žádný.
  • Položka řízení přístupu portu nebo pravidla řízení přístupu
    Objekt, který popisuje filtrování zásad. Více pravidel ACL mohou existovat ve stejný port ACL a použít podle jejich priority. Každé pravidlo ACL odpovídá přesně jeden port ACL.
  • Globální nastavení
    Virtuální pojem, který popisuje port ACL, které jsou použity pro všechny virtuální síťové adaptéry VM v infrastruktuře. Neexistuje žádný typ samostatný objekt pro globální nastavení. Místo toho globální nastavení portu ACL přikládá samotný server pro správu VMM. Objekt VMM management server může mít jeden port ACL nebo žádný.
Informace o objektech v oblasti správy sítě, které byly dříve k dispozici v tématu Virtual Machine Manager sítě objektu základy.

Co lze udělat s touto funkcí?

Pomocí rozhraní PowerShell VMM lze nyní provést následující akce:
  • Definujte port ACL a jejich pravidla ACL.
    • Jsou použita pravidla portů virtuální přepínač technologie Hyper-V serverech jako "rozšířený port ACL" (VMNetworkAdapterExtendedAcl) v terminologii Hyper-V. To znamená, že lze použít pouze k hostitelským serverům Windows Server 2012 R2 (a technologie Hyper-V Server 2012 R2).
    • VMM nevytvoří "legacy" ACL portu technologie Hyper-V (VMNetworkAdapterAcl). Proto nelze použít port ACL hostitelských serverů Windows Server 2012 (nebo technologie Hyper-V Server 2012) pomocí VMM.
    • Všechna pravidla port ACL, které jsou definovány ve VMM pomocí této funkce jsou stavové (pro TCP). Bez státní příslušnosti ACL pravidel pro TCP nelze vytvořit pomocí VMM.
    Další informace o funkci Rozšířený port ACL v systému Windows Server 2012 R2 Hyper-V naleznete v tématu Vytvoření zásad zabezpečení pomocí rozšířené Port přístup ovládací prvek seznamy pro Windows Server 2012 R2.
  • Port ACL připojte ke globální nastavení. To platí pro všechny virtuální síťové adaptéry VM. Je k dispozici pouze v úplné admins.
  • Port ACL, které jsou vytvořeny připojte k síti VM, VM podsítě nebo virtuální síťové adaptéry VM. To je k dispozici úplná admins admins klienta a uživatele samoobslužných stránek odběratelů (SSUs).
  • Zobrazit a aktualizovat pravidla portu ACL, které jsou nakonfigurovány v jednotlivých VM vNIC.
  • Odstraňte port ACL a jejich pravidla ACL.
Všechny tyto akce je detailně dále v tomto článku.

Uvědomte si prosím, že tato funkce je k dispozici pouze prostřednictvím rutin prostředí PowerShell a se neprojeví v konzole VMM uživatelského rozhraní (s výjimkou státu "Soulad").

Co nemůže udělat s touto funkcí?

  • Správa nebo aktualizace jednotlivých pravidel pro jednu instanci při seznamu ACL je sdílena mezi více instancí. Všechna pravidla jsou centrálně spravovány v rámci své nadřazené položky ACL a použít všude, kde je připojen seznam ACL.
  • Připojte více než jeden seznam ACL k entitě.
  • Použít port ACL pro virtuální síťové adaptéry (vNICs) v nadřazeného oddílu Hyper-V (Správa operačního systému).
  • Vytvoření pravidla portu ACL, které zahrnují protokoly na úrovni protokolu IP (než TCP nebo UDP).
  • Použít port ACL logických sítí, síťové servery (definice logické sítě), podsítě VLAN a jiných VMM sítě primitiv, které nebyly dříve uvedeny.

Použití funkce

Definování nové port ACL a jejich pravidla ACL portu

Nyní můžete vytvořit seznamy ACL a jejich pravidla ACL přímo ve VMM pomocí rutin prostředí PowerShell.

Vytvořit nový seznam ACL

Vkládají se následující nové rutiny prostředí PowerShell:

Nový SCPortACL – název <řetězec> [– popis <řetězec>]

– Název: Název port ACL

– Popis: Popis port ACL (volitelný parametr)

Get-SCPortACL

Načte všechny seznamy ACL portu

– Název: Můžete také filtrovat podle názvu

– ID: můžete také filtrovat podle ID

Ukázkové příkazy

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definovat pravidla port ACL port ACL
Každý port ACL se skládá z kolekce ACL pravidel portů. Každé pravidlo obsahuje různé parametry.

  • Jméno
  • Popis
  • Typ: Vstupní/výstupní (směr, ve kterém se použije seznam řízení přístupu)
  • Akce: Povolit/zakázat (akce ACL, přenos povolit nebo blokovat přenos)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokol: TCP/Udp/libovolného (Poznámka: v port ACL, které jsou definovány pomocí VMM nepodporuje protokoly na úrovni protokolu IP. Že jsou i nadále podporovány nativně technologie Hyper-V.)
  • Priorita: 1 – 65535 (nejnižší číslo má nejvyšší prioritu). Tato priorita je vzhledem k vrstvě, ve které působí. (Další informace o používání pravidel ACL na základě priority a objekt seznamu ACL je takto připojený.)

Nové rutin prostředí PowerShell, které jsou přidány

Nový SCPortACLrule - PortACL <PortACL>-název <řetězec> [-popis < řetězec >]-Typ < vstupní | Výstupní >-Akce < povolit | Odepřít >-< uint16 > Priorita-protokol < Tcp | UDP | Všechny > [-SourceAddressPrefix < řetězec: Adresa_ip | IPSubnet >] [-SourcePortRange < řetězec: X | X-Y | Všechny >] [-DestinationAddressPrefix < řetězec: Adresa_ip | IPSubnet >] [-DestinationPortRange < řetězec: X | X-Y | Všechny >]

Get-SCPortACLrule

Vyhledá všechny pravidla port ACL.

  • Název: Můžete také filtrovat podle názvu
  • ID: Můžete také filtrovat podle ID
  • PortACL: Můžete také filtrovat podle port ACL
Ukázkové příkazy

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Připojení a odpojení port ACL



Seznamy ACL lze připojit následujícím způsobem:
  • Globální nastavení (platí pro všechny síťové adaptéry VM. Pouze úplná admins lze provést.)
  • VM sítě (úplné admins/nájemce admins/SSUs lze provést.)
  • VM podsítě (úplné admins/nájemce admins/SSUs lze provést.)
  • Virtuální síťové adaptéry (úplné admins/nájemce admins/SSUs lze provést.)

Globální nastavení

Tato port ACL pravidla platí pro všechny virtuální síťové adaptéry VM v infrastruktuře.

Nové parametry pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Sada SCVMMServer – VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]
  • PortACL: Nový volitelný parametr, který nastaví zadaný port ACL globální nastavení.
  • RemovePortACL: Nový volitelný parametr, který odebere všechny nakonfigurován port ACL z globální nastavení.
Get-SCVMMServer: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázkové příkazy

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM sítě


Tato pravidla budou použita pro všechny virtuální síťové adaptéry VM, připojené k této síti VM.

Nové parametry pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Nový SCVMNetwork [-PortACL <NetworkAccessControlList>] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje zadat při vytváření portu ACL sítě VM.

Sada SCVMNetwork [-PortACL <NetworkAccessControlList> | - RemovePortACL] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje nastavit port ACL sítě VM.

-RemovePortACL: port ACL z VM sítě nakonfigurován nový volitelný parametr, který odebere všechny.

Get-SCVMNetwork: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázkové příkazy

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM podsítě


Tato pravidla budou použita pro všechny virtuální síťové adaptéry VM, které jsou připojeny k této podsíti VM.

Nový parametr pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Nový SCVMSubnet [-PortACL <NetworkAccessControlList>] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje zadat při vytváření portu ACL VM podsítě.

Sada SCVMSubnet [-PortACL <NetworkAccessControlList> | - RemovePortACL] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje nastavit port ACL VM podsítě.

-RemovePortACL: port ACL z podsítě VM nakonfigurován nový volitelný parametr, který odebere všechny.

Get-SCVMSubnet: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázkové příkazy

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Virtuální síťový adaptér VM (vmNIC)


Nové parametry pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Nový SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje určit port ACL pro virtuální síťový adaptér, při vytváření nové vNIC.

Sada SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList> | - RemovePortACL] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje nastavit port ACL pro virtuální síťový adaptér.

-RemovePortACL: port ACL z virtuální síťový adaptér nakonfigurován nový volitelný parametr, který odebere všechny.

Get-SCVirtualNetworkAdapter: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázkové příkazy

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Použití seznamu ACL pravidel portů

Pokud aktualizujete VMs po připojení portu ACL, zjistíte, že stav VMs je zobrazen jako "Nevyhovující" v zobrazení virtuálního počítače topologie Fabric pracovního prostoru. (Chcete-li přepnout do zobrazení virtuálního počítače, musíte nejprve přejděte k Logické sítě uzlu nebo uzlu Logického přepínače topologie Fabric pracovního prostoru). Uvědomte si, že VM obnovení probíhá automaticky na pozadí (podle plánu). Proto i v případě, že není VMs explicitně aktualizovat, přejde do stavu nekompatibilní nakonec.



V tomto okamžiku port ACL dosud nenainstalovali VMs a jejich příslušné virtuální síťové adaptéry. Použít port ACL, je nutné spustit proces, který je známý jako náprava. To nikdy se automaticky stane, má být spuštěn a explicitně na žádost uživatele.

Zahájíte náprava je Remediate na pásu karet klepněte na tlačítko nebo spuštění rutiny SCVirtualNetworkAdapter opravy . Neexistují žádné konkrétní změny syntaxe rutiny pro tuto funkci.

<VirtualNetworkAdapter> SCVirtualNetworkAdapter opravy - VirtualNetworkAdapter

Vyhodnocováním tyto VMs je označit jako kompatibilní a bude Ujistěte se, že jsou uplatňovány rozšířený port ACL. Uvědomte si, že port ACL se nevztahuje na všechny VMs v oboru, dokud jste nápravě explicitně.

Zobrazení seznamu ACL pravidel portů

Chcete-li zobrazit seznamy ACL a ACL pravidel, můžete použít následující rutiny prostředí PowerShell.

Nové rutin prostředí PowerShell, které jsou přidány

Načtení seznamů ACL portu

Nastavit parametr 1. Chcete-li získat všechny nebo podle názvu: Get-SCPortACL [-název <>]

Nastavit parametr 2. Chcete-li získat ID: Get-SCPortACL -Id <> [-název <>]

Načíst seznam ACL pravidel portů

Nastavit parametr 1. Všechny nebo podle názvu: Get-SCPortACLrule [-název <>]

Nastavit parametr 2. ID: Get-SCPortACLrule -Id <>

Nastavit parametr 3. Pomocí seznamu řízení přístupu objektu: Get-SCPortACLrule – PortACL <NetworkAccessControlList>

Aktualizace seznamu ACL pravidel portů

Při aktualizaci řízení přístupu, který je připojen k síťové adaptéry se projeví ve všech instancích adaptéru sítě používající tento seznam ACL. Seznam ACL, který je připojen k VM sítě a podsítě VM jsou všechny instance adaptér sítě, které jsou připojeny k této podsíti aktualizován změnami.

Poznámka: Aktualizace pravidel ACL na jednotlivé síťové adaptéry probíhá paralelně v režimu one try nejlepší úsilí. Adaptéry, které nemohou být aktualizovány z nějakého důvodu jsou označeny "security incompliant" a na dokončení úlohy s chybovou zprávou oznamující, že nebyly úspěšně aktualizovány síťové adaptéry. "Security incompliant" zde odkazuje k neshodě v očekávání versus skutečná pravidla ACL. Adaptér bude mít stav shody "Nevyhovující" společně s odpovídající chybové zprávy. Naleznete v předchozí části Další informace o nekompatibilních virtuálních počítačů nesplňujících požadavky.
Nové rutiny prostředí PowerShell přidat
Sada SCPortACL - PortACL <PortACL> [-název <název>] [-popis < description >]

<PortACLrule> Sada SCPortACLrule - PortACLrule [-název <název>] [-popis <řetězec>] [-Zadejte <PortACLRuleDirection> {vstupní | Výstupní}] [-akce <PortACLRuleAction> {Povolení | DENY}] [-SourceAddressPrefix <řetězec>] [-SourcePortRange <řetězec>] [-DestinationAddressPrefix <řetězec>] [-DestinationPortRange <řetězec>] [-protokol <PortACLruleProtocol> {Tcp | UDP | Všechny}]

Sada SCPortACL: změní označení portu ACL.
  • Popis: Aktualizuje popis.

Sada SCPortACLrule: Změní parametry pravidla port ACL.
  • Popis: Aktualizuje popis.
  • Typ: Aktualizuje směr, ve kterém je použit seznam ACL.
  • Akce: Aktualizuje akce seznamu ACL.
  • Protokol: Aktualizuje protokol, pro něž lze použít seznam řízení přístupu.
  • Důležité: Aktualizace prioritu.
  • SourceAddressPrefix: Aktualizace předponu zdrojové adresy.
  • SourcePortRange: Aktualizuje rozsah zdrojových portů.
  • DestinationAddressPrefix: Aktualizace předponou cílové adresy.
  • DestinationPortRange: Aktualizuje rozsah cílových portů.

Odstranění portu ACL a ACL pravidel portů

Seznam ACL lze odstranit pouze v případě, že neexistují žádné závislosti, k němu připojené. Závislosti patří VM sítě/VM podsítě, virtuální síťový adaptér, globální nastavení připojené k seznamu řízení přístupu. Při pokusu o odstranění portu ACL pomocí rutiny prostředí PowerShell rutiny zjistí, zda port ACL je připojena k některé ze závislostí a vyvolá odpovídající chybové zprávy.

Odebrání portu ACL

Byly přidány nové rutiny prostředí PowerShell:

Odebrat SCPortACL - PortACL <NetworkAccessControlList>

Odebrání pravidla portu ACL

Byly přidány nové rutiny prostředí PowerShell:

Odebrat SCPortACLRule - PortACLRule <NetworkAccessControlListRule>

Uvědomte si, že odstranění virtuálního počítače v síti podsítě/VM/síťový adaptér automaticky odebere přidružení k této ACL.

Seznam ACL lze také oddělen od sítě nebo síťový adaptér VM podsítě/VM změnou příslušných objektů sítě VMM. Chcete-li to provést, použijte rutinu Set- spolu s přepínačem - RemovePortACL popsané v předchozích částech. V tomto případě port ACL bude oddělit od příslušného síťového objektu, ale nebudou odstraněny z infrastruktury VMM. Proto jej lze později znovu použit.

Změny pravidel ACL Out-of-band

Pokud naší činnosti out-of-band (OOB) změny pravidel ACL z portu virtuálního přepínače Hyper-V (pomocí nativní rutin technologie Hyper-V, například Přidat VMNetworkAdapterExtendedAcl), aktualizovat VM zobrazí síťový adaptér jako "Security Incompliant". Síťový adaptér můžete pak remediated z VMM, jak je popsáno v části "Používání port ACL". Náprava škod však přepíše všechna pravidla ACL portu, které jsou definovány mimo VMM s těmi, které jsou očekávány v VMM.

Port ACL priority a aplikace prioritu pravidel (rozšířené)

Základní pojmy

Každé pravidlo portu ACL port ACL obsahuje vlastnost s názvem "Priorita". Pravidla jsou použita v pořadí podle jejich priority. Tyto základní zásady definují pravidla přednosti:
  • Čím nižší prioritu číslo, tím vyšší je priorita je. To znamená pokud více port ACL pravidel navzájem v rozporu, vyhrává pravidla s nižší prioritou.
  • Akce pravidla neovlivňuje prioritu. To znamená na rozdíl od seznamů řízení přístupu systému souborů NTFS (například) zde nemáme koncept jako "Odepřít vždy přednost povolit".
  • Na stejné priority (stejnou číselnou hodnotu), nemůže mít dvě pravidla se stejným směrem. Toto chování zabrání hypotetické situaci, ve které jeden může definovat pravidla "Zamítnutí" a "Povolit" se stejnou prioritou, protože výsledkem by v nejednoznačnosti nebo konflikt.
  • Konflikt je definována jako dvě nebo více pravidel, které mají stejnou prioritu a stejným směrem. Ke konfliktu může dojít, pokud existují dvě pravidla port ACL se stejnou prioritou a směr dva seznamy ACL, které jsou použity na různých úrovních, a pokud tyto limity se částečně překrývají. To znamená může být objekt (například vmNIC), který spadá do působnosti obou úrovní. Běžným příkladem překrývající se VM sítě a podsítě VM ve stejné síti.

Použití více port ACL u jedné entity

Vzhledem k tomu, že port ACL lze použít různé VMM objekty sítě (nebo na různých úrovních, jak je popsáno výše), můžete jeden virtuální síťový adaptér VM (vmNIC) spadají do působnosti více port ACL. V tomto scénáři jsou použity ACL pravidel portů ze všech seznamů ACL portu. Přednosti těchto pravidel však může být různé v závislosti na několika nových VMM jemné doladění nastavení, které jsou uvedeny dále v tomto článku.

Nastavení registru

Tato nastavení jsou definovány jako hodnot Dword v registru systému Windows pod následujícím klíčem na serveru pro správu VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Uvědomte si prosím, že toto nastavení ovlivní chování portu ACL přes celé infrastruktury VMM.

Priorita pravidla účinná port ACL

V této diskusi jsme popisují skutečné pořadí ACL pravidel portů při použití více port ACL pro jednu entitu jako efektivní prioritu pravidla. Prosím Uvědomte si, že neexistuje žádné zvláštní nastavení nebo objektu v VMM definovat nebo zobrazení efektivní prioritu pravidla. Počítá se v modulu runtime.

Existují dva globální režimy, ve kterých lze vypočítat efektivní prioritu pravidla. Přepínání režimů pomocí nastavení registru:
PortACLAbsolutePriority

Přijatelné hodnoty pro toto nastavení je 0 (nula) nebo 1, kde 0 označuje výchozí chování.

Relativní priorita (výchozí chování)

Chcete-li tento režim, nastavte vlastnost PortACLAbsolutePriority v registru na hodnotu 0 (nula). Tento režim také platí, pokud není definováno nastavení v registru (Pokud není vytvořen vlastnost).

Následující zásady se vztahují kromě základních konceptů, které bylo popsáno dříve v tomto režimu:
  • Priority v rámci stejný port ACL je zachována. Proto jsou považovány hodnoty priority, které jsou definovány v každém pravidle jako relativní v rámci seznamu ACL.
  • Při použití více port ACL jejich pravidla jsou použita v prodlení. Pravidla ze stejného seznamu ACL (připojených na daný objekt) jsou použita společně ve stejném bloku. Přednosti zejména bloků závisí na objektu, ke které je připojen na port ACL.
  • Zde žádná pravidla, které jsou definovány v globálním nastavení ACL (bez ohledu na své vlastní priority definované v port ACL) vždy přednost pravidel, která jsou definována v seznamu řízení přístupu použitý na vmNIC atd. Jinými slovy je vynuceno rozdělení vrstvy.


Nakonec efektivní prioritu pravidla mohou lišit od číselnou hodnotu, kterou definujete vlastnosti pravidla port ACL. Následuje další informace o tom, jak toto chování vynuceno a změna jeho logiku.

  1. Lze změnit pořadí, ve kterém mají přednost tři úrovně "objektu specifické" (to znamená vmNIC podsítě VM a VM sítě).

    1. Nelze změnit pořadí globální nastavení. Má vždy přednost (nebo pořadí = 0).
    2. U ostatních tří úrovní můžete nastavit následující nastavení na numerickou hodnotu mezi 0 a 3, kde 0 je nejvyšší prioritou (rovná se globální nastavení) a 3 je nejnižší prioritu:

      • PortACLVMNetworkAdapterPriority (výchozí je 1)
      • PortACLVMSubnetPriority (výchozí hodnota je 2)
      • PortACLVMNetworkPriority (výchozí hodnota je 3.)
    3. Pokud přiřadíte více nastavení registru stejnou hodnotu (0-3) nebo přiřadit hodnotu mimo rozsah 0 až 3, se nezdaří VMM zpět na výchozí chování.
  2. Způsob řazení je vynuceno, aby je, že efektivní prioritu pravidla se změní tak, aby pravidla ACL, které jsou definovány ve vyšší úrovni je přiřazena vyšší priorita (to znamená menší číselnou hodnotu). Při výpočtu efektivní ACL každé pravidlo relativní hodnota priority je "bumped" úrovni konkrétní hodnotu nebo "krok".
  3. Hodnota specifická úroveň je "krok", který odděluje různé úrovně. Ve výchozím nastavení velikosti "krok" je 10 000 a je konfigurována pomocí následujícího nastavení registru:
    PortACLLayerSeparation
  4. To znamená, že v tomto režimu priority jednotlivých pravidel v seznamu ACL (který je pravidlo, které je považováno za relativní) nesmí překročit hodnotu následující nastavení:
    PortACLLayerSeparation (ve výchozím nastavení, 10000)
Příklad konfigurace
Předpokládá, že všechna nastavení výchozí hodnoty. (Jsou popsány výše.)

  1. Máme seznam ACL, který je připojen k vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Efektivní priority pro všechna pravidla, které jsou definovány v této ACL je bumped podle 10000 (hodnota PortACLLayerSeparation).
  3. Definujeme pravidla v tento seznam ACL, který má prioritu, která je nastavena na hodnotu 100.
  4. Efektivní priority pro toto pravidlo by být 10000 + 100 = 10100.
  5. Pravidlo má přednost před ostatními pravidly v rámci stejné ACL, jehož priorita je větší než 100.
  6. Pravidlo má vždy přednost všechna pravidla, která jsou definována v seznamy ACL, které jsou připojeny na úrovni podsítě VM a VM sítě. (To platí protože ty, které jsou považovány za "nižší" úrovně).
  7. Pravidlo bude nikdy přednost všechna pravidla, které jsou definovány v globálním nastavení ACL.
Výhody tohoto režimu
  • Je lepší zabezpečení víceklientské scénáře protože ACL pravidel portů, které jsou definovány správcem tkaniny (na úrovni globální nastavení) má vždy přednost všechna pravidla, které jsou definovány nájemníci sami.
  • Port ACL pravidlo konflikty (nejasnosti) automaticky omezeno z důvodu oddělení vrstvy. Je velmi snadné předpovědět, která pravidla vstoupí v platnost a proč.
Upozornění s tímto režimem
  • Menší flexibilitu. Pokud definujete pravidlo (například "Odepřít všechny přenosy na port 80") v globálním nastavení, můžete vytvořit přesnější výjimka z tohoto pravidla nikdy na nižší vrstvě (například povolit portu 80 pouze na tomto VM se systémem legitimní webový server").

Relativní priorita

Chcete-li tento režim, nastavte vlastnost PortACLAbsolutePriority v registru na hodnotu 1.

Následující zásady se vztahují kromě základních konceptů, které jsou popsány dříve v tomto režimu:
  • Pokud objekt spadá do působnosti více seznamů řízení přístupu (například VM sítě a podsítě VM), použijí se všechna pravidla, která jsou definována v libovolné připojené seznamy ACL sjednocenou zakázky (nebo jako jeden blok). Neexistuje žádná úroveň oddělení a žádné "varnými" jakékoliv.
  • Všechny priority pravidel jsou považovány za absolutní, přesně tak, jak jsou definovány v poli Priorita každé pravidlo. Jinými slovy efektivní priority pro každé pravidlo je stejný jako co je definována v vlastní pravidla a nezmění strojem VMM je použita.
  • Další nastavení registru popsané v předchozí části nemají žádný vliv.
  • V tomto režimu priority jednotlivých pravidel v seznamu ACL (to znamená, že pravidlo prioritu, kterou se zachází jako absolutní) nemůže překročit hodnotu 65535.
Příklad konfigurace
  1. V globálním nastavení ACL definujete pravidlo, jehož priorita je nastavena na hodnotu 100.
  2. V seznamu řízení přístupu, který je připojen k vmNIC můžete definovat pravidlo, jehož priorita je nastavena na 50.
  3. Pravidlo, které je definováno na úrovni vmNIC má přednost, protože má vyšší prioritu (to znamená nižší číselnou hodnotu).
Výhody tohoto režimu
  • Větší flexibilitu. Můžete vytvořit "jednorázové" výjimky z pravidla globální nastavení na nižších úrovních (například podsítě VM nebo vmNIC).
Upozornění s tímto režimem
  • Plánování může být složitější, protože neexistuje žádná úroveň oddělení. A může být pravidlo na jakékoli úrovni, která přepíše ostatní pravidla, která jsou definována na jiné objekty.
  • Zabezpečení v prostředích s více nájemci, mohou být ovlivněny protože nájemce lze vytvořit pravidlo na úrovni podsítě VM, která přepíše zásady definované správcem tkaniny na úrovni globální nastavení.
  • Pravidlo konflikty (nejasnosti) nejsou automaticky odstraněny a může dojít. VMM může zabránit konfliktům pouze na stejné úrovni ACL. Ji nelze zabránit konfliktům mezi seznamy ACL, které jsou připojeny k různým objektům. V případě konfliktu protože VMM nelze vyřešit konflikt automaticky, bude ukončeno používání pravidel a vyvolá chybu.
Vlastnosti

ID článku: 3101161 - Poslední kontrola: 20. 1. 2017 - Revize: 2

Váš názor