Podpora pro zavedení technologie Hyper-V extended ACL v System Center 2012 R2 VMM s kumulativní aktualizací 8 port

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3101161
Souhrn
Správci ze Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) můžete nyní centrálně vytvářet a spravovat Hyper-V portu seznamů řízení přístupu (ACL) v VMM.
Další informace
Další informace o 8 kumulativní aktualizace pro System Center 2012 R2 Virtual Machine Manager získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

3096389 Kumulativní aktualizace 8 pro System Center 2012 R2 Virtual Machine Manager

Glosář

Jsme zlepšily objektový model Virtual Machine Manager přidáním následující nové koncepce v oblasti správy sítě.
  • Seznam řízení přístupu port (port ACL)
    Objekt, který je připojen do různých sítí primitiv VMM popisující zabezpečení sítě. Port ACL slouží jako kolekce položek řízení přístupu nebo pravidel ACL. Seznam ACL lze připojit libovolný počet (nula nebo více) VMM základní prvky, například sítě VM, VM podsítě, virtuální síťový adaptér nebo samotný server VMM management sítě. Seznam ACL může obsahovat libovolný počet (nula nebo více) pravidla ACL. Každý kompatibilní VMM základní sítě (sítě VM, VM podsítě, virtuální síťový adaptér nebo VMM management server) může mít jeden port, který je připojen seznam ACL nebo žádný.
  • Položka řízení přístupu port nebo pravidla řízení přístupu
    Objekt, který popisuje zásada filtrování. Více pravidel ACL mohou existovat ve stejný port ACL a použít podle jejich priority. Každé pravidlo ACL odpovídá právě jeden port ACL.
  • Globální nastavení
    Virtuální pojem, který popisuje port ACL, které jsou použity pro všechny virtuální síťové adaptéry VM v infrastruktuře. Neexistuje žádný typ samostatný objekt pro globální nastavení. Místo toho globální nastavení portu ACL přikládá VMM management server, sám. VMM management server objekt může mít buď jeden port ACL nebo none.
Informace o objektech v oblasti správy sítě, které byly dříve k dispozici naleznete v tématu Základy objektu sítě Virtual Machine Manager.

Co lze udělat s touto funkcí?

Pomocí rozhraní PowerShell ve VMM lze nyní provést následující akce:
  • Definujte port ACL a jejich pravidla ACL.
    • Jsou použita pravidla portů virtuální přepnout na servery Hyper-V jako "rozšířený port ACL" (VMNetworkAdapterExtendedAcl) v terminologii Hyper-V. To znamená, že lze použít pouze k hostitelským serverům Windows Server 2012 R2 (a technologie Hyper-V Server 2012 R2).
    • VMM nevytvoří "legacy" port ACL pro Hyper-V (VMNetworkAdapterAcl). Proto nelze použít port ACL hostitelských serverů Windows Server 2012 (nebo Hyper-V Server 2012) pomocí VMM.
    • Všechna pravidla port ACL, které jsou definovány ve VMM pomocí této funkce jsou stavové (pro TCP). Pravidla příslušnosti ACL pro TCP nelze vytvořit pomocí VMM.
    Další informace o funkci Rozšířený port ACL v systému Windows Server 2012 R2 Hyper-V naleznete v tématu Vytvořit zásady zabezpečení pomocí seznamů řízení přístupu rozšířené Port pro Windows Server 2012 R2.
  • Port ACL připojte ke globální nastavení. To platí pro všechny virtuální síťové adaptéry VM. Je k dispozici pouze v úplné admins.
  • Port ACL, které jsou vytvořeny připojte k síti VM, VM podsítí nebo VM virtuálních síťových adaptérů. To je k dispozici úplná admins admins klienta a uživatele samoobslužných stránek odběratelů (SSUs).
  • Zobrazit a aktualizovat seznam ACL pravidla portu, která jsou nakonfigurována na jednotlivé VM vNIC.
  • Odstraňte port ACL a jejich pravidla ACL.
Všechny tyto akce je detailně dále v tomto článku.

Uvědomte si prosím, že tato funkce je k dispozici pouze prostřednictvím rutin prostředí PowerShell a se neprojeví ve VMM console uživatelské rozhraní (s výjimkou státu "Soulad").

Co nemůže udělat s touto funkcí?

  • Správa nebo aktualizace jednotlivých pravidel pro jednu instanci při seznam ACL je sdílena mezi více instancí. Všechna pravidla jsou centrálně spravovány v rámci jejich nadřazené položky ACL a použít všude, kde je připojen seznam ACL.
  • Připojte více než jeden seznam ACL k entitě.
  • Použít port ACL pro virtuální síťové adaptéry (vNICs) v nadřazeného oddílu Hyper-V (Správa operačního systému).
  • Vytvoření pravidla portu ACL, které zahrnují protokoly na úrovni protokolu IP (než TCP nebo UDP).
  • Použít port ACL logických sítí, síťové servery (definice logické sítě), podsítě sítě VLAN a jiných VMM sítě primitiv, které nebyly dříve uvedeny.

Použití funkce

Definování nové ACL port a port ACL pravidel

Nyní můžete vytvořit seznamy ACL a jejich pravidla ACL přímo z ve VMM pomocí rutin prostředí PowerShell.

Vytvořit nový seznam ACL

Vkládají se následující nové rutiny prostředí PowerShell:

Nový SCPortACL – názevřetězec> [– Popisřetězec>]

– Název: Název port ACL

– Popis: Popis port ACL (volitelný parametr)

Get-SCPortACL

Načte všechny port ACL

– Název: Můžete také filtrovat podle názvu

-ID: můžete také filtrovat podle ID

Ukázky příkazů

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definovat pravidla řízení přístupu port port ACL
Každý port ACL se skládá z kolekce ACL pravidel portů. Každé pravidlo obsahuje různé parametry.

  • Název
  • Popis
  • Typ: Vstupní/výstupní (směr, ve kterém budou použity ACL)
  • Akce: Povolit/zakázat (akce ACL, přenos povolit nebo blokovat přenos)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokol: TCP/Udp/libovolného (Poznámka: port ACL, které jsou definovány VMM nepodporuje protokoly na úrovni protokolu IP. Že jsou i nadále podporovány nativně Hyper-V.)
  • Priorita: 1 – 65535 (nejnižší číslo má nejvyšší prioritu). Tato priorita je vzhledem k vrstvě, ve které působí. (Další informace o používání pravidel ACL na základě priority a seznam ACL je takto připojené objektu.)

Nové prostředí PowerShell rutin, které jsou přidány

Nové SCPortACLrule - PortACLPortACL>-Názevřetězec> [-Popis <string>]-typ <Inbound |="" outbound="">- <Allow |="" deny="">Akce-priorita <uint16>-protokol <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Vyhledá všechny pravidla port ACL.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Název: Můžete také filtrovat podle názvu
  • ID: Můžete také filtrovat podle ID
  • PortACL: Můžete také filtrovat podle port ACL
Ukázky příkazů

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Připojení a odpojení port ACL



Seznamy ACL lze připojit následujícím způsobem:
  • Globální nastavení (platí pro všechny síťové adaptéry VM. Pouze úplná admins lze provést.)
  • VM network (úplné admins/nájemce admins/SSUs lze provést.)
  • VM podsítě (úplné admins/nájemce admins/SSUs lze provést.)
  • Virtuálních síťových adaptérů (úplné admins/nájemce admins/SSUs lze provést.)

Globální nastavení

Tato port ACL pravidla platí pro všechny virtuální síťové adaptéry VM v infrastruktuře.

S nové parametry pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Sada SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nový volitelný parametr, který nastaví zadaný port ACL globální nastavení.
  • RemovePortACL: Nový volitelný parametr, který odebere všechny nakonfigurovat port ACL z globální nastavení.
Get-SCVMMServer: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázky příkazů

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM network


Tato pravidla budou použita pro všechny VM virtuálních síťových adaptérů připojených k této síti VM.

S nové parametry pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Nový SCVMNetwork [– PortACLNetworkAccessControlList&gt;] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje zadat při vytváření portu řízení přístupu k síti VM.

Sada SCVMNetwork [– PortACLNetworkAccessControlList> | -RemovePortACL] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje nastavit port ACL sítě VM.

-RemovePortACL: port ACL z VM sítě nakonfigurován nový volitelný parametr, který odebere všechny.

Get-SCVMNetwork: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázky příkazů

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM podsítě


Tato pravidla budou použita pro všechny VM virtuálních síťových adaptérů, které jsou připojeny k této podsíti VM.

Nový parametr pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Nový SCVMSubnet [– PortACLNetworkAccessControlList&gt;] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje určit port ACL VM podsítě při vytváření.

Sada SCVMSubnet [– PortACLNetworkAccessControlList> | -RemovePortACL] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje nastavit port ACL VM podsítě.

-RemovePortACL: nový volitelný parametr, který odebere všechny nakonfigurován port ACL z podsítě VM.

Get-SCVMSubnet: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázky příkazů

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM virtuální síťový adaptér (vmNIC)


S nové parametry pro připojení a odpojení port ACL byly aktualizovány stávající rutin prostředí PowerShell.

Nový SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList&gt;] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje určit port ACL pro virtuální síťový adaptér při vytváření nové vNIC.

Sada SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList> | -RemovePortACL] [zbývající parametry]

-PortACL: nový volitelný parametr, který umožňuje nastavit port ACL pro virtuální síťový adaptér.

-RemovePortACL: port ACL z virtuální síťový adaptér nakonfigurován nový volitelný parametr, který odebere všechny.

Get-SCVirtualNetworkAdapter: vrátí nakonfigurovaný port ACL v vráceného objektu.

Ukázky příkazů

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Použití pravidel port ACL

Pokud aktualizujete VMs po připojení port ACL, zjistíte, že stav VMs je zobrazen jako "Nevyhovující" v prostoru tkaniny zobrazení virtuálního počítače. (Pro přepnutí do zobrazení virtuálního počítače, musíte nejprve přejděte k Logické sítě uzlu nebo uzlu Logické přepínače tkaniny pracovního prostoru). Uvědomte si, že aktualizovat VM probíhá automaticky na pozadí (podle plánu). Proto i v případě, že není VMs explicitně aktualizovat, přejde do stavu nekompatibilní nakonec.



V tomto okamžiku port ACL dosud nenainstalovali VMs a jejich příslušné virtuální síťové adaptéry. Chcete-li použít port ACL, máte spustit proces, který je známý jako náprava. To nikdy se automaticky stane má být spuštěn a explicitně na žádost uživatele.

Zahájíte náprava je Remediate na pásu karet klepněte nebo spuštění rutiny SCVirtualNetworkAdapter opravy . Neexistují žádné konkrétní změny syntaxe rutiny pro tuto funkci.

Opravy SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Vyhodnocováním tyto VMs je označit jako vyhovující a zajistí, že jsou použita rozšířená port ACL. Uvědomte si, že port ACL se nevztahuje na žádné VMs v rozsahu až při nápravě explicitně.

Zobrazení seznamu ACL pravidel portů

Zobrazit seznamy ACL a ACL pravidel, můžete použít následující rutiny prostředí PowerShell.

Nové prostředí PowerShell rutin, které jsou přidány

Načíst port ACL

Nastavit parametr 1. Chcete-li získat všechny nebo podle názvu: Get-SCPortACL [-název <> </>]

2 nastavit parametr. Chcete-li získat ID: Get-SCPortACL -Id <> [-název <> </>]

Načíst seznam ACL pravidel portů

Nastavit parametr 1. Všechny nebo podle názvu: Get-SCPortACLrule [-název <> </>]

2 nastavit parametr. ID: Get-SCPortACLrule -Id <>

Nastavit parametr 3. Pomocí seznamu řízení přístupu objektu: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Aktualizace seznamu ACL pravidel portu

Při aktualizaci řízení přístupu, který je připojen k síťové adaptéry se projeví ve všech instancích adaptéru sítě používající tento seznam ACL. Seznam ACL připojený k VM podsítě nebo sítě VM jsou všechny instance adaptér sítě, které jsou připojeny k této podsíti aktualizován změnami.

Poznámka: Aktualizace pravidel ACL na jednotlivé síťové adaptéry probíhá paralelně ve schématu nejlepší dostupné jednu akci. Adaptéry, které nemohou být aktualizovány z nějakého důvodu jsou označeny jako "security incompliant" a na dokončení úlohy s chybovou zprávou oznamující, že nebyly úspěšně aktualizovány síťové adaptéry. "Zabezpečení incompliant" zde odkazuje k neshodě v očekávání versus skutečná pravidla ACL. Adaptér bude mít stav shody "Nevyhovující" společně s odpovídající chybové zprávy. Naleznete v předchozí části Další informace o nekompatibilních virtuálních počítačů nesplňujících požadavky.
Nové prostředí PowerShell rutina přidána
Sada SCPortACL - PortACLPortACL> [-NázevNázev&gt;] [-Popis <>n >]

Sada SCPortACLrule - PortACLrulePortACLrule> [-NázevNázev&gt;] [-Popisřetězec&gt;] [-TypPortACLRuleDirection> {Vstupní | Odchozí}] [-akcePortACLRuleAction> {Povolit | DENY}] [-SourceAddressPrefixřetězec&gt;] [-SourcePortRangeřetězec&gt;] [-DestinationAddressPrefixřetězec&gt;] [-DestinationPortRangeřetězec&gt;] [-ProtokolPortACLruleProtocol> {Tcp | UDP | Všechny}]

Sada SCPortACL: Změní ACL Popis portu.
  • Popis: Aktualizuje popis.

Sada SCPortACLrule: Změní parametry port ACL pravidlo.
  • Popis: Aktualizuje popis.
  • Typ: Aktualizuje směr, ve kterém je použit seznam ACL.
  • Akce: Aktualizuje akce seznamu ACL.
  • Protokol: Aktualizuje protokol, pro něž lze použít seznam řízení přístupu.
  • Důležité: Aktualizace prioritu.
  • SourceAddressPrefix: Aktualizace předponu zdrojové adresy.
  • SourcePortRange: Aktualizace zdroje rozsah portů.
  • DestinationAddressPrefix: Aktualizace předponou cílové adresy.
  • DestinationPortRange: Aktualizace portu cílové oblasti.

Odstranění pravidla ACL port a port ACL

Seznam ACL lze odstranit pouze v případě, že neexistují žádné závislosti, k němu připojené. Závislosti patří VM network/VM podsítě, virtuální adaptér, globální nastavení sítě připojené k seznamu řízení přístupu. Při pokusu o odstranění port ACL pomocí rutiny prostředí PowerShell rutiny zjistí, zda port ACL je připojena k některé ze závislostí a vyvolá odpovídající chybové zprávy.

Odebrání portu ACL

Byly přidány nové rutiny prostředí PowerShell:

Odebrat SCPortACL - PortACLNetworkAccessControlList>

Odebrání pravidla portu ACL

Byly přidány nové rutiny prostředí PowerShell:

Odebrat SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Uvědomte si, že odstranění virtuálního počítače v síti podsíti/VM/síťový adaptér automaticky odebere přidružení k této ACL.

Seznam ACL lze také oddělen z adaptéru sítě nebo sítě podsíť/VM VM změnou příslušných objektů sítě VMM. Chcete-li to provést, použijte rutinu Set- spolu s přepínačem - RemovePortACL popsané v předchozích částech. V tomto případě port ACL bude oddělit od příslušného síťového objektu, ale nebudou odstraněny z infrastruktury VMM. Proto jej lze později znovu použit.

Změny pravidel ACL Out-of-band

Pokud jsme jsou out-of-band (OOB) změny pravidel ACL z portu přepínače virtuální Hyper-V (pomocí nativních rutin technologie Hyper-V například Přidat VMNetworkAdapterExtendedAcl), aktualizovat VM se zobrazí síťový adaptér jako "Security Incompliant." Síťový adaptér můžete potom remediated z VMM způsobem popsaným v kapitole "Používání port ACL". Náprava škod však přepíše všechna pravidla ACL port, které jsou definovány mimo VMM s těmi, které se očekává, že ve VMM.

Port ACL priority a aplikace prioritu pravidel (rozšířené)

Základní pojmy

Každé pravidlo portu ACL v port ACL obsahuje vlastnost s názvem "Priorita". Pravidla jsou použita v pořadí na základě jejich priority. Tyto základní zásady definují pravidla přednosti:
  • Čím nižší prioritu číslo, tím vyšší je priorita je. To znamená je-li více pravidel port ACL navzájem v rozporu, wins pravidlo s nižší prioritou.
  • Akce pravidla neovlivňuje prioritu. To znamená, že na rozdíl od seznamů řízení přístupu systému souborů NTFS (například) zde nemáme koncept jako "Odepřít vždy přednost povolit".
  • Na stejné priority (stejnou číselnou hodnotu), nemůže mít dvě pravidla se stejným směrem. Toto chování zabrání hypotetické situaci, ve které jeden může definovat pravidla "Zamítnutí" a "Povolit" se stejnou prioritou, protože výsledkem by v nejednoznačnosti nebo konflikt.
  • Konflikt je definována jako dvě nebo více pravidel, které mají stejnou prioritu a stejným směrem. Ke konfliktu může dojít, pokud existují dvě pravidla port ACL se stejnou prioritou a směr dva seznamy ACL, které jsou použity na různých úrovních, a pokud tyto limity se částečně překrývají. To znamená, že může být objekt (například vmNIC), který spadá do působnosti obou úrovní. Běžným příkladem překrývající se VM sítě a podsítě VM ve stejné síti.

Použití více port ACL u jedné entity

Vzhledem k tomu, že port ACL lze použít různé VMM objekty sítě (nebo na různých úrovních, jak je popsáno výše), můžete jeden virtuální síťový adaptér VM (vmNIC) spadají do působnosti více port ACL. V tomto scénáři jsou použity ACL pravidel portů ze všech port ACL. Přednosti těchto pravidel však může být různé v závislosti na několika nových VMM jemné doladění nastavení, které jsou uvedeny dále v tomto článku.

Nastavení registru

Tato nastavení jsou definovány jako Dword hodnoty v registru systému Windows v následujícím klíči o VMM management server:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Uvědomte si prosím, že toto nastavení ovlivní chování port ACL přes celé infrastruktury VMM.

Priorita pravidla účinná port ACL

V této diskusi jsme popisují skutečné priority pravidel portů ACL při více port ACL platí pro jednu entitu jako účinné prioritu pravidla. Je třeba uvědomit, že je žádné zvláštní nastavení nebo objektu v VMM definovat nebo zobrazení efektivní prioritu pravidla. Počítá se v modulu runtime.

Existují dva globální režimy, ve kterých lze vypočítat efektivní prioritu pravidla. Přepínání režimů pomocí nastavení registru:
PortACLAbsolutePriority

Přípustné hodnoty pro toto nastavení je 0 (nula) nebo 1, kde 0 označuje výchozí chování.

Relativní priorita (výchozí chování)

Chcete-li tento režim, nastavte vlastnost PortACLAbsolutePriority v registru na hodnotu 0 (nula). Tento režim také platí, pokud není definováno nastavení v registru (Pokud není vlastnost vytvořit).

Následující zásady se vztahují kromě základních konceptů, které bylo popsáno dříve v tomto režimu:
  • Prioritou v rámci stejný port ACL je zachována. Proto jsou považovány hodnoty priority, které jsou definovány v každé pravidlo v seznamu řízení přístupu jako relativní.
  • Při použití více port ACL jejich pravidla jsou použita v prodlení. Pravidla ze stejného seznamu ACL (připojené k danému objektu) jsou použita společně ve stejném bloku. Přednost určité bloky závisí na objektu, ke které je připojena na port ACL.
  • Zde žádná pravidla, které jsou definovány v globálním nastavení ACL (bez ohledu na své vlastní priority definované v port ACL) vždy přednost pravidel, které jsou definovány v seznamu řízení přístupu použitý na vmNIC a tak dále. Jinými slovy je vynuceno rozdělení vrstvy.

Nakonec efektivní prioritu pravidla mohou lišit od číselnou hodnotu, kterou definujete vlastnosti ACL pravidlo portu. Následuje další informace o tom, jak toto chování vynuceno a změna jeho logiku.

  1. Lze změnit pořadí, ve kterém mají přednost tři úrovně "objektu specifické" (to znamená, vmNIC, VM podsítě a síť VM).

    1. Nelze změnit pořadí globální nastavení. Má vždy přednost (nebo pořadí = 0).
    2. Pro další tři úrovně můžete nastavit číselnou hodnotu mezi 0 a 3, kde 0 je nejvyšší prioritou (rovná se globální nastavení) a je nejnižší prioritu 3 následující nastavení:
      • PortACLVMNetworkAdapterPriority
        (výchozí je 1)
      • PortACLVMSubnetPriority
        (výchozí je 2)
      • PortACLVMNetworkPriority
        (výchozí hodnota je 3.)
    3. Pokud přiřadíte více nastavení registru stejnou hodnotu (0-3) nebo přiřadit hodnotu mimo rozsah 0 až 3, se nezdaří VMM zpět na výchozí chování.
  2. Způsob řazení je vynuceno, aby je, že efektivní prioritu pravidla se změní tak, aby pravidla ACL, které jsou definovány na vyšší úrovni je přiřazena vyšší priorita (to znamená menší číselnou hodnotu). Při výpočtu efektivní ACL každé pravidlo relativní priorita je "bumped" úrovni konkrétní hodnotu nebo "krok".
  3. Hodnota specifická úroveň je "krok", který odděluje různé úrovně. Velikost "krok" ve výchozím nastavení je 10 000 a je konfigurována pomocí následujícího nastavení registru:
    PortACLLayerSeparation
  4. To znamená, že v tomto režimu priority jednotlivých pravidel v seznamu řízení přístupu (to znamená, že pravidlo, které je považováno jako relativní) nesmí překročit hodnotu následující nastavení:
    PortACLLayerSeparation
    (ve výchozím nastavení 10000)
Příklad konfigurace
Předpokládá, že všechna nastavení výchozí hodnoty. (Jsou popsány výše.)
  1. Máme seznam ACL, který je připojen k vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Efektivní priority pro všechna pravidla, které jsou definovány v této ACL je bumped podle 10000 (hodnota PortACLLayerSeparation).
  3. Definujeme pravidla v tento seznam ACL, který má prioritu, která je nastavena na hodnotu 100.
  4. Efektivní priorita pro toto pravidlo by být 10000 + 100 = 10100.
  5. Pravidlo má přednost před ostatními pravidly v rámci stejné ACL, jehož priorita je větší než 100.
  6. Pravidlo má vždy přednost všechna pravidla, která jsou definována v seznamy ACL, které jsou připojeny v síti VM a VM úrovni podsítě. (To platí protože ty, které jsou považovány za "nižší" úrovně).
  7. Pravidlo bude nikdy přednost všechna pravidla, která jsou definována v globální nastavení ACL.
Výhody tohoto režimu
  • Je lepší zabezpečení víceklientské scénáře protože ACL pravidel portů, které jsou definovány správcem tkaniny (na úrovni globální nastavení) má vždy přednost všechna pravidla, která jsou definovány nájemníci sami.
  • Port ACL pravidlo konflikty (nejasnosti) automaticky omezeno z důvodu oddělení vrstvy. Je velmi snadné předpovědět, která pravidla vstoupí v platnost a proč.
Upozornění s tímto režimem
  • Menší flexibilitu. Pokud definujete pravidlo (například "Odepřít všechny přenosy na port 80") v globálním nastavení, můžete vytvořit přesnější výjimka z tohoto pravidla nikdy na nižší vrstvě (například povolit portu 80 pouze na tento VM se systémem legitimní webový server").

Relativní priorita

Chcete-li tento režim, nastavte vlastnost PortACLAbsolutePriority v registru na hodnotu 1.

Následující zásady se vztahují kromě základních konceptů, které jsou popsány dříve v tomto režimu:
  • Pokud objekt spadá do působnosti více seznamů řízení přístupu (například VM sítě a podsítě VM), všechna pravidla, která jsou definována v libovolné připojené seznamy ACL jsou použity v pořadí jednotný (nebo jako jeden blok). Neexistuje žádná úroveň oddělení a žádné "varnými" jakékoliv.
  • Všechny priority pravidel jsou považovány za absolutní, přesně tak, jak jsou definovány v poli Priorita každé pravidlo. Jinými slovy efektivní priority pro každé pravidlo je stejný jako co je definována v samotné pravidlo a nezmění se strojem VMM je použita.
  • Další nastavení registru popsané v předchozí části nemají žádný vliv.
  • V tomto režimu priority jednotlivých pravidel v seznamu ACL (to znamená, že pravidlo prioritu, kterou se zachází jako absolutní) nemůže překročit hodnotu 65535.
Příklad konfigurace
  1. V globálním nastavení ACL definujete pravidlo, jehož priorita je nastavena na hodnotu 100.
  2. V seznam ACL, který je připojen k vmNIC můžete definovat pravidlo, jehož priorita je nastavena na 50.
  3. Pravidlo, které je definováno na úrovni vmNIC má přednost, protože má vyšší prioritu (to znamená nižší číselnou hodnotu).
Výhody tohoto režimu
  • Větší flexibilitu. Můžete vytvořit "jednorázové" výjimky z pravidla globální nastavení na nižších úrovních (například podsítě VM nebo vmNIC).
Upozornění s tímto režimem
  • Plánování může být složitější, protože neexistuje žádná úroveň oddělení. A může být pravidlo na jakékoli úrovni, která přepíše ostatní pravidla, která jsou definována na jiné objekty.
  • Zabezpečení v prostředích s více nájemci, mohou být ovlivněny protože nájemce lze vytvořit pravidlo na úrovni podsítě VM, která přepíše zásady definované správcem tkaniny na úrovni globální nastavení.
  • Pravidlo konflikty (nejasnosti) nejsou automaticky odstraněny a může dojít. VMM lze zabránit konfliktům pouze na stejné úrovni ACL. Ji nelze zabránit konfliktům mezi seznamy ACL, které jsou připojeny k různým objektům. V případě konfliktu protože konflikt VMM nelze opravit automaticky, bude ukončeno používání pravidel a vyvolá chybu.

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3101161 - Poslední kontrola: 10/29/2015 23:34:00 - Revize: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbmt KB3101161 KbMtcs
Váš názor