Podpora nasazení rozšířených seznamů ACL portu Hyper-V v nástroji System Center 2012 R2 VMM s kumulativní aktualizací 8

Definování nových seznamů ACL portů a jejich pravidel seznamu ACL portu

Seznamy ACL a jejich pravidla seznamu ACL teď můžete vytvářet přímo v nástroji VMM pomocí rutin PowerShellu.

Vytvoření nového seznamu ACL

Přidají se následující nové rutiny PowerShellu:

New-SCPortACL –Name <string> [–Description <string>]

–Name: Name of the port ACL

–Description: Description of the port ACL (optional parameter)

Get-SCPortACL

Retrieves all the port ACL

–Name: Optionally filter by name

–ID: Optionally filter by ID

Sample commands

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Nové přidané rutiny PowerShellu

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Odchozí> – akce <Povolit | Odepřít> - Priorita <uint16> -Protocol <Tcp | Udp | Libovolný> [-SourceAddressPrefix <řetězec: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Libovolný>] [-DestinationAddressPrefix <řetězec: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Jakékoli>]

Get-SCPortACLrule

Načte všechna pravidla seznamu ACL portu.

• Název: Volitelně můžete filtrovat podle názvu.

• ID: Volitelně můžete filtrovat podle ID.

• PortACL: Volitelně můžete filtrovat podle seznamu ACL portu.

Ukázkové příkazy

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Připojení a odpojení seznamů ACL portů

Seznamy ACL je možné připojit k následujícímu:

• Globální nastavení (platí pro všechny síťové adaptéry virtuálních počítačů. To můžou udělat jenom úplní správci.)

• Síť virtuálních počítačů (můžou to udělat správci, správci tenanta nebo SSU).)

• Podsíť virtuálního počítače (můžou to udělat správci, správci tenanta nebo SSU).)

• To můžou udělat virtuální síťové adaptéry (úplné správce, správci tenanta nebo SSU).)

Globální nastavení

Tato pravidla seznamu ACL portu platí pro všechny virtuální síťové adaptéry virtuálních počítačů v infrastruktuře.

Stávající rutiny PowerShellu byly aktualizovány novými parametry pro připojení a odpojení seznamů ACL portů.

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: Nový volitelný parametr, který konfiguruje zadaný seznam ACL portu na globální nastavení.

• RemovePortACL: Nový volitelný parametr, který odebere všechny nakonfigurované seznamy ACL portu z globálního nastavení.

Get-SCVMMServer: Vrátí nakonfigurovaný seznam ACL portu ve vráceného objektu.

Ukázkové příkazy

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Síť virtuálních počítačů

Tato pravidla se použijí na všechny virtuální síťové adaptéry virtuálních počítačů, které jsou připojené k této síti virtuálních počítačů.

Stávající rutiny PowerShellu byly aktualizovány novými parametry pro připojení a odpojení seznamů ACL portů.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [zbývající parametry]

-PortACL: Nový volitelný parametr, který umožňuje zadat seznam ACL portu do sítě virtuálních počítačů během vytváření.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [zbývající parametry]

-PortACL: Nový volitelný parametr, který umožňuje nastavit seznam ACL portu pro síť virtuálních počítačů.

-RemovePortACL: Nový volitelný parametr, který odebere veškerý nakonfigurovaný seznam ACL portu ze sítě virtuálních počítačů.

Get-SCVMNetwork: Vrátí nakonfigurovaný seznam ACL portu ve vráceného objektu.

Ukázkové příkazy

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Podsíť virtuálního počítače

Tato pravidla se použijí na všechny virtuální síťové adaptéry virtuálních počítačů, které jsou připojené k této podsíti virtuálního počítače.

Stávající rutiny PowerShellu se aktualizovaly o nový parametr pro připojení a odpojení seznamů ACL portů.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [zbývající parametry]

-PortACL: Nový volitelný parametr, který umožňuje zadat seznam ACL portu do podsítě virtuálního počítače během vytváření.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [zbytek parametrů]

-PortACL: Nový volitelný parametr, který umožňuje nastavit seznam ACL portu na podsíť virtuálního počítače.

-RemovePortACL: Nový volitelný parametr, který odebere veškerý nakonfigurovaný seznam ACL portu z podsítě virtuálního počítače.

Get-SCVMSubnet: Vrátí nakonfigurovaný seznam ACL portu ve vráceného objektu.

Ukázkové příkazy

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Virtuální síťový adaptér virtuálního počítače (vmNIC)

Stávající rutiny PowerShellu byly aktualizovány novými parametry pro připojení a odpojení seznamů ACL portů.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [zbývající parametry]

-PortACL: Nový volitelný parametr, který umožňuje zadat seznam ACL portu pro virtuální síťový adaptér při vytváření nového virtuálního síťového adaptéru.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [zbytek parametrů]

-PortACL: Nový volitelný parametr, který umožňuje nastavit port ACL na virtuální síťový adaptér.

-RemovePortACL: Nový volitelný parametr, který odebere veškerý nakonfigurovaný seznam ACL portu z virtuálního síťového adaptéru.

Get-SCVirtualNetworkAdapter: Vrátí nakonfigurovaný seznam ACL portu ve vráceného objektu.

Ukázkové příkazy

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Použití pravidel seznamu ACL portu

Při aktualizaci virtuálních počítačů po připojení seznamů ACL portů si všimnete, že se stav virtuálních počítačů zobrazí v zobrazení Virtuální počítač pracovního prostoru Prostředků infrastruktury jako Nevyhovující předpisům. (Pokud chcete přepnout do zobrazení virtuálního počítače, musíte nejprve přejít na uzel Logické sítě nebo na uzel Logické přepínače pracovního prostoru Prostředků infrastruktury). Mějte na paměti, že aktualizace virtuálního počítače probíhá automaticky na pozadí (podle plánu). Proto i v případě, že virtuální počítače explicitně neaktualizujete, nakonec přejdou do nevyhovujícího stavu.



V tomto okamžiku se seznamy ACL portů ještě nepoužívaly na virtuální počítače a příslušné virtuální síťové adaptéry. Pokud chcete použít seznamy ACL portu, musíte aktivovat proces, který se označuje jako náprava. K tomu nikdy nedojde automaticky a mělo by se spustit explicitně na základě požadavku uživatele.

Nápravu spustíte tak, že na pásu karet kliknete na Opravit nebo spustíte rutinu Repair-SCVirtualNetworkAdapter. Pro tuto funkci nejsou žádné konkrétní změny syntaxe rutin.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Náprava těchto virtuálních počítačů je označí jako vyhovující a zajistí použití rozšířených seznamů ACL portů. Mějte na paměti, že seznamy ACL portů se nebudou vztahovat na žádné virtuální počítače v rozsahu, dokud je explicitně nenapravíte.

Zobrazení pravidel seznamu ACL portu

Pokud chcete zobrazit seznamy ACL a pravidla seznamu ACL, můžete použít následující rutiny PowerShellu.

Aktualizace pravidel seznamu ACL portu

Při aktualizaci seznamu ACL připojeného k síťovým adaptérům se změny projeví ve všech instancích síťových adaptérů, které tento seznam ACL používají. U seznamu ACL připojeného k podsíti virtuálního počítače nebo síti virtuálních počítačů se všechny instance síťových adaptérů připojené k dané podsíti aktualizují změnami.

Poznámka: Aktualizace pravidel seznamu ACL na jednotlivých síťových adaptérech se provádí paralelně ve schématu s nejlepším úsilím s jedním pokusem. Adaptéry, které se z nějakého důvodu nedají aktualizovat, jsou označené jako "nekompatibilní se zabezpečením" a úloha se dokončí chybovou zprávou s informací, že síťové adaptéry nebyly úspěšně aktualizovány. "Nekompatibilní se zabezpečením" zde odkazuje na neshodu mezi očekávanými a skutečnými pravidly seznamu ACL. Adaptér bude mít stav dodržování předpisů "Nedodržuje předpisy" společně s příslušnými chybovými zprávami. Další informace o nápravě nekompatibilních virtuálních počítačů najdete v předchozí části.

Odstranění seznamů ACL portů a pravidel seznamu ACL portu

Seznam ACL je možné odstranit pouze v případě, že k němu nejsou připojené žádné závislosti. Mezi závislosti patří síť virtuálních počítačů, podsíť virtuálního počítače, virtuální síťový adaptér nebo globální nastavení, která jsou připojená k seznamu ACL. Když se pokusíte odstranit seznam ACL portu pomocí rutiny PowerShellu, rutina zjistí, jestli je seznam ACL portu připojený k některé ze závislostí, a vyvolá příslušné chybové zprávy.

Odebrání seznamů ACL portu

Byly přidány nové rutiny PowerShellu:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Odebrání pravidel seznamu ACL portu

Přidali jsme nové rutiny PowerShellu:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Mějte na paměti, že odstranění podsítě virtuálního počítače, sítě virtuálního počítače nebo síťového adaptéru automaticky odebere přidružení k tomuto seznamu ACL.

Seznam ACL je také možné zrušit přidružení k podsíti virtuálního počítače, síti virtuálního počítače nebo síťovému adaptéru změnou příslušného síťového objektu VMM. K tomu použijte rutinu Set- společně s přepínačem -RemovePortACL, jak je popsáno v předchozích částech. V takovém případě se seznam ACL portu odpojí od příslušného síťového objektu, ale neodstraní se z infrastruktury VMM. Proto ho můžete později znovu použít.

Vzdálené změny pravidel seznamu ACL

Pokud provádíme vzdálené změny pravidel seznamu ACL z portu virtuálního přepínače Hyper-V (pomocí nativních rutin Hyper-V, jako je Add-VMNetworkAdapterExtendedAcl), aktualizace virtuálního počítače zobrazí síťový adaptér jako "Nekompatibilní se zabezpečením". Síťový adaptér pak můžete opravit z nástroje VMM, jak je popsáno v části Použití seznamů ACL portu. Náprava však přepíše všechna pravidla seznamu ACL portu definovaná mimo nástroj VMM pravidly očekávanými nástrojem VMM.

Základní koncepty

Každé pravidlo seznamu ACL portu v seznamu ACL portu má vlastnost s názvem Priorita. Pravidla se používají v pořadí podle jejich priority. Následující základní principy definují prioritu pravidel:

• Čím nižší je číslo priority, vyšší priorita je. To znamená, že pokud je více pravidel seznamu ACL portu v rozporu, pravidlo s nižší prioritou vyhrává.

• Akce pravidla nemá vliv na prioritu. To znamená, že na rozdíl od seznamů ACL systému souborů NTFS (například) nemáme koncept typu "Odepřít vždy má přednost před povolením".

• Se stejnou prioritou (se stejnou číselnou hodnotou) nemůžete mít dvě pravidla se stejným směrem. Toto chování zabraňuje hypotetické situaci, ve které by bylo možné definovat pravidla "Odepřít" i "Povolit" se stejnou prioritou, protože by to vedlo k nejednoznačnosti nebo konfliktu.

• Konflikt je definován jako dvě nebo více pravidel se stejnou prioritou a stejným směrem. Ke konfliktu může dojít, pokud existují dvě pravidla seznamu ACL portu se stejnou prioritou a směrem ve dvou seznamech ACL, které se používají na různých úrovních, a pokud se tyto úrovně částečně překrývají. To znamená, že může existovat objekt (například vmNIC), který spadá do rozsahu obou úrovní. Běžným příkladem překrývání je síť virtuálních počítačů a podsíť virtuálních počítačů ve stejné síti.

Použití více seznamů ACL portů u jedné entity 

Vzhledem k tomu, že seznamy ACL portů se můžou vztahovat na různé síťové objekty VMM (nebo na různých úrovních, jak je popsáno výše), jeden virtuální síťový adaptér virtuálního počítače (vmNIC) může spadat do rozsahu několika seznamů ACL portů. V tomto scénáři se použijí pravidla seznamu ACL portu ze všech seznamů ACL portů. Priorita těchto pravidel se ale může lišit v závislosti na několika nových nastaveních jemného doladění nástroje VMM, která jsou uvedená dále v tomto článku.

Nastavení registru

Tato nastavení jsou definována jako hodnoty Dword v registru Windows pod následujícím klíčem na serveru pro správu VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Nastavení
Mějte na paměti, že všechna tato nastavení ovlivní chování seznamů ACL portů v celé infrastruktuře VMM.

Efektivní priorita pravidla seznamu ACL portu

V této diskuzi popíšeme skutečnou prioritu pravidel seznamu ACL portu, pokud se u jedné entity použije více seznamů ACL portů jako efektivní priorita pravidla. Upozorňujeme, že v nástroji VMM není žádné samostatné nastavení ani objekt, který by mohl definovat nebo zobrazit efektivní prioritu pravidla. Vypočítá se v modulu runtime.

Existují dva globální režimy, ve kterých je možné vypočítat efektivní prioritu pravidla. Režimy se přepínají nastavením registru:

PortACLAbsolutePriority
Přijatelné hodnoty pro toto nastavení jsou 0 (nula) nebo 1, kde 0 označuje výchozí chování.

Relativní priorita (výchozí chování)

Pokud chcete tento režim povolit, nastavte vlastnost PortACLAbsolutePriority v registru na hodnotu 0 (nula). Tento režim platí také v případě, že nastavení není definováno v registru (to znamená, pokud se vlastnost nevytvoří).

V tomto režimu platí kromě základních konceptů popsaných výše následující principy:

• Priorita v rámci stejného seznamu ACL portu se zachová. Proto jsou hodnoty priority definované v každém pravidle považovány za relativní v rámci seznamu ACL.

• Když použijete více seznamů ACL portů, použijí se jejich pravidla v kontejnerech. Pravidla ze stejného seznamu ACL (připojená k danému objektu) se použijí společně v rámci stejného kontejneru. Priorita konkrétních kontejnerů závisí na objektu, ke kterému je připojený seznam ACL portu.

• Tady mají všechna pravidla definovaná v globálním seznamu ACL nastavení (bez ohledu na jejich vlastní prioritu definovanou v seznamu ACL portu) vždy přednost před pravidly definovanými v seznamu ACL použitém pro vmNIC atd. Jinými slovy se vynucuje oddělení vrstev.
  
  

Efektivní priorita pravidla se může nakonec lišit od číselné hodnoty, kterou definujete ve vlastnostech pravidla seznamu ACL portu. Další informace o tom, jak se toto chování vynucuje a jak můžete změnit jeho logiku, postupujte následovně.

1. Pořadí, ve kterém mají přednost tři úrovně specifické pro objekty (tj. vmNIC, podsíť virtuálního počítače a síť virtuálních počítačů), je možné změnit.
   
   

   1. Pořadí globálních nastavení nelze změnit. Vždy má nejvyšší prioritu (nebo pořadí = 0).

   2. U ostatních tří úrovní můžete nastavit následující nastavení na číselnou hodnotu mezi 0 a 3, kde 0 má nejvyšší prioritu (rovná se globálnímu nastavení) a 3 má nejnižší prioritu:
      
      

      • PortACLVMNetworkAdapterPriority (výchozí hodnota je 1)

      • PortACLVMSubnetPriority (výchozí hodnota je 2)

      • PortACLVMNetworkPriority (výchozí hodnota je 3)

   3. Pokud k těmto nastavením registru přiřadíte stejnou hodnotu (0 až 3) nebo pokud přiřadíte hodnotu mimo rozsah 0 až 3, nástroj VMM obnoví výchozí chování.

2. Způsob, jakým se řazení vynucuje, spočívá v tom, že se změní efektivní priorita pravidla tak, aby pravidla seznamu ACL definovaná na vyšší úrovni získala vyšší prioritu (to znamená menší číselnou hodnotu). Při výpočtu efektivního seznamu ACL je každá hodnota priority relativního pravidla "bumped" hodnotou specifickou pro úroveň nebo krokem.

3. Hodnota specifická pro úroveň je krok, který odděluje různé úrovně. Ve výchozím nastavení je velikost kroku 10000 a je nakonfigurovaná pomocí následujícího nastavení registru:
   

   PortACLLayerSeparation

4. To znamená, že v tomto režimu nesmí priorita jednotlivých pravidel v seznamu ACL (to znamená, že pravidlo, které se považuje za relativní), překročit hodnotu následujícího nastavení:
   

   PortACLLayerSeparation(ve výchozím nastavení 10000)

Relativní priorita

Pokud chcete tento režim povolit, nastavte vlastnost PortACLAbsolutePriority v registru na hodnotu 1.

V tomto režimu platí kromě základních konceptů popsaných výše následující principy:

• Pokud objekt spadá do rozsahu několika seznamů ACL (například sítě virtuálních počítačů a podsítě virtuálních počítačů), použijí se všechna pravidla definovaná v připojených seznamech ACL v jednotném pořadí (nebo jako jeden kontejner). Neexistuje žádné oddělení úrovně a žádné "nárazy" vůbec.

• Všechny priority pravidel se považují za absolutní, přesně tak, jak jsou definovány v každé prioritě pravidla. Jinými slovy, efektivní priorita každého pravidla je stejná jako platná priorita definovaná v samotném pravidle a modul VMM ho před použitím nezmění.

• Všechna ostatní nastavení registru popsaná v předchozí části nemají žádný vliv.

• V tomto režimu nesmí priorita jednotlivých pravidel v seznamu ACL (tj. priorita pravidla, která je považována za absolutní) překročit 65535.