Oversigt
Administratorer af Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) kan nu centralt oprette og administrere Hyper-V-portadgangskontrollister (ACL'er) i VMM.
Flere oplysninger
Du kan få flere oplysninger om opdateringspakke 8 til System Center 2012 R2 Virtual Machine Manager ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
3096389 Opdateringspakke 8 til System Center 2012 R2 Virtual Machine Manager
Ordliste
Vi har forbedret Virtual Machine Manager objektmodellen ved at tilføje følgende nye koncepter i området netværksadministration.
-
Port access control list (port ACL)
Et objekt, der er knyttet til forskellige VMM-netværks primitiver til at beskrive netværkssikkerhed. Porten ACL fungerer som en samling af adgangskontrolposter eller ACL-regler. En ACL kan knyttes til et vilkårligt antal (nul eller flere) VMM-netværks primitiver, f.eks. et VM-netværk, VM-undernet, virtuelt netværkskort eller selve VMM-administrationsserveren. En ACL kan indeholde et vilkårligt tal (nul eller mere) af ACL-regler. Hver kompatibel VMM networking primitive (VM-netværk, VM-undernet, virtuelt netværkskort eller VMM-administrationsserver) kan have enten én port ACL tilsluttet eller ingen. -
Portér adgangskontrolpost eller ACL-regel
Et objekt, der beskriver filtreringspolitik. Flere ACL-regler kan findes i den samme port ACL og anvendes baseret på deres prioritet. Hver ACL-regel svarer til nøjagtigt én port ACL. -
Global Indstillinger
En virtuelt koncept, der beskriver en port ACL, der anvendes på alle virtuelle VM-netværkskort i infrastrukturen. Der er ingen separat objekttype for global Indstillinger. I stedet knyttes den globale Indstillinger-port ACL til selve VMM-administrationsserveren. VMM-administrationsserverobjektet kan have enten én port ACL eller ingen.
Du kan få mere at vide om objekter i området netværksadministration, der tidligere var tilgængelige, under Virtual Machine Manager Network Object Fundamentals.
Hvad kan jeg gøre med denne funktion?
Ved hjælp af PowerShell-grænsefladen i VMM kan du nu udføre følgende handlinger:
-
Definer port-ACL'er og deres ACL-regler.
-
Reglerne anvendes på virtuelle switchporte på Hyper-V-servere som "extended port ACLs" (VMNetworkAdapterExtendedAcl) i Hyper-V-terminologi. Det betyder, at de kun kan anvendes på værtsservere Windows Server 2012 R2 (og Hyper-V Server 2012 R2).
-
VMM opretter ikke de "ældre" Hyper-V-port-ACL'er (VMNetworkAdapterAcl). Derfor kan du ikke anvende port-ACL'er på Windows Server 2012 -værtsservere (eller Hyper-V Server 2012) ved hjælp af VMM.
-
Alle ACL-portregler, der er defineret i VMM ved hjælp af denne funktion, er stateful (for TCP). Du kan ikke oprette tilstandsløse ACL-regler for TCP ved hjælp af VMM.
Du kan finde flere oplysninger om ACL-funktionen udvidet port i Windows Server 2012 R2 Hyper-V under Oprette sikkerhedspolitikker med lister over udvidede port Access Control for Windows Server 2012 R2.
-
-
Vedhæft en port ACL til global Indstillinger. Dette gælder for alle virtuelle VM-netværkskort. Den er kun tilgængelig for fulde administratorer.
-
Tilslut de port-ACL'er, der er oprettet til et VM-netværk, VM-undernet eller virtuelle VM-netværkskort. Dette er tilgængeligt for fulde administratorer, lejeradministratorer og selvbetjeningsbrugere (SSU'er).
-
Få vist og opdater port ACL-regler, der er konfigureret på det individuelle VM vNIC.
-
Slet port-ACL'er og deres ACL-regler.
Hver af disse handlinger beskrives mere detaljeret senere i denne artikel.
Vær opmærksom på, at denne funktionalitet kun vises via PowerShell-cmdlet'er og ikke afspejles i brugergrænsefladen i VMM-konsollen (med undtagelse af tilstanden "Overholdelse").Hvad kan jeg ikke gøre med denne funktion?
-
Administrer/opdater individuelle regler for en enkelt forekomst, når ACL deles mellem flere forekomster. Alle regler administreres centralt inden for deres overordnede ACL'er og gælder, uanset hvor ACL'en er tilknyttet.
-
Vedhæft mere end én ACL til et objekt.
-
Anvend port-ACL'er på virtuelle netværkskort (vNICs) i den overordnede Hyper-V-partition (administrations-OS).
-
Opret ACL-portregler, der omfatter protokoller på IP-niveau (bortset fra TCP eller UDP).
-
Anvend port-ACL'er på logiske netværk, netværkswebsteder (logiske netværksdefinitioner), undernet-vLAN'er og andre VMM-netværks primitiver, der ikke var angivet tidligere.
Hvordan gør jeg bruge funktionen?
Definition af nye port-ACL'er og deres ACL-regler for port
Du kan nu oprette ACL'er og deres ACL-regler direkte fra i VMM ved hjælp af PowerShell-cmdlet'er.
Opret en ny ACL
Følgende nye PowerShell-cmdlet'er tilføjes:
New-SCPortACL –Name <string> [–Description <string>] –Name: Navn: Navnet på porten ACL –Beskrivelse: Beskrivelse af porten ACL (valgfri parameter) Get-SCPortACL henter alle port-ALs -Navn: Du kan også filtrere efter navn –ID: Du kan også filtrere efter id-eksempelkommandoerNew-SCPortACL -Name Samplerule -Description SampleDescription
$acl = Get-SCPortACL -Name Samplerule
Definer ACL-portregler for port ACL
Hver port ACL består af en samling af port ACL-regler. Hver regel indeholder forskellige parametre.
-
Navn
-
Beskrivelse
-
Type: Indgående/udgående (den retning, ACL anvendes i)
-
Handling: Tillad/Afvis (handlingen for ACL, enten for at tillade trafikken eller for at blokere trafikken)
-
SourceAddressPrefix:
-
SourcePortRange:
-
DestinationAddressPrefix:
-
DestinationPortRange:
-
Protokol: TCP/Udp/Any (Bemærk! Protokoller på IP-niveau understøttes ikke i port-ACL'er, der er defineret af VMM. De understøttes stadig indbygget af Hyper-V.)
-
Prioritet: 1 – 65535 (laveste tal har højeste prioritet). Denne prioritet er i forhold til det lag, den anvendes i. (Flere oplysninger om, hvordan ACL-regler anvendes baseret på prioritet og det objekt, som ACL er knyttet til, følger efter).)
Nye PowerShell-cmdlet'er, der tilføjes
New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Indgående | Udgående> – Handling <Tillad | Nægt> -Priority <uint16> -Protocol <Tcp | Udp-| Alle> [-SourceAddressPrefix <streng: IPAddress | IPSubnet>] [-SourcePortRange <streng:X|X-Y| Any>] [-DestinationAddressPrefix <string: IPAddress | IPSubnet>] [-DestinationPortRange <streng:X|X-Y| Enhver>]
Get-SCPortACLrule henter alle ACL-portreglerne.-
Navn: Du kan også filtrere efter navn
-
Id: Du kan også filtrere efter id
-
PortACL: Du kan også filtrere efter port ACL
Eksempelkommandoer
New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10
New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10
New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20
New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound -Protocol Any -Action Deny -PortACL $acl -Priority 20
Tilslutning og fjernelse af port-ACL'er
ACL'er kan knyttes til følgende:
-
Globale indstillinger (gælder for alle VM-netværkskortene. Det er kun fulde administratorer, der kan gøre dette.
-
VM-netværk (fulde administratorer/lejeradministratorer/SSU'er kan gøre dette).
-
VM-undernet (fulde administratorer/lejeradministratorer/SSU'er kan gøre dette).
-
Virtuelle netværkskort (fulde administratorer/lejeradministratorer/SSU'er kan gøre dette).
Globale indstillinger
Disse ACL-portregler gælder for alle virtuelle VM-netværkskort i infrastrukturen.
Eksisterende PowerShell-cmdlet'er blev opdateret med nye parametre til tilslutning og fjernelse af port-ACL'er. Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]-
PortACL: Ny valgfri parameter, der konfigurerer den angivne port ACL til globale indstillinger.
-
RemovePortACL: Ny valgfri parameter, der fjerner enhver konfigureret port ACL fra globale indstillinger.
Get-SCVMMServer: Returnerer den konfigurerede port ACL i det returnerede objekt.
EksempelkommandoerSet-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL
VM-netværk
Disse regler anvendes på alle virtuelle VM-netværkskort, der er forbundet til dette VM-netværk. Eksisterende PowerShell-cmdlet'er blev opdateret med nye parametre til tilslutning og fjernelse af port-ACL'er. New-SCVMNetwork [-PortACL <NetworkAccessControlList>] [resten af parametrene] -PortACL: Ny valgfri parameter, der gør det muligt at angive en port ACL til VM-netværket under oprettelse. Set-SCVMNetwork [-PortACL <NetworkAccessControlList> | -RemovePortACL] [resten af parametrene] -PortACL: Ny valgfri parameter, der gør det muligt at angive en port ACL til VM-netværket. -RemovePortACL: Ny valgfri parameter, der fjerner enhver konfigureret port ACL fra VM-netværket. Get-SCVMNetwork: Returnerer den konfigurerede port ACL i det returnerede objekt. Eksempelkommandoer
Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl
Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL
VM-undernet
Disse regler anvendes på alle virtuelle VM-netværkskort, der er tilsluttet dette VM-undernet. Eksisterende PowerShell-cmdlet'er blev opdateret med en ny parameter til tilslutning og fjernelse af port-ACL'er. New-SCVMSubnet [-PortACL <NetworkAccessControlList>] [rest of the parameters] -PortACL: New optional parameter that lets you specify a port ACL to the VM subnet during creation. Set-SCVMSubnet [-PortACL <NetworkAccessControlList> | -RemovePortACL] [resten af parametrene] -PortACL: Ny valgfri parameter, der gør det muligt at angive en port ACL til VM-undernettet. -RemovePortACL: Ny valgfri parameter, der fjerner enhver konfigureret port ACL fra VM-undernettet. Get-SCVMSubnet: Returnerer den konfigurerede port ACL i det returnerede objekt. Eksempelkommandoer
Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl
Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL
VM virtuelt netværkskort (vmNIC)
Eksisterende PowerShell-cmdlet'er blev opdateret med nye parametre til tilslutning og fjernelse af port-ACL'er. New-SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [rest of the parameters] -PortACL: Ny valgfri parameter, der gør det muligt at angive en port ACL til det virtuelle netværkskort, mens du opretter et nyt vNIC. Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [resten af parametrene] -PortACL: Ny valgfri parameter, der gør det muligt at angive en port ACL til det virtuelle netværkskort. -RemovePortACL: Ny valgfri parameter, der fjerner enhver konfigureret port ACL fra det virtuelle netværkskort. Get-SCVirtualNetworkAdapter: Returnerer den konfigurerede port ACL i det returnerede objekt. Eksempelkommandoer
Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl
Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL
Anvendelse af ACL-regler for port
Når du opdaterer vm'er, når du har vedhæftet port-ACL'erne, bemærker du, at status for vm'er vises som "Ikke kompatibel" i visningen af den virtuelle maskine i Fabric-arbejdsområdet. (Hvis du vil skifte til visningen Virtuel maskine, skal du først gå til noden Logiske netværk eller noden Logiske parametre i Fabric-arbejdsområdet). Vær opmærksom på, at VM-opdatering sker automatisk i baggrunden (til tiden). Selvom du ikke opdaterer vm'er eksplicit, vil de derfor gå i en ikke-kompilel tilstand på et tidspunkt.
På nuværende tidspunkt er port-ACL'er endnu ikke anvendt på vm'er og deres relevante virtuelle netværkskort. Hvis du vil anvende port-ACL'er, skal du udløse en proces, der kaldes afhjælpning. Dette sker aldrig automatisk og bør startes eksplicit efter anmodning fra brugeren. Hvis du vil starte afhjælpningen, skal du enten klikke på Afhjælpning på båndet eller køre cmdlet'en Repair-SCVirtualNetworkAdapter. Der er ingen bestemte ændringer i cmdlet-syntaksen for denne funktion. Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter> Afhjælpning af disse VM'er markerer dem som kompatible og sikrer, at udvidede port-ACL'er anvendes. Vær opmærksom på, at port-ACL'er ikke gælder for vm'er i omfang, før du løser dem eksplicit.Få vist ACL-regler for port
Hvis du vil have vist ACL-reglerne og ACL-reglerne, kan du bruge følgende PowerShell-cmdlet'er.
Nye PowerShell-cmdlet'er, der tilføjes
Hent port-ACLs-parametersæt 1. Sådan henter du hele eller efter navn: Get-SCPortACL [-Name <>] Parametersæt 2. Sådan hentes efter id: Get-SCPortACL -Id <> [-Name <>] Hent port ACL-regler Parametersæt 1. Hele eller efter navn: Get-SCPortACLrule [-Name <>] Parametersæt 2. Efter id: Get-SCPortACLrule -Id <> parametersæt 3. Efter ACL-objekt: Get-SCPortACLrule –PortACL <NetworkAccessControlList>
Opdatering af ACL-regler for port
Når du opdaterer den ACL, der er knyttet til netværkskort, afspejles ændringerne i alle de netværkskortforekomster, der bruger den pågældende ACL. For en ACL, der er knyttet til et VM-undernet eller VM-netværk, opdateres alle de netværkskortforekomster, der er tilsluttet det pågældende undernet, med ændringerne.
Bemærk! Opdatering af ACL-regler på individuelle netværkskort udføres parallelt i et forsøg med bedste indsats. Netværkskort, der af en eller anden grund ikke kan opdateres, er markeret med "sikkerhed inkompileret", og opgaven afsluttes med en fejlmeddelelse, der angiver, at netværkskortene ikke blev opdateret korrekt. "Sikkerhed inkompileret" refererer her til en uoverensstemmelse i forventede kontra faktiske ACL-regler. Adapteren har kompatibilitetstilstanden "Ikke kompatibel" sammen med relevante fejlmeddelelser. Se forrige afsnit for at få flere oplysninger om afhjælpning af ikke-kompatible virtuelle maskiner.Ny PowerShell-cmdlet tilføjet
Set-SCPortACL -PortACL <PortACL> [-Name <Name>] [-Description <description>]
Set-SCPortACLrule -PortACLrule <> PortACLrule> [-Name <name>] [-Description <string>] [-Type <PortACLRuleDirection> {Inbound | Udgående}] [-Action <PortACLRuleAction> {Allow | Deny}] [-SourceAddressPrefix <streng>] [-SourcePortRange <streng>] [-DestinationAddressPrefix <streng>] [-DestinationPortRange <streng>] [-Protocol <PortACLruleProtocol> {Tcp | Udp-| Any}] Set-SCPortACL: Ændrer ACL-beskrivelsen af porten.-
Beskrivelse: Opdaterer beskrivelsen.
Set-SCPortACLrule: Ændrer port-ACL-regelparametrene.
-
Beskrivelse: Opdaterer beskrivelsen.
-
Type: Opdaterer den retning, som ACL anvendes i.
-
Handling: Opdaterer handlingen for ACL.
-
Protokol: Opdaterer den protokol, som ACL anvendes på.
-
Prioritet: Opdaterer prioriteten.
-
SourceAddressPrefix: Opdaterer præfikset for kildeadressen.
-
SourcePortRange: Opdaterer kildeportområdet.
-
DestinationAddressPrefix: Opdaterer destinationsadressepræfikset.
-
DestinationPortRange: Opdaterer destinationens portområde.
Sletning af port-ACL'er og ACL-regler for port
En ACL kan kun slettes, hvis der ikke er nogen afhængigheder knyttet til den. Afhængigheder omfatter VM-netværk/VM-undernet/virtuelt netværkskort/globale indstillinger, der er knyttet til ACL. Når du forsøger at slette en port ACL ved hjælp af PowerShell-cmdlet'en, registrerer cmdlet'en, om porten ACL er knyttet til en af afhængighederne, og udløser relevante fejlmeddelelser.
Fjerner port-ACL'er
Nye PowerShell-cmdlet'er blev tilføjet:
Remove-SCPortACL -PortACL <NetworkAccessControlList>Fjerne ACL-regler for port
Nye PowerShell-cmdlet'er blev tilføjet:
Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule> Vær opmærksom på, at sletning af et VM-undernet/VM-netværk/netværkskort automatisk fjerner tilknytningen til den pågældende ACL. En ACL kan også fjernes fra VM-undernettet/VM-netværket/netværkskortet ved at ændre det respektive VMM-netværksobjekt. Det gør du ved at bruge Set-cmdlet'en sammen med parameteren -RemovePortACL, som beskrevet i tidligere afsnit. I dette tilfælde vil porten ACL blive fjernet fra det respektive netværksobjekt, men vil ikke blive slettet fra VMM-infrastrukturen. Det kan derfor genbruges senere.Fortrudt ændringer i ACL-regler
Hvis vi foretager out of band-ændringer (OOB) af ACL-regler fra hyper-V virtuel switchport (ved hjælp af indbyggede Hyper-V-cmdlet'er som f.eks. Add-VMNetworkAdapterExtendedAcl), viser VM-opdatering netværkskortet som "Security Incompliant". Netværkskortet kan derefter afhjælpes fra VMM som beskrevet i afsnittet "Anvender port-ACL'er". Afhjælpning overskriver dog alle ACL-portregler, der er defineret uden for VMM, med dem, der forventes af VMM.
Portér ACL-regelprioritet og programrækkefølge (avanceret)
Grundlæggende begreber
Hver port ACL-regel i en port ACL har en egenskab, der kaldes "Prioritet". Regler anvendes i rækkefølge baseret på deres prioritet. Følgende grundlæggende principper definerer rangordenen af regler:
-
Jo lavere prioritetstallet er, jo højere er rangordenen. Det vil sige, at hvis ACL-regler for flere porte modsiger hinanden, vinder reglen med lavere prioritet.
-
Regelhandlingen påvirker ikke rangordenen. Det betyder, at i modsætning til NTFS-ACL'er (for eksempel) har vi her ikke et begreb som "Afvis tilsidesætter altid Tillad".
-
På samme prioritet (samme numeriske værdi) kan du ikke have to regler med samme retning. Denne funktionsmåde forhindrer en hypotetisk situation, hvor man kan definere både "Afvis" og "Tillad"-regler med samme prioritet, da dette vil resultere i tvetydighed eller en konflikt.
-
En konflikt defineres som to eller flere regler, der har samme prioritet og retning. Der kan opstå en konflikt, hvis der er to ACL-portregler med samme prioritet og retning i to ACL'er, der anvendes på forskellige niveauer, og hvis disse niveauer delvist overlapper hinanden. Det vil altså være, at der kan være et objekt (f.eks. vmNIC), der er inden for begge niveauers rækkevidde. Et almindeligt eksempel på overlappende er et VM-netværk og VM-undernet i det samme netværk.
Anvendelse af ACL'er med flere porte på en enkelt enhed
Da port-ACL'er kan gælde for forskellige VMM-netværksobjekter (eller på forskellige niveauer, som beskrevet tidligere), kan et enkelt virtuelt VM-netværkskort (vmNIC) falde ind under anvendelsesområdet for flere port-ACL'er. I dette scenarie anvendes port ACL-reglerne fra alle port-ACL'er. Disse reglers rangorden kan dog være forskellig, afhængigt af flere nye VMM-finjusteringsindstillinger, der er nævnt senere i denne artikel.
Indstillinger i registreringsdatabasen
Disse indstillinger er defineret som Dword-værdier i Windows-registreringsdatabasen under følgende nøgle på VMM-administrationsserveren:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Indstillinger
Vær opmærksom på, at alle disse indstillinger påvirker funktionsmåden for port-ACL'er på tværs af hele VMM-infrastrukturen.Effektiv prioritet af port ACL-regel
I denne diskussion beskriver vi den faktiske rangorden af port ACL-regler, når flere port-ACL'er anvendes på en enkelt enhed som effektiv regelprioritet. Vær opmærksom på, at der ikke er nogen separat indstilling eller et separat objekt i VMM til at definere eller få vist Prioritet af effektive regler. Den beregnes i kørselstidspunktet.
Der er to globale tilstande, hvor effektiv regelprioritet kan beregnes. Tilstandene skiftes af indstillingen i registreringsdatabasen:PortACLAbsolutePriority
De acceptable værdier for denne indstilling er enten 0 (nul) eller 1, hvor 0 angiver standardfunktionsmåden.Relativ prioritet (standardfunktionsmåde)
Hvis du vil aktivere denne tilstand, skal du angive egenskaben PortACLAbsolutePriority i registreringsdatabasen til en værdi på 0 (nul). Denne tilstand gælder også, hvis indstillingen ikke er defineret i registreringsdatabasen (dvs. hvis egenskaben ikke er oprettet).
I denne tilstand gælder følgende principper ud over de kernekoncepter, der blev beskrevet tidligere:-
Prioriteten inden for den samme port ACL bevares. Derfor behandles prioritetsværdier, der er defineret i hver regel, som relative i ACL.
-
Når du anvender flere port-ACL'er, anvendes deres regler i buckets. Reglerne fra den samme ACL (knyttet til et givent objekt) anvendes sammen i den samme bucket. Prioriteringen af bestemte buckets afhænger af det objekt, som porten ACL er knyttet til.
-
Her tilsidesætter alle regler, der er defineret i de globale indstillinger ACL (uanset deres egen prioritet som defineret i porten ACL), altid de regler, der er defineret i den ACL, der anvendes på vmNIC osv. Med andre ord gennemtvinges lagadskillelse.
I sidste ende kan Effektiv regelprioritet være forskellig fra den numeriske værdi, du definerer i portegenskaberne for ACL-reglen. Du kan få mere at vide om, hvordan denne funktionsmåde gennemtvinges, og hvordan du kan ændre dens logik.
-
Den rækkefølge, hvori tre "objektspecifikke" niveauer (dvs. vmNIC, VM-undernet og VM-netværk) har forrang, kan ændres.
-
Rækkefølgen af globale indstillinger kan ikke ændres. Det har altid højeste prioritet (eller rækkefølge = 0).
-
For de andre tre niveauer kan du angive følgende indstillinger til en numerisk værdi mellem 0 og 3, hvor 0 er den højeste rangorden (lig med globale indstillinger), og 3 har den laveste rangorden:
-
PortACLVMNetworkAdapterPriority (standarden er 1)
-
PortACLVMSubnetPriority (standarden er 2)
-
PortACLVMNetworkPriority (standarden er 3)
-
-
Hvis du tildeler den samme værdi (0 til 3) til disse flere indstillinger i registreringsdatabasen, eller hvis du tildeler en værdi uden for 0-3-området, vil VMM mislykkes tilbage til standardfunktionsmåden.
-
-
Måden, hvorpå sortering gennemtvinges, er, at Effektiv regelprioritet ændres, så ACL-regler, der er defineret på et højere niveau, får højere prioritet (dvs. en mindre numerisk værdi). Når effektiv ACL beregnes, "stødes" hver relativ regelprioritetsværdi af den niveauspecifikke værdi eller "trin".
-
Den niveauspecifikke værdi er det "trin", der adskiller forskellige niveauer. Som standard er størrelsen på "trinnet" 10000 og konfigureret af følgende indstilling i registreringsdatabasen:
PortACLLayerSeparation
-
Det betyder, at i denne tilstand kan enhver individuel regelprioritet i ACL (dvs. en regel, der behandles som relativ) ikke overstige værdien af følgende indstilling:
PortACLLayerSeparation(som standard, 10000)
Konfigurationseksempel
Antag, at alle indstillingerne har deres standardværdier. (Disse er beskrevet tidligere).
-
Vi har en ACL, der er knyttet til vmNIC (PortACLVMNetworkAdapterPriority = 1).
-
Den effektive prioritet for alle regler, der er defineret i denne ACL, påvirkes af 10000 (PortACLLayerSeparation-værdi).
-
Vi definerer en regel i denne ACL, der har en prioritet, der er angivet til 100.
-
Den effektive prioritet for denne regel ville være 10000 + 100 = 10100.
-
Reglen tilsidesætter andre regler inden for samme ACL, hvor prioriteten er større end 100.
-
Reglen tilsidesætter altid alle regler, der er defineret i ACL'er, der er knyttet til VM-netværket og VM-undernetniveauet. (Dette er tilfældet, fordi disse anses for at være "lavere" niveauer).
-
Reglen tilsidesætter aldrig regler, der er defineret i de globale indstillinger ACL.
Fordele ved denne tilstand
-
Der er bedre sikkerhed i scenarier med flere lejere, fordi ACL-portregler, der er defineret af Fabric-administratoren (på niveauet Global Indstillinger), altid tilsidesætter eventuelle regler, der er defineret af lejere selv.
-
Eventuelle konflikter mellem port-ACL-regler (dvs. tvetydigheder) forhindres automatisk på grund af lagseparation. Det er meget nemt at forudsige, hvilke regler der vil være effektive og hvorfor.
Advarsler med denne tilstand
-
Mindre fleksibilitet. Hvis du definerer en regel (f.eks. "Afvis al trafik til port 80") i globale indstillinger, kan du aldrig oprette en mere detaljeret undtagelse fra denne regel på et lavere lag (f.eks. "Tillad kun port 80 på denne VM, der kører en legitim webserver").
Relativ prioritet
Hvis du vil aktivere denne tilstand, skal du indstille egenskaben PortACLAbsolutePriority i registreringsdatabasen til en værdi på 1.
I denne tilstand gælder følgende principper ud over de kernekoncepter, der er beskrevet tidligere:-
Hvis et objekt falder inden for anvendelsesområdet for flere ACL'er (f.eks. VM-netværk og VM-undernet), anvendes alle regler, der er defineret i vedhæftede ACL'er, i samlet rækkefølge (eller som en enkelt bucket). Der er ingen niveauadskillelse og ingen "bumping" overhovedet.
-
Alle regelprioriteter behandles som absolutte, nøjagtigt som de er defineret i hver regelprioritet. Med andre ord er den effektive prioritet for hver regel det samme som det, der er defineret i selve reglen og ændres ikke af VMM-motoren, før den anvendes.
-
Alle andre indstillinger i registreringsdatabasen, der er beskrevet i forrige afsnit, har ingen virkning.
-
I denne tilstand kan enhver individuel regelprioritet i en ACL (dvs. en regelprioritet, der behandles som absolut) ikke overstige 65535.
Konfigurationseksempel
-
I de globale indstillinger ACL definerer du en regel, hvis prioritet er angivet til 100.
-
I den ACL, der er knyttet til vmNIC, definerer du en regel, hvis prioritet er angivet til 50.
-
Den regel, der er defineret på vmNIC-niveau, har forrang, fordi den har en højere prioritet (dvs. en lavere numerisk værdi).
Fordele ved denne tilstand
-
Mere fleksibilitet. Du kan oprette "engangsundtagelser" fra de globale indstillingsregler på lavere niveauer (f.eks. VM-undernet eller vmNIC).
Advarsler med denne tilstand
-
Planlægning kan blive mere kompleks, fordi der ikke er nogen niveauseparation. Og der kan være en regel på et hvilket som helst niveau, der tilsidesætter andre regler, der er defineret på andre objekter.
-
I miljøer med flere lejere kan sikkerhed blive påvirket, fordi en lejer kan oprette en regel på VM-undernetniveauet, der tilsidesætter den politik, der er defineret af Fabric-administratoren på det globale indstillingsniveau.
-
Regelkonflikter (dvs. tvetydigheder) fjernes ikke automatisk og kan forekomme. VMM kan kun forhindre konflikter på samme ACL-niveau. Den kan ikke forhindre konflikter på tværs af ACL'er, der er knyttet til forskellige objekter. I tilfælde af konflikt, fordi VMM ikke kan løse konflikten automatisk, stopper den med at anvende reglerne og udløser en fejl.