Υποστήριξη για την ανάπτυξη Hyper-V extended θύρα ACL στο System Center 2012 VMM R2 με τη συνάθροιση ενημερώσεων 8

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 3101161
Περίληψη
Οι διαχειριστές του Microsoft System Center 2012 R2 εικονική μηχανή διαχείρισης (VMM) τώρα κεντρικά δημιουργία και τη Διαχείριση Hyper-V θύρα λίστες ελέγχου πρόσβασης (ACL) στο VMM.
Περισσότερες πληροφορίες
Για περισσότερες πληροφορίες σχετικά με τη συνάθροιση ενημερώσεων 8 για διαχείριση εικονικής μηχανής R2 System Center 2012, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

3096389 Συνάθροιση ενημερώσεων 8 για διαχείριση εικονικής μηχανής R2 System Center 2012

Γλωσσάρι

Μας έχουν βελτιωθεί το μοντέλο αντικειμένου διαχείριση εικονικής μηχανής, προσθέτοντας τις παρακάτω νέες έννοιες στην περιοχή διαχείρισης δικτύου.
  • Λίστα ελέγχου πρόσβασης θύρας (θύρα ACL)
    Ένα αντικείμενο που είναι προσαρτημένη σε διάφορες VMM τα στοιχειώδεις τύπους δικτύου για την περιγραφή ασφάλειας του δικτύου. Η θύρα ACL που χρησιμεύει ως μια συλλογή από καταχωρήσεις ελέγχου πρόσβασης ή κανόνες ACL. Ένα ACL μπορεί να συνδεθεί σε οποιοδήποτε αριθμό (μηδέν ή περισσότερες) VMM δίκτυο στοιχειώδεις τύπους, όπως ένα δίκτυο VM, VM υποδικτύου, προσαρμογέα εικονικού δικτύου ή το διακομιστή διαχείρισης VMM ίδια. Ένα ACL μπορεί να περιέχει οποιονδήποτε αριθμό (μηδέν ή περισσότερες) κανόνες ACL. Κάθε συμβατό VMM δίκτυο στοιχειώδεις (VM δικτύου, VM υποδικτύου, προσαρμογέα εικονικού δικτύου ή διακομιστή διαχείρισης VMM) μπορεί να έχει μία θύρα επισυνάπτεται ACL ή κανένα.
  • Η καταχώρηση ελέγχου πρόσβασης θύρας ή κανόνα ACL
    Αντικείμενο που περιγράφει την πολιτική φιλτραρίσματος. Πολλούς κανόνες ACL μπορεί να υπάρχουν στην ίδια θύρα ACL και εφαρμόζονται με βάση τη σειρά προτεραιότητάς τους. Κάθε κανόνας ACL αντιστοιχεί ακριβώς μία θύρα ACL.
  • Καθολικές ρυθμίσεις
    Μια εικονική έννοια που περιγράφει μια θύρα ACL που εφαρμόζεται σε όλους τους προσαρμογείς εικονικού δικτύου VM στην υποδομής. Δεν υπάρχει κανένας τύπος ξεχωριστό αντικείμενο για καθολικές ρυθμίσεις. Αντίθετα, η θύρα καθολικές ρυθμίσεις ACL επισυνάπτει στο διακομιστή διαχείρισης VMM ίδια. Το αντικείμενο διακομιστή διαχείρισης VMM μπορεί να έχει μία θύρα ACL ή κανένα.
Για πληροφορίες σχετικά με τα αντικείμενα στην περιοχή διαχείρισης δικτύου που ήταν προηγουμένως διαθέσιμες, ανατρέξτε στο θέμα Βασικά στοιχεία αντικείμενο δικτύου διαχείριση εικονικής μηχανής.

Τι μπορώ να κάνω με αυτήν τη δυνατότητα;

Χρησιμοποιώντας τη διασύνδεση PowerShell στο VMM, μπορείτε τώρα να εκτελέσετε τις ακόλουθες ενέργειες:
  • Καθορισμός ACL θύρα και τους κανόνες ACL.
    • Οι κανόνες εφαρμόζονται σε εικονικό διακόπτη θύρες σε διακομιστές Hyper-V ως "εκτεταμένη θύρα ACL" (VMNetworkAdapterExtendedAcl) στην ορολογία Hyper-V. Αυτό σημαίνει ότι μπορούν να ισχύουν μόνο σε κεντρικούς διακομιστές Windows Server 2012 R2 (και Hyper-V Server R2 2012).
    • VMM δεν θα δημιουργήσει το "παλαιού τύπου" θύρα Hyper-V ACL (VMNetworkAdapterAcl). Επομένως, δεν μπορείτε να εφαρμόσετε ACL θύρας σε κεντρικούς διακομιστές Windows Server 2012 (ή Hyper-V Server 2012) χρησιμοποιώντας VMM.
    • Όλοι οι κανόνες ACL θύρα που έχουν οριστεί σε VMM με τη χρήση αυτής της δυνατότητας είναι κατάστασης (για TCP). Δεν μπορείτε να δημιουργήσετε χωρίς κατάσταση κανόνες ACL για TCP χρησιμοποιώντας VMM.
    Για περισσότερες πληροφορίες σχετικά με τη δυνατότητα ACL θύρα εκτεταμένη στο Windows Server 2012 R2 Hyper-V, ανατρέξτε στο θέμα Δημιουργία πολιτικών ασφαλείας με εκτεταμένο θύρα λίστες ελέγχου πρόσβασης για Windows Server 2012 R2.
  • Μπορείτε να επισυνάψετε μια θύρα ACL σε καθολικές ρυθμίσεις. Αυτό ισχύει για όλους τους προσαρμογείς εικονικού δικτύου VM. Είναι διαθέσιμη μόνο για πλήρη "διαχειριστές".
  • Επισύναψη των ACL θύρας που έχουν δημιουργηθεί σε ένα δίκτυο VM, VM υποδικτύων ή προσαρμογείς εικονικού δικτύου VM. Αυτό μπορεί να είναι διαθέσιμες για πλήρη admins, διαχειριστές μισθωτών και χρήστες αυτοεξυπηρέτησης (SSUs).
  • Προβολή και ενημέρωση κανόνες ACL θυρών που έχουν ρυθμιστεί για το επιμέρους vNIC VM.
  • Διαγραφή θύρας ACL και τους κανόνες ACL.
Κάθε μία από αυτές τις ενέργειες που καλύπτονται με περισσότερες λεπτομέρειες αργότερα σε αυτό το άρθρο.

Θα πρέπει να γνωρίζετε ότι αυτή η λειτουργία είναι διαθέσιμο μόνο μέσω PowerShell cmdlets και δεν θα εμφανιστούν στην κονσόλα VMM περιβάλλοντος εργασίας Χρήστη (εκτός από την κατάσταση "Συμμόρφωση").

Τι δεν μπορεί να κάνω με αυτήν τη δυνατότητα;

  • Διαχείριση/ενημέρωση μεμονωμένους κανόνες για μια μεμονωμένη εμφάνιση όταν το ACL χρησιμοποιούνται από κοινού από πολλές παρουσίες. Όλοι οι κανόνες γίνεται κεντρικά μέσα σε μητρική ACL και εφαρμόστε όπου είναι συνδεδεμένο το ACL.
  • Μπορείτε να επισυνάψετε περισσότερα από ένα ACL σε μια οντότητα.
  • Ισχύουν θύρα ACL για προσαρμογείς εικονικού δικτύου (vNICs) στο γονικό διαμέρισμα Hyper-V (Διαχείριση λειτουργικού Συστήματος).
  • Δημιουργήστε κανόνες ACL θύρας που περιλαμβάνουν πρωτόκολλα IP επιπέδου (εκτός από το πρωτόκολλο TCP ή UDP).
  • Εφαρμογή ACL θύρας σε λογικά δίκτυα, τοποθεσίες δικτύου (λογικό δίκτυο ορισμοί), δίκτυα VLAN υποδικτύου και άλλα VMM στοιχειώδεις δικτύου τύπους που δεν αναγράφονται παραπάνω.

Πώς μπορώ να χρησιμοποιήσω τη δυνατότητα;

Ορισμός νέας θύρας ACL και τους κανόνες ACL θύρας

Μπορείτε τώρα να δημιουργήσετε ACL και τους κανόνες ACL απευθείας από στο VMM χρησιμοποιώντας PowerShell cmdlets.

Δημιουργία μιας νέας ACL

Προστίθενται τα ακόλουθα νέα cmdlets PowerShell:

Νέα SCPortACL -όνομασυμβολοσειρά> [-Περιγραφήσυμβολοσειρά>]

– Όνομα: Το όνομα της θύρας ACL

– Περιγραφή: Περιγραφή της θύρας ACL (προαιρετική παράμετρος)

Get-SCPortACL

Ανακτά όλα τα ACL θύρας

– Όνομα: Προαιρετικά φιλτράρετε με βάση το όνομα

– ID: προαιρετικά φιλτράρισμα κατά ID

Δείγματα εντολών

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Ορισμός κανόνων ACL θύρας για τη θύρα ACL
Κάθε θύρα ACL αποτελείται από μια συλλογή κανόνων ACL θύρας. Κάθε κανόνας περιέχει διαφορετικές παραμέτρους.

  • Όνομα
  • Περιγραφή
  • Τύπος: Εισαγωγής/εξαγωγής (την κατεύθυνση στην οποία θα εφαρμοστεί η ACL)
  • Ενέργεια: Επιτρέπονται/δεν επιτρέπεται (η ενέργεια της ACL, είτε για να επιτρέψετε την κυκλοφορία είτε για να αποκλείσετε την κυκλοφορία)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Πρωτόκολλο: TCP/Udp/οποιοδήποτε (Σημείωση: πρωτόκολλα IP επιπέδου δεν υποστηρίζονται σε θύρα ACL που ορίζονται από VMM. Εξακολουθούν να υποστηρίζονται εγγενώς από Hyper-V.)
  • Προτεραιότητα: 1-65535 (μικρότερος αριθμός έχει υψηλότερη προτεραιότητα). Είναι η προτεραιότητα σε σχέση με το επίπεδο στο οποίο εφαρμόζεται. (Περισσότερες πληροφορίες σχετικά με τον τρόπο εφαρμογής κανόνων ACL με βάση την προτεραιότητα και το αντικείμενο με το οποίο το ACL είναι συνημμένο ακολουθεί.)

Νέα cmdlets PowerShell που θα προστεθούν

Νέα SCPortACLrule - PortACLPortACL>-Όνομασυμβολοσειρά> [-Περιγραφή <string>]-τύπος <Inbound |="" outbound="">-ενέργεια <Allow |="" deny="">-προτεραιότητα <uint16>-πρωτόκολλο <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Ανακτά όλους τους κανόνες θύρας ACL.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Όνομα: Προαιρετικά φιλτράρετε με βάση το όνομα
  • Αναγνωριστικό: Προαιρετικά φιλτράρισμα κατά ID
  • PortACL: Φιλτράρισμα προαιρετικά θύρα ACL
Δείγματα εντολών

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Σύνδεση και αποσύνδεση θύρας ACL



Οι ACL μπορεί να συνδεθεί με το ακόλουθο:
  • Καθολικές ρυθμίσεις (ισχύει για όλους τους προσαρμογείς δικτύου VM. Μόνο διαχειριστές πλήρους μπορεί να γίνει αυτό.)
  • Εικονική Μηχανή δικτύου (πλήρης admins/μισθωτών admins/SSUs μπορεί να γίνει αυτό.)
  • VM υποδικτύου (πλήρης admins/μισθωτών admins/SSUs μπορεί να γίνει αυτό.)
  • Προσαρμογείς εικονικού δικτύου (πλήρης admins/μισθωτών admins/SSUs μπορεί να γίνει αυτό.)

Καθολικές ρυθμίσεις

Οι κανόνες αυτοί ACL θύρα ισχύουν για όλους τους προσαρμογείς εικονικού δικτύου VM στην υποδομής.

Υπάρχουσα cmdlets PowerShell ενημερώθηκαν με νέες παραμέτρους για τη σύνδεση και την αποσύνδεση θύρας ACL.

Σύνολο SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Νέα προαιρετική παράμετρος που ρυθμίζει τις παραμέτρους της καθορισμένης θύρας ACL για καθολικές ρυθμίσεις.
  • RemovePortACL: Νέα προαιρετική παράμετρος που καταργεί οποιαδήποτε ρύθμιση παραμέτρων θύρας ACL από καθολικές ρυθμίσεις.
Get SCVMMServer: αποδίδει τη ρυθμισμένη θύρα ACL σε αντικείμενο που επιστρέφεται.

Δείγματα εντολών

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Εικονική Μηχανή δικτύου


Αυτοί οι κανόνες θα εφαρμοστούν σε όλους τους προσαρμογείς εικονικού δικτύου VM που είναι συνδεδεμένες με αυτό το δίκτυο VM.

Υπάρχουσα cmdlets PowerShell ενημερώθηκαν με νέες παραμέτρους για τη σύνδεση και την αποσύνδεση θύρας ACL.

Νέα SCVMNetwork [-PortACLNetworkAccessControlListπροϊόντος &gt;] [υπόλοιπη οι παράμετροι]

-PortACL: νέα προαιρετική παράμετρος που σας επιτρέπει να καθορίσετε μια θύρα ACL στο δίκτυο VM κατά τη δημιουργία του.

Σύνολο SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [υπόλοιπη οι παράμετροι]

-PortACL: νέα προαιρετική παράμετρος που σας επιτρέπει να ορίσετε μια θύρα ACL στο δίκτυο VM.

-RemovePortACL: νέα προαιρετική παράμετρος που καταργεί οποιαδήποτε ρύθμιση παραμέτρων θύρας ACL από το δίκτυο VM.

Get SCVMNetwork: αποδίδει τη ρυθμισμένη θύρα ACL σε αντικείμενο που επιστρέφεται.

Δείγματα εντολών

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Υποδίκτυο VM


Αυτοί οι κανόνες θα εφαρμοστούν σε όλους τους προσαρμογείς εικονικού δικτύου VM που είναι συνδεδεμένες με αυτό το subnet VM.

Υπάρχουσα cmdlets PowerShell ενημερώθηκαν με νέες παραμέτρους για τη σύνδεση και την αποσύνδεση θύρας ACL.

Νέα SCVMSubnet [-PortACLNetworkAccessControlListπροϊόντος &gt;] [υπόλοιπη οι παράμετροι]

-PortACL: νέα προαιρετική παράμετρος που σας επιτρέπει να καθορίσετε μια θύρα ACL στο υποδίκτυο VM κατά τη δημιουργία του.

Σύνολο SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [υπόλοιπη οι παράμετροι]

-PortACL: νέα προαιρετική παράμετρος που σας επιτρέπει να ορίσετε μια θύρα ACL στο υποδίκτυο VM.

-RemovePortACL: νέα προαιρετική παράμετρος που καταργεί οποιαδήποτε ρύθμιση παραμέτρων θύρας ACL από το υποδίκτυο VM.

Get SCVMSubnet: αποδίδει τη ρυθμισμένη θύρα ACL σε αντικείμενο που επιστρέφεται.

Δείγματα εντολών

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM προσαρμογέα εικονικού δικτύου (vmNIC)


Υπάρχουσα cmdlets PowerShell ενημερώθηκαν με νέες παραμέτρους για τη σύνδεση και την αποσύνδεση θύρας ACL.

Νέα SCVirtualNetworkAdapter [-PortACLNetworkAccessControlListπροϊόντος &gt;] [υπόλοιπη οι παράμετροι]

-PortACL: νέα προαιρετική παράμετρος που σας επιτρέπει να καθορίσετε μια θύρα ACL με τον προσαρμογέα εικονικού δικτύου, όταν δημιουργείτε μια νέα vNIC.

Σύνολο SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [υπόλοιπη οι παράμετροι]

-PortACL: νέα προαιρετική παράμετρος που σας επιτρέπει να ορίσετε μια θύρα ACL με τον προσαρμογέα εικονικού δικτύου.

-RemovePortACL: νέα προαιρετική παράμετρος που καταργεί οποιαδήποτε ρύθμιση παραμέτρων θύρας ACL από τον προσαρμογέα εικονικού δικτύου.

Get SCVirtualNetworkAdapter: αποδίδει τη ρυθμισμένη θύρα ACL σε αντικείμενο που επιστρέφεται.

Δείγματα εντολών

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Εφαρμογή κανόνων ACL θύρας

Όταν κάνετε ανανέωση του ΣΠΣ, αφού προσαρτήσετε τη θύρα ACL, παρατηρείτε ότι εμφανίζεται η κατάσταση του ΣΠΣ ως "Μη συμβατές" στην προβολή εικονική μηχανή του υφάσματος χώρου εργασίας. (Για να μεταβείτε στην προβολή εικονικής μηχανής, πρέπει να μεταβείτε πρώτα τον κόμβο Λογικά δίκτυα ή στον κόμβο Μεταβαίνει λογική του χώρου εργασίας ύφασμα). Να έχετε υπόψη σας ότι VM ανανέωση γίνεται αυτόματα στο παρασκήνιο (στο χρονοδιάγραμμα). Επομένως, ακόμα και αν δεν ανανεώσετε ρητά ΣΠΣ, θα μεταβούν σε κατάσταση μη σύμμορφους τελικά.



Σε αυτό το σημείο, η θύρα ACL δεν εφαρμοστεί ακόμα ΣΠΣ και τους προσαρμογείς σχετικές εικονικού δικτύου. Για να εφαρμόσετε το ACL θύρα, πρέπει να ενεργοποιήσετε μια διαδικασία που είναι γνωστή ως αποκατάσταση εύρυθμης λειτουργίας. Αυτό δεν συμβαίνει αυτόματα και πρέπει να αρχίσει ρητά, μετά από αίτηση του χρήστη.

Για να ξεκινήσετε την επιδιόρθωση, που Remediate στην κορδέλα, κάντε κλικ είτε εκτελείται το cmdlet Επιδιόρθωση SCVirtualNetworkAdapter . Υπάρχουν συγκεκριμένες αλλαγές για τη σύνταξη του cmdlet για αυτήν τη δυνατότητα.

Επιδιόρθωση-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating αυτά τα ΣΠΣ θα τις επισημάνει ως συμβατός με και θα, βεβαιωθείτε ότι εφαρμόζονται εκτεταμένο θύρα ACL. Να έχετε υπόψη σας ότι θύρα ACL δεν θα ισχύει για κάθε VM στο εύρος, μέχρι τους διόρθωση ρητά.

Προβολή κανόνων ACL θύρας

Για να προβάλετε το ACL και ACL τους κανόνες, μπορείτε να χρησιμοποιήσετε το ακόλουθο cmdlets PowerShell.

Νέα cmdlets PowerShell που θα προστεθούν

Ανάκτηση ACL θύρας

Η παράμετρος οριστεί σε 1. Για να λάβετε όλα ή με το όνομα: Get-SCPortACL [-όνομα <> </>]

Η παράμετρος οριστεί σε 2. Για να λάβετε με Αναγνωριστικό: Get SCPortACL -Id <> [-όνομα <> </>]

Ανάκτηση κανόνες ACL θύρας

Η παράμετρος οριστεί σε 1. Όλα ή με το όνομα: Get-SCPortACLrule [-όνομα <> </>]

Η παράμετρος οριστεί σε 2. Με Αναγνωριστικό: Get SCPortACLrule -Id <>

Η παράμετρος οριστεί 3. Αντικείμενο ACL: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Ενημέρωση κανόνων ACL θύρας

Όταν ενημερώνετε το ACL που είναι συνδεδεμένη με προσαρμογείς δικτύου, οι αλλαγές θα εμφανιστούν σε όλες τις παρουσίες προσαρμογέα δικτύου που χρησιμοποιούν το ACL. Για ένα ACL που επισυνάπτεται σε ένα VM δευτερεύον δίκτυο ή το δίκτυο VM, όλων των εμφανίσεων προσαρμογέα δικτύου που είναι συνδεδεμένοι σε αυτό το δευτερεύον δίκτυο ενημερώνονται με τις αλλαγές.

Σημείωση Ενημέρωση κανόνων ACL σε μεμονωμένους προσαρμογείς δικτύου εκτελείται παράλληλα σε δοκιμάστε ένα καλύτερο δυνατό σύστημα. Οι προσαρμογείς που δεν μπορούν να ενημερωθούν για οποιοδήποτε λόγο έχουν επισημανθεί ως "Ασφάλεια incompliant" και ολοκληρωθεί η εργασία με ένα μήνυμα λάθους που αναφέρει ότι ο προσαρμογέας δικτύου δεν ενημερώθηκαν με επιτυχία. "Ασφάλεια incompliant" αναφέρεται εδώ σε ασυμφωνία στον αναμενόμενο σε σχέση με τις πραγματικές ACL κανόνες. Ο προσαρμογέας θα διαθέτει μια κατάσταση συμμόρφωσης "Μη συμβατές" μαζί με τα μηνύματα λάθους σχετικά. Ανατρέξτε στην προηγούμενη ενότητα για περισσότερες πληροφορίες σχετικά με την άμβλυνση μη σύμμορφους εικονικές μηχανές.
Προστίθεται το νέο cmdlet PowerShell
Σύνολο SCPortACL - PortACLPortACL> [-ΌνομαΌνομαΠροϊόντος &gt;] [-περιγραφή <>n >]

Σύνολο SCPortACLrule - PortACLrulePortACLrule> [-ΌνομαόνομαΠροϊόντος &gt;] [-περιγραφήσυμβολοσειράΠροϊόντος &gt;] [-τύποςPortACLRuleDirection> {Εισερχόμενου | Εξερχόμενη}] [-ενέργειαPortACLRuleAction> {Επιτρέπουν | Άρνηση}] [-SourceAddressPrefixσυμβολοσειράΠροϊόντος &gt;] [-SourcePortRangeσυμβολοσειράΠροϊόντος &gt;] [-DestinationAddressPrefixσυμβολοσειράΠροϊόντος &gt;] [-DestinationPortRangeσυμβολοσειράΠροϊόντος &gt;] [-πρωτόκολλοPortACLruleProtocol> {Tcp | UDP | Οποιαδήποτε}]

Σύνολο SCPortACL: αλλάζει την περιγραφή ACL θύρα.
  • Περιγραφή: Ανανεώνει την περιγραφή.

Σύνολο SCPortACLrule: αλλάζει τις παραμέτρους θύρας ACL κανόνα.
  • Περιγραφή: Ανανεώνει την περιγραφή.
  • Τύπος: Ενημερώνει την κατεύθυνση στην οποία εφαρμόζεται το ACL.
  • ΕΝΕΡΓΕΙΑ: Ενημερώνει την ενέργεια της ACL.
  • Πρωτόκολλο: Ενημερώνει το πρωτόκολλο στο οποίο θα εφαρμοστεί το ACL.
  • Προτεραιότητα: Ενημερώνει την προτεραιότητα.
  • SourceAddressPrefix: Ενημερώνει το πρόθημα διεύθυνσης προέλευσης.
  • SourcePortRange: Ανανεώνει την περιοχή θυρών προέλευσης.
  • DestinationAddressPrefix: Ενημερώνει το πρόθημα διεύθυνσης προορισμού.
  • DestinationPortRange: Ενημερώνει το εύρος θύρας προορισμού.

Διαγραφή θύρας ACL και κανόνες ACL θύρας

Ένα ACL μπορεί να διαγραφεί μόνο αν υπάρχουν χωρίς εξαρτήσεις που είναι συνδεδεμένες με αυτό. Εξαρτήσεις περιλαμβάνουν VM δικτύου/VM υποδικτύου/εικονικού δικτύου προσαρμογέα/καθολικές ρυθμίσεις που συνδέονται με την ACL. Όταν προσπαθείτε να διαγράψετε μια θύρα ACL χρησιμοποιώντας το cmdlet PowerShell, το cmdlet θα εντοπίσει εάν η θύρα ACL επισυνάπτεται σε οποιαδήποτε από τις εξαρτήσεις και θα δημιουργήσει κατάλληλων μηνυμάτων σφάλματος.

Κατάργηση θύρας ACL

Προστέθηκαν νέα cmdlets PowerShell:

Κατάργηση-SCPortACL - PortACLNetworkAccessControlList>

Κατάργηση κανόνων ACL θύρας

Προστέθηκαν νέα cmdlets PowerShell:

Κατάργηση-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Έχετε υπόψη ότι διαγράφοντας ένα VM δικτύου subnet/VM/προσαρμογέα δικτύου καταργεί αυτόματα τη συσχέτιση με το ACL.

Ένα ACL μπορεί επίσης να καταργηθεί η συσχέτιση από τον προσαρμογέα δικτύου/δικτύου subnet/VM VM, αλλάζοντας το αντίστοιχο αντικείμενο δικτύου VMM. Για να γίνει αυτό, μπορείτε να χρησιμοποιήσετε τα cmdlet σύνολο- μαζί με το διακόπτη - RemovePortACL , όπως περιγράφεται στις προηγούμενες ενότητες. Σε αυτήν την περίπτωση, η θύρα ACL θα αποσυνδεθεί από το δίκτυο αντίστοιχο αντικείμενο αλλά δεν θα διαγραφούν από την υποδομή VMM. Επομένως, αυτό μπορεί να χρησιμοποιηθεί ξανά αργότερα.

Οι αλλαγές κανόνων ACL εκτός εύρους

Εάν κάνουμε εκτός εύρους (OOB) αλλαγές στους κανόνες ACL από Hyper-V εικονικών διακόπτη θύρα (χρησιμοποιώντας την εγγενή cmdlets Hyper-V, όπως η Προσθήκη VMNetworkAdapterExtendedAcl), ανανέωση VM θα εμφανίσει τον προσαρμογέα δικτύου ως "Incompliant ασφαλείας". Ο προσαρμογέας δικτύου, στη συνέχεια, να είναι remediated από VMM όπως περιγράφεται στην ενότητα "Εφαρμογή θύρα ACL". Ωστόσο, αποκατάστασης εύρυθμης λειτουργίας θα αντικαταστήσει όλους τους κανόνες ACL θύρα που έχουν οριστεί έξω από VMM με εκείνα που αναμένονται από VMM.

Θύρα ACL προτεραιότητα και εφαρμογή προτεραιότητας κανόνα (για προχωρημένους)

Βασικές έννοιες

Κάθε κανόνας ACL θύρα σε μια θύρα ACL έχει μια ιδιότητα που ονομάζεται "Προτεραιότητα". Οι κανόνες εφαρμόζονται με τη σειρά, με βάση τη σειρά προτεραιότητάς τους. Οι ακόλουθες βασικές αρχές καθορίζουν κανόνες προτεραιότητας:
  • Όσο χαμηλότερη είναι η προτεραιότητα αριθμός, όσο υψηλότερη είναι η προτεραιότητα. Αυτό σημαίνει ότι εάν πολλούς κανόνες ACL θύρα αντικρούονται με κάθε άλλο, κερδίζει ο κανόνας με χαμηλότερη προτεραιότητα.
  • Η ενέργεια κανόνα δεν επηρεάζει την προτεραιότητα. Αυτό σημαίνει ότι, σε αντίθεση με τις λίστες ACL του NTFS (για παράδειγμα), εδώ δεν έχουμε μια έννοια όπως "Άρνηση πάντα προηγείται επιτρέπεται".
  • Στην ίδια προτεραιότητα (ίδια αριθμητική τιμή), δεν μπορείτε να έχετε δύο κανόνες, με την ίδια κατεύθυνση. Αυτή η συμπεριφορά αποτρέπει μια υποθετική κατάσταση κατά την οποία μία θα μπορούσε να ορίσετε "Απόρριψη" και "Να επιτρέπεται" κανόνες με ισότιμη προτεραιότητα, επειδή αυτό θα είχε ως αποτέλεσμα σε αμφιβολία ή μια διένεξη.
  • Μια διένεξη ορίζεται ως δύο ή περισσότεροι κανόνες έχουν την ίδια προτεραιότητα και την ίδια κατεύθυνση. Διένεξη μπορεί να προκύψει, εάν υπάρχουν δύο κανόνες ACL θυρών με την ίδια προτεραιότητα και κατεύθυνσης σε δύο ACL που ισχύουν σε διαφορετικά επίπεδα, και εάν τα εν λόγω επίπεδα εν μέρει επικαλύπτονται. Αυτό σημαίνει ότι μπορεί να υπάρχει ένα αντικείμενο (για παράδειγμα, vmNIC), το οποίο εμπίπτει στο πεδίο εφαρμογής των δύο επιπέδων. Ένα συνηθισμένο παράδειγμα των επικαλυπτόμενων είναι μια εικονική Μηχανή δικτύου και το δευτερεύον VM στο ίδιο δίκτυο.

Εφαρμογή πολλαπλών θυρών ACL σε μία οντότητα

Επειδή η θύρα ACL να εφαρμόσετε διαφορετικό VMM δίκτυο αντικείμενα (ή σε διαφορετικά επίπεδα, όπως περιγράφεται παραπάνω), ένας μεμονωμένος Προσαρμογέας εικονικού δικτύου VM (vmNIC) μπορεί να εμπίπτει σε πεδίο πολλαπλών θυρών ACL. Σε αυτό το σενάριο, εφαρμόζονται οι κανόνες θύρας ACL από όλα τα ACL θύρα. Ωστόσο, η προτεραιότητα των κανόνων αυτών μπορεί να διαφέρουν, ανάλογα με τα διάφορα νέα VMM βελτιώσεις των ρυθμίσεων που αναφέρονται παρακάτω σε αυτό το άρθρο.

Ρυθμίσεις μητρώου

Αυτές οι ρυθμίσεις έχουν οριστεί ως τιμές Dword στο μητρώο των Windows στο ακόλουθο κλειδί στο διακομιστή διαχείρισης VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Να έχετε υπόψη σας ότι όλες αυτές οι ρυθμίσεις θα επηρεάσει τη συμπεριφορά των ACL θύρα κατά μήκος ολόκληρου VMM υποδομής.

Προτεραιότητα κανόνα ACL αποτελεσματική θύρας

Σε αυτήν τη συζήτηση, εμείς θα περιγράφουν την πραγματική προτεραιότητα κανόνων ACL θύρας κατά την εφαρμογή πολλαπλών θυρών ACL για μία οντότητα ως πραγματική προτεραιότητα του κανόνα. Θα πρέπει να γνωρίζετε ότι υπάρχει ξεχωριστή ρύθμιση ή αντικείμενο VMM για να ορίσετε ή να προβάλετε αποτελεσματικές προτεραιότητα του κανόνα. Υπολογίζεται στο χρόνο εκτέλεσης.

Υπάρχουν δύο κύρια λειτουργίες στις οποίες μπορεί να υπολογιστεί η αποτελεσματική προτεραιότητας κανόνα. Τις καταστάσεις μετάβαση από τη ρύθμιση μητρώου:
PortACLAbsolutePriority

Οι αποδεκτές τιμές για αυτήν τη ρύθμιση είναι 0 (μηδέν) ή 1, όπου το 0 δηλώνει την προεπιλεγμένη συμπεριφορά.

Σχετική προτεραιότητα (προεπιλεγμένη συμπεριφορά)

Για να ενεργοποιήσετε αυτήν τη λειτουργία, ορίστε την ιδιότητα PortACLAbsolutePriority στο μητρώο για την τιμή 0 (μηδέν). Αυτή η λειτουργία ισχύει επίσης εάν η ρύθμιση δεν έχει καθοριστεί στο μητρώο (δηλαδή, εάν η ιδιότητα δεν έχει δημιουργηθεί).

Σε αυτήν την κατάσταση, εκτός από τις βασικές έννοιες που περιγράφηκαν παραπάνω ισχύουν οι ακόλουθες αρχές:
  • Η προτεραιότητα μέσα στην ίδια θύρα που διατηρείται ACL. Επομένως, οι τιμές προτεραιότητας που ορίζονται σε κάθε κανόνα αντιμετωπίζονται ως σχετική εντός της ACL.
  • Κατά την εφαρμογή πολλαπλών θυρών ACL, τους κανόνες εφαρμόζονται σε λίστες παλαιών αρχείων. Οι κανόνες από την ίδια ACL (συνδεδεμένη με ένα δεδομένο αντικείμενο) εφαρμόζονται μεταξύ τους κατά το ίδιο διάστημα. Η προτεραιότητα των συγκεκριμένων λίστες παλαιών αρχείων εξαρτάται από το αντικείμενο στο οποίο είναι συνδεδεμένος στη θύρα ACL.
  • Εδώ, τους κανόνες που έχουν οριστεί από τις καθολικές ρυθμίσεις ACL (ανεξάρτητα από τα δικά τους προτεραιότητα, όπως ορίζεται στο λιμένα ACL) πάντα υπερισχύουν των κανόνων που έχουν οριστεί σε ένα ACL που εφαρμόζεται στα vmNIC, και ούτω καθεξής. Με άλλα λόγια, επιβάλλεται επίπεδο διαχωρισμού.

Τελικά, αποτελεσματική προτεραιότητας κανόνα μπορεί να διαφέρει από την αριθμητική τιμή που ορίζετε στις ιδιότητες κανόνα της θύρας ACL. Περισσότερες πληροφορίες σχετικά με το πώς αυτή η συμπεριφορά είναι επιβεβλημένη και πώς μπορείτε να αλλάξετε την λογική ακολουθεί.

  1. Μπορεί να αλλάξει τη σειρά στην οποία τρία επίπεδα "συγκεκριμένου αντικειμένου" (δηλαδή, vmNIC, VM υποδικτύου και δίκτυο VM) έχουν προτεραιότητα.

    1. Δεν μπορεί να αλλάξει τη σειρά των καθολικών ρυθμίσεων. Απαιτείται πάντα προτεραιότητα (ή σειρά = 0).
    2. Για τα άλλα τρία επίπεδα, μπορείτε να ορίσετε τις ακόλουθες ρυθμίσεις σε μια αριθμητική τιμή μεταξύ 0 και 3, όπου 0 είναι η υψηλότερη προτεραιότητα (ίσο με καθολικές ρυθμίσεις) και 3 είναι η χαμηλότερη:
      • PortACLVMNetworkAdapterPriority
        (η προεπιλογή είναι 1)
      • PortACLVMSubnetPriority
        (η προεπιλογή είναι 2)
      • PortACLVMNetworkPriority
        (η προεπιλεγμένη τιμή είναι 3)
    3. Εάν αντιστοιχίσετε την ίδια τιμή (0-3) σε αυτές τις πολλές ρυθμίσεις μητρώου ή εάν αντιστοιχίσετε μια τιμή εκτός της περιοχής 0 έως 3, VMM θα αποτύχει στην προεπιλεγμένη συμπεριφορά.
  2. Ο τρόπος που είναι επιβεβλημένη η παραγγελία είναι ότι ουσιαστικά προτεραιότητας κανόνα αλλάζει ώστε να λάβουν ACL κανόνες που έχουν οριστεί σε υψηλότερο επίπεδο υψηλότερη προτεραιότητα (δηλαδή, μια μικρότερη αριθμητική τιμή). Κατά τον υπολογισμό του ουσιαστικά ACL, κάθε τιμή προτεραιότητας σχετικό κανόνα είναι "χτυπηθεί" με την τιμή συγκεκριμένο επίπεδο ή το "βήμα".
  3. Η τιμή του συγκεκριμένου επιπέδου είναι το "βήμα" που διαχωρίζει τα διάφορα επίπεδα. Από προεπιλογή, το μέγεθος του το "βήμα" είναι 10000 και ρυθμίζεται από την ακόλουθη ρύθμιση μητρώου:
    PortACLLayerSeparation
  4. Αυτό σημαίνει ότι, σε αυτήν τη λειτουργία, κάθε μεμονωμένος κανόνας προτεραιότητας εντός ACL (δηλαδή, έναν κανόνα που αντιμετωπίζεται ως σχετική) δεν μπορεί να υπερβαίνει την αξία της η παρακάτω ρύθμιση:
    PortACLLayerSeparation
    (από προεπιλογή, 10000)
Παράδειγμα ρύθμισης παραμέτρων
Ας υποθέσουμε ότι όλες οι ρυθμίσεις έχουν προεπιλεγμένες τιμές τους. (Αυτές οι διαδικασίες περιγράφονται παραπάνω.)
  1. Έχουμε ένα ACL που επισυνάπτεται σε vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Η πραγματική προτεραιότητα για όλους τους κανόνες που έχουν οριστεί σε αυτό ACL είναι χτυπηθεί από 10000 (τιμή PortACLLayerSeparation).
  3. Ορίζουμε έναν κανόνα σε αυτό ACL που έχει προτεραιότητα που έχει οριστεί στην τιμή 100.
  4. Η πραγματική προτεραιότητα για αυτόν τον κανόνα είναι 10000 + 100 = 10100.
  5. Ο κανόνας θα έχουν προτεραιότητα έναντι άλλων κανόνων εντός του ίδιου ACL για τις οποίες η προτεραιότητα είναι μεγαλύτερη από 100.
  6. Ο κανόνας θα προηγείται πάντα πάνω από τους κανόνες που ορίζονται στην ACL που συνδέονται στο δίκτυο VM και επίπεδο του υποδικτύου VM. (Αυτό ισχύει επειδή αυτά θεωρούνται ως επίπεδα "κάτω").
  7. Ο κανόνας δεν θα υπερισχύσουν των τους κανόνες που έχουν οριστεί από τις καθολικές ρυθμίσεις ACL.
Πλεονεκτήματα της αυτήν την κατάσταση λειτουργίας
  • Δεν υπάρχει μεγαλύτερη ασφάλεια σε σενάρια πολλών μισθωτών επειδή η θύρα ACL, τους κανόνες που καθορίζονται από το admin ύφασμα (σε επίπεδο καθολικές ρυθμίσεις) θα προηγείται πάντα πάνω από τους κανόνες που έχουν οριστεί από τους ενοίκους τους.
  • Τυχόν διενέξεις κανόνα ACL θύρα (δηλαδή, ασάφειες) δεν επιτρέπεται αυτόματα λόγω επίπεδο διαχωρισμού. Είναι πολύ εύκολο να προβλέψετε ποιοι κανόνες θα ισχύουν και για ποιο λόγο.
Προσοχή με αυτήν τη λειτουργία
  • Μικρότερη ευελιξία. Εάν ορίσετε έναν κανόνα (για παράδειγμα, "άρνησης όλη την κυκλοφορία στη θύρα 80") στις καθολικές ρυθμίσεις, μπορείτε να δημιουργήσετε ποτέ μια πιο λεπτομερή παρέκκλιση από τον κανόνα αυτό σε κάποιο χαμηλότερο επίπεδο (για παράδειγμα, "Allow θύρα 80 μόνο σε αυτό VM που εκτελείται ένας διακομιστής web νόμιμα").

Σχετική προτεραιότητα

Για να ενεργοποιήσετε αυτήν τη λειτουργία, ορίστε την ιδιότητα PortACLAbsolutePriority στο μητρώο για την τιμή 1.

Σε αυτήν την κατάσταση, εκτός από τις βασικές έννοιες που περιγράφηκαν παραπάνω ισχύουν οι ακόλουθες αρχές:
  • Εάν ένα αντικείμενο εμπίπτει στο της πολλές ACL (για παράδειγμα, VM δικτύου και υποδικτύου VM), όλους τους κανόνες που έχουν οριστεί σε οποιαδήποτε συνημμένα ACL εφαρμόζονται με τη σειρά της ενοποίησης (ή ως μια ενιαία λίστα παλαιών αρχείων). Δεν υπάρχει κανένα επίπεδο διαχωρισμού και δεν "Αύξηση" απολύτως.
  • Όλες οι προτεραιότητες των κανόνων θεωρούνται ως απόλυτη, ακριβώς όπως ορίζονται σε κάθε προτεραιότητα του κανόνα. Με άλλα λόγια, την αποτελεσματική προτεραιότητα για κάθε κανόνα είναι το ίδιο με το τι έχει οριστεί στον ίδιο κανόνα και δεν έχει αλλάξει από το μηχανισμό VMM πριν από την εφαρμογή της.
  • Όλες οι άλλες ρυθμίσεις μητρώου που περιγράφονται στην προηγούμενη ενότητα έχουν κανένα αποτέλεσμα.
  • Σε αυτήν την κατάσταση λειτουργίας, κάθε μεμονωμένος κανόνας προτεραιότητα σε μια ACL (δηλαδή, μια προτεραιότητα κανόνα που αντιμετωπίζεται ως απόλυτη) δεν μπορεί να υπερβαίνει 65535.
Παράδειγμα ρύθμισης παραμέτρων
  1. Από τις καθολικές ρυθμίσεις ACL, μπορείτε να καθορίσετε έναν κανόνα του οποίου η προτεραιότητα έχει οριστεί στην τιμή 100.
  2. Σε ένα ACL που επισυνάπτεται σε vmNIC, μπορείτε να καθορίσετε έναν κανόνα του οποίου η προτεραιότητα έχει οριστεί σε 50.
  3. Ο κανόνας που καθορίζεται σε επίπεδο vmNIC έχει προτεραιότητα, επειδή έχει υψηλότερη προτεραιότητα (δηλαδή, μια χαμηλότερη αριθμητική τιμή).
Πλεονεκτήματα της αυτήν την κατάσταση λειτουργίας
  • Μεγαλύτερη ευελιξία. Μπορείτε να δημιουργήσετε "μη επαναλαμβανόμενη" εξαιρέσεις από τους κανόνες καθολικές ρυθμίσεις σε κατώτερα επίπεδα (για παράδειγμα, VM υποδικτύου ή vmNIC).
Προσοχή με αυτήν τη λειτουργία
  • Σχεδιασμός μπορεί να γίνει πιο περίπλοκη επειδή δεν υπάρχει κανένα επίπεδο διαχωρισμού. Και μπορεί να υπάρχει ένας κανόνας σε οποιοδήποτε επίπεδο που παρακάμπτει άλλοι κανόνες που έχουν οριστεί σε άλλα αντικείμενα.
  • Σε περιβάλλοντα πολλών μισθωτών, επειδή ένα μισθωτή είναι να δημιουργήσετε έναν κανόνα στο επίπεδο του υποδικτύου VM που παρακάμπτει την πολιτική που έχει οριστεί από το admin ύφασμα σε επίπεδο καθολικές ρυθμίσεις ασφαλείας, μπορεί να επηρεαστεί.
  • Οι διενέξεις κανόνα (δηλαδή, ασάφειες) δεν εξαλείφονται αυτόματα και μπορεί να παρουσιαστεί. VMM να προληφθούν οι διενέξεις μόνο στο ίδιο επίπεδο ACL. Αυτό δεν είναι δυνατό να εμποδίζει διενέξεις μέσω ACL που είναι συνημμένες σε διαφορετικά αντικείμενα. Σε περιπτώσεις διένεξης, επειδή VMM δεν μπορεί να διορθώσει αυτόματα, η διένεξη θα διακόψει την εφαρμογή των κανόνων και θα δημιουργήσει ένα σφάλμα.

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Egenskaber

Artikel-id: 3101161 – Seneste udgave 10/29/2015 23:35:00 – Udgave 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtel
Feedback