Soporte técnico para la implementación de las ACL de puerto extendido de Hyper-V en VMM de R2 de System Center 2012 con el paquete de actualización 8

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3101161
Resumen
Los administradores de Microsoft System Center 2012 R2 de Virtual Machine Manager (VMM) pueden ahora centralmente crear y administrar Hyper-V puerto control listas de acceso (ACL) en VMM.
Más información
Para obtener más información acerca del paquete de actualización 8 de Virtual Machine Manager R2 de System Center 2012, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

3096389 Paquete acumulativo de actualizaciones 8 de de Virtual Machine Manager R2 de System Center 2012

Glosario

Hemos mejorado el modelo de objetos de Virtual Machine Manager agregando los siguientes conceptos nuevos en el área de administración de red.
  • Lista de control de acceso de puerto (puerto ACL)
    Un objeto que está asociado a varios primitivos de redes de VMM para describir la seguridad de la red. El puerto ACL sirve como una colección de entradas de control de acceso o reglas ACL. Una ACL puede asociarse a cualquier número (cero o más) de VMM redes a primitivos, como una red VM, subred VM, adaptador de red virtual o el propio servidor de administración de VMM. Una ACL puede contener cualquier número (cero o más) de las reglas de la ACL. Cada VMM compatible con redes simples (red VM, subred VM, adaptador de red virtual o servidor de administración de VMM) puede tener un puerto que lista ACL adjuntos o ninguno.
  • Entrada de control de acceso de puerto o regla de ACL
    Objeto que describe la directiva de filtrado. Varias reglas ACL pueden existir en el mismo puerto ACL y aplicarla en función de su prioridad. Cada regla de ACL corresponde al puerto exactamente una ACL.
  • Configuración global
    Un concepto virtual que describe un puerto de ACL que se aplica a todos los adaptadores de red virtual de VM en la infraestructura. No hay ningún tipo de objeto independiente para la configuración Global. En su lugar, el puerto de configuración Global ACL adjunta para el propio servidor de administración de VMM. El objeto de servidor de administración de VMM puede tener un puerto ACL o ninguno.
Para obtener información acerca de los objetos en el área de administración de red que estaban anteriormente disponibles, vea Fundamentos de objeto de red de Virtual Machine Manager.

¿Qué puedo hacer con esta característica?

Mediante la interfaz de PowerShell en VMM, ahora puede realizar las siguientes acciones:
  • Definir las ACL de puerto y sus reglas ACL.
    • Las reglas se aplican a los puertos del switch virtual en servidores de Hyper-V como "puerto extendido ACL" (VMNetworkAdapterExtendedAcl) en la terminología de Hyper-V. Esto significa que pueden aplicarse sólo a los servidores host Windows Server 2012 R2 (y Hyper-V Server 2012 R2).
    • VMM no creará las ACL de puerto "heredadas" de Hyper-V (VMNetworkAdapterAcl). Por lo tanto, no puede aplicar las ACL del puerto para servidores Windows Server 2012 (o Hyper-V Server 2012) mediante el uso de VMM.
    • Todas las reglas de la ACL de puerto que se definen en VMM utilizando esta característica son con estado (para TCP). No puede crear reglas ACL sin estado para TCP mediante VMM.
    Para obtener más información acerca de la característica ACL de puerto extendido en Windows Server 2012 R2 Hyper-V, vea Crear directivas de seguridad con listas de Control de acceso de puerto extendido para R2 de Windows Server 2012.
  • Asociar un puerto ACL en Configuración Global. Esto aplica a todos los adaptadores de red virtual de VM. Está disponible sólo para administradores totales.
  • Adjuntar las ACL de puerto en el que se crean para una red VM, VM subredes o adaptadores de red virtual de la máquina virtual. Está disponible para los usuarios de autoservicio (SSU), administradores de inquilinos y administradores totales.
  • Ver y actualizar reglas ACL de puertos que se configuran en el vNIC VM individual.
  • Eliminar puerto ACL y sus reglas ACL.
Cada una de estas acciones se describe con más detalle más adelante en este artículo.

Ten en cuenta que esta funcionalidad se expone sólo a través de los cmdlets de PowerShell y no se reflejarán en la consola VMM UI (excepto para el estado de "Cumplimiento").

¿Qué puedo no debería hacer con esta característica?

  • Administrar y actualizar reglas individuales para una instancia única cuando la ACL se comparte entre varias instancias. Todas las reglas se administran centralmente dentro de su elemento primario ACL y aplicarán siempre que se adjunta a la ACL.
  • Adjuntar más de una ACL a una entidad.
  • Aplique las ACL de puerto a adaptadores de red virtual (vNICs) en la partición primaria de Hyper-V (administración de sistema operativo).
  • Crear reglas ACL de puerto que se incluyen los protocolos de nivel de IP (que no sea TCP o UDP).
  • Aplique las ACL de puerto a redes lógicas, sitios de la red (definiciones de red lógica), subred VLAN y otras primitivas de redes de VMM que no se han mencionado anteriormente.

¿Cómo se puede utilizar la característica?

Definir nuevas ACL de puerto y sus reglas de ACL de puerto

Ahora puede crear las ACL y sus normas ACL directamente desde en VMM mediante cmdlets de PowerShell.

Crear una nueva ACL

Se agregan los siguientes nuevos cmdlets de PowerShell:

Nueva SCPortACL : nombrecadena> [: Descripcióncadena>]

: Nombre: Nombre del puerto ACL

: Descripción: Descripción del puerto ACL (parámetro opcional)

Get-SCPortACL

Recupera todas las ACL de puerto

: Nombre: Opcionalmente filtrar por nombre

– ID: filtrar de forma opcional por Id.

Ejemplos de comandos

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definir reglas de ACL de puerto para el puerto de ACL
Cada puerto ACL consta de una colección de reglas de puerto ACL. Cada regla contiene parámetros diferentes.

  • Nombre
  • Descripción
  • Tipo: Entrante o saliente (la dirección en la que se aplicará la ACL)
  • Acción: Permitir o denegar (la acción de la ACL, para permitir el tráfico o a bloquear el tráfico)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protocolo: TCP/Udp/Any (Nota: los protocolos de nivel de IP no son compatibles con ACL de puerto definidos por VMM. Son todavía compatibles nativamente con Hyper-V.)
  • Prioridad: de 1 a 65535 (el número más bajo tiene prioridad más alta). Esta prioridad es relativa a la capa en la que se aplica. (Para obtener más información acerca de cómo se aplican las reglas de la ACL basada en prioridad y el objeto al que la ACL es siguiente adjunta.)

Nuevos cmdlets de PowerShell que se agregan

Nueva SCPortACLrule - PortACLPortACL>-Nombrecadena> [-Descripción <string>]-tipo <Inbound |="" outbound="">-acción <Allow |="" deny="">-prioridad <uint16>-protocolo <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Recupera todas las reglas de la ACL del puerto.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nombre: Opcionalmente filtrar por nombre
  • ID: Filtrar de forma opcional por Id.
  • PortACL: Filtrar de forma opcional mediante puerto ACL
Ejemplos de comandos

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Adjuntar y separar las ACL de puerto



Las ACL se pueden vincular a la siguiente:
  • Configuración global (se aplica a todos los adaptadores de red de máquina virtual. Sólo administradores totales pueden hacerlo.)
  • Red VM (administradores e inquilinos completo administradores/SSU puede hacerlo.)
  • Subred VM (administradores e inquilinos completo administradores/SSU puede hacerlo.)
  • Adaptadores de red virtual (administradores e inquilinos completo administradores/SSU puede hacerlo.)

Configuración global

Estas reglas ACL de puerto se aplican a todos los adaptadores de red virtual de VM en la infraestructura.

Cmdlets de PowerShell existentes se actualizaron con nuevos parámetros de adjuntar y separar las ACL del puerto.

Conjunto de SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nuevo parámetro opcional que configura el puerto especificado ACL en configuración global.
  • RemovePortACL: Puerto ACL desde la configuración global configurado de nuevo parámetro opcional que elimina cualquiera.
Get-SCVMMServer: devuelve el puerto configurado ACL en el objeto devuelto.

Ejemplos de comandos

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Red VM


Estas reglas se aplicarán a todos los adaptadores de red virtual de VM que están conectados a esta red de la máquina virtual.

Cmdlets de PowerShell existentes se actualizaron con nuevos parámetros de adjuntar y separar las ACL del puerto.

Nueva SCVMNetwork [: PortACLNetworkAccessControlList&gt;] [el resto de los parámetros]

-PortACL: nuevo parámetro opcional que permite especificar un puerto ACL a la red de la máquina virtual durante la creación.

Conjunto de SCVMNetwork [: PortACLNetworkAccessControlList> | -RemovePortACL] [el resto de los parámetros]

-PortACL: nuevo parámetro opcional que le permite establece una ACL de puerto a la red de la máquina virtual.

-RemovePortACL: nuevo parámetro opcional que quita alguno configurado ACL de puerto de la red de la máquina virtual.

Get-SCVMNetwork: devuelve el puerto configurado ACL en el objeto devuelto.

Ejemplos de comandos

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Subred VM


Estas reglas se aplicarán a todos los adaptadores de red virtual de VM que están conectados a la subred de la máquina virtual.

Cmdlets de PowerShell existentes se actualizaron con el nuevo parámetro para adjuntar y separar las ACL del puerto.

Nueva SCVMSubnet [: PortACLNetworkAccessControlList&gt;] [el resto de los parámetros]

-PortACL: nuevo parámetro opcional que permite especificar un puerto ACL a la subred de la máquina virtual durante la creación.

Conjunto de SCVMSubnet [: PortACLNetworkAccessControlList> | -RemovePortACL] [el resto de los parámetros]

-PortACL: nuevo parámetro opcional que le permite establece un puerto ACL a la subred de la máquina virtual.

-RemovePortACL: nuevo parámetro opcional que quita alguno configurado puerto ACL desde la subred de la máquina virtual.

Get-SCVMSubnet: devuelve el puerto configurado ACL en el objeto devuelto.

Ejemplos de comandos

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Adaptador de red virtual de VM (vmNIC)


Cmdlets de PowerShell existentes se actualizaron con nuevos parámetros de adjuntar y separar las ACL del puerto.

Nueva SCVirtualNetworkAdapter [: PortACLNetworkAccessControlList&gt;] [el resto de los parámetros]

-PortACL: nuevo parámetro opcional que permite especificar un puerto ACL al adaptador de red virtual mientras está creando un nuevo vNIC.

Conjunto de SCVirtualNetworkAdapter [: PortACLNetworkAccessControlList> | -RemovePortACL] [el resto de los parámetros]

-PortACL: nuevo parámetro opcional que le permite establece un puerto ACL al adaptador de red virtual.

-RemovePortACL: nuevo parámetro opcional que quita alguno configurado puerto ACL desde el adaptador de red virtual.

Get-SCVirtualNetworkAdapter: devuelve el puerto configurado ACL en el objeto devuelto.

Ejemplos de comandos

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Aplicación de reglas de puerto ACL

Al actualizar las máquinas virtuales después de asociar las ACL de puerto, observará que el estado de las máquinas virtuales se muestra como "No conforme" en la vista de la máquina Virtual del área de trabajo de Fabric. (Para cambiar a la vista de la máquina Virtual, tienes que busque primero en el nodo de Redes lógicas o el nodo Switches lógicos del área de trabajo de Fabric). Tenga en cuenta que VM se produce actualización automáticamente en segundo plano (en programación). Por lo tanto, incluso si no actualiza explícitamente las máquinas virtuales, que se aplican en un estado no compatible al final.



En este punto, las ACL de puerto no han aplicado aún a las máquinas virtuales y sus adaptadores de red virtual correspondiente. Para aplicar las ACL del puerto, tiene que desencadenar un proceso que se conoce como corrección. Esto nunca se produce automáticamente y se debe iniciar explícitamente a petición del usuario.

Para iniciar la corrección, se haga clic en Remediate en la cinta de opciones o ejecutar el cmdlet SCVirtualNetworkAdapter de reparación . No hay ningún cambio particular a la sintaxis del cmdlet para esta característica.

Reparación-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediar estas VMs marcará como conformes y asegurará que se aplican las ACL extendida de puerto. Tenga en cuenta que las listas ACL de puerto no se aplicará a las máquinas virtuales en el ámbito hasta corregir explícitamente.

Visualización de las reglas de puerto ACL

Para ver las ACL y ACL reglas, puede utilizar los siguientes cmdlets de PowerShell.

Nuevos cmdlets de PowerShell que se agregan

Recuperar las ACL de puerto

Parámetro establecido a 1. Para obtener todos los o por nombre: Get-SCPortACL [-nombre <> </>]

Parámetro establecido 2. Para obtener el ID: Get-SCPortACL -Id <> [-nombre <> </>]

Recuperar las reglas de puerto ACL

Parámetro establecido a 1. Todos o por nombre: Get-SCPortACLrule [-nombre <> </>]

Parámetro establecido 2. Por ID: Get-SCPortACLrule -Id de <>

Parámetro establecido a 3. Objeto de ACL: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Actualización de reglas de puerto ACL

Al actualizar la ACL que se adjunta a los adaptadores de red, los cambios se reflejan en todas las instancias del adaptador de red que utilizan dicha ACL. Para una ACL que está conectada a una red VM o subred de la máquina virtual, se actualizan todas las instancias del adaptador de red que están conectadas a esa subred, con los cambios.

Nota: Actualización de reglas ACL en adaptadores de red individuales se realiza en paralelo en una combinación de mejor esfuerzo uno try. Adaptadores que no se puede actualizar por cualquier motivo se marcan "control de la seguridad", y la tarea finaliza con un mensaje de error que indica que no se han actualizado correctamente los adaptadores de red. «Control de seguridad» aquí se refiere a una falta de coincidencia en espera frente a reales reglas ACL. El adaptador tendrá un estado de cumplimiento de normas de "No compatible" junto con mensajes de error pertinentes. Consulte la sección anterior para obtener más información acerca de cómo reparar las máquinas virtuales no conformes.
Agregado nuevo cmdlet de PowerShell
Set-SCPortACL - PortACLPortACL> [-NombreNombre&gt;] [-Descripción <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Nombrenombre&gt;] [-Descripcióncadena&gt;] [-TipoPortACLRuleDirection> {Entrantes | Salida}] [-acciónPortACLRuleAction> {Permitir | Denegar}] [-SourceAddressPrefixcadena&gt;] [-SourcePortRangecadena&gt;] [-DestinationAddressPrefixcadena&gt;] [-DestinationPortRangecadena&gt;] [-ProtocoloPortACLruleProtocol> {Tcp | UDP | Cualquier}]

Conjunto SCPortACL: cambia la descripción del puerto ACL.
  • Descripción: Actualiza la descripción.

Conjunto SCPortACLrule: cambia los parámetros de reglas de puerto ACL.
  • Descripción: Actualiza la descripción.
  • Tipo: Actualiza la dirección en la que se aplica la ACL.
  • Acción: Actualiza la acción de la ACL.
  • Protocolo: Actualiza el protocolo al que se aplicará la ACL.
  • Prioridad: Actualizaciones la prioridad.
  • SourceAddressPrefix: Actualiza el prefijo de dirección de origen.
  • SourcePortRange: Actualiza el rango de puerto de origen.
  • DestinationAddressPrefix: Actualiza el prefijo de la dirección de destino.
  • DestinationPortRange: Actualiza el rango de puerto de destino.

Eliminar puerto ACL y las reglas de puerto ACL

Una ACL puede eliminarse sólo si no existen dependencias conectados a él. Las dependencias incluyen VM VM/red subred/virtual red adaptador/configuración global que se adjunta a la ACL. Cuando intenta eliminar un puerto ACL mediante el cmdlet de PowerShell, el cmdlet detectará si el puerto ACL está asociada a ninguna de las dependencias y generará mensajes de error adecuados.

Quitando ACL de puerto

Se agregaron nuevos cmdlets de PowerShell:

Remove-SCPortACL - PortACLNetworkAccessControlList>

Eliminación de reglas de puerto ACL

Se agregaron nuevos cmdlets de PowerShell:

Remove-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Tenga en cuenta que eliminar una máquina virtual red de subred/VM/adaptador de red quita automáticamente la asociación con dicha ACL.

Una ACL también pueden desasociar desde el adaptador de red/subred/VM VM cambiando el objeto de red respectivo de VMM. Para ello, use el cmdlet Set- junto con el modificador - RemovePortACL , como se describe en las secciones anteriores. En este caso, el puerto ACL estará separada del objeto de red respectiva pero no se eliminarán de la infraestructura de VMM. Por lo tanto, se puede reutilizar más adelante.

Out-of-band cambia las reglas de la ACL

Si estamos haciendo fuera de banda (OOB) cambios a las reglas de la ACL del puerto del switch virtual de Hyper-V (mediante el uso de cmdlets nativos de Hyper-V como Add-VMNetworkAdapterExtendedAcl), actualizar la máquina virtual mostrará el adaptador de red como "Incompliant de seguridad". A continuación, se puede corregir el adaptador de red desde VMM tal como se describe en la sección "Aplicar ACL de puerto". No obstante, corrección sobrescribirá todas las reglas de la ACL de puerto definidos fuera de VMM con los que se espera en VMM.

Puerto ACL prioridad y aplicación de prioridad de la regla (avanzada)

Conceptos básicos

Cada regla de ACL de puerto en un puerto ACL tiene una propiedad denominada "Priority". Las reglas se aplican en orden según su prioridad. Los siguientes principios básicos definen la prioridad de las reglas:
  • Cuanto menor sea la prioridad número, mayor será la prioridad es. Es decir, si varias reglas de puerto ACL contradicen entre sí, gana la regla con una prioridad menor.
  • La acción de regla no afecta a la prioridad. Es decir, a diferencia de las ACL de NTFS (por ejemplo), aquí no tenemos un concepto como "Denegar siempre tiene prioridad sobre permitir".
  • En la misma prioridad (mismo valor numérico), no puede tener dos reglas con la misma dirección. Este comportamiento impide que una situación hipotética en la que uno puede definir reglas de "Denegar" y "Permitir" con la misma prioridad, porque esto supondría en ambigüedad, o un conflicto.
  • Un conflicto se define como dos o más reglas con la misma prioridad y la misma dirección. Podría producirse un conflicto si hay dos reglas ACL de puerto con la misma prioridad y dirección en dos de las ACL que se aplican a diferentes niveles y si esos niveles se superponen en parte. Es decir, puede haber un objeto (por ejemplo, vmNIC) que se encuentre dentro del ámbito de ambos niveles. Un ejemplo común de acumulación es una red de la VM y la subred de la máquina virtual en la misma red.

Aplicar múltiples ACLs de puerto a una sola entidad

Ya puede aplicar las ACL del puerto a VMM diferentes objetos de red (o en diferentes niveles, tal como se describe anteriormente), un único adaptador de red virtual de VM (vmNIC) puede caer en el ámbito de múltiples ACLs de puerto. En este escenario, se aplican las reglas de la ACL de puerto de la ACL de puerto. Sin embargo, la prioridad de estas reglas puede ser diferente, dependiendo de varios VMM nuevo ajuste de configuración que se menciona más adelante en este artículo.

Configuración del registro

Esos valores se definen como valores Dword en el registro de Windows bajo la siguiente clave en el servidor de administración de VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Ten en cuenta que todas estas configuraciones afectará al comportamiento de las ACL de puerto a través de toda la infraestructura VMM.

Prioridad de la regla de puerto efectiva ACL

En este análisis, describiremos la prioridad real ACL de reglas de puerto al puerto varias ACL se aplican a una sola entidad como efectiva prioridad de la regla. Ten en cuenta que no hay ninguna configuración independiente u objeto en VMM para definir o ver efectiva prioridad de la regla. Se calcula en tiempo de ejecución.

Hay dos modos globales en la que se puede calcular la efectiva prioridad de la regla. Los modos se cambian por el valor del registro:
PortACLAbsolutePriority

Los valores aceptables para este parámetro son 0 (cero) o 1, donde 0 indica el comportamiento predeterminado.

Prioridad relativa (comportamiento predeterminado)

Para habilitar este modo, establezca la propiedad PortACLAbsolutePriority en el registro para un valor de 0 (cero). Este modo también se aplica si el valor no está definido en el registro (es decir, si no se crea la propiedad).

En este modo, además de los conceptos básicos que se describieron anteriormente se aplicarán los siguientes principios:
  • Se mantiene la prioridad en el mismo puerto ACL. Por lo tanto, los valores de prioridad que se definen en cada regla se tratan como relativa dentro de la ACL.
  • Cuando aplique las ACL de puertos múltiples, sus reglas se aplican en depósitos. Las reglas de la misma ACL (asociado a un objeto determinado) se aplican juntos en el mismo cubo. La prioridad de depósitos determinados depende del objeto al que está conectado el puerto de ACL.
  • En este caso, las reglas que se definen en la configuración global de ACL (independientemente de su propia prioridad, tal como se define en el puerto de ACL) siempre tienen prioridad sobre las reglas que se definen en la ACL que se aplica a vmNIC y así sucesivamente. En otras palabras, se exige la separación de la capa.

En última instancia, efectiva prioridad de la regla puede diferir del valor numérico que se define en las propiedades de la regla de puerto ACL. Para obtener más información acerca de cómo se aplica este comportamiento y cómo puede cambiar su lógica sigue.

  1. Puede cambiar el orden en el que los tres niveles de "específicos objeto" (es decir, vmNIC, subred de la máquina virtual y red VM) tienen prioridad.

    1. No se puede cambiar el orden de configuración global. Siempre tiene la prioridad más alta (o pedido = 0).
    2. Para los otros tres niveles, puede establecer las siguientes opciones en un valor numérico entre 0 y 3, donde 0 es la prioridad más alta (equivalente a la configuración global) y 3 es la prioridad más baja:
      • PortACLVMNetworkAdapterPriority
        (el valor predeterminado es 1)
      • PortACLVMSubnetPriority
        (el valor predeterminado es 2)
      • PortACLVMNetworkPriority
        (el valor predeterminado es 3)
    3. Si se asigna el mismo valor (de 0 a 3) a estos numerosos valores del registro, o si se asigna un valor fuera del intervalo de 0 a 3, VMM se producirá un error al comportamiento predeterminado.
  2. Que la ordenación se aplica de forma que efectiva prioridad de la regla se cambia para que las reglas ACL que se definen en un nivel superior tienen una mayor prioridad (es decir, un valor numérico menor). Cuando se calcula la ACL efectiva, cada valor de prioridad de regla relativa se "incrementará" por el valor específico de nivel o "step".
  3. El valor específico del nivel es el "paso" que separa los distintos niveles. De forma predeterminada, el tamaño del "paso" es de 10000 y se configura mediante la configuración del registro siguiente:
    PortACLLayerSeparation
  4. Esto significa que, en este modo, cualquier prioridad de regla individual dentro de ACL (es decir, una regla se trata como relativa) no puede superar el valor de la siguiente configuración:
    PortACLLayerSeparation
    (de forma predeterminada, 10000)
Ejemplo de configuración
Se supone que todas las opciones tienen sus valores predeterminados. (Se describen anteriormente.)
  1. Contamos con una ACL que se adjunta a vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. La prioridad de todas las reglas que se definen en esta ACL efectiva se incrementará en 10000 (valor PortACLLayerSeparation).
  3. Definimos una regla en esta ACL que tiene una prioridad que se establece en 100.
  4. La prioridad para esta regla eficaz sería 10000 + 100 = 10100.
  5. La regla prevalece sobre otras reglas dentro de la misma ACL que la prioridad es mayor que 100.
  6. La regla siempre tienen prioridad sobre las reglas que se definen en las ACL que se adjunta en la red de la máquina virtual y el nivel de subred de la máquina virtual. (Esto ocurre porque los que se consideran niveles "inferiores").
  7. La regla nunca tendrá prioridad sobre las reglas que se definen en la configuración global de ACL.
Ventajas de este modo
  • Hay una mayor seguridad en escenarios multiempresa porque las reglas de la ACL de puerto definidas por el Administrador de Fabric (en el nivel de configuración Global) siempre tendrá prioridad sobre las reglas que se definen por los inquilinos a sí mismos.
  • Los conflictos de la regla de puerto ACL (es decir, ambigüedades) no podrán automáticamente debido a la separación de la capa. Es muy fácil predecir qué reglas será efectiva y por qué.
Precauciones con este modo
  • Menos flexibilidad. Si define una regla (por ejemplo, "Denegar todo el tráfico al puerto 80") en la configuración global, no puede crear una exención más granular de esta regla nunca en una capa inferior (por ejemplo, "Permitir puerto 80 sólo en esta máquina virtual que ejecuta un servidor web legítimo").

Prioridad relativa

Para habilitar este modo, establezca la propiedad PortACLAbsolutePriority en el registro para un valor de 1.

En este modo, además de conceptos básicos descritos anteriormente se aplicarán los siguientes principios:
  • Si un objeto está dentro de ámbito de múltiples ACLs (por ejemplo, red de la máquina virtual y subred de la máquina virtual), se aplican todas las reglas que se definen en cualquier ACL adjunta en orden unificada (o como un solo cubo). Hay ninguna separación de nivel y no "toparse" alguna.
  • Todas las prioridades de la regla se consideran absolutas, exactamente como se definen en cada prioridad de la regla. En otras palabras, la prioridad efectiva para cada regla es el mismo que lo que se define en la propia regla y no se cambia el motor de VMM, antes de que se aplique.
  • Todos los otros valores del registro que se describen en la sección anterior no tienen efecto.
  • En este modo, cualquier prioridad de regla individual de una ACL (es decir, una prioridad de la regla que se trata como absolutos) no puede superar el 65535.
Ejemplo de configuración
  1. En la configuración global ACL, definir una regla cuya prioridad se establece en 100.
  2. En la ACL que se adjunta a vmNIC, defina una regla cuya prioridad se establece en 50.
  3. La regla que se define en el nivel de vmNIC tiene prioridad porque tiene una prioridad más alta (es decir, un valor numérico inferior).
Ventajas de este modo
  • Más flexibilidad. Puede crear "uso único" excepciones a las reglas de configuración global en los niveles inferiores (por ejemplo, vmNIC o subred VM).
Precauciones con este modo
  • Planificación podría dejar de ser más compleja hay una separación de nivel. Y puede haber una regla en cualquier nivel que reemplaza otras reglas que se definen en otros objetos.
  • En entornos de múltiples arrendatarios, la seguridad puede verse afectada porque un arrendatario puede crear una regla en el nivel de subred de la máquina virtual que reemplaza la directiva definida por el Administrador de Fabric en el nivel de configuración global.
  • Conflictos de reglas (es decir, ambigüedades) no se eliminan automáticamente y se pueden producir. VMM puede evitar conflictos sólo en el mismo nivel ACL. No puede prevenir conflictos entre las ACL que están vinculadas a objetos diferentes. En caso de conflicto, ya que VMM no puede solucionar el conflicto de forma automática, dejará de aplicar las reglas y se producirá un error.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3101161 - Última revisión: 10/29/2015 23:36:00 - Revisión: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtes
Comentarios