Töötate praegu ühenduseta, ootame Interneti-ühenduse taasloomist

Hyper-V laiendatud port ACL System Center 2012 R2 VMM värskenduskomplekt 8 juurutamine tugi

NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.

Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 3101161
Kokkuvõte
On Microsoft System Center 2012 R2 Virtual Machine Manageri (VMM) nüüd keskselt luua ja hallata Hyper-V port pääsuloendite (ACL) VMM-is.
Lisateave
Värskenduskomplekt 8 System Center 2012 R2 Virtual Machine Manageri kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

3096389 Värskenduskomplekt 8 System Center 2012 R2 Virtual Machine Manager

Sõnastik

Oleme parandanud Virtual Machine Manageri objektimudel, lisades järgmised uued mõisted võrgu haldamise alal.
  • Pordi pääsuloend (ACL-port)
    Objekti, mis on seotud erinevate VMM võrgu primitiivide võrguturbe kirjeldamiseks. Pordi ACL toimib ACL – access control entries ja kogumine. Pääsureguleerimisloendi võivad olla seotud suvalise arvu (null või rohkem) VMM networking primitiivide VM võrk, VM alamvõrgu, virtual network adapter või VMM management server ise. Pääsureguleerimisloendi võib sisaldada mis tahes arvu (null või rohkem) ACL-i reeglid. Iga ühilduv VMM networking primitiivses (VM võrk, VM alamvõrgu, virtual network adapter või VMM haldusserver) on ACL ühendatud ühte porti või puudub.
  • Access control pordikirje või ACL reegel
    Objekti, mis kirjeldab filtreerimise poliitika. Mitme ACL reeglid saate samasse porti ACL on olemas ja rakendada sõltuvalt nende prioriteet. Iga ACL reegel vastab täpselt ühte porti ACL.
  • Global Settings
    Virtuaalne mõiste, mis kirjeldab port Pääsureguleerimisloendit, mille rakendatakse VM Virtuaalvõrgu adapterid infrastruktuuri. Ei ole eraldi objekti tüüp Globaalsätted. Selle asemel Globaalsätted port ACL peab VMM management server ise. VMM management server objekti võib olla üks port ACL või puudub.
Võrgu haldamise alal objekte, mis olid varem kohta teabe saamiseks lugege Virtual Machine Manageri võrgu objekti põhialused.

Mida ma saan selle funktsiooni

PowerShelli kasutajaliideses VMM-i abil saate nüüd tehke järgmised toimingud:
  • Määratlege port ACL-ide ja oma ACL-i sätteid.
    • Reeglid rakendatakse virtuaalse kommutaatoriportidel Hyper-V serverite "laiendatud port ACL-ide" (VMNetworkAdapterExtendedAcl) Hyper-V terminoloogia. See tähendab, et need kehtivad ainult Windows Server 2012 R2 (ja Hyper-V Server 2012 R2) hosti serverid.
    • VMM ei loo "pärand" Hyper-V port ACL (VMNetworkAdapterAcl). Seetõttu ei saa rakendada port ACL-ide Windows Server 2012 (või Hyper-V Server 2012) hosti serverid, VMM-i abil.
    • Kõik port ACL-i reeglid, mis on määratletud VMM selle funktsiooni abil on stateful (TCP) jaoks. Te ei saa luua kodakondsuseta ACL reeglid TCP VMM-i abil.
    Laiendatud port ACL-i funktsiooni Windows Server 2012 R2 Hyper-V kohta lisateabe saamiseks vaadake teemat Loo turvapoliitika laiendatud Port pääsuloendite Windows Server 2012 R2.
  • Lisage pordi ACL Globaalsätted. See kehtib kõigi VM virtuaalse võrgu adapter. See on saadaval ainult täielik administraatoritel.
  • Lisab luuakse port ACL-ide VM võrk, VM alamvõrgud või VM virtuaalse võrgu adapter. See on saadaval täielik administraatoritel, rentniku administraatoritel ja kasutajatel iseteeninduse (SSUs).
  • Saate vaadata ja värskendada port ACL reeglid, mis on konfigureeritud individuaalsed VM vNIC.
  • Kustuta port ACL-ide ja nende ACL-i reeglid.
Kõik need toimingud on kaetud üksikasjalikumalt käesoleva artikli lõpupoole.

Pidage meeles, et see on avatud ainult läbi PowerShelli cmdletid ja ei kajastu VMM-i konsooli Kasutajaliidese (välja arvatud "Vastavuse" olek).

Mida ma ei saa teha seda funktsiooni?

  • Hallata või uuendada üksikute reeglite eksemplari kui ACL jagada mitu eksemplari. Kõik reeglid nende eellase ACL-ide keskselt hallata ja kohaldatakse, kui ACL on ühendatud.
  • Lisada rohkem kui ühe ACL üksus.
  • Kehtivad port ACL-IDE virtuaalne võrguadapterid (vNICs) Hyper-V emasektsioonis (OS-i juhtimine).
  • Looge port ACL-i reeglid, mis sisaldavad IP-tasandi Protokollid (v.a TCP või UDP).
  • Kasutage pordi ACL-ide loogilised võrgud, võrgu saidid (loogiline võrgu mõisted), alamvõrgu vLANs ja muud VMM võrgu primitiivide, mis on loetletud eespool.

Kuidas kasutada funktsiooni?

Uue pordi ACL-ide ja nende port ACL reeglid

Nüüd saate luua ACL-ide ja nende ACL reeglite otse VMM-is PowerShelli cmdlet-käskude abil.

Looge uus ACL

Lisatakse järgmised uued PowerShelli cmdlet-käsud:

Uus SCPortACL – nimistring> [-Kirjeldusstring>]

-Nimi: Pordi ACL nimi

– Kirjeldus: Pordi ACL (soovi korral parameeter) kirjeldus

Get-SCPortACL

Toob port ACL

-Nimi: Soovi korral filtreerige nime

-ID: soovi korral filtreerida ID

Proovi käsud

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Pordi ACL reeglid port ACL määratleda
Iga pordi ACL koosneb kogumise port ACL-i reeglid. Iga reegel sisaldab erinevaid parameetreid.

  • Nimi
  • Kirjeldus
  • Tüüp: Sissetulev ja väljaminev (ACL rakendatakse ainult)
  • Tegevus: Luba/Keela (ACL liikluse lubamiseks või blokeerimiseks liiklus action)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokolli: TCP/Udp/iga (Märkus: IP-tasandi Protokollid port ACL on määratletud VMM-i ei toetata. Neid tooteid endiselt toetatakse üldjuhul Hyper-v.)
  • Prioriteet: 1 – 65535 (väikseim number on kõrgeim prioriteet). See on võrreldes seda rakendatakse kiht. (Lisateabe saamiseks ACL reeglite rakendamine põhineb prioriteet ja millele on lisatud järgmised ACL objekti.)

Uus PowerShelli cmdlet-käsud on lisatud

Uus SCPortACLrule - PortACLPortACL>-Nimistring> [-Kirjeldus <string>]-tüüpi <Inbound |="" outbound="">-Action <Allow |="" deny="">-Priority <uint16>-protokolli <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Toob kõik port ACL-i reeglid.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nimi: Soovi korral filtreerige nime
  • ID: Soovi korral filtreerida ID
  • PortACL: Soovi korral filtreerida port ACL
Proovi käsud

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Ühendamine ja lahtiühendamine port ACL-ide



ACL-ide võivad olla seotud järgmisega:
  • Globaalsätted (kehtib kõigi VM võrguadapterid. Ainult täielik administraatoritel saate seda teha.)
  • VM-i võrgu (täielik administraatoritel/rentniku administraatoritel/SSUs, saate seda teha.)
  • VM alamvõrgu (täielik administraatoritel/rentniku administraatoritel/SSUs, saate seda teha.)
  • Virtuaalvõrgu adapterid (täielik administraatoritel/rentniku administraatoritel/SSUs, saate seda teha.)

Globaalsätted

Need port ACL reeglid kehtivad kõik adapterid VM virtuaalse võrgu infrastruktuuri.

Olemasoleva PowerShelli cmdletid värskendati uue parameetritega ühendamine ja lahtiühendamine ACL-ide porti.

Set-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Uus valikuline parameeter konfigureerib määratud porti ACL Globaalsätted.
  • RemovePortACL: Uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL: Globaalsätted.
Get-SCVMMServer: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM-i võrk


Need reeglid rakendatakse kõik VM virtuaalne võrguadapterid VM võrguga ühendatud.

Olemasoleva PowerShelli cmdletid värskendati uue parameetritega ühendamine ja lahtiühendamine ACL-ide porti.

Uus SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [ülejäänud Parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab kindlaks määrata ACL VM võrgu loomise ajal.

Set-SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [ülejäänud Parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab määratud pordi ACL VM võrgu.

-RemovePortACL: uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL VM võrgu kaudu.

Get-SCVMNetwork: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM alamvõrgu


Need reeglid rakendatakse kõik VM virtuaalne võrguadapterid selle VM alamvõrguga ühendatud.

Olemasoleva PowerShelli cmdletid värskendati uue parameetri ühendamine ja lahtiühendamine ACL-ide porti.

Uus SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [ülejäänud Parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab kindlaks määrata ACL VM alamvõrguga loomise ajal.

Set-SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [ülejäänud Parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab määratud pordi ACL VM alamvõrgu.

-RemovePortACL: uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL VM alamvõrgu kaudu.

Get-SCVMSubnet: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM virtual network adapter (vmNIC)


Olemasoleva PowerShelli cmdletid värskendati uue parameetritega ühendamine ja lahtiühendamine ACL-ide porti.

Uus SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [ülejäänud Parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab kindlaks määrata ACL virtuaalne võrguadapteriga uute vNIC loomise ajal.

Set-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [ülejäänud Parameetrid]

-PortACL: uus vabatahtlik parameeter, mis võimaldab määratud pordi ACL virtuaalne võrguadapter.

-RemovePortACL: uus vabatahtlik parameeter, mis eemaldab kõik konfigureeritud port ACL virtuaalne võrguadapterist.

Get-SCVirtualNetworkAdapter: annab konfigureeritud port ACL tagastatud objekt.

Proovi käsud

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Pordi ACL reeglite rakendamine

VMS-süsteemi värskendamisel pärast seda, Kui manustate ACL-ide port märkate, et vms-süsteemi olek kuvatakse "Ei ole nõuetele vastav" virtuaalarvuti vaates struktuuri tööruumi. (Virtuaalarvuti vaate aktiveerimiseks peate esmalt sirvige Loogilised võrgud sõlm või Loogiline lülitub struktuuri tööruumi sõlme). Pange tähele, et VM-i värskendamine toimub automaatselt taustal (ajakava) kohta. Seega isegi juhul, kui te ei värskenda VMs selgesõnaliselt nad lähevad pärast olekusse lõpuks.



Sellest hetkest ACL-ide port on pole veel seotud VMs ja nende asjakohane virtuaalse võrgu adapter. ACL-ide port rakendamiseks peate protsessi, mida nimetatakse parandamisest. See kunagi toimub automaatselt ja peaks algama selgesõnaliselt kasutaja taotluse.

Parandamise käivitamiseks võite kas Klõpsake lindil Remediate või Parandamise SCVirtualNetworkAdapter cmdlet-käsu käivitada. On see funktsioon cmdlet-käsu süntaks konkreetse võrgusätteid.

Parandamise-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating nende VMs märkida nende nõuetele vastavaks ja tagab, et laiendatud port ACL-ide rakendatakse. Pange tähele, et pordi ACL-ide ei kehti ühtegi VMs ulatust seni, kuni te need otseselt remediate.

Pordi ACL-i reeglite

ACL-ide ja ACL-i reeglid, saate kasutada järgmisi PowerShelli cmdletid.

Uus PowerShelli cmdlet-käsud on lisatud

Tuua port ACL-ide

Parameeter määrata 1. Saada kõik või nimi: Get-SCPortACL [-nime <> </>]

Parameetri seada 2. Et saada ID: Get-SCPortACL -Id <> [-nime <> </>]

Tuua port ACL reeglid

Parameeter määrata 1. Kõik või nimi: Get-SCPortACLrule [-nime <> </>]

Parameetri seada 2. ID: Get-SCPortACLrule -Id <>

Parameeter määrata 3. ACL-i objekti: Get-SCPortACLrule -PortACLNetworkAccessControlList>

ACL-i eeskirjad värskendamine

ACL, mis on ühendatud võrguadapterite värskendamisel muudatused kajastuvad kõik network adapter eksemplarid kasutavad seda ACL. Jaoks sellist Pääsureguleerimisloendit, mille VM alamvõrgu või VM võrku ühendatud, uuendatakse kõik network adapter eksemplarid ühendatud selle alamvõrgu muudatused.

Märkus. ACL-i eeskirjad üksikute võrguadapterid värskendamine toimub paralleelselt üks proovige parim jõupingutuste kava. Adapterid, mida ei saa värskendada mingil põhjusel on märgitud "turvalisuse incompliant" ja ülesanne lõpeb tõrketeate, mis ütleb, et võrgukaart ei värskendamine õnnestus. "Turvalisuse incompliant" viitab siin vastuolu oodata võrrelduna tegelik ACL-i reeglid. Adapter on vastavus seisukorra "Ei ole nõuetele vastav" koos asjakohaste tõrketeated. Lisateabe saamiseks remediating pärast virtuaalarvutid eelmise jaotisest.
Uus PowerShelli cmdlet-käsk lisatud
Set-SCPortACL - PortACLPortACL> [-NimiNimi&gt;] [-Kirjeldus <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Niminimi&gt;] [-Kirjeldusstring&gt;] [-TüüpPortACLRuleDirection> {Sissetulev | Väljaminev}] [-tegevusPortACLRuleAction> {Luba | Keela}] [-SourceAddressPrefixstring&gt;] [-SourcePortRangestring&gt;] [-DestinationAddressPrefixstring&gt;] [-DestinationPortRangestring&gt;] [-ProtokollPortACLruleProtocol> {Tcp | UDP | Mis tahes}]

Set SCPortACL: port ACL kirjeldus muutub.
  • Kirjeldus: Värskenduste kirjeldus.

Set SCPortACLrule: muudab port ACL reegli parameetrid.
  • Kirjeldus: Värskenduste kirjeldus.
  • Tüüp: Värskendab ACL rakendatud suund.
  • Tegevus: Värskendab ACL toiming.
  • Protokoll: Värskendab protokoll, mille ACL rakendatakse.
  • Prioriteet: Värskendab prioriteet.
  • SourceAddressPrefix: Värskendab allikas aadress eesliide.
  • SourcePortRange: Värskendab source port vahemikus.
  • DestinationAddressPrefix: Värskendab sihtkoha aadress eesliide.
  • DestinationPortRange: Värskendab sihtkoha port vahemikus.

ACL-ide port ja port ACL reeglite kustutamine

Pääsureguleerimisloendi saab kustutada ainult juhul, kui pole manustatud sõltuvused. Sõltuvuste hulka kuuluvad VM võrgu/VM alamvõrgu/virtual network adapter/Globaalsätted ACL seotud. Kustuta port ACL-i, kasutades PowerShelli cmdlet-käsk katsel cmdlet-i tuvastada kas pordi ACL on ühendatud mõni sõltuvused ja viskavad sobiv tõrketeated.

Pordi ACL-ide eemaldamine

Lisatud uus PowerShelli cmdlet-käsud:

Eemalda SCPortACL - PortACLNetworkAccessControlList>

Eemaldamine ACL-i eeskirjad

Lisatud uus PowerShelli cmdlet-käsud:

Eemalda SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Pange tähele, et võrgu alamvõrgu/VM kustutamine VM/võrguadapteri eemaldab automaatselt koos selle ACL.

Pääsureguleerimisloendi saab lahtiseostatud ka VM alamvõrgu/VM network/network adapter, muutes vastava VMM võrgu objekti. Selleks kasutage koos lülitiga - RemovePortACL cmdlet Set - varasemate jaotistes kirjeldatud. Sel juhul port ACL-i ei saa lahutada vastava võrgu objekti, kuid ei kustutata VMM infrastruktuuri. Seetõttu seda saab uuesti hiljem.

Out-of-band muudab ACL reeglid

Kui teeme out-of-band (OOB) muudatused ACL-i reeglid, Hyper-V virtuaalne kommutaatori porti (kohalikud Hyper-V cmdlet-käske Add-VMNetworkAdapterExtendedAclnagu abil), VM-i värskendada kuvatakse võrguadapteri nii, nagu "Turvalisuse Incompliant." Võrguadapteri saab alates VMM tervendama siis "Applying port ACL" kirjeldatud viisil. Kuid parandamisest üle kõik port ACL reeglid ja neid, mis on kavandatud VMM VMM väljaspool määratletud.

Pordi ACL reegli prioriteet ja rakenduse järjestus (täpsem)

Core põhitõdesid

Iga pordi ACL reeglit port ACL on atribuut nimega "Prioriteet." Reeglid rakendatakse nende prioriteet tellimuse. Järgmisi põhilisi põhimõtteid Määratlege reeglid järjestus:
  • Madalam prioriteet number, seda suurem on järjestus on. See tähendab, kui mitut porti ACL reeglit on vastuolus üksteist, wins reegli madalam prioriteet.
  • Reegli toiming ei mõjuta see järjestus. See tähendab, erinevalt NTFS-i ACL-ide (näiteks) siin meil ei ole mõiste nagu "Keela alati ülimuslik luba".
  • Sama prioriteedi (sama numbriline väärtus), ei saa sama suunaga kaks reeglid. Sel viisil ei püüa hüpoteetilist olukorda, kus üks määratleda "Deny" ja "Allow" reeglid võrdne prioriteet, kuna see põhjustaks ebaselgus või konflikt.
  • Konflikt on määratletud kahe või enama reeglid pakutavale ja samas suunas. Konflikt võib ilmneda juhul, kui on kaks porti ACL reeglid sama prioriteet ja kaks ACL-ide, mida rakendatakse eri suunas ja tasemest osaliselt kattuvad. See tähendab, võib objekt (nt vmNIC), mis kuulub nii. Kattuvate näide on VM võrgu- ja VM alamvõrgu samasse võrku.

Ühele üksusele mitu porti ACL-ide rakendamine

Kuna port ACL-ide rakendada erinevaid VMM networking objektid (või erinevad, nagu eespool kirjeldatud), ühe VM virtual network adapter (vmNIC) võib sattuda mitut porti ACL-ide ulatus. Selle stsenaariumi puhul pordi ACL-i reeglid, port ACL rakendatakse. Need reeglid järjestus võib olla erinevad, olenevalt sellest, mitu uut VMM kohandada sätteid, mis on nimetatud käesoleva artikli lõpupoole.

Registrisätted

Need sätted on määratletud Dword-väärtusi Windowsi registris VMM management server järgmise võtme alt:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Pidage meeles, et need sätted mõjutavad port ACL-ide käitumise üle kogu VMM infrastruktuuri.

Tõhus port ACL reegli prioriteet

Seda arutelu kirjeldatakse port ACL reeglid tegelik järjestus mitut porti ACL-ide rakendamisel ühe üksuse tõhus reegli prioriteet. Pidage meeles, et puudub eraldi säte või objekti VMM-i määratlemiseks või vaatamiseks tõhus reegli prioriteet. See arvutatakse pikkus.

On kaks globaalne režiimi arvutada tõhus reegli prioriteet. Registri säte on sisse lülitatud režiimid:
PortACLAbsolutePriority

See säte lubatud väärtused on 0 (null) või 1, kus 0 tähistab vaikekäitumise.

Suhteline prioriteet (vaikekäitumine)

Selles režiimis lubamiseks atribuudi PortACLAbsolutePriority registri väärtus 0 (null). Selles režiimis kehtib ka siis, kui seade ei määratleta registris (st kui atribuuti pole loodud).

Selles režiimis core mõisted, mida kirjeldati eespool Lisaks kohaldatakse järgmisi põhimõtteid:
  • Prioriteet jooksul samasse porti ACL-i ei säilitata. Seetõttu töödeldakse nii suhteline jooksul ACL prioriteet väärtused, mis on määratletud iga reegel.
  • Mitut porti ACL-ide rakendamisel oma reeglid rakendatakse jääkfailihulgad. Jooksul sama bucket rakendatakse koos reeglid sama ACL (on seotud konkreetse objekti) kaudu. Konkreetse jääkfailihulgad järjestus sõltub objekti ACL-i pordi külge.
  • Siin, reeglid, mis on määratletud Globaalsätted ACL (olenemata oma prioriteedi määratletud port ACL) alati ülimuslik reeglid, mis on määratletud ACL, mis on seotud vmNIC ja nii edasi. Teiste sõnadega, jõustatakse kihi eraldamine.

Lõpuks tõhus reegli prioriteet võib erineda numbriline väärtus, mille määrate pordi ACL reegli atribuudid. Lisateabe saamiseks kuidas selline käitumine on jõustatav ja kuidas seda saab muuta oma loogikat järgmiselt.

  1. Kolm "objektiga seotud" taset (st vmNIC, VM alamvõrgu ja VM võrk) ülimuslikud järjestust saab muuta.

    1. Globaalsätted järjestuses ei saa muuta. See alati ülimuslik kõrgeim (või tellimuse = 0).
    2. Muud kolm taset, saate seada numbriline väärtus vahemikus 0 – 3, kus 0 on suurim järjestus (võrdne Globaalsätted) ja 3 on väikseima järjestus järgmisi sätteid:
      • PortACLVMNetworkAdapterPriority
        (vaikimisi 1)
      • PortACLVMSubnetPriority
        (vaikimisi 2)
      • PortACLVMNetworkPriority
        (vaikimisi 3)
    3. Kui sama väärtusega (0 kuni 3) määramiseks nende mitme registrisätete või määrake väärtus vahemikus 0 – 3 väljaspool VMM ei õnnestu tagasi selle vaikekäitumise.
  2. Tellimine jõustatav viis on tõhus reegli prioriteet muudetakse nii, et ACL-i reeglid, mis on määratletud kõrgemal tasemel saada kõrgema prioriteedi (st väiksemaid numbriline väärtus). Tõhus ACL arvutamisel iga suhteline reegli prioriteet väärtus on "bumped" taseme täpne väärtus või "samm."
  3. Taseme täpne väärtus on "samm", mis eraldab erineva. Vaikimisi suurus "samm" 10000 ja on konfigureeritud järgmine registri säte:
    PortACLLayerSeparation
  4. See tähendab, et selles režiimis ei saa ühtegi reegel prioriteet ACL (st reegel, mis on saanud nii suhteline) jooksul ületada järgmise sätte väärtus:
    PortACLLayerSeparation
    (vaikimisi 10000)
Konfiguratsiooni näide
Oletame, et kõik sätted on vaikeväärtused. (Neid on kirjeldatud eespool.)
  1. Meil on sellist Pääsureguleerimisloendit, mis on seotud vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Tõhus prioriteet kõik reeglid, mis on määratletud selle ACL-i bumped, 10000 (PortACLLayerSeparation väärtus).
  3. Me määratleda reegli selle ACL, millel on prioriteet, mis on seatud 100.
  4. Tõhus prioriteetsed selle reegli jaoks oleks 10000 + 100 = 10100.
  5. Reegel on ülimuslik teiste sama ACL prioriteet on suurem kui 100 reeglid.
  6. Reegel on alati ülimuslik üle kõik reeglid, mis on määratletud ACL-ide VM võrgu- ja VM alamvõrgu tase on lisatud. (See on tõsi, sest neid loetakse "madalam").
  7. Reegli kunagi on ülimuslik reeglid, mis on määratletud Globaalsätted ACL.
Selles režiimis eelised
  • Mitme eksemplariga stsenaariumid on suuremat turvalisust, sest port ACL-i reeglid, mis on määratletud struktuuri admin (Globaalsätted tase) on alati ülimuslikud kõik reeglid, mis on määratletud rentnike ise.
  • Pordi ACL reegli konflikte (st ebaselgused) ei saa automaatselt kihi eraldamine tõttu. See on väga lihtne ennustada, millised reeglid kehtib ja miks.
Selles režiimis ettevaatusabinõud
  • Vähem paindlikkust. Kui määrate (nt "Keela kõik liiklust port 80") global Settings reegli, saate kunagi luua reegli rohkem granuleeritud vabastamine alumine kiht (nt "luba pordi 80 ainult selle VM, mis töötab tegelikust veebiserveri").

Suhteline prioriteet

Selles režiimis lubamiseks atribuudi PortACLAbsolutePriority väärtuseks 1 registrit.

Selles režiimis lisaks core mõistete eespool kirjeldatud kohaldatakse järgmisi põhimõtteid:
  • Kui objekt kuulub mitme ACL-ide (näiteks VM võrgu ja alamvõrgu VM) ulatus, rakendatakse kõik reeglid, mis on määratletud ühtegi ühendatud ACL-ide ühendatud järjestuses (või ühe bucket). On olemas ei ole taseme vahe ja no "keemistsentrid" üldse.
  • Kõik reegli prioriteetide käsitletakse absolute, täpselt nii, nagu need on määratletud iga reegli prioriteet. Teiste sõnadega, tõhus prioriteetsed iga reegli jaoks on sama mis on määratletud reegli ise ja ei muutu VMM mootor enne seda rakendatakse.
  • Kõik muud registrisätete eelmises jaotises kirjeldatud need ei toimi.
  • Selles režiimis ei saa ühtegi reegel prioriteet Pääsureguleerimisloendi (st on reegli eesmärk, mis on saanud nii absoluutne) ületada 65535.
Konfiguratsiooni näide
  1. ACL Globaalsätted saate määratleda reegli, mille prioriteet on seatud 100.
  2. ACL, mis on seotud vmNIC, saate määratleda reegli, mille prioriteet on seatud 50.
  3. Reegel, mis on määratletud vmNIC tase ülimuslik, sest see on kõrgem prioriteet (st väiksem numbriline väärtus).
Selles režiimis eelised
  • Suuremat paindlikkust. Saate luua "ühekordne" erandeid Globaalsätted reeglid madalama taseme (nt VM alamvõrgu või vmNIC).
Selles režiimis ettevaatusabinõud
  • Planeerimine võib muutuda keerulisemaks sellepärast, et ei ole taseme vahe. Ja saab tavaliselt tasemel, mis alistab muud reeglid, mis on määratletud muud objektid.
  • Mitme eksemplariga keskkondades, võib mõjutada turvalisuse, kuna rentnik saate luua reegli VM alamvõrgu tase, mis alistab poliitika, mis on määratletud struktuuri administraatori tasemel Globaalsätted.
  • Reegli konfliktid (st ebaselgused) ei kõrvalda automaatselt ja võib tekkida. VMM-i võib takistada vastuolud ainult ACL samal tasemel. ACL-ide seotud eri objektide vahel ei takista konflikte. Konflikti juhul, kuna VMM-i ei saa lahendada konflikti automaatselt, see peatub eeskirjadest ja viskavad ilmnes tõrge.

Hoiatus. See artikkel on masintõlgitud.

Atribuudid

Artikli ID: 3101161 – viimati läbi vaadatud: 10/29/2015 23:36:00 – redaktsioon: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtet
Tagasiside