Prise en charge pour le déploiement de Hyper-V étendue de port ACL dans System Center 2012 R2 VMM avec correctif cumulatif 8

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 3101161
Résumé
Les administrateurs de Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) peuvent désormais centraliser créer et gérer Hyper-V port contrôle listes d'accès (ACL) dans VMM.
Plus d'informations
Pour plus d'informations sur le correctif cumulatif 8 pour System Center 2012 R2 Virtual Machine Manager, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

3096389 Mise à jour du correctif cumulatif 8 pour System Center 2012 R2 Virtual Machine Manager

Glossaire

Nous avons amélioré le modèle d'objet de Virtual Machine Manager en ajoutant les nouveaux concepts suivants dans la zone de gestion réseau.
  • Liste de contrôle d'accès port (port ACL)
    Un objet qui est attaché au plusieurs primitives de réseau VMM pour décrire la sécurité du réseau. Le port ACL est une collection d'entrées de contrôle d'accès ou les règles ACL. Une liste ACL peut être associée à un nombre quelconque (zéro ou plus) de mise en réseau des primitives, comme un réseau de la machine virtuelle, sous-réseau de l'ordinateur virtuel, carte réseau virtuelle ou le serveur de gestion VMM lui-même de VMM. Une liste ACL peut contenir un nombre quelconque (zéro ou plus) de règles ACL. Chaque VMM compatible réseau primitif (réseau de la machine virtuelle, sous-réseau de l'ordinateur virtuel, carte réseau virtuelle ou serveur de gestion VMM) peut avoir un seul port QU'ACL jointe ou aucun.
  • Entrée de contrôle d'accès port ou règle ACL
    Objet qui décrit la stratégie de filtrage. Plusieurs règles ACL peuvent exister dans le même port ACL et s'appliquent en fonction de leur priorité. Chaque règle ACL correspond à exactement un port ACL.
  • Paramètres globaux
    Un concept virtuel qui décrit un ACL qui est appliqué à toutes les cartes de réseau virtuel VM dans l'infrastructure du port. Il n'y a aucun type d'objet distinct pour les paramètres globaux. Au lieu de cela, le port de paramètres globaux ACL attache au serveur de gestion VMM lui-même. L'objet serveur de gestion VMM peut avoir un seul port ACL ou aucun.
Pour plus d'informations sur les objets dans la zone de gestion réseau qui étaient précédemment disponibles, reportez-vous à la section. Principes de l'objet réseau de Virtual Machine Manager.

Que puis-je faire avec cette fonctionnalité ?

À l'aide de l'interface de PowerShell dans VMM, vous pouvez maintenant prendre les actions suivantes :
  • Définir les ACL de port et de leurs règles d'ACL.
    • Les règles sont appliquées aux ports de switch virtuel sur des serveurs Hyper-V en tant que « port étendu ACL » (VMNetworkAdapterExtendedAcl) dans la terminologie de Hyper-V. Cela signifie qu'ils peuvent s'appliquer uniquement à des serveurs hôtes Windows Server 2012 R2 (et Hyper-V Server 2012 R2).
    • VMM ne crée pas les ACL de port Hyper-V « hérités » (VMNetworkAdapterAcl). Par conséquent, vous Impossible d'appliquer les ACL de port à serveurs hôtes Windows Server 2012 (ou Hyper-V Server 2012) à l'aide de VMM.
    • Toutes les règles d'ACL de port sont définies dans VMM à l'aide de cette fonctionnalité sont avec état (pour TCP). Vous ne pouvez pas créer les règles ACL sans état pour TCP à l'aide de VMM.
    Pour plus d'informations sur la fonctionnalité ACL du port étendue dans Windows Server 2012 R2 Hyper-V, reportez-vous à la section. Créer des stratégies de sécurité avec les listes de contrôle d'accès étendu de Port Windows Server 2012 R2.
  • Joindre un port ACL aux paramètres globaux. Il s'applique à toutes les cartes réseau virtuel de machine virtuelle. Il est disponible uniquement aux administrateurs complet.
  • Joindre les ACL de port qui sont créés pour un réseau de la machine virtuelle, sous-réseaux de la machine virtuelle ou cartes réseau virtuelles de machine virtuelle. Cette option est disponible pour un administrateur intégral, les administrateurs de clients et utilisateurs en libre-service (en libre-service).
  • Permet d'afficher et de mettre à jour les règles du port ACL qui sont configurés sur la carte réseau de machine virtuelle individuelle.
  • Supprimer le port ACL et leurs règles d'ACL.
Chacune de ces actions est traitée plus en détail plus loin dans cet article.

Sachez que cette fonctionnalité est exposée uniquement par le biais d'applets de commande PowerShell et ne reflètent pas dans l'IU de la console VMM (à l'exception de l'état « Conformité »).

Que pas faire avec cette fonctionnalité ?

  • Gérer/mettre à jour des règles individuelles pour une instance unique lorsque l'ACL est partagé entre plusieurs instances. Toutes les règles sont gérés de manière centralisée dans leur parent ACL et appliquent chaque fois que la liste ACL est attachée.
  • Joindre plusieurs ACL à une entité.
  • Appliquer des ACL de port pour les adaptateurs de réseau virtuel (cartes réseau) dans la partition parente de Hyper-V (gestion de système d'exploitation).
  • Créer des règles d'ACL port qui incluent les protocoles IP (autre que TCP ou UDP).
  • Appliquer des ACL de port aux réseaux logiques, réseau sites (définitions de réseau logique), réseaux locaux virtuels du sous-réseau et autres primitives de mise en réseau de VMM qui n'étaient pas répertoriés plus haut.

Comment pour utiliser la fonctionnalité ?

Définition des ACL de port nouveau et leurs règles d'ACL de port

Vous pouvez maintenant créer des ACL et leurs règles ACL directement à partir de dans VMM à l'aide des applets de commande PowerShell.

Créer une nouvelle liste ACL

Les nouvelles applets de commande PowerShell suivantes sont ajoutées :

Nouvelle-SCPortACL – nomchaîne> [– Descriptionchaîne>]

– Nom : Nom du port ACL

– Description : Description du port ACL (paramètre en option)

Get-SCPortACL

Récupère toutes les ACL de port

– Nom : Vous pouvez également filtrer par nom

-ID: vous pouvez également filtrer par ID

Exemples de commandes

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Définir des règles d'ACL de port pour le port d'ACL
Chaque port ACL se compose d'un ensemble de règles de port ACL. Chaque règle contient des paramètres différents.

  • Nom
  • Description
  • Type : Entrant/sortant (la direction dans laquelle sera appliquée la liste ACL)
  • Action : Autoriser/refuser (l'action de l'ACL, soit pour autoriser le trafic ou bloquer le trafic)
  • SourceAddressPrefix :
  • SourcePortRange :
  • DestinationAddressPrefix :
  • DestinationPortRange :
  • Protocole : TCP/Udp/tout (Remarque : les protocoles de niveau IP ne sont pas pris en charge dans les listes ACL de port définis par VMM. Ils sont toujours pris en charge en mode natif par Hyper-V.)
  • Priorité: 1 et 65 535 (numéro le plus bas possède la priorité la plus élevée). Cette priorité est par rapport à la couche dans laquelle elle est appliquée. (Plus d'informations sur l'application des règles ACL en fonction de la priorité et l'objet qui est attaché suit la liste ACL).

Nouvelles applets de commande PowerShell sont ajoutés

Nouvelle-SCPortACLrule - PortACLPortACL>-Nomchaîne> [-Description <string>]-le Type <Inbound |="" outbound="">-Action <Allow |="" deny="">-priorité <uint16>-protocole <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Récupère toutes les règles d'ACL de port.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nom : Vous pouvez également filtrer par nom
  • ID: Filtrer éventuellement par ID
  • PortACL : Vous pouvez également filtrer par port ACL
Exemples de commandes

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Attachement et détachement des ACL de port



Listes ACL peut être associés à ce qui suit :
  • Paramètres globaux (s'applique à toutes les cartes réseau de machine virtuelle. Seulement administrateur intégral pour cela.)
  • Réseau de la machine virtuelle (administrateurs/locataire complet admins/utilisateurs en libre-service pour cela.)
  • Sous-réseau de l'ordinateur virtuel (administrateurs/locataire complet admins/utilisateurs en libre-service pour cela.)
  • Cartes réseau virtuelles (administrateurs/locataire complet admins/utilisateurs en libre-service pour cela.)

Paramètres globaux

Ces règles d'ACL de port s'appliquent à toutes les cartes réseau virtuel de machine virtuelle dans l'infrastructure.

Applets de commande PowerShell existants ont été mis à jour avec de nouveaux paramètres pour attacher et détacher des ACL de port.

Set-SCVMMServer -VMMServer.VMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL : Nouveau paramètre facultatif qui configure le port spécifié ACL sur paramètres globaux.
  • RemovePortACL : Le nouveau paramètre facultatif qui supprime toute configuré port ACL à partir des paramètres globaux.
Get-SCVMMServer: retourne la liste ACL du port configuré dans l'objet retourné.

Exemples de commandes

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Réseau de machine virtuelle


Ces règles seront appliquées à toutes les cartes réseau virtuel VM qui sont connectés à ce réseau de la machine virtuelle.

Applets de commande PowerShell existants ont été mis à jour avec de nouveaux paramètres pour attacher et détacher des ACL de port.

Nouvelle-SCVMNetwork [– PortACLNetworkAccessControlList&gt;] [autres paramètres]

-PortACL : nouveau paramètre facultatif qui vous permet de spécifier un port d'ACL sur le réseau de la machine virtuelle lors de la création.

Ensemble-SCVMNetwork [– PortACLNetworkAccessControlList> | -RemovePortACL] [autres paramètres]

-PortACL : nouveau paramètre facultatif qui vous permet de définie un port ACL sur le réseau de la machine virtuelle.

-RemovePortACL : paramètre optionnel qui supprime toute configuré port ACL à partir du réseau de la machine virtuelle.

Get-SCVMNetwork: retourne la liste ACL du port configuré dans l'objet retourné.

Exemples de commandes

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Sous-réseau de l'ordinateur virtuel


Ces règles seront appliquées à toutes les cartes réseau virtuel VM qui sont connectés au sous-réseau de cette machine virtuelle.

Applets de commande PowerShell existants ont été mis à jour avec le nouveau paramètre pour attacher et détacher des ACL de port.

Nouvelle-SCVMSubnet [– PortACLNetworkAccessControlList&gt;] [autres paramètres]

-PortACL : nouveau paramètre facultatif qui vous permet de spécifier un port d'ACL sur le sous-réseau de l'ordinateur virtuel lors de la création.

Ensemble-SCVMSubnet [– PortACLNetworkAccessControlList> | -RemovePortACL] [autres paramètres]

-PortACL : nouveau paramètre facultatif qui vous permet de définie un port ACL pour le sous-réseau de l'ordinateur virtuel.

-RemovePortACL : paramètre optionnel qui supprime toute configuré port ACL à partir du sous-réseau de l'ordinateur virtuel.

Get-SCVMSubnet: retourne la liste ACL du port configuré dans l'objet retourné.

Exemples de commandes

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Carte de réseau virtuel VM (carte vmNIC)


Applets de commande PowerShell existants ont été mis à jour avec de nouveaux paramètres pour attacher et détacher des ACL de port.

Nouvelle-SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList&gt;] [autres paramètres]

-PortACL : nouveau paramètre facultatif qui vous permet de spécifier un port d'ACL pour la carte réseau virtuelle lors de la création d'une nouvelle carte de réseau.

Ensemble-SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList> | -RemovePortACL] [autres paramètres]

-PortACL : nouveau paramètre facultatif qui vous permet de définie un port ACL à la carte réseau virtuelle.

-RemovePortACL : paramètre optionnel qui supprime toute configurés port ACL à partir de la carte réseau virtuelle.

Get-SCVirtualNetworkAdapter: retourne la liste ACL du port configuré dans l'objet retourné.

Exemples de commandes

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Application des règles de port ACL

Lorsque vous actualisez les ordinateurs virtuels après avoir attaché les ACL de port, vous remarquez que l'état des ordinateurs virtuels est affiché comme « Non conforme » dans l'affichage de l'ordinateur virtuel de l'espace de travail de Fabric. (Pour basculer vers l'affichage de l'ordinateur virtuel, vous devez tout d'abord rechercher le nœud Réseaux logiques ou le nœud de Switches logiques de l'espace de travail de Fabric). N'oubliez pas que l'actualisation de la machine virtuelle se produit automatiquement en arrière-plan (de planification). Par conséquent, même si vous n'actualisez pas explicitement de machines virtuelles, ils iront dans un état non conforme finalement.



À ce stade, les ACL de port n'ont pas encore appliquées à des ordinateurs virtuels et leurs cartes réseau virtuel applicables. Pour appliquer les ACL de port, vous devez déclencher un processus qui est connu en tant que mise à jour. Jamais, cela se fait automatiquement et doit être démarrée explicitement lors de la demande de l'utilisateur.

Pour démarrer la conversion, cliquez sur appliquer des mesures correctives sur le ruban ou exécuter l'applet de commande de Réparation-SCVirtualNetworkAdapter . Il n'y a aucune modification particulière à la syntaxe d'applet de commande pour cette fonctionnalité.

Réparation-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Corriger ces ordinateurs virtuels, les marquer comme étant compatible avec et permettront de garantir que les ACL étendues de port sont appliquées. N'oubliez pas que le port ACL ne s'applique pas pour les ordinateurs virtuels dans la portée jusqu'à ce que vous les convertir explicitement.

Affichage des règles de port ACL

Pour afficher les listes ACL et les ACL des règles, vous pouvez utiliser les applets de commande PowerShell suivante.

Nouvelles applets de commande PowerShell sont ajoutés

Récupérer les ACL de port

Paramètre la valeur 1. Pour obtenir tous les ou par nom : Get-SCPortACL [-nom <> </>]

Paramètre la valeur 2. Pour obtenir par ID: Get-SCPortACL -Id <> [-nom <> </>]

Récupérer les règles de port ACL

Paramètre la valeur 1. Tous les ou par nom : Get-SCPortACLrule [-nom <> </>]

Paramètre la valeur 2. Par ID: Get-SCPortACLrule -Id <>

Paramètre la valeur 3. Par objet ACL : Get-SCPortACLrule -PortACLNetworkAccessControlList>

Mise à jour des règles de port ACL

Lorsque vous mettez à jour l'ACL qui est associé aux cartes réseau, les modifications sont répercutées dans toutes les instances de carte réseau qui utilisent ce ACL. Pour une liste ACL qui est attachée à un sous-réseau de l'ordinateur virtuel ou d'un réseau de la machine virtuelle, toutes les instances de carte réseau qui sont connectées à ce sous-réseau sont mis à jour avec les modifications.

Remarque Mise à jour des règles de liste ACL sur les cartes réseau individuelles est exécutée en parallèle dans un schéma de mieux un-try. Les cartes qui ne peuvent pas être mis à jour pour une raison quelconque sont marqués « sécurité conforme », et que la tâche se termine avec un message d'erreur indiquant que les cartes réseau n'ont pas été mis. « Sécurité conforme » ici fait référence à une discordance au niveau attendu par rapport aux règles d'ACL réels. La carte aura ensemble un état de conformité de « Non compatibles » avec les messages d'erreur appropriés. Reportez-vous à la section précédente pour plus d'informations sur la correction machines virtuelles non conformes.
Nouvelle applet de commande PowerShell ajoutée
Set-SCPortACL - PortACLPortACL> [-NomNom&gt;] [-Description <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Nomnom&gt;] [-Descriptionchaîne&gt;] [-TypePortACLRuleDirection> {Entrant | Sortant}] [-ActionPortACLRuleAction> {Autoriser | Refuser}] [-SourceAddressPrefixchaîne&gt;] [-SourcePortRangechaîne&gt;] [-DestinationAddressPrefixchaîne&gt;] [-DestinationPortRangechaîne&gt;] [-ProtocolePortACLruleProtocol> {Tcp | UDP | Tout}]

Ensemble-SCPortACL: modifie la description de la liste ACL port.
  • Description : Met à jour la description.

Ensemble-SCPortACLrule: modifie les paramètres de règle de port ACL.
  • Description : Met à jour la description.
  • Type : Met à jour la direction dans laquelle la liste ACL est appliquée.
  • Action : Met à jour l'action de l'ACL.
  • Protocole : Met à jour le protocole auquel l'ACL doit être appliquée.
  • Priorité : Met à jour la priorité.
  • SourceAddressPrefix : Met à jour le préfixe d'adresse source.
  • SourcePortRange : Met à jour la plage de port source.
  • DestinationAddressPrefix : Met à jour le préfixe d'adresse de destination.
  • DestinationPortRange : Met à jour la plage de ports de destination.

Suppression d'ACL de port et les règles de port ACL

Une liste ACL peut être supprimée uniquement si il n'y a pas de dépendances attachés. Dépendances incluent des VM réseau/VM/virtuel de sous-réseau réseau carte/paramètres globaux qui sont associées à la liste ACL. Lorsque vous essayez de supprimer un port ACL à l'aide de l'applet de commande PowerShell, l'applet de commande détecte si le port ACL est associé à des dépendances et génère des messages d'erreur appropriés.

Suppression des listes ACL du port

Nouvelles applets de commande PowerShell ont été ajoutés :

Supprimer-SCPortACL - PortACLNetworkAccessControlList>

Suppression de règles de port ACL

Nouvelles applets de commande PowerShell ont été ajoutés :

Supprimer-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Sachez que la suppression d'une machine virtuelle du réseau sous-réseau/VM/carte réseau supprime automatiquement l'association avec cette ACL.

Une liste ACL peut également être dissociée à partir de la carte de réseau/sous-réseau/VM machine virtuelle en modifiant l'objet de mise en réseau de VMM respectif. Pour ce faire, utilisez l'applet de commande Set - avec le commutateur - RemovePortACL , comme décrit dans les sections précédentes. Dans ce cas, le port ACL sera détachée de l'objet réseau respectifs, mais ne supprime pas de l'infrastructure VMM. Par conséquent, il peut être réutilisé ultérieurement.

Out-of-band remplace les règles ACL

Si nous faisons out-of-band (OOB) modifications aux règles de la liste ACL du port du switch virtuel Hyper-V (à l'aide des applets de commande Hyper-V natives telles que Add-VMNetworkAdapterExtendedAcl), actualiser les VM affichera la carte réseau en tant que « Incompliant de sécurité ». La carte réseau peut puis résolue à partir de VMM comme décrit dans la section « ACL de port d'application ». Toutefois, la conversion remplacera toutes les règles d'ACL de port sont définies à l'extérieur de VMM avec ceux qui sont prévus par VMM.

Port ACL priorité et application la priorité des règles (avancée)

Concepts fondamentaux

Chaque règle de la liste ACL port dans un port d'ACL a une propriété nommée « Priority ». Les règles sont appliquées dans l'ordre selon leur priorité. Les principes de base suivants définissent la priorité des règles :
  • La priorité est faible nombre, plus la priorité est élevée. Autrement dit, si plusieurs règles d'ACL de port s'opposent à l'autre, la règle de priorité wins.
  • Action de la règle n'affecte pas l'ordre de priorité. Autrement dit, contrairement aux ACL NTFS (par exemple), ici nous n'avons pas un concept comme « Refus est toujours prioritaire sur Autoriser ».
  • Sur la même priorité (même valeur numérique), vous ne pouvez pas avoir deux règles avec la même direction. Ce comportement empêche une situation hypothétique dans laquelle un peut définir les règles de « Refuser » et « Autoriser » à priorité égale, car cela entraînerait dans toute ambiguïté, ou un conflit.
  • Un conflit est défini comme deux règles ou plus ayant la même priorité et le même sens. Un conflit peut se produire s'il y a deux règles ACL de port avec la même priorité et le même sens dans les deux listes ACL qui sont appliqués à différents niveaux, et si ces niveaux se chevauche partiellement. Autrement dit, il peut être un objet (par exemple, carte vmNIC) qui se trouve dans la portée de ces deux niveaux. Un exemple courant de chevauchement est un réseau de la machine virtuelle et d'un sous-réseau de machine virtuelle sur le même réseau.

Application de plusieurs ports ACL à une seule entité

Port ACL peut s'appliquer à VMM de différent objets de réseau (ou sur différents niveaux, comme décrit plus haut), une seule carte de réseau virtuel (carte vmNIC) VM peut tomber dans la portée de plusieurs listes ACL de port. Dans ce scénario, les règles d'ACL de port à partir de toutes les ACL du port sont appliquées. Toutefois, le niveau de priorité de ces règles peut être différent, en fonction de plusieurs VMM nouveau réglage fin des paramètres mentionnés plus loin dans cet article.

Paramètres du Registre

Ces paramètres sont définis en tant que valeurs de Dword dans le Registre Windows sous la clé suivante sur le serveur de gestion VMM :
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Sachez que tous ces paramètres affectera le comportement de port ACL sur l'ensemble de l'infrastructure VMM.

Priorité de la règle ACL efficace de port

Dans cette discussion, nous décrirons la priorité réelle ACL de règles de port lorsque plusieurs ports ACL sont appliquées à une seule entité en tant que priorité Effective de la règle. Sachez qu'il n'existe aucun paramètre séparé ou un objet dans VMM pour définir ou d'afficher la priorité de la règle efficace. Elle est calculée dans le runtime.

Il existe deux modes globales dans laquelle la priorité Effective de la règle peut être calculée. Les modes sont commutés par le paramètre du Registre :
PortACLAbsolutePriority

Les valeurs acceptables pour ce paramètre sont soit 0 (zéro) ou 1, où 0 indique le comportement par défaut.

Priorité relative (par défaut)

Pour activer ce mode, définissez la propriété PortACLAbsolutePriority dans le Registre une valeur de 0 (zéro). Ce mode s'applique également si le paramètre n'est pas défini dans le Registre (c'est-à-dire, si la propriété n'est pas créée).

Dans ce mode, les principes suivants s'appliquent en plus des concepts fondamentaux qui ont été décrits précédemment :
  • La priorité dans le même port ACL est conservée. Par conséquent, les valeurs de priorité sont définies dans chaque règle sont traitées comme étant relative au sein de la liste ACL.
  • Lorsque vous appliquez plusieurs ports ACL, leurs règles sont appliquées dans les compartiments. Les règles de l'ACL (associée à un objet donné) sont appliqués ensemble dans le même compartiment. La priorité des compartiments particuliers dépend de l'objet auquel le port ACL est attaché.
  • Dans ce cas, toutes les règles qui sont définies dans les paramètres globaux des ACL (quelle que soit leur propre priorité, tel que défini dans le port d'ACL) toujours priment sur les règles qui sont définies dans la liste ACL qui est appliquée à la carte vmNIC et ainsi de suite. En d'autres termes, la séparation des couches est appliquée.

Enfin, priorité Effective de la règle peut différer de la valeur numérique que vous définissez dans les propriétés de la règle de l'ACL. Plus d'informations sur la façon dont ce comportement est appliqué et comment vous pouvez modifier sa logique suit.

  1. L'ordre dans lequel les trois niveaux de « spécifiques à un objet » (c'est-à-dire, carte vmNIC, sous-réseau de l'ordinateur virtuel et réseau de machine virtuelle) sont prioritaires peut être modifié.

    1. Impossible de modifier l'ordre des paramètres globaux. Il prend toujours la priorité la plus élevée (ou ordre = 0).
    2. Pour les trois autres niveaux, vous pouvez définir les paramètres suivants en une valeur numérique comprise entre 0 et 3, où 0 est la priorité la plus élevée (égale à paramètres globaux) et 3 est le niveau de priorité le plus bas :
      • PortACLVMNetworkAdapterPriority
        (la valeur par défaut est 1)
      • PortACLVMSubnetPriority
        (la valeur par défaut est 2)
      • PortACLVMNetworkPriority
        (la valeur par défaut est 3)
    3. Si vous affectez la même valeur (de 0 à 3) plusieurs de ces paramètres du Registre, ou si vous affectez une valeur en dehors de la plage de 0 à 3, VMM échoue au comportement par défaut.
  2. La manière que le classement est appliqué est que priorité Effective de la règle est modifiée afin que les règles ACL qui sont définis sur un niveau supérieur reçoivent en priorité (autrement dit, une valeur numérique inférieure). Lorsque les ACL effective est calculée, la valeur de priorité de chaque règle relative « pour agrandir » par la valeur niveau spécifique ou étape. »
  3. La valeur de niveau spécifique est « étape » qui sépare les différents niveaux. Par défaut, la taille de le « étape » est 10 000 et est configurée par le paramètre de Registre suivant :
    PortACLLayerSeparation
  4. Cela signifie que, dans ce mode, une priorité de règle individuelle au sein de l'ACL (autrement dit, une règle est traitée comme étant relative) ne doit pas dépasser la valeur du paramètre suivant :
    PortACLLayerSeparation
    (par défaut, 10000)
Exemple de configuration
Supposons que tous les paramètres ont leurs valeurs par défaut. (Celles-ci sont décrites plus haut.)
  1. Nous avons une ACL qui est associée à la carte vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Pour agrandir la priorité effective pour toutes les règles qui sont définies dans cette liste ACL par 10 000 (valeur PortACLLayerSeparation).
  3. Nous définissons une règle dans cette liste ACL qui a une priorité définie à 100.
  4. La priorité efficace pour cette règle sera 10000 + 100 = 10100.
  5. La règle prévaut sur les autres règles au sein de l'ACL dont la priorité est supérieure à 100.
  6. La règle est toujours prioritaire sur les règles qui sont définies dans les listes ACL associées sur le réseau de la machine virtuelle et le niveau de sous-réseau de machine virtuelle. (Cela est vrai parce que ceux sont considérés comme « niveaux »).
  7. La règle ne prévaut sur les règles qui sont définies dans les paramètres globaux des ACL.
Avantages de ce mode
  • Les scénarios mutualisées est une meilleure sécurité, car les règles du port ACL qui sont définies par l'administrateur de Fabric (paramètres globaux au niveau de la) seront toujours prioritaire sur les règles qui sont définies par les locataires eux-mêmes.
  • Des conflits de règle ACL port (c'est-à-dire, des ambiguïtés) ne peuvent pas automatiquement en raison de la séparation des couches. Il est très facile de prévoir les règles qui seront efficaces et pourquoi.
Précautions avec ce mode.
  • Moins de flexibilité. Si vous définissez une règle (par exemple, "Refuser tout le trafic sur le port 80") dans les paramètres globaux, vous pouvez ne jamais créer une exemption plus granulaire de cette règle sur une couche inférieure (par exemple, "Autoriser port 80 uniquement sur cet ordinateur virtuel qui exécute un serveur web légitime").

Priorité relative

Pour activer ce mode, définissez la propriété PortACLAbsolutePriority dans le Registre une valeur de 1.

Dans ce mode, les principes suivants s'appliquent en plus des principaux concepts décrits plus haut :
  • Si un objet se situe dans la portée des ACL plusieurs (par exemple, le réseau de la machine virtuelle et le sous-réseau de l'ordinateur virtuel), toutes les règles qui sont définies dans les ACL de joints sont appliquées dans l'ordre unifié (ou sous la forme d'un seul compartiment). Il existe pas de séparation au niveau et aucun « destinés » que ce soit.
  • Toutes les priorités de la règle sont considérées comme absolues, exactement comme ils sont définis dans chaque priorité de la règle. En d'autres termes, la priorité d'effet pour chaque règle est identique à ce qui est défini dans la règle elle-même et n'est pas modifié par le moteur VMM avant d'être appliqué.
  • Tous les autres paramètres de Registre qui sont décrites dans la section précédente n'ont aucun effet.
  • Dans ce mode, une priorité de règle individuelle dans une ACL (autrement dit, une priorité de la règle qui est traitée comme absolu) ne peut pas dépasser 65535.
Exemple de configuration
  1. Dans les paramètres globaux ACL, vous définissez une règle dont la priorité est définie sur 100.
  2. Dans la liste ACL qui est associée à la carte vmNIC, vous définissez une règle dont la priorité est définie à 50.
  3. La règle qui est définie au niveau de la carte vmNIC est prioritaire, car il a une priorité plus élevée (c'est-à-dire, une valeur numérique inférieure).
Avantages de ce mode
  • Plus grande souplesse. Vous pouvez créer les règles de paramètres globaux de dérogations « One-Off » des niveaux inférieurs (par exemple, un sous-réseau de la machine virtuelle ou carte vmNIC).
Précautions avec ce mode.
  • La planification peut devenir plus complexe, car il n'y a pas de séparation au niveau. Et il peut y avoir une règle sur n'importe quel niveau qui substitue d'autres règles qui sont définies sur d'autres objets.
  • Dans des environnements de plusieurs utilisateurs, la sécurité peut être affectée car un client peut créer une règle sur le niveau de sous-réseau de machine virtuelle qui substitue la stratégie définie par l'administrateur de tissu au niveau des paramètres globaux.
  • Règle les conflits (c'est-à-dire, des ambiguïtés) ne sont pas automatiquement éliminés et peuvent se produire. VMM peut éviter les conflits uniquement sur le même niveau d'ACL. Il ne peut pas empêcher les conflits entre les listes ACL qui est associés à des objets différents. En cas de conflit, étant donné que VMM ne peut pas résoudre le conflit automatiquement, il s'arrête à l'application des règles et lèvera une erreur.

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 3101161 - Dernière mise à jour : 10/29/2015 23:37:00 - Révision : 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbmt KB3101161 KbMtfr
Commentaires