Applies ToMicrosoft System Center 2012 R2 Virtual Machine Manager

Sažetak

Administratori programa Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) sada mogu centralno stvarati i upravljati popisima kontrole pristupa priključku Hyper-V (ACLs) u VMM-u.

Dodatne informacije

Dodatne informacije o skupnom ažuriranju 8 za System Center 2012 R2 Virtual Machine Manager potražite u članku iz Microsoftove baze znanja:

3096389 Skupno ažuriranje 8 za System Center 2012 R2 Virtual Machine Manager

Rječnik

Poboljšali smo model objekta Upravitelj virtualnog računala dodavanjem sljedećih novih koncepata u područje upravljanja mrežom.

  • Port access control list (port ACL)An object that is attached to various VMM networking primitives to describe network security. Priključak ACL služi kao zbirka unosa kontrole pristupa ili ACL pravila. ACL se može priložiti bilo kojem broju (nula ili više) VMM umrežavanja primitivaca, kao što su VM mreža, VM podmreže, virtualna mrežna kartica ili sam poslužitelj za upravljanje VMM-om. ACL može sadržavati bilo koji broj (nulu ili više) ACL pravila. Svaka kompatibilna VMM networking primitive (VM mreža, VM podmreže, virtualna mrežna kartica ili VMM poslužitelj za upravljanje) mogu imati jedan priključak ACL priključen ili ništa.

  • Unos kontrole pristupa priključku ili ACLpravilo Objekt koji opisuje pravilnik filtriranja. Više ACL pravila može postojati u istom ACL priključku i primijeniti se na temelju njihova prioriteta. Svako ACL pravilo odgovara točno jednom ACL priključku.

  • Global Postavke A virtualni koncept koji opisuje priključak ACL koji se primjenjuje na sve virtualne mrežne kartice vm-a u infrastrukturi. Ne postoji zasebna vrsta objekta za globalnu Postavke. Umjesto toga, ACL Postavke globalni priključak za upravljanje vmm-om prilaže se samom poslužitelju za upravljanje VMM-om. Objekt poslužitelja za upravljanje VMM-om može imati jedan ACL priključak ili nijedan.

Informacije o objektima u području upravljanja mrežom koji su prethodno bili dostupni potražite u članku Osnove mrežnih objekata upravitelja virtualnih računala.

Što mogu učiniti s tom značajkom?

Pomoću sučelja komponente PowerShell u VMM-u sada možete poduzeti sljedeće akcije:

  • Definirajte ACL-ove priključaka i njihova ACL pravila.

    • Pravila se primjenjuju na virtualne priključke za prebacivanje na hyper-V poslužiteljima kao "ACL-ovi proširenog priključka" (VMNetworkAdapterExtendedAcl) u terminologiji Hyper-V. To znači da se mogu primijeniti samo na Windows poslužitelje glavnog računala za Server 2012 R2 (i Hyper-V Server 2012 R2).

    • VMM neće stvoriti "naslijeđene" ACLs priključka Hyper-V (VMNetworkAdapterAcl). Stoga ne možete primijeniti ACL-ove priključka na poslužitelje glavnog računala sustava Windows Server 2012 (ili Hyper-V Server 2012) pomoću VMM-a.

    • Sva ACL pravila priključka koja su definirana u VMM-u pomoću ove značajke su stanja (za TCP). Pomoću VMM-a ne možete stvoriti ACL pravila bez stanja za TCP.

    Dodatne informacije o značajci ACL proširenog priključka u sustavu Windows Server 2012 R2 Hyper-V potražite u članku Stvaranje sigurnosnih pravilnika s popisima kontrole proširenog pristupa priključku za Windows Server 2012 R2.

  • Prilaganje ACL priključka globalnom Postavke. To se odnosi na sve virtualne mrežne kartice virtualne mreže. Dostupna je samo svim administratorima.

  • Priložite ACL-ove priključka koji su stvoreni na virtualnu mrežu, podmreže VM-a ili virtualne mrežne kartice vm-a. To je dostupno svim administratorima, administratorima klijenata i samoposlužne korisnike (SSU-ove).

  • Prikaz i ažuriranje ACL pravila priključka koja su konfigurirana na pojedinačnom VM vNIC-u.

  • Izbrišite ACL-ove priključka i njihova ACL pravila.

Svaka od tih akcija detaljnije je opisana u nastavku ovog članka. Imajte na umu da je ta funkcija izložena samo putem cmdleta komponente PowerShell i neće se odražavati u korisničkom sučelju konzole VMM (osim u stanju "Usklađenost").

Što ne mogu učiniti s tom značajkom?

  • Upravljanje/ažuriranje pojedinačnih pravila za jednu instancu kada se ACL zajednički koristi s više instanci. Svim se pravilima upravlja centralno unutar matičnih ACL-ova i primjenjuje se gdje god je ACL priložen.

  • Priložite više ACL-a entitetu.

  • Primijenite ACL-ove priključka na virtualne mrežne prilagodnike (vNICs) na nadređenoj particiji hyper-V (operacijski sustav za upravljanje).

  • Stvorite ACL pravila priključka koja obuhvaćaju protokole na razini IP-a (osim TCP-a ili UDP-a).

  • Primijenite ACL-ove priključka na logičke mreže, mrežna web-mjesta (definicije logičke mreže), vLAN-ove podmreže i ostale verzije VMM mreže koje nisu ranije navedene.

Kako koristiti tu značajku?

Definiranje novih ACL-ova priključaka i njihovih ACL pravila priključka

Sada možete stvarati ACL-ove i njihova ACL pravila izravno iz VMM-a pomoću cmdleta komponente PowerShell.

Stvaranje novog ACL-a

Dodaju se sljedeći novi cmdleti komponente PowerShell: New-SCPortACL –Name <string> [–Description <string>] –Name: Name of the port ACL –Description: Description of the port ACL (optional parameter) Get-SCPortACL retrieves all the port ACLs –Name: Optionally filter by name –ID: Optionally filter by ID Sample commands

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Definiranje ACL pravila priključka za ACL priključak

Svaki priključak ACL sastoji se od zbirke ACL pravila priključka. Svako pravilo sadrži različite parametre.

  • Ime

  • Opis

  • Vrsta: ulazno/izlazno (smjer u kojem će se primijeniti ACL)

  • Akcija: Dopusti/odbij (akcija ACL-a, bilo da dopušta promet ili blokira promet)

  • SourceAddressPrefix:

  • SourcePortRange:

  • DestinationAddressPrefix:

  • DestinationPortRange:

  • Protokol: TCP/Udp/Any (Napomena: protokoli na razini IP-a nisu podržani u ACL-ovima priključka koji su definirani VMM-om. Hyper-V još uvijek podržava nativnu podršku.

  • Prioritet: 1 – 65535 (najmanji broj ima najviši prioritet). Taj je prioritet u odnosu na sloj u kojem se primjenjuje. (Dodatne informacije o načinu na koji se ACL pravila primjenjuju na temelju prioriteta i objekta kojem je ACL priložen slijedi.)

Novi dodani cmdleti komponente PowerShell

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Odlazni> - akcijski <dopusti | Odbij> -Priority <uint16> -Protocol <Tcp | Udp | Bilo> [-SourceAddressPrefix <niz: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Bilo>] [-DestinationAddressPrefix <niz: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Sve>] Get-SCPortACLruledohvaća sva ACL pravila priključka.

  • Naziv: ako želite filtrirati prema nazivu

  • ID: po želji filtriraj po ID-u

  • PortACL: po želji filtrirajte po ACL priključku

Ogledne naredbe

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Prilaganje i odvajanje ACL-ova priključka

ACL-ovi se mogu priložiti na sljedeće:

  • Globalne postavke (odnosi se na sve mrežne kartice vm-a. To mogu učiniti samo potpuni administratori.)

  • VM mreža (to mogu učiniti potpuni administratori/administratori klijenta/SSU-ovi.)

  • Podmrežno računalo za virtualno računalo (to mogu učiniti potpuni administratori/administratori klijenta/SSU-ovi.)

  • Virtualne mrežne kartice (to mogu učiniti potpuni administratori/administratori klijenta/SSU-i.)

Globalne postavke

Ova pravila ACL priključka primjenjuju se na sve virtualne mrežne kartice vm-a u infrastrukturi. Postojeći cmdleti komponente PowerShell ažurirani su novim parametrima za prilaganje i odvajanje ACL-ova priključka. Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

  • PortACL: novi neobavezni parametar koji konfigurira navedeni priključak ACL na globalne postavke.

  • RemovePortACL: novi neobavezni parametar koji uklanja sve konfigurirane ACL priključke iz globalnih postavki.

Get-SCVMMServer: vraća konfigurirani ACL priključak u vraćenom objektu. Ogledne naredbe

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM mreža

Ta će se pravila primijeniti na sve virtualne mrežne kartice virtualne mreže koje su povezane s ovom virtualnom mrežom. Postojeći cmdleti komponente PowerShell ažurirani su novim parametrima za prilaganje i odvajanje ACL-ova priključka. New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [ostatak parametara] -PortACL: Novi neobavezni parametar koji omogućuje određivanje priključka ACL na vm mrežu tijekom stvaranja. Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ostatak parametara] -PortACL: Novi neobavezni parametar koji vam omogućuje postavljanje ACL priključka na mrežu VM-a. -RemovePortACL: novi neobavezni parametar koji uklanja bilo koji konfigurirani ACL priključak iz vm mreže. Get-SCVMNetwork: vraća konfigurirani ACL priključak u vraćenom objektu. Ogledne naredbe

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Podmrežna mreža vm-a

Ta će se pravila primijeniti na sve virtualne mrežne kartice virtualne mreže koje su povezane s ovom podmrežom vm-a. Postojeći cmdleti komponente PowerShell ažurirani su novim parametrom za prilaganje i odvajanje ACL-ova priključka.New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [ostatak parametara] -PortACL: Novi neobavezni parametar koji omogućuje određivanje priključka ACL na podmrežu VM-a tijekom stvaranja. Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ostatak parametara] -PortACL: Novi neobavezni parametar koji omogućuje postavljanje priključka ACL na podmrežu VM-a. -RemovePortACL: novi neobavezni parametar koji uklanja sve konfigurirane ACL priključke iz podmreže VM-a. Get-SCVMSubnet: vraća konfigurirani ACL priključak u vraćenom objektu. Ogledne naredbe

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VIRTUALNA virtualna mrežna kartica (vmNIC)

Postojeći cmdleti komponente PowerShell ažurirani su novim parametrima za prilaganje i odvajanje ACL-ova priključka. New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [ostatak parametara] -PortACL: Novi neobavezni parametar koji omogućuje određivanje priključka ACL na virtualnu mrežnu karticu dok stvarate novi vNIC. Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ostali parametri] -PortACL: Novi neobavezni parametar koji omogućuje postavljanje priključka ACL na virtualnu mrežnu karticu. -RemovePortACL: novi neobavezni parametar koji uklanja bilo koji konfigurirani ACL priključak iz virtualne mrežne kartice. Get-SCVirtualNetworkAdapter: vraća konfigurirani priključak ACL u vraćenom objektu. Ogledne naredbe

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Primjena ACL pravila priključka

Kada osvježite VM-ove nakon što priložite ACL-ove priključka, primijetit ćete da se status VM-ova prikazuje kao "Nije usklađeno" u prikazu virtualnog računala radnog prostora Fabric. (Da biste prešli na prikaz virtualnog računala, najprije morate doći do čvora Logičke mreže ili čvor Logički parametri radnog prostora Fabric). Imajte na umu da se osvježavanje vm-a odvija automatski u pozadini (prema rasporedu). Stoga, čak i ako ne osvježite VM-ove eksplicitno, oni će naposljetku otići u stanje koje nije suuspodjelo. zamjenski tekstu ovom trenutku ACL-ovi priključka još nisu primijenjeni na VM-ove i njihove relevantne virtualne mrežne kartice. Da biste primijenili ACL-ove priključka, morate pokrenuti postupak koji se naziva popravkom. To se nikad ne događa automatski i potrebno ga je izričito pokrenuti na zahtjev korisnika. Da biste pokrenuli popravke, na vrpci kliknite Otkloni ili pokrenite Repair-SCVirtualNetworkAdapter cmdlet. Nema određenih promjena sintakse cmdleta za ovu značajku. Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter> Popravak tih VM-ova označit će ih kao usklađene i osigurati primjenu ACL-ova za prošireni priključak. Imajte na umu da se ACL-ovi za prijenos neće primjenjivati na vm-ove u opsegu dok ih izričito ne otklonite.

Prikaz ACL pravila priključka

Da biste pogledali ACL pravila i ACL pravila, možete koristiti sljedeće cmdlete komponente PowerShell.

Novi dodani cmdleti komponente PowerShell

Dohvati ACL-ove priključkaSkup parametara 1. Da biste dobili sve ili po nazivu: Get-SCPortACL [-Name <>] Parameter set 2. Da biste dobili po ID-u: Get-SCPortACL -ID <> [-Name <>] Retrieve port ACL rules Parameter set 1. Sve ili po nazivu: Get-SCPortACLrule [-Name <>] Parameter set 2. Prema ID-u: Get-SCPortACLrule -ID <> parametar skup 3. By ACL object: Get-SCPortACLrule –PortACL <NetworkAccessControlList>

Ažuriranje ACL pravila priključka

Kada ažurirate ACL koji je priložen mrežnim karticama, promjene se odražavaju u svim instancama mrežne kartice koje koriste taj ACL. Za ACL koji je priključen na vm podmrežu ili VM mrežu, sve instance mrežne kartice koje su povezane s tom podmrežom ažuriraju se promjenama. Napomena Ažuriranje ACL pravila za pojedinačne mrežne kartice izvodi se paralelno u shemi s najboljim pokušajima. Prilagodnici koji se iz bilo kojeg razloga ne mogu ažurirati označeni su kao "sigurnosna nekompatibilna", a zadatak završava porukom o pogrešci u kojoj piše da mrežne kartice nisu uspješno ažurirane. "Sigurnosna nekompatibilna" ovdje se odnosi na nepodudaranje u očekivanim i stvarnim ACL pravilima. Prilagodnik će imati stanje usklađenosti "Nije u skladu" zajedno s relevantnim porukama o pogreškama. Dodatne informacije o popravku virtualnih računala koja nisu nekompatibilna potražite u prethodnom odjeljku.

Dodan je novi cmdlet komponente PowerShell

Set-SCPortACL -PortACL <PortACL> [-Name <Name>] [-Description <description>] Set-SCPortACLrule -PortACLrule <PortACLrule> [-name <name>] [-Description <string>] [-Type <PortACLRuleDirection> {Inbound | Odlazno}] [-Akcija <PortACLRuleAction> {Allow | Deny}] [-SourceAddressPrefix <string>] [-SourcePortRange <string>] [-DestinationAddressPrefix <string>] [-DestinationPortRange <string>] [-Protocol <PortACLruleProtocol> {Tcp | Udp | Any}] Set-SCPortACL: mijenja opis ACL priključka.

  • Opis: ažurira opis.

Set-SCPortACLrule: mijenja parametre ACL pravila priključka.

  • Opis: ažurira opis.

  • Vrsta: ažurira smjer u kojem se primjenjuje ACL.

  • Akcija: ažurira akciju ACL-a.

  • Protokol: ažurira protokol na koji će se primijeniti ACL.

  • Prioritet: ažurira prioritet.

  • SourceAddressPrefix: ažurira prefiks izvorišne adrese.

  • SourcePortRange: ažurira raspon izvorišnog priključka.

  • DestinationAddressPrefix: ažurira prefiks odredišne adrese.

  • DestinationPortRange: ažurira raspon odredišnog priključka.

Brisanje ACL-ova priključaka i ACL pravila priključka

ACL se može izbrisati samo ako mu nisu pridružene zavisnosti. Među zavisnostima su podmreže VM mreže/VM-a/virtualne mrežne kartice/globalne postavke koje su priložene ACL-u. Kada pokušate izbrisati priključak ACL pomoću cmdleta PowerShell, cmdlet će otkriti je li priključak ACL priložen bilo kojoj zavisnosti i prikazat će odgovarajuće poruke o pogreškama.

Uklanjanje ACL-ova priključka

Dodani su novi cmdleti komponente PowerShell: Remove-SCPortACL -PortACL <NetworkAccessControlList>

Uklanjanje ACL pravila priključka

Dodani su novi cmdleti komponente PowerShell: Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule> Imajte na umu da se brisanjem mrežne/vm mrežne kartice vm/mrežne kartice automatski uklanja pridruživanje s tim ACL-om. ACL se može razdruživati i od mrežne/mrežne kartice VM/VM tako da promijenite odgovarajući mrežni objekt VMM. Da biste to učinili, upotrijebite cmdlet Set-cmdlet zajedno s prekidačem -RemovePortACL, kao što je opisano u starijim odjeljcima. U tom će se slučaju priključak ACL odvojiti od odgovarajućeg mrežnog objekta, ali se neće izbrisati iz infrastrukture VMM-a. Stoga se može ponovno koristiti kasnije.

Izlazne promjene ACL pravila

Ako izvršavamo OOB (out-of-band) promjene pravila ACL iz virtualnog priključka za prebacivanje Hyper-V (pomoću nativnih cmdleta za Hyper-V, kao što je Add-VMNetworkAdapterExtendedAcl), osvježavanje VM-a prikazat će mrežnu karticu kao "Sigurnosna nekompatibilna". Mrežnu karticu zatim možete popraviti iz VMM-a kao što je opisano u odjeljku "Primjena ACL-ova priključka". Međutim, popravkom će se prebrisati sva ACL pravila priključka koja su definirana izvan VMM-a s onima koje VMM očekuje.

Prioritet pravila ACL priključka i prioritet aplikacije (napredno)

Temeljni koncepti

Svako ACL pravilo priključka u priključku ACL ima svojstvo s nazivom "Prioritet". Pravila se primjenjuju redoslijedom na temelju njihova prioriteta. Sljedeća temeljna načela definiraju prioritet pravila:

  • Što je manji broj prioriteta, to je veći prioritet. To jest, ako više ACL pravila priključka proturječi jedni drugima, pravilo s nižim prioritetom osvaja.

  • Akcija pravila ne utječe na prvenstvo. To jest, za razliku od NTFS ACL-ova (na primjer), ovdje nemamo koncept kao što je "Deny always takes precedence over Allow".

  • Na istom prioritetu (istoj numeričkoj vrijednosti) ne možete imati dva pravila s istim smjerom. Takvo ponašanje sprječava hipotetske situacije u kojima se mogu definirati pravila "Odbij" i "Dopusti" s jednakim prioritetom jer bi to rezultiralo dvosmislenosti ili sukobom.

  • Sukob se definira kao dva ili više pravila koja imaju isti prioritet i isti smjer. Do sukoba može doći ako postoje dva ACL pravila priključka s istim prioritetom i smjerom u dva ACL-a primijenjena na različitim razinama i ako se te razine djelomično preklapaju. To jest, možda postoji objekt (na primjer, vmNIC) koji se nalazi unutar opsega obje razine. Uobičajeni je primjer preklapanja podmreže VM mreže i VM-a u istoj mreži.

Primjena više ACL-ova priključaka na jedan entitet 

Budući da se ACL-ovi priključka mogu primijeniti na različite mrežne objekte VMM-a (ili na različitim razinama, kao što je prethodno opisano), jedan VM virtualni mrežni prilagodnik (vmNIC) može biti u dosegu više ACL-ova priključaka. U ovom scenariju primjenjuju se pravila ACL priključka iz svih ACL-ova priključka. No prednost tih pravila može se razlikovati, ovisno o nekoliko novih postavki preciznog ugađanja VMM-a koje se spominju u nastavku članka.

Postavke registra

Te se postavke definiraju kao vrijednosti Dword u Windows registra pod sljedećim ključem na poslužitelju za upravljanje VMM-om:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Postavke Imajte na umu da će sve te postavke utjecati na ponašanje ACL-ova priključka u cijeloj infrastrukturi VMM-a.

Prioritet pravila učinkovitog priključka ACL

U ovoj ćemo raspravi opisati stvarnu prednost pravila ACL priključka kada se na jedan entitet primjenjuje više ACL-ova priključka kao prioritet učinkovitog pravila. Imajte na umu da u VMM-u nema zasebnih postavki ili objekata za definiranje ili prikaz prioriteta učinkovitog pravila. Izračunava se u vremenu izvođenja. Postoje dva globalna načina u kojima se može izračunati prioritet učinkovitog pravila. Načini rada se prebacuju pomoću postavke registra:

PortACLAbsolutePriority Prihvatljive vrijednosti za tu postavku su 0 (nula) ili 1, pri čemu 0 označava zadano ponašanje.

Relativni prioritet (zadano ponašanje)

Da biste omogućili taj način rada, postavite svojstvo PortACLAbsolutePriority u registru na vrijednost 0 (nula). Taj se način rada primjenjuje i ako postavka nije definirana u registru (to jest, ako svojstvo nije stvoreno). U tom se načinu, uz temeljne koncepte opisane ranije, primjenjuju sljedeća načela:

  • Zadržava se prioritet unutar istog ACL priključka. Stoga se vrijednosti prioriteta definirane u svakom pravilu tretiraju kao relativne unutar ACL-a.

  • Kada primijenite više ACL-ova za prijenos, njihova se pravila primjenjuju u grupama. Pravila istog ACL-a (priloženog danom objektu) primjenjuju se zajedno unutar iste grupe. Prednost određenih grupa ovisi o objektu na koji je priključen priključak ACL.

  • Ovdje sva pravila definirana u globalnim postavkama ACL -a (bez obzira na njihov prioritet definiran u ACL-u priključka) uvijek imaju prednost pred pravilima definiranima u ACL-u koja se primjenjuju na vmNIC i tako dalje. Drugim riječima, primjenjuje se odvajanje sloja.

Naposljetku, prioritet učinkovitog pravila može se razlikovati od brojčane vrijednosti koju definirate u svojstvima pravila ACL priključka. Dodatne informacije o načinu nametanja tog ponašanja i načinu na koji možete promijeniti njezinu logiku.

  1. Redoslijed kojim tri razine "specifične za objekt" (to jest, vmNIC, vm subnet i VM mreža) imaju prednost može se promijeniti.

    1. Redoslijed globalnih postavki ne može se promijeniti. Uvijek ima najviši prioritet (ili redoslijed = 0).

    2. Za ostale tri razine možete postaviti sljedeće postavke na brojčanu vrijednost između 0 i 3, pri čemu je 0 najveći prioritet (jednako globalnim postavkama), a 3 najmanji prioritet:

      • PortACLVMNetworkAdapterPriority (zadana je postavka 1)

      • PortACLVMSubnetPriority (zadana je vrijednost 2)

      • PortACLVMNetworkPriority (zadana je postavka 3)

    3. Ako tim više postavki registra dodijelite istu vrijednost (od 0 do 3) ili ako dodijelite vrijednost izvan raspona od 0 do 3, VMM se neće vratiti na zadano ponašanje.

  2. Način na koji se redoslijed nameće jest promjena prioriteta učinkovitog pravila tako da pravila ACL-a koja su definirana na višoj razini primaju viši prioritet (to jest, manju brojčanu vrijednost). Kada se izračunava učinkovitI ACL, svaka relativna vrijednost prioriteta pravila "kvrga" se za vrijednost specifičnu za određenu razinu ili "korak".

  3. Vrijednost specifična za razinu jest "korak" koji razdvaja različite razine. Veličina "koraka" po zadanom je 10000 i konfigurirana je sljedećom postavkom registra:

    PortACLLayerSeparation

  4. To znači da u ovom načinu rada bilo koji prioritet pojedinačnog pravila unutar ACL-a (to jest, pravilo koje se tretira kao relativno) ne može premašiti vrijednost sljedeće postavke:

    PortACLLayerSeparation(po zadanom, 10000)

Primjer konfiguracije

Pretpostavimo da sve postavke imaju zadane vrijednosti. (Ove su upute opisane ranije.)

  1. Imamo ACL koji je priključen na vmNIC (PortACLVMNetworkAdapterPriority = 1).

  2. Efektivni prioritet za sva pravila definirana u ovom ACL-u je kvrgao 10000 (Vrijednost PortACLLayerSeparation).

  3. Definiramo pravilo u ovom ACL-u koje ima prioritet postavljen na 100.

  4. Učinkoviti prioritet za ovo pravilo bio bi 10000 + 100 = 10100.

  5. Pravilo će imati prednost nad drugim pravilima unutar istog ACL-a za koja je prioritet veći od 100.

  6. Pravilo će uvijek imati prednost pred bilo kojim pravilima definiranima u ACL-ovima koji su priloženi na razini mrežne mreže vm i VM-a. (To je istina jer se smatraju "nižim" razinama).

  7. Pravilo nikad neće imati prednost nad pravilima definiranima u ACL-u globalnih postavki.

Prednosti ovog načina rada

  • Postoji bolja sigurnost u scenarijima s više klijenata jer ACL pravila priključka koja definira fabric administrator (na globalnoj Postavke razini) uvijek će imati prednost nad bilo kojim pravilima koja definiraju sami klijenti.

  • Svi sukobi pravila ACL priključka (to jest dvosmislenosti) sprječavaju se automatski zbog odvajanja sloja. Vrlo je lako predvidjeti koja će pravila biti učinkovita i zašto.

Upozorenja u ovom načinu rada

  • Manje fleksibilnosti. Ako u globalnim postavkama definirate pravilo (na primjer, "Odbij sav promet na prijenos 80"), nikad ne možete stvoriti preciznije iznimke od ovog pravila na nižu sloju (na primjer, "Dopusti priključak 80 samo na ovom VM-u koje pokreće legitimni web-poslužitelj").

Relativni prioritet

Da biste omogućili taj način rada, postavite svojstvo PortACLAbsolutePriority u registru na vrijednost 1. U tom se načinu, uz temeljne koncepte opisane ranije, primjenjuju sljedeća načela:

  • Ako je objekt obuhvaćen opsegom većeg broja ACL-ova (na primjer, podmrežna mreža vm i VM), sva pravila definirana u svim priloženim ACL-ovima primjenjuju se objedinjenim redoslijedom (ili kao jedna grupa). Nema odvajanja razine i nema "udaranja" uopće.

  • Svi prioriteti pravila smatraju se apsolutnima, točno onako kako su definirani u prioritetu svakog pravila. Drugim riječima, učinkoviti prioritet za svako pravilo isti je kao i ono što je definirano u samom pravilu, a modul VMM ne mijenja ga prije nego što se primijeni.

  • Sve ostale postavke registra opisane u prethodnom odjeljku nemaju učinka.

  • U ovom načinu rada bilo koji prioritet pojedinačnog pravila u ACL-u (to jest, prioritet pravila koji se tretira kao apsolutni) ne može biti veći od 65535.

Primjer konfiguracije
  1. U globalnim postavkama ACL definirate pravilo čiji je prioritet postavljen na 100.

  2. U ACL-u koji je priložen vmNIC-u definirate pravilo čiji je prioritet postavljen na 50.

  3. Pravilo definirano na razini vmNIC ima prednost jer ima viši prioritet (to jest, nižu brojčanu vrijednost).

Prednosti ovog načina rada

  • Veća fleksibilnost. Iznimke "jednokratno" možete stvoriti iz pravila globalnih postavki na nižim razinama (na primjer, podmreži vm ili vmNIC).

Upozorenja u ovom načinu rada

  • Planiranje može postati složenije jer ne postoji razdvajanje razine. I može biti pravilo na bilo kojoj razini koje nadjačava druga pravila definirana na drugim objektima.

  • U okruženjima s više klijenata to može utjecati na sigurnost jer klijent može stvoriti pravilo na razini podmreži VM-a koje nadjačava pravilnik koji je definirao administrator za Fabric na globalnoj razini postavki.

  • Sukobi pravila (to jest dvosmislenosti) ne uklanjaju se automatski i mogu se pojaviti. VMM može spriječiti sukobe samo na istoj razini ACL-a. Ne može spriječiti sukobe između ACL-ova koji su pridruženi različitim objektima. U slučajevima sukoba, budući da VMM ne može automatski riješiti sukob, prestat će primjenjivati pravila i prikazat će se pogreška.

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.