Összefoglalás
A Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) rendszergazdái mostantól központilag hozhatnak létre és kezelhetnek Hyper-V porthozzáférés-vezérlési listákat (ACL-eket) a VMM-ben.
További információ
A System Center 2012 R2 Virtual Machine Manager 8. kumulatív frissítésével kapcsolatos további információkért kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:
3096389 8. kumulatív frissítés a System Center 2012 R2 Virtual Machine Manager
Szószedet
Továbbfejlesztettük a Virtual Machine Manager objektummodellt az alábbi új fogalmak hozzáadásával a hálózatfelügyeleti területen.
-
Porthozzáférés-vezérlési lista (port ACL)
A hálózati biztonság leírásához különböző VMM hálózati primitívekhez csatolt objektum. A port ACL hozzáférés-vezérlési bejegyzések vagy ACL-szabályok gyűjteményeként szolgál. Az ACL bármilyen számú (nulla vagy több) VMM hálózati primitívhez csatolható, például virtuálisgép-hálózathoz, virtuálisgép-alhálózathoz, virtuális hálózati adapterhez vagy magához a VMM felügyeleti kiszolgálóhoz. Az ACL-ek az ACL-szabályok tetszőleges számát (nullát vagy többet) tartalmazhatják. Minden kompatibilis VMM hálózatkezelési primitív (VM-hálózat, virtuálisgép-alhálózat, virtuális hálózati adapter vagy VMM felügyeleti kiszolgáló) rendelkezhet egy port ACL-nel, vagy egyik sem. -
Porthozzáférés-vezérlési bejegyzés vagy ACL-szabály
A szűrési szabályzatot leíró objektum. Több ACL-szabály is létezhet ugyanabban a port ACL-ben, és a prioritásuk alapján alkalmazható. Minden ACL-szabály pontosan egy port ACL-nek felel meg. -
Globális Gépház
A virtuális koncepció, amely az infrastruktúra összes virtuálisgép-virtuális hálózati adapterére alkalmazott port ACL-t ismerteti. A globális Gépház nincs külön objektumtípus. Ehelyett a globális Gépház port ACL magához a VMM felügyeleti kiszolgálóhoz csatlakozik. A VMM felügyeleti kiszolgáló objektumának egy port ACL-je vagy egyik sem lehet.
A korábban elérhető hálózatkezelési területen lévő objektumokról további információt Virtual Machine Manager Hálózati objektumok alapjai című témakörben talál.
Mire használhatom ezt a funkciót?
A VMM PowerShell-felületének használatával a következő műveleteket hajthatja végre:
-
Definiálja a port ACL-eket és azok ACL-szabályait.
-
A szabályok a Hyper-V-kiszolgálók virtuális kapcsolóportjain "kiterjesztett port ACL-ekként" (VMNetworkAdapterExtendedAcl) vannak alkalmazva a Hyper-V terminológiájában. Ez azt jelenti, hogy csak Windows Server 2012 R2 (és Hyper-V Server 2012 R2) gazdakiszolgálókra alkalmazhatók.
-
A VMM nem hozza létre az "örökölt" Hyper-V port ACL-eket (VMNetworkAdapterAcl). Ezért nem alkalmazhat port ACL-eket Windows Server 2012 (vagy Hyper-V Server 2012) gazdakiszolgálókra a VMM használatával.
-
A VMM-ben ezzel a szolgáltatással definiált port ACL-szabályok mindegyike állapotalapú (TCP esetén). A TCP-hez nem hozhat létre állapot nélküli ACL-szabályokat a VMM használatával.
Az Windows Server 2012 R2 Hyper-V kiterjesztett port ACL funkciójáról további információt a Biztonsági házirendek létrehozása kiterjesztett port Access Control listával az Windows Server 2012 R2-höz című témakörben talál.
-
-
Csatoljon egy port ACL-t a globális Gépház. Ez az összes virtuálisgép-virtuális hálózati adapterre vonatkozik. Csak a teljes rendszergazdák számára érhető el.
-
Csatolja a létrehozott port ACL-eket egy virtuálisgép-hálózathoz, virtuálisgép-alhálózathoz vagy virtuálisgép-virtuális hálózati adapterhez. Ez teljes körű rendszergazdák, bérlői rendszergazdák és önkiszolgáló felhasználók (SSU-k) számára érhető el.
-
Az egyes virtuális gépek virtuális hálózati adapterén konfigurált port ACL-szabályok megtekintése és frissítése.
-
Törölje a port ACL-eket és azok ACL-szabályait.
Ezekről a műveletekről részletesebben a cikk későbbi részében olvashat.
Vegye figyelembe, hogy ez a funkció csak PowerShell-parancsmagokkal érhető el, és nem jelenik meg a VMM-konzol felhasználói felületén (a "Megfelelőség" állapot kivételével).
Mit nem tehetek ezzel a funkcióval?
-
Egyetlen példány egyes szabályainak kezelése/frissítése, ha az ACL több példány között van megosztva. Minden szabály központilag van felügyelve a szülő ACL-ekben, és mindenhol érvényes, ahol az ACL csatolva van.
-
Egynél több ACL csatolása egy entitáshoz.
-
Port ACL-ek alkalmazása virtuális hálózati adapterekre (vNIC-ekre) a Hyper-V szülőpartícióban (felügyeleti operációs rendszer).
-
Ip-szintű protokollokat tartalmazó port ACL-szabályok létrehozása (a TCP-n és az UDP-n kívül).
-
Port ACL-ek alkalmazása logikai hálózatokra, hálózati helyekre (logikai hálózati definíciók), alhálózati vLAN-okra és más, korábban nem felsorolt VMM hálózati primitívekre.
Hogyan használja a funkciót?
Új port ACL-ek és port ACL-szabályaik meghatározása
Mostantól PowerShell-parancsmagok használatával közvetlenül a VMM-ben hozhat létre ACL-eket és azok ACL-szabályait.
Új ACL létrehozása
A következő új PowerShell-parancsmagok lettek hozzáadva:
New-SCPortACL –Name <string> [–Description <string>]
–Name: A port ACL
neve –Leírás: A port ACL leírása (opcionális paraméter)
A Get-SCPortACL
lekéri az összes port ACL-t
–Név: Opcionális szűrés név
alapján –AZONOSÍTÓ: Opcionális szűrés azonosító
mintaparancsokkal
New-SCPortACL -Name Samplerule -Description SampleDescription
$acl = Get-SCPortACL -Name Samplerule
Port ACL-szabályok definiálása a port ACL-hez
Minden port ACL port ACL-szabályok gyűjteményéből áll. Minden szabály különböző paramétereket tartalmaz.
-
Név
-
Leírás
-
Típus: Bejövő/kimenő (az ACL alkalmazásának iránya)
-
Művelet: Engedélyezés/megtagadás (az ACL művelete a forgalom engedélyezéséhez vagy a forgalom blokkolásához)
-
SourceAddressPrefix:
-
SourcePortRange:
-
DestinationAddressPrefix:
-
DestinationPortRange:
-
Protokoll: TCP/Udp/Any (Megjegyzés: Az IP-szintű protokollok nem támogatottak a VMM által meghatározott port ACL-ekben. A Hyper-V továbbra is natív módon támogatja őket.)
-
Prioritás: 1 – 65535 (a legalacsonyabb szám a legmagasabb prioritással rendelkezik). Ez a prioritás ahhoz a réteghez képest van viszonyítva, amelyben alkalmazva van. (Az ACL-szabályok prioritás alapján történő alkalmazásáról és az ACL-hez csatolt objektumról az alábbiakban talál további információt.)
Új PowerShell-parancsmagok hozzáadva
New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Bejövő | Kimenő> -Action <Allow | Deny> -Priority <uint16> -Protocol <Tcp | Udp | Bármely> [-SourceAddressPrefix <sztring: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Bármely>] [-DestinationAddressPrefix <sztring: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Bármely>]
A Get-SCPortACLrule
lekéri az összes port ACL-szabályt.
-
Név: Választható szűrés név alapján
-
Azonosító: Igény szerint szűrhető azonosító alapján
-
PortACL: Opcionális szűrés port ACL alapján
Mintaparancsok
New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10
New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10
New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20
New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound -Protocol Any -Action Deny -PortACL $acl -Priority 20
Port ACL-ek csatolása és leválasztása
Az ACL-ek a következőkhöz csatolhatók:
-
Globális beállítások (az összes virtuális gép hálózati adapterére vonatkozik. Ezt csak teljes körű rendszergazdák végezhetik el.)
-
Virtuálisgép-hálózat (ezt teljes körű rendszergazdák/bérlői rendszergazdák/termékváltozatok végezhetik el.)
-
Virtuálisgép-alhálózat (ezt teljes körű rendszergazdák/bérlői rendszergazdák/termékváltozatok végezhetik el.)
-
Virtuális hálózati adapterek (ezt teljes körű rendszergazdák/bérlői rendszergazdák/termékváltozatok végezhetik el.)
Globális beállítások
Ezek a port ACL-szabályok az infrastruktúra összes virtuálisgép-virtuális hálózati adapterére vonatkoznak.
A meglévő PowerShell-parancsmagok új paraméterekkel frissültek a port ACL-ek csatolására és leválasztására.
Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]
-
PortACL: Új választható paraméter, amely a megadott port ACL-t konfigurálja a globális beállításokhoz.
-
RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a globális beállításokból.
Get-SCVMMServer: A visszaadott objektumban konfigurált port ACL-t adja vissza.
Mintaparancsok
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL
Virtuálisgép-hálózat
Ezek a szabályok a virtuálisgép-hálózathoz csatlakozó összes virtuálisgép-virtuális hálózati adapterre érvényesek lesznek.
A meglévő PowerShell-parancsmagok új paraméterekkel frissültek a port ACL-ek csatolására és leválasztására.
New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [a többi paraméter]
-PortACL: Új választható paraméter, amellyel port ACL-t adhat meg a virtuálisgép-hálózathoz a létrehozás során.
Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [a többi paraméter]
-PortACL: Új választható paraméter, amellyel port ACL-t állíthat be a virtuálisgép-hálózathoz.
-RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a virtuálisgép-hálózatról.
Get-SCVMNetwork: A visszaadott objektumban konfigurált port ACL-t adja vissza.
Mintaparancsok
Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl
Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL
Virtuálisgép-alhálózat
Ezek a szabályok minden olyan virtuálisgép-virtuális hálózati adapterre érvényesek lesznek, amelyek ehhez a virtuálisgép-alhálózathoz csatlakoznak.
A meglévő PowerShell-parancsmagok frissültek a port ACL-ek csatolására és leválasztására szolgáló új paraméterrel.
New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [a többi paraméter]
-PortACL: Új választható paraméter, amely lehetővé teszi port ACL megadását a virtuális gép alhálózatához a létrehozás során.
Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [a többi paraméter]
-PortACL: Új választható paraméter, amellyel port ACL-t állíthat be a virtuálisgép-alhálózathoz.
-RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a virtuálisgép-alhálózatról.
Get-SCVMSubnet: A visszaadott objektumban konfigurált port ACL-t adja vissza.
Mintaparancsok
Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl
Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL
Virtuálisgép-virtuális hálózati adapter (vmNIC)
A meglévő PowerShell-parancsmagok új paraméterekkel frissültek a port ACL-ek csatolására és leválasztására.
New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [a többi paraméter]
-PortACL: Új választható paraméter, amellyel port ACL-t adhat meg a virtuális hálózati adapterhez új virtuális hálózati adapter létrehozásakor.
Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [a többi paraméter]
-PortACL: Új választható paraméter, amellyel port ACL-t állíthat be a virtuális hálózati adapterhez.
-RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a virtuális hálózati adapterről.
Get-SCVirtualNetworkAdapter: A visszaadott objektumban konfigurált port ACL-t adja vissza.
Mintaparancsok
Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl
Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL
Port ACL-szabályok alkalmazása
Amikor a port ACL-ek csatolása után frissíti a virtuális gépeket, láthatja, hogy a virtuális gépek állapota "Nem megfelelő" állapotúként jelenik meg a Háló munkaterület virtuálisgép-nézetében. (A Virtuális gép nézetre való váltáshoz először meg kell tallózással megkeresnie a Háló munkaterület Logikai hálózatok csomópontját vagy a Logikai kapcsolók csomópontot). Vegye figyelembe, hogy a virtuális gépek frissítése automatikusan történik a háttérben (ütemezés szerint). Ezért még ha nem is frissíti kifejezetten a virtuális gépeket, azok végül nem megfelelő állapotba kerülnek.
A port ACL-ek még nem lettek alkalmazva a virtuális gépekre és a hozzájuk tartozó virtuális hálózati adapterekre. A port ACL-ek alkalmazásához egy szervizelésnek nevezett folyamatot kell elindítania. Ez soha nem történik meg automatikusan, és felhasználói kérésre kifejezetten el kell indítani.
A szervizelés megkezdéséhez kattintson a menüszalag Szervizelés parancsára, vagy futtassa a Repair-SCVirtualNetworkAdapter parancsmagot. A funkcióhoz nem változik a parancsmag szintaxisa.
Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>
A virtuális gépek szervizelése megfelelőként jelöli meg őket, és gondoskodik a kiterjesztett port ACL-ek alkalmazásáról. Vegye figyelembe, hogy a port ACL-ek nem vonatkoznak a hatókörben lévő virtuális gépekre, amíg explicit módon nem szervizeli őket.
Port ACL-szabályok megtekintése
Az ACL-ek és ACL-szabályok megtekintéséhez használhatja a következő PowerShell-parancsmagokat.
Új PowerShell-parancsmagok hozzáadva
Port ACL-ek
1. paraméterkészletének lekérése. Az összes vagy név lekéréséhez: Get-SCPortACL [-Name <>]
2. paraméterkészlet. Azonosító alapján történő lekéréshez: Get-SCPortACL -Id <> [-Name <>]
Port ACL-szabályok
1. paraméterkészletének lekérése. Mind vagy név szerint: Get-SCPortACLrule [-Name <>]
2. paraméterkészlet. Azonosító szerint: Get-SCPortACLrule -Id <>
3. paraméterkészlet. ACL-objektum szerint: Get-SCPortACLrule –PortACL <NetworkAccessControlList>
Port ACL-szabályok frissítése
A hálózati adapterekhez csatolt ACL frissítésekor a módosítások az adott ACL-t használó összes hálózatiadapter-példányban megjelennek. Egy virtuálisgép-alhálózathoz vagy virtuálisgép-hálózathoz csatolt ACL esetében az alhálózathoz csatlakoztatott összes hálózatiadapter-példány frissül a módosításokkal.
Megjegyzés: Az ACL-szabályok frissítése az egyes hálózati adaptereken párhuzamosan, egy egypróbálkozásos legjobb erőfeszítési sémában történik. Azok az adapterek, amelyek semmilyen okból nem frissíthetők, "nem megfelelő biztonsági" jelölést kapnak, és a feladat egy hibaüzenettel fejeződik be, amely szerint a hálózati adapterek frissítése nem sikerült. A "nem megfelelő biztonság" itt a várt és a tényleges ACL-szabályok eltérésére utal. Az adapter megfelelőségi állapota "Nem megfelelő", a vonatkozó hibaüzenetekkel együtt. A nem megfelelő virtuális gépek szervizelésével kapcsolatos további információkért lásd az előző szakaszt.
Új PowerShell-parancsmag hozzáadva
Set-SCPortACL -PortACL <PortACL> [-Name <Name>] [-Description <description>]
Set-SCPortACLrule -PortACLrule <ACLrule> [-Name <name>] [-Description <string>] [-Type <PortACLRuleDirection> {Bejövő | Kimenő}] [-Action <PortACLRuleAction> {Allow | Deny}] [-SourceAddressPrefix <string>] [-SourcePortRange <string>] [-DestinationAddressPrefix <string>] [-DestinationPortRange <string>] [-Protocol <PortACLruleProtocol> {Tcp | Udp | Bármely}]
Set-SCPortACL: Módosítja a port ACL leírását.
-
Leírás: Frissíti a leírást.
Set-SCPortACLrule: Módosítja a port ACL-szabály paramétereit.
-
Leírás: Frissíti a leírást.
-
Típus: Frissíti az ACL alkalmazásának irányát.
-
Művelet: Frissíti az ACL műveletét.
-
Protokoll: Frissíti azt a protokollt, amelyre az ACL-t alkalmazni fogja.
-
Prioritás: Frissíti a prioritást.
-
SourceAddressPrefix: Frissíti a forráscím előtagot.
-
SourcePortRange: Frissíti a forrásporttartományt.
-
DestinationAddressPrefix: Frissíti a célcímelőtagot.
-
DestinationPortRange: Frissíti a célporttartományt.
Port ACL-ek és port ACL-szabályok törlése
Az ACL csak akkor törölhető, ha nincsenek hozzá függőségek csatolva. A függőségek közé tartoznak az ACL-hez csatolt virtuálisgép-hálózat/virtuálisgép-alhálózat/virtuális hálózati adapter/globális beállítások. Amikor megpróbál törölni egy port ACL-t a PowerShell-parancsmaggal, a parancsmag észleli, hogy a port ACL csatolva van-e valamelyik függőséghez, és megfelelő hibaüzeneteket küld.
Port ACL-ek eltávolítása
Új PowerShell-parancsmagok lettek hozzáadva:
Remove-SCPortACL -PortACL <NetworkAccessControlList>
Port ACL-szabályok eltávolítása
Új PowerShell-parancsmagok lettek hozzáadva:
Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>
Vegye figyelembe, hogy a virtuálisgép-alhálózat/virtuálisgép-hálózat/hálózati adapter törlése automatikusan eltávolítja az adott ACL-hez való társítást.
Az ACL a megfelelő VMM hálózati objektum módosításával leválasztható a virtuálisgép-alhálózatról/virtuálisgép-hálózatról/hálózati adapterről is. Ehhez használja a Set- parancsmagot a -RemovePortACL kapcsolóval együtt, a korábbi szakaszokban leírtak szerint. Ebben az esetben a port ACL leválasztva lesz a megfelelő hálózati objektumról, de nem törlődik a VMM-infrastruktúrából. Ezért később újra felhasználható.
Sávon kívüli módosítások az ACL-szabályokban
Ha sávon kívüli (OOB) módosításokat hajtunk végre az ACL-szabályokon a Hyper-V virtuális kapcsolóportról (natív Hyper-V parancsmagok, például Add-VMNetworkAdapterExtendedAcl használatával), a virtuális gép frissítése a hálózati adaptert "Nem megfelelő biztonsági" állapotúként jeleníti meg. A hálózati adapter ezután a VMM-ből szervizelhető a "Port ACL-ek alkalmazása" című szakaszban leírtak szerint. A szervizelés azonban felülírja a VMM-en kívül definiált összes port ACL-szabályt a VMM által vártakkal.
Port ACL-szabály prioritása és az alkalmazás elsőbbsége (speciális)
Alapfogalmak
A port ACL minden port ACL-szabálya rendelkezik egy "Priority" (Prioritás) nevű tulajdonságtal. A szabályok a prioritásuknak megfelelően vannak alkalmazva. A következő alapelvek határozzák meg a szabályok elsőbbségi sorrendjét:
-
Minél alacsonyabb a prioritási szám, annál nagyobb az elsőbbségi sorrend. Vagyis ha több port ACL-szabály ellentmond egymásnak, az alacsonyabb prioritású szabály nyer.
-
A szabályművelet nincs hatással a sorrendre. Ez azt jelzi, hogy az NTFS ACL-ekkel ellentétben (például) itt nincs "A megtagadás mindig elsőbbséget élvez az engedélyezéssel szemben".
-
Ugyanazon a prioritáson (ugyanazon numerikus értéken) nem lehet két azonos irányú szabály. Ez a viselkedés megakadályozza azt a hipotetikus helyzetet, amelyben a "Megtagadás" és az "Engedélyezés" szabályokat is azonos prioritással lehet meghatározni, mert ez kétértelműséget vagy ütközést eredményezne.
-
Az ütközés két vagy több azonos prioritású és irányú szabályként van definiálva. Ütközés akkor fordulhat elő, ha két azonos prioritású és irányú port ACL-szabály van két különböző szinten alkalmazott ACL-ben, és ha ezek a szintek részben átfedésben vannak. Ez azt is jelentheti, hogy lehet egy objektum (például vmNIC), amely mindkét szint hatókörébe tartozik. Az átfedés egyik gyakori példája egy virtuálisgép-hálózat és egy virtuálisgép-alhálózat ugyanabban a hálózatban.
Több port ACL alkalmazása egyetlen entitásra
Mivel a port ACL-ek különböző VMM hálózati objektumokra (vagy a korábban ismertetett különböző szinteken) alkalmazhatók, egyetlen virtuálisgép-alapú virtuális hálózati adapter (vmNIC) több port ACL hatókörébe is tartozhat. Ebben a forgatókönyvben a port ACL-szabályai az összes port ACL-ből lesznek alkalmazva. A szabályok elsőbbségi sorrendje azonban eltérő lehet a VMM számos új finomhangolási beállításától függően, amelyekről a cikk későbbi részében lesz szó.
Beállításjegyzék-beállítások
Ezek a beállítások a VMM felügyeleti kiszolgáló következő kulcsának Windows Beállításjegyzékében Dword értékekként vannak definiálva:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Gépház
Vegye figyelembe, hogy ezek a beállítások hatással lesznek a port ACL-ek viselkedésére a teljes VMM-infrastruktúrában.
Érvényes port ACL-szabályprioritás
Ebben a cikkben ismertetjük a port ACL-szabályok tényleges elsőbbségét, amikor több port ACL van alkalmazva egyetlen entitásra érvényes szabályprioritásként. Vegye figyelembe, hogy a VMM-ben nincs külön beállítás vagy objektum az érvényes szabályprioritás meghatározásához vagy megtekintéséhez. A számítás a futtatókörnyezetben történik.
Az érvényes szabályprioritás két globális móddal számítható ki. A módokat a beállításjegyzék-beállítás váltja:
PortACLAbsolutePriority
A beállítás elfogadható értéke 0 (nulla) vagy 1, ahol a 0 az alapértelmezett viselkedést jelzi.
Relatív prioritás (alapértelmezett viselkedés)
A mód engedélyezéséhez állítsa a beállításjegyzékBen a PortACLAbsolutePriority tulajdonságot 0 (nulla) értékre. Ez a mód akkor is érvényes, ha a beállítás nincs definiálva a beállításjegyzékben (azaz ha a tulajdonság nincs létrehozva).
Ebben a módban a következő alapelvek érvényesek a korábban ismertetett alapfogalmak mellett:
-
Az ugyanazon port ACL-ben lévő prioritás megmarad. Ezért az egyes szabályokban meghatározott prioritási értékek relatívként lesznek kezelve az ACL-ben.
-
Ha több port ACL-et alkalmaz, a szabályok gyűjtőkben lesznek alkalmazva. Az ugyanabból az ACL-ből (egy adott objektumhoz csatolt) szabályok együtt lesznek alkalmazva ugyanabban a gyűjtőben. Az egyes gyűjtők elsőbbségi sorrendje attól az objektumtól függ, amelyhez a port ACL csatolva van.
-
Itt a globális beállítások ACL-jében definiált szabályok (függetlenül a port ACL-ben meghatározott saját prioritásuktól) mindig elsőbbséget élveznek a vmNIC-en alkalmazott ACL-ben definiált szabályokkal szemben, és így tovább. Más szóval a rétegelválasztás kényszerítve van.
Végső soron az érvényes szabályprioritás eltérhet a port ACL-szabály tulajdonságaiban megadott numerikus értéktől. További információ a viselkedés kényszerítéséről és a logika módosításának módjáról.
-
A három "objektumspecifikus" szint (vagyis a vmNIC, a virtuálisgép-alhálózat és a virtuálisgép-hálózat) sorrendjét módosíthatja.
-
A globális beállítások sorrendje nem módosítható. Mindig a legmagasabb prioritást (vagy sorrend = 0) veszi figyelembe.
-
A másik három szint esetében a következő beállításokat 0 és 3 közötti numerikus értékre állíthatja, ahol a 0 a legmagasabb prioritás (egyenlő a globális beállításokkal), a 3 pedig a legalacsonyabb prioritás:
-
PortACLVMNetworkAdapterPriority (az alapértelmezett érték 1)
-
PortACLVMSubnetPriority (az alapértelmezett érték 2)
-
PortACLVMNetworkPriority (az alapértelmezett érték 3)
-
-
Ha ugyanazt az értéket (0–3) rendeli hozzá a beállításjegyzék ezen beállításjegyzék-beállításaihoz, vagy ha a 0–3 tartományon kívül eső értéket rendel hozzá, a VMM feladat-visszavételt fog végrehajtani az alapértelmezett működésre.
-
-
A rendezés kényszerítési módja az, hogy az érvényes szabályprioritás úgy módosul, hogy a magasabb szinten definiált ACL-szabályok magasabb prioritást kapjanak (azaz kisebb numerikus értéket). A tényleges ACL kiszámításakor a relatív szabály prioritási értékeit a szintspecifikus érték vagy a "lépés" "ütközik".
-
A szintspecifikus érték az a "lépés", amely elkülöníti a különböző szinteket. Alapértelmezés szerint a "lépés" mérete 10000, és a következő beállításjegyzék-beállítással van konfigurálva:
PortACLLayerSeparation
-
Ez azt jelenti, hogy ebben a módban az ACL-ben lévő egyes szabályprioritások (azaz relatívként kezelt szabályok) nem léphetik túl a következő beállítás értékét:
PortACLLayerSeparation (alapértelmezés szerint 10000)
Konfigurációs példa
Tegyük fel, hogy az összes beállítás alapértelmezett értékekkel rendelkezik. (Ezeket korábban ismertetjük.)
-
Van egy ACL-ünk, amely a vmNIC-hez van csatolva (PortACLVMNetworkAdapterPriority = 1).
-
Az ebben az ACL-ben meghatározott összes szabály tényleges prioritását 10000-rel (PortACLLayerSeparation érték) ütközik.
-
Meghatározunk egy szabályt ebben az ACL-ben, amelynek prioritása 100.
-
A szabály tényleges prioritása 10000 + 100 = 10100.
-
A szabály elsőbbséget élvez az ugyanazon ACL-en belüli más szabályokkal szemben, amelyek prioritása nagyobb 100-nál.
-
A szabály mindig elsőbbséget élvez a virtuálisgép-hálózat és a virtuálisgép-alhálózat szintjén csatolt ACL-ekben definiált szabályokkal szemben. (Ez azért igaz, mert ezek "alacsonyabb" szinteknek minősülnek).
-
A szabály soha nem élvez elsőbbséget a globális beállítási ACL-ben definiált szabályokkal szemben.
Ennek a módnak az előnyei
-
A több-bérlős forgatókönyvekben nagyobb a biztonság, mivel a hálórendszergazda által (globális Gépház szinten) meghatározott port ACL-szabályok mindig elsőbbséget élveznek a bérlők által meghatározott szabályokkal szemben.
-
A port ACL-szabályütközések (vagyis kétértelműségek) a rétegelválasztás miatt automatikusan le lesznek tiltva. Nagyon könnyű megjósolni, hogy mely szabályok lesznek hatékonyak és miért.
Figyelmeztetések ezzel a móddal
-
Kisebb rugalmasság. Ha globális beállításokban határoz meg egy szabályt (például "A 80-es portra irányuló összes forgalom megtagadása") a globális beállításokban, soha nem hozhat létre részletesebb kivételt a szabály alól egy alacsonyabb rétegben (például :"Csak ezen a virtuális gépen engedélyezze a 80-as portot, amely megbízható webkiszolgálót futtat").
Relatív prioritás
A mód engedélyezéséhez állítsa a beállításjegyzékBen a PortACLAbsolutePriority tulajdonságot 1 értékre.
Ebben a módban a következő alapelvek érvényesek a korábban ismertetett alapfogalmak mellett:
-
Ha egy objektum több ACL hatókörébe tartozik (például virtuálisgép-hálózat és virtuálisgép-alhálózat), a csatolt ACL-ekben definiált összes szabályt egységes sorrendben (vagy egyetlen gyűjtőként) alkalmazza a rendszer. Nincs szintelválasztás, és egyáltalán nem "ütközik".
-
A rendszer minden szabályprioritást abszolútként kezel, pontosan úgy, ahogyan az egyes szabályprioritások határozzák meg őket. Más szóval az egyes szabályok tényleges prioritása megegyezik a szabályban meghatározott prioritással, és a VMM-motor nem módosítja az alkalmazása előtt.
-
Az előző szakaszban ismertetett összes többi beállításjegyzék-beállításnak nincs hatása.
-
Ebben a módban az ACL-ben lévő egyes szabályprioritások (azaz abszolútként kezelt szabályprioritások) nem haladhatják meg a 65535-öt.
Konfigurációs példa
-
A globális beállítások ACL-jében meghatároz egy szabályt, amelynek prioritása 100.
-
A vmNIC-hez csatolt ACL-ben olyan szabályt definiálhat, amelynek prioritása 50.
-
A vmNIC-szinten definiált szabály elsőbbséget élvez, mert magasabb prioritású (azaz alacsonyabb numerikus érték).
Ennek a módnak az előnyei
-
Nagyobb rugalmasság. Létrehozhat "egyszeri" kivételeket a globális beállítási szabályok alól alacsonyabb szinteken (például virtuálisgép-alhálózat vagy vmNIC).
Figyelmeztetések ezzel a móddal
-
A tervezés összetettebbé válhat, mert nincs szintelválasztás. Bármilyen szinten lehet olyan szabály, amely felülbírálja a más objektumokon definiált többi szabályt.
-
Több-bérlős környezetekben a biztonságra hatással lehet, mert a bérlő létrehozhat egy szabályt a virtuális gép alhálózati szintjén, amely felülbírálja a hálórendszergazda által a globális beállítások szintjén meghatározott szabályzatot.
-
A szabályütközések (vagyis a kétértelműségek) nem törlődnek automatikusan, és előfordulhatnak. A VMM csak ugyanazon ACL-szinten tudja megakadályozni az ütközéseket. Nem tudja megakadályozni a különböző objektumokhoz csatolt ACL-ek ütközését. Ütközés esetén, mivel a VMM nem tudja automatikusan kijavítani az ütközést, leállítja a szabályok alkalmazását, és hibát jelez.