Hyper-V kiterjesztett port ACL-ek üzembe helyezésének támogatása a System Center 2012 R2 VMM-ben a 8. kumulatív frissítéssel

Új port ACL-ek és port ACL-szabályaik meghatározása

Mostantól PowerShell-parancsmagok használatával közvetlenül a VMM-ben hozhat létre ACL-eket és azok ACL-szabályait.

Új ACL létrehozása

A következő új PowerShell-parancsmagok lettek hozzáadva:

New-SCPortACL –Name <string> [–Description <string>]

–Name: A port ACL

neve –Leírás: A port ACL leírása (opcionális paraméter)

A Get-SCPortACL

lekéri az összes port ACL-t

–Név: Opcionális szűrés név

alapján –AZONOSÍTÓ: Opcionális szűrés azonosító

mintaparancsokkal

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Új PowerShell-parancsmagok hozzáadva

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Bejövő | Kimenő> -Action <Allow | Deny> -Priority <uint16> -Protocol <Tcp | Udp | Bármely> [-SourceAddressPrefix <sztring: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Bármely>] [-DestinationAddressPrefix <sztring: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Bármely>]

A Get-SCPortACLrule

lekéri az összes port ACL-szabályt.

• Név: Választható szűrés név alapján

• Azonosító: Igény szerint szűrhető azonosító alapján

• PortACL: Opcionális szűrés port ACL alapján

Mintaparancsok

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Port ACL-ek csatolása és leválasztása

Az ACL-ek a következőkhöz csatolhatók:

• Globális beállítások (az összes virtuális gép hálózati adapterére vonatkozik. Ezt csak teljes körű rendszergazdák végezhetik el.)

• Virtuálisgép-hálózat (ezt teljes körű rendszergazdák/bérlői rendszergazdák/termékváltozatok végezhetik el.)

• Virtuálisgép-alhálózat (ezt teljes körű rendszergazdák/bérlői rendszergazdák/termékváltozatok végezhetik el.)

• Virtuális hálózati adapterek (ezt teljes körű rendszergazdák/bérlői rendszergazdák/termékváltozatok végezhetik el.)

Globális beállítások

Ezek a port ACL-szabályok az infrastruktúra összes virtuálisgép-virtuális hálózati adapterére vonatkoznak.

A meglévő PowerShell-parancsmagok új paraméterekkel frissültek a port ACL-ek csatolására és leválasztására.

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: Új választható paraméter, amely a megadott port ACL-t konfigurálja a globális beállításokhoz.

• RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a globális beállításokból.

Get-SCVMMServer: A visszaadott objektumban konfigurált port ACL-t adja vissza.

Mintaparancsok

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Virtuálisgép-hálózat

Ezek a szabályok a virtuálisgép-hálózathoz csatlakozó összes virtuálisgép-virtuális hálózati adapterre érvényesek lesznek.

A meglévő PowerShell-parancsmagok új paraméterekkel frissültek a port ACL-ek csatolására és leválasztására.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [a többi paraméter]

-PortACL: Új választható paraméter, amellyel port ACL-t adhat meg a virtuálisgép-hálózathoz a létrehozás során.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [a többi paraméter]

-PortACL: Új választható paraméter, amellyel port ACL-t állíthat be a virtuálisgép-hálózathoz.

-RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a virtuálisgép-hálózatról.

Get-SCVMNetwork: A visszaadott objektumban konfigurált port ACL-t adja vissza.

Mintaparancsok

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Virtuálisgép-alhálózat

Ezek a szabályok minden olyan virtuálisgép-virtuális hálózati adapterre érvényesek lesznek, amelyek ehhez a virtuálisgép-alhálózathoz csatlakoznak.

A meglévő PowerShell-parancsmagok frissültek a port ACL-ek csatolására és leválasztására szolgáló új paraméterrel.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [a többi paraméter]

-PortACL: Új választható paraméter, amely lehetővé teszi port ACL megadását a virtuális gép alhálózatához a létrehozás során.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [a többi paraméter]

-PortACL: Új választható paraméter, amellyel port ACL-t állíthat be a virtuálisgép-alhálózathoz.

-RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a virtuálisgép-alhálózatról.

Get-SCVMSubnet: A visszaadott objektumban konfigurált port ACL-t adja vissza.

Mintaparancsok

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Virtuálisgép-virtuális hálózati adapter (vmNIC)

A meglévő PowerShell-parancsmagok új paraméterekkel frissültek a port ACL-ek csatolására és leválasztására.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [a többi paraméter]

-PortACL: Új választható paraméter, amellyel port ACL-t adhat meg a virtuális hálózati adapterhez új virtuális hálózati adapter létrehozásakor.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [a többi paraméter]

-PortACL: Új választható paraméter, amellyel port ACL-t állíthat be a virtuális hálózati adapterhez.

-RemovePortACL: Új választható paraméter, amely eltávolítja a konfigurált port ACL-eket a virtuális hálózati adapterről.

Get-SCVirtualNetworkAdapter: A visszaadott objektumban konfigurált port ACL-t adja vissza.

Mintaparancsok

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Port ACL-szabályok alkalmazása

Amikor a port ACL-ek csatolása után frissíti a virtuális gépeket, láthatja, hogy a virtuális gépek állapota "Nem megfelelő" állapotúként jelenik meg a Háló munkaterület virtuálisgép-nézetében. (A Virtuális gép nézetre való váltáshoz először meg kell tallózással megkeresnie a Háló munkaterület Logikai hálózatok csomópontját vagy a Logikai kapcsolók csomópontot). Vegye figyelembe, hogy a virtuális gépek frissítése automatikusan történik a háttérben (ütemezés szerint). Ezért még ha nem is frissíti kifejezetten a virtuális gépeket, azok végül nem megfelelő állapotba kerülnek.



A port ACL-ek még nem lettek alkalmazva a virtuális gépekre és a hozzájuk tartozó virtuális hálózati adapterekre. A port ACL-ek alkalmazásához egy szervizelésnek nevezett folyamatot kell elindítania. Ez soha nem történik meg automatikusan, és felhasználói kérésre kifejezetten el kell indítani.

A szervizelés megkezdéséhez kattintson a menüszalag Szervizelés parancsára, vagy futtassa a Repair-SCVirtualNetworkAdapter parancsmagot. A funkcióhoz nem változik a parancsmag szintaxisa.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

A virtuális gépek szervizelése megfelelőként jelöli meg őket, és gondoskodik a kiterjesztett port ACL-ek alkalmazásáról. Vegye figyelembe, hogy a port ACL-ek nem vonatkoznak a hatókörben lévő virtuális gépekre, amíg explicit módon nem szervizeli őket.

Port ACL-szabályok megtekintése

Az ACL-ek és ACL-szabályok megtekintéséhez használhatja a következő PowerShell-parancsmagokat.

Port ACL-szabályok frissítése

A hálózati adapterekhez csatolt ACL frissítésekor a módosítások az adott ACL-t használó összes hálózatiadapter-példányban megjelennek. Egy virtuálisgép-alhálózathoz vagy virtuálisgép-hálózathoz csatolt ACL esetében az alhálózathoz csatlakoztatott összes hálózatiadapter-példány frissül a módosításokkal.

Megjegyzés: Az ACL-szabályok frissítése az egyes hálózati adaptereken párhuzamosan, egy egypróbálkozásos legjobb erőfeszítési sémában történik. Azok az adapterek, amelyek semmilyen okból nem frissíthetők, "nem megfelelő biztonsági" jelölést kapnak, és a feladat egy hibaüzenettel fejeződik be, amely szerint a hálózati adapterek frissítése nem sikerült. A "nem megfelelő biztonság" itt a várt és a tényleges ACL-szabályok eltérésére utal. Az adapter megfelelőségi állapota "Nem megfelelő", a vonatkozó hibaüzenetekkel együtt. A nem megfelelő virtuális gépek szervizelésével kapcsolatos további információkért lásd az előző szakaszt.

Port ACL-ek és port ACL-szabályok törlése

Az ACL csak akkor törölhető, ha nincsenek hozzá függőségek csatolva. A függőségek közé tartoznak az ACL-hez csatolt virtuálisgép-hálózat/virtuálisgép-alhálózat/virtuális hálózati adapter/globális beállítások. Amikor megpróbál törölni egy port ACL-t a PowerShell-parancsmaggal, a parancsmag észleli, hogy a port ACL csatolva van-e valamelyik függőséghez, és megfelelő hibaüzeneteket küld.

Port ACL-ek eltávolítása

Új PowerShell-parancsmagok lettek hozzáadva:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Port ACL-szabályok eltávolítása

Új PowerShell-parancsmagok lettek hozzáadva:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Vegye figyelembe, hogy a virtuálisgép-alhálózat/virtuálisgép-hálózat/hálózati adapter törlése automatikusan eltávolítja az adott ACL-hez való társítást.

Az ACL a megfelelő VMM hálózati objektum módosításával leválasztható a virtuálisgép-alhálózatról/virtuálisgép-hálózatról/hálózati adapterről is. Ehhez használja a Set- parancsmagot a -RemovePortACL kapcsolóval együtt, a korábbi szakaszokban leírtak szerint. Ebben az esetben a port ACL leválasztva lesz a megfelelő hálózati objektumról, de nem törlődik a VMM-infrastruktúrából. Ezért később újra felhasználható.

Sávon kívüli módosítások az ACL-szabályokban

Ha sávon kívüli (OOB) módosításokat hajtunk végre az ACL-szabályokon a Hyper-V virtuális kapcsolóportról (natív Hyper-V parancsmagok, például Add-VMNetworkAdapterExtendedAcl használatával), a virtuális gép frissítése a hálózati adaptert "Nem megfelelő biztonsági" állapotúként jeleníti meg. A hálózati adapter ezután a VMM-ből szervizelhető a "Port ACL-ek alkalmazása" című szakaszban leírtak szerint. A szervizelés azonban felülírja a VMM-en kívül definiált összes port ACL-szabályt a VMM által vártakkal.

Alapfogalmak

A port ACL minden port ACL-szabálya rendelkezik egy "Priority" (Prioritás) nevű tulajdonságtal. A szabályok a prioritásuknak megfelelően vannak alkalmazva. A következő alapelvek határozzák meg a szabályok elsőbbségi sorrendjét:

• Minél alacsonyabb a prioritási szám, annál nagyobb az elsőbbségi sorrend. Vagyis ha több port ACL-szabály ellentmond egymásnak, az alacsonyabb prioritású szabály nyer.

• A szabályművelet nincs hatással a sorrendre. Ez azt jelzi, hogy az NTFS ACL-ekkel ellentétben (például) itt nincs "A megtagadás mindig elsőbbséget élvez az engedélyezéssel szemben".

• Ugyanazon a prioritáson (ugyanazon numerikus értéken) nem lehet két azonos irányú szabály. Ez a viselkedés megakadályozza azt a hipotetikus helyzetet, amelyben a "Megtagadás" és az "Engedélyezés" szabályokat is azonos prioritással lehet meghatározni, mert ez kétértelműséget vagy ütközést eredményezne.

• Az ütközés két vagy több azonos prioritású és irányú szabályként van definiálva. Ütközés akkor fordulhat elő, ha két azonos prioritású és irányú port ACL-szabály van két különböző szinten alkalmazott ACL-ben, és ha ezek a szintek részben átfedésben vannak. Ez azt is jelentheti, hogy lehet egy objektum (például vmNIC), amely mindkét szint hatókörébe tartozik. Az átfedés egyik gyakori példája egy virtuálisgép-hálózat és egy virtuálisgép-alhálózat ugyanabban a hálózatban.

Több port ACL alkalmazása egyetlen entitásra 

Mivel a port ACL-ek különböző VMM hálózati objektumokra (vagy a korábban ismertetett különböző szinteken) alkalmazhatók, egyetlen virtuálisgép-alapú virtuális hálózati adapter (vmNIC) több port ACL hatókörébe is tartozhat. Ebben a forgatókönyvben a port ACL-szabályai az összes port ACL-ből lesznek alkalmazva. A szabályok elsőbbségi sorrendje azonban eltérő lehet a VMM számos új finomhangolási beállításától függően, amelyekről a cikk későbbi részében lesz szó.

Beállításjegyzék-beállítások

Ezek a beállítások a VMM felügyeleti kiszolgáló következő kulcsának Windows Beállításjegyzékében Dword értékekként vannak definiálva:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Gépház
Vegye figyelembe, hogy ezek a beállítások hatással lesznek a port ACL-ek viselkedésére a teljes VMM-infrastruktúrában.

Érvényes port ACL-szabályprioritás

Ebben a cikkben ismertetjük a port ACL-szabályok tényleges elsőbbségét, amikor több port ACL van alkalmazva egyetlen entitásra érvényes szabályprioritásként. Vegye figyelembe, hogy a VMM-ben nincs külön beállítás vagy objektum az érvényes szabályprioritás meghatározásához vagy megtekintéséhez. A számítás a futtatókörnyezetben történik.

Az érvényes szabályprioritás két globális móddal számítható ki. A módokat a beállításjegyzék-beállítás váltja:

PortACLAbsolutePriority
A beállítás elfogadható értéke 0 (nulla) vagy 1, ahol a 0 az alapértelmezett viselkedést jelzi.

Relatív prioritás (alapértelmezett viselkedés)

A mód engedélyezéséhez állítsa a beállításjegyzékBen a PortACLAbsolutePriority tulajdonságot 0 (nulla) értékre. Ez a mód akkor is érvényes, ha a beállítás nincs definiálva a beállításjegyzékben (azaz ha a tulajdonság nincs létrehozva).

Ebben a módban a következő alapelvek érvényesek a korábban ismertetett alapfogalmak mellett:

• Az ugyanazon port ACL-ben lévő prioritás megmarad. Ezért az egyes szabályokban meghatározott prioritási értékek relatívként lesznek kezelve az ACL-ben.

• Ha több port ACL-et alkalmaz, a szabályok gyűjtőkben lesznek alkalmazva. Az ugyanabból az ACL-ből (egy adott objektumhoz csatolt) szabályok együtt lesznek alkalmazva ugyanabban a gyűjtőben. Az egyes gyűjtők elsőbbségi sorrendje attól az objektumtól függ, amelyhez a port ACL csatolva van.

• Itt a globális beállítások ACL-jében definiált szabályok (függetlenül a port ACL-ben meghatározott saját prioritásuktól) mindig elsőbbséget élveznek a vmNIC-en alkalmazott ACL-ben definiált szabályokkal szemben, és így tovább. Más szóval a rétegelválasztás kényszerítve van.
  
  

Végső soron az érvényes szabályprioritás eltérhet a port ACL-szabály tulajdonságaiban megadott numerikus értéktől. További információ a viselkedés kényszerítéséről és a logika módosításának módjáról.

1. A három "objektumspecifikus" szint (vagyis a vmNIC, a virtuálisgép-alhálózat és a virtuálisgép-hálózat) sorrendjét módosíthatja.
   
   

   1. A globális beállítások sorrendje nem módosítható. Mindig a legmagasabb prioritást (vagy sorrend = 0) veszi figyelembe.

   2. A másik három szint esetében a következő beállításokat 0 és 3 közötti numerikus értékre állíthatja, ahol a 0 a legmagasabb prioritás (egyenlő a globális beállításokkal), a 3 pedig a legalacsonyabb prioritás:
      
      

      • PortACLVMNetworkAdapterPriority (az alapértelmezett érték 1)

      • PortACLVMSubnetPriority (az alapértelmezett érték 2)

      • PortACLVMNetworkPriority (az alapértelmezett érték 3)

   3. Ha ugyanazt az értéket (0–3) rendeli hozzá a beállításjegyzék ezen beállításjegyzék-beállításaihoz, vagy ha a 0–3 tartományon kívül eső értéket rendel hozzá, a VMM feladat-visszavételt fog végrehajtani az alapértelmezett működésre.

2. A rendezés kényszerítési módja az, hogy az érvényes szabályprioritás úgy módosul, hogy a magasabb szinten definiált ACL-szabályok magasabb prioritást kapjanak (azaz kisebb numerikus értéket). A tényleges ACL kiszámításakor a relatív szabály prioritási értékeit a szintspecifikus érték vagy a "lépés" "ütközik".

3. A szintspecifikus érték az a "lépés", amely elkülöníti a különböző szinteket. Alapértelmezés szerint a "lépés" mérete 10000, és a következő beállításjegyzék-beállítással van konfigurálva:
   

   PortACLLayerSeparation

4. Ez azt jelenti, hogy ebben a módban az ACL-ben lévő egyes szabályprioritások (azaz relatívként kezelt szabályok) nem léphetik túl a következő beállítás értékét:
   

   PortACLLayerSeparation (alapértelmezés szerint 10000)

Relatív prioritás

A mód engedélyezéséhez állítsa a beállításjegyzékBen a PortACLAbsolutePriority tulajdonságot 1 értékre.

Ebben a módban a következő alapelvek érvényesek a korábban ismertetett alapfogalmak mellett:

• Ha egy objektum több ACL hatókörébe tartozik (például virtuálisgép-hálózat és virtuálisgép-alhálózat), a csatolt ACL-ekben definiált összes szabályt egységes sorrendben (vagy egyetlen gyűjtőként) alkalmazza a rendszer. Nincs szintelválasztás, és egyáltalán nem "ütközik".

• A rendszer minden szabályprioritást abszolútként kezel, pontosan úgy, ahogyan az egyes szabályprioritások határozzák meg őket. Más szóval az egyes szabályok tényleges prioritása megegyezik a szabályban meghatározott prioritással, és a VMM-motor nem módosítja az alkalmazása előtt.

• Az előző szakaszban ismertetett összes többi beállításjegyzék-beállításnak nincs hatása.

• Ebben a módban az ACL-ben lévő egyes szabályprioritások (azaz abszolútként kezelt szabályprioritások) nem haladhatják meg a 65535-öt.