Dukungan untuk menyebarkan perpanjangan port ACL di System Center 2012 R2 VMM dengan Update Rollup 8 Hyper-V

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3101161
Ringkasan
Administrator dari Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) dapat sekarang secara terpusat menciptakan dan mengelola Hyper-V port kendali daftar akses (ACL) di VMM.
Informasi lebih lanjut
Untuk informasi selengkapnya tentang Update Rollup 8 untuk manajer Mesin Virtual System Center 2012 R2, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

3096389 Update Rollup 8 untuk manajer Mesin Virtual System Center 2012 R2

Daftar istilah

Kami telah meningkatkan model objek manajer Mesin Virtual dengan menambahkan konsep baru berikut ini di bidang manajemen jaringan.
  • kendali daftar akses Port (port ACL)
    Objek yang terpasang pada berbagai VMM primitif jaringan untuk menggambarkan keamanan jaringan. Port ACL berfungsi sebagai pengumpulan entri kontrol akses atau aturan ACL. ACL dapat dilampirkan ke sejumlah (nol atau lebih) VMM jaringan primitif, seperti jaringan VM, VM subnet, adaptor jaringan virtual, atau server manajemen VMM sendirinya. ACL dapat berisi sejumlah (nol atau lebih) ACL aturan. Setiap kompatibel VMM jaringan primitif (VM jaringan, VM subnet, adaptor jaringan virtual, atau server manajemen VMM) dapat memiliki satu port ACL terpasang atau tidak ada.
  • entri kontrol akses Port atau ACL aturan
    Objek yang menjelaskan kebijakan penyaringan. Beberapa aturan ACL dapat ada di port yang sama ACL dan menerapkan berdasarkan prioritas mereka. Setiap ACL aturan berkaitan dengan tepat satu port ACL.
  • Pengaturan global
    Konsep virtual yang menjelaskan port ACL yang diterapkan ke semua adaptor jaringan virtual VM dalam infrastruktur. Ada tidak ada jenis objek yang terpisah untuk pengaturan Global. Sebaliknya, port tataan Global ACL menempel ke server manajemen VMM sendirinya. Objek server manajemen VMM dapat memiliki satu port ACL atau tidak ada.
Untuk informasi tentang objek di bidang manajemen jaringan yang sebelumnya tersedia, lihat Dasar-dasar objek jaringan Virtual Machine Manager.

Apa yang dapat dilakukan dengan fitur ini?

Dengan menggunakan antarmuka PowerShell di VMM, Anda dapat mengambil tindakan berikut ini:
  • Tentukan port ACL dan aturan ACL mereka.
    • Aturan diterapkan ke Port virtual switch pada Hyper-V server sebagai "diperpanjang port ACL" (VMNetworkAdapterExtendedAcl) dalam terminologi Hyper-V. Ini berarti bahwa mereka dapat berlaku hanya untuk Windows Server 2012 R2 (dan Hyper-V Server 2012 R2) host server.
    • VMM tidak akan membuat ACL port Hyper-V "warisan" (VMNetworkAdapterAcl). Oleh karena itu, Anda tidak dapat menerapkan port ACL Windows Server 2012 (atau Hyper-V Server 2012) host server dengan menggunakan VMM.
    • Semua port ACL aturan yang ditetapkan di VMM dengan menggunakan fitur ini stateful (untuk TCP). Anda tidak dapat membuat stateless ACL aturan untuk TCP menggunakan VMM.
    Untuk informasi selengkapnya tentang fitur ACL port perpanjangan di Windows Server 2012 R2 Hyper-V, lihat Membuat kebijakan keamanan dengan kendali daftar akses Port yang diperpanjang untuk Windows Server 2012 R2.
  • Melampirkan port ACL tataan Global. Hal ini berlaku untuk semua adapter jaringan virtual VM. Hal ini tersedia hanya untuk admin penuh.
  • Melampirkan ACL port yang dibuat ke jaringan VM, VM subnet, atau adaptor jaringan virtual VM. Ini tersedia untuk admin penuh, penghuni admin dan layanan mandiri pengguna (SSUs).
  • Melihat dan memutakhirkan aturan ACL port yang dikonfigurasi di vNIC VM masing-masing.
  • Hapus port ACL dan aturan ACL mereka.
Setiap tindakan ini mencakup secara lebih rinci nanti dalam artikel ini.

Perhatikan bahwa fungsionalitas ini terkena hanya melalui Cmdlet PowerShell dan tidak akan tercermin di konsol VMM UI (kecuali status "Kepatuhan").

Apa yang dapat tidak dilakukan dengan fitur ini?

  • Mengelola/pemutakhiran individu aturan satu contoh ketika ACL dibagi di antara beberapa contoh. Semua aturan dikelola secara terpusat dalam mereka induk ACL dan menerapkan manapun ACL terpasang.
  • Melampirkan ACL lebih dari satu entitas.
  • Berlaku port ACL ke adaptor jaringan virtual (vNICs) dalam partisi induk Hyper-V (manajemen OS).
  • Buat aturan ACL port yang menyertakan protokol tingkat-IP (selain TCP atau UDP).
  • Terapkan port ACL ke jaringan logis, situs jaringan (jaringan Logis definisi), subnet vLANs, dan lain VMM primitif jaringan yang tidak terdaftar sebelumnya.

Bagaimana menggunakan fitur?

Mendefinisikan baru port ACL dan aturan ACL port

Anda sekarang dapat membuat ACL dan aturan ACL secara langsung dari dalam VMM dengan menggunakan cmdlet PowerShell.

Membuat ACL baru

Cmdlet PowerShell berikut baru ditambahkan:

Baru-SCPortACL -namastring> [-Deskripsistring>]

-Nama: Nama port ACL

-Deskripsi: Deskripsi port ACL (parameter opsional)

Get-SCPortACL

Mengambil semua ACL port

-Nama: Opsional filter menurut nama

-ID: opsional filter dengan ID

Contoh perintah

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Tentukan port ACL aturan untuk port ACL
Setiap port ACL terdiri dari kumpulan aturan ACL port. Setiap aturan yang berisi parameter yang berbeda.

  • Nama
  • Deskripsi
  • Jenis: Masuk/Outbound (arah di mana ACL akan diterapkan)
  • Tindakan: Memungkinkan/Tolak (tindakan ACL, untuk mengizinkan lalu lintas atau untuk memblokir lalu lintas)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokol: TCP/Udp/apa pun (Catatan: tingkat-IP protokol tidak didukung di ACL port yang ditetapkan oleh VMM. Mereka masih didukung Native Hyper-V.)
  • Prioritas: 1-65535 (nomor terendah memiliki prioritas). Prioritas ini adalah relatif lapisan yang diterapkan. (Informasi lebih lanjut tentang bagaimana ACL aturan diterapkan berdasarkan prioritas dan objek yang ACL adalah berikut terlampir.)

Cmdlet PowerShell baru yang ditambahkan

Baru-SCPortACLrule - PortACLPortACL>-Namastring> [-Deskripsi <string>]-jenis <Inbound |="" outbound="">-tindakan <Allow |="" deny="">-prioritas <uint16>-protokol <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Mengambil semua port ACL aturan.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nama: Opsional filter menurut nama
  • ID: Opsional filter dengan ID
  • PortACL: Opsional filter dengan port ACL
Contoh perintah

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Memasang dan melepas ACL port



ACL dapat menempel berikut ini:
  • Tataan global (berlaku untuk semua adaptor jaringan VM. Hanya admin penuh dapat melakukan hal ini.)
  • Jaringan VM (admin/penghuni penuh admin/SSUs dapat melakukan hal ini.)
  • VM subnet (admin/penghuni penuh admin/SSUs dapat melakukan hal ini.)
  • adapter jaringan virtual (admin/penghuni penuh admin/SSUs dapat melakukan hal ini.)

Pengaturan global

Aturan ACL port ini berlaku untuk semua adapter jaringan virtual VM dalam infrastruktur.

Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Set-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Parameter opsional baru yang mengkonfigurasi port khusus ACL ke tataan global.
  • RemovePortACL: Parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari tataan global.
Get-SCVMMServer: gulung balik port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Jaringan VM


Aturan tersebut akan diterapkan untuk semua adapter jaringan virtual VM yang tersambung ke jaringan VM ini.

Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Baru-SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda menentukan port ACL ke jaringan VM selama pembuatan.

Set-SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda mengatur port ACL ke jaringan VM.

-RemovePortACL: parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari jaringan VM.

Get-SCVMNetwork: gulung balik port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM subnet


Aturan tersebut akan diterapkan untuk semua adapter jaringan virtual VM yang tersambung ke subnet VM ini.

Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Baru-SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda menentukan port ACL untuk VM subnet selama pembuatan.

Set-SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda mengatur port ACL untuk VM subnet.

-RemovePortACL: parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari VM subnet.

Get-SCVMSubnet: gulung balik port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

adapter jaringan virtual VM (vmNIC)


Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Baru-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda menentukan port ACL ke adaptor jaringan virtual saat Anda membuat vNIC baru.

Set-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda mengatur port ACL ke adaptor jaringan virtual.

-RemovePortACL: parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari adaptor jaringan virtual.

Get-SCVirtualNetworkAdapter: gulung balik port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Menerapkan aturan ACL port

Ketika Anda me-refresh VM setelah Anda memasang ACL port, Anda memperhatikan bahwa status VM ditampilkan sebagai "Tidak kompatibel" di tampilan lembar kerja Mesin Virtual. (Untuk beralih ke tampilan Mesin Virtual, Anda harus terlebih dahulu menjelajah ke simpul Logis jaringan atau Switch Logis node lembar kerja). Berhati-hatilah VM refresh terjadi secara otomatis di latar belakang (sesuai jadwal). Oleh karena itu, bahkan jika Anda tidak me-refresh VM secara eksplisit, mereka akan masuk ke keadaan noncompliant akhirnya.



Pada titik ini, ACL port tidak belum Terapkan ke VM dan adapter jaringan virtual yang relevan. Untuk menerapkan ACL port, Anda harus memicu proses yang disebut sebagai remediasi. Ini tidak terjadi secara otomatis dan harus dijalankan secara eksplisit berdasarkan permintaan pengguna.

Untuk memulai remediasi, Anda klik Remediate pada pita atau menjalankan cmdlet SCVirtualNetworkAdapter perbaikan . Ada tidak ada perubahan tertentu untuk cmdlet sintaks untuk fitur ini.

Repair-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating VM ini akan menandai mereka sebagai sesuai dan akan memastikan ACL diperpanjang port yang diterapkan. Berhati-hatilah bahwa port ACL tidak akan berlaku untuk semua VM dalam lingkup sebelum Anda memulihkan secara eksplisit.

Melihat port ACL aturan

Untuk melihat ACL dan ACL aturan, Anda dapat menggunakan cmdlet PowerShell berikut.

Cmdlet PowerShell baru yang ditambahkan

Ambil ACL port

Parameter ditetapkan 1. Untuk mendapatkan semua atau dengan nama: Get-SCPortACL [-nama <> </>]

Parameter ditetapkan 2. Untuk mendapatkan dengan ID: Get-SCPortACL -Id <> [-nama <> </>]

Ambil port ACL aturan

Parameter ditetapkan 1. Semua atau dengan nama: Get-SCPortACLrule [-nama <> </>]

Parameter ditetapkan 2. Dengan ID: Get-SCPortACLrule -Id <>

Parameter ditetapkan 3. Dengan objek ACL: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Memperbarui port ACL aturan

Ketika Anda memutakhirkan ACL yang terpasang pada adaptor jaringan, perubahan tercermin pada semua contoh adaptor jaringan yang menggunakan ACL tersebut. Untuk ACL yang dilampirkan ke VM subnet atau jaringan VM, Semua contoh adaptor jaringan yang tersambung ke subnet yang diperbarui dengan perubahan.

Catatan Memperbarui aturan ACL pada adaptor jaringan pribadi dijalankan secara paralel dalam skema usaha terbaik satu-coba. Adaptor yang tidak dapat diperbarui karena alasan apa pun yang ditandai "keamanan dimulai", dan tugas selesai dengan pesan galat yang menyatakan bahwa adaptor jaringan tidak diperbarui berhasil. "Security dimulai" di sini merujuk ke ketidakcocokan dalam diharapkan versus aktual ACL aturan. Adaptor akan memiliki status kepatuhan "Tidak kompatibel" bersama-sama dengan pesan galat yang relevan. Lihat bagian sebelumnya untuk informasi selengkapnya tentang remediating noncompliant mesin virtual.
Cmdlet PowerShell yang baru ditambahkan
Set-SCPortACL - PortACLPortACL> [-NamaNama&gt;] [-Deskripsi <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Namanama&gt;] [-Deskripsistring&gt;] [-JenisPortACLRuleDirection> {Masuk | Keluar}] [-tindakanPortACLRuleAction> {Memungkinkan | Menolak}] [-SourceAddressPrefixstring&gt;] [-SourcePortRangestring&gt;] [-DestinationAddressPrefixstring&gt;] [-DestinationPortRangestring&gt;] [-ProtokolPortACLruleProtocol> {Tcp | UDP | Setiap}]

Set-SCPortACL: mengubah port ACL Deskripsi.
  • Keterangan: Pembaruan Deskripsi.

Set-SCPortACLrule: mengubah port ACL aturan parameter.
  • Keterangan: Pembaruan Deskripsi.
  • Jenis: Pembaruan arah di mana ACL diterapkan.
  • Tindakan: Pembaruan tindakan ACL.
  • Protokol: Pembaruan protokol yang ACL akan diterapkan.
  • Prioritas: Pembaruan prioritas.
  • SourceAddressPrefix: Pembaruan sumber alamat penyuratan awalan.
  • SourcePortRange: Pembaruan kisaran port sumber.
  • DestinationAddressPrefix: Pembaruan awalan alamat penyuratan tujuan.
  • DestinationPortRange: Pembaruan kisaran port tujuan.

Menghapus port ACL dan port ACL aturan

ACL dapat dihapus hanya jika ada dependensi tidak terpasang untuk itu. Dependensi termasuk VM jaringan VM subnet virtual adaptor global pengaturan jaringan yang terpasang ACL. Ketika Anda mencoba untuk menghapus port ACL menggunakan PowerShell cmdlet, cmdlet akan mendeteksi apakah port ACL dilampirkan ke salah satu ketergantungan dan akan memunculkan pesan kesalahan yang sesuai.

Menghapus ACL port

Cmdlet PowerShell yang baru ditambahkan:

Hapus-SCPortACL - PortACLNetworkAccessControlList>

Menghapus port ACL aturan

Cmdlet PowerShell yang baru ditambahkan:

Hapus-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Perhatikan bahwa menghapus VM subnet VM jaringan/adaptor jaringan secara otomatis menghapus asosiasi dengan ACL tersebut.

ACL juga dapat berhubungan dari adaptor jaringan jaringan subnet VM VM dengan mengubah objek jaringan VMM masing-masing. Untuk melakukannya, gunakan Set - cmdlet bersama-sama dengan switch - RemovePortACL , seperti yang dijelaskan di bagian sebelumnya. Dalam kasus ini, port ACL akan terlepas dari masing-masing Jaringan objek tetapi tidak akan dihapus dari infrastruktur VMM. Oleh karena itu, ini dapat digunakan nanti.

Perubahan Out of band ACL aturan

Jika kami melakukan perubahan (OOB) out of band ACL aturan dari port virtual switch Hyper-V (menggunakan cmdlet Hyper-V asli seperti Tambah-VMNetworkAdapterExtendedAcl), VM Refresh akan menampilkan adaptor jaringan sebagai "Keamanan Incompliant." Adaptor jaringan kemudian dapat remediated dari VMM seperti yang dijelaskan di bagian "Menerapkan port ACL". Namun, perbaikan akan menimpa semua port ACL aturan yang ditetapkan di luar VMM dengan yang diharapkan oleh VMM.

Port ACL aturan prioritas dan aplikasi lebih diutamakan (lanjut)

Konsep inti

Setiap port ACL aturan di port ACL memiliki properti yang bernama "Prioritas." Aturan diterapkan dalam urutan menurun berdasarkan prioritas mereka. Prinsip inti berikut ini menetapkan aturan didahulukan:
  • Prioritas yang lebih rendah nomor, adalah prioritas tinggi. Yaitu, jika banyak port ACL aturan bertentangan setiap lain, aturan dengan prioritas yang lebih rendah wins.
  • Tindakan aturan tidak mempengaruhi didahulukan. Yaitu, seperti ACL NTFS (misalnya), di sini kita tidak memiliki konsep seperti "Tolak selalu lebih diutamakan daripada Izinkan".
  • Yang sama prioritas (sama nilai numerik), Anda tidak dapat memiliki dua aturan dengan arah yang sama. Perilaku ini mencegah hipotetis situasi di mana yang dapat menetapkan aturan "Tolak" dan "Mengizinkan" dengan prioritas yang sama, karena ini akan menghasilkan ambiguitas, atau konflik.
  • Konflik didefinisikan sebagai dua atau lebih aturan prioritas yang sama dan arah yang sama. Konflik dapat terjadi jika ada dua port ACL aturan dengan sama prioritas arah dalam dua ACL yang diaplikasikan pada level yang berbeda, dan jika tingkat tersebut sebagian tumpang tindih. Yaitu, mungkin ada objek (misalnya, vmNIC) yang jatuh dalam lingkup tingkat kedua. Contoh umum tumpang tindih adalah VM jaringan dan subnet VM di jaringan yang sama.

Menerapkan beberapa port ACL entitas tunggal

Karena port ACL dapat menerapkan berbeda VMM jaringan objek (atau pada tingkat yang berbeda, seperti yang dijelaskan sebelumnya), adaptor jaringan virtual VM tunggal (vmNIC) dapat jatuh ke dalam lingkup beberapa port ACL. Dalam skenario ini, aturan ACL port dari semua ACL port yang digunakan. Namun, didahulukan aturan tersebut dapat berbeda, tergantung pada beberapa VMM baru fine-tuning pengaturan yang disebutkan kemudian di artikel ini.

Pengaturan registri

Pengaturan tersebut didefinisikan sebagai nilai Dword yang ada di registri Windows di bawah bukti kunci berikut ini di server manajemen VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Perhatikan bahwa semua pengaturan ini akan mempengaruhi perilaku port ACL sepanjang infrastruktur VMM keseluruhan.

Port efektif ACL aturan prioritas

Dalam diskusi ini, kami akan menjelaskan lebih diutamakan aktual port ACL aturan bila beberapa port ACL diterapkan ke satu entitas efektif aturan prioritas. Perhatikan bahwa ada pengaturan terpisah atau objek di VMM untuk menentukan atau melihat efektif aturan prioritas. Dihitung di runtime.

Ada dua mode global di mana efektif aturan prioritas dapat dihitung. Mode diaktifkan oleh pengaturan registri:
PortACLAbsolutePriority

Nilai yang dapat diterima untuk pengaturan ini adalah 0 (nol) atau 1, di mana 0 menunjukkan perilaku default.

Prioritas relatif (perilaku default)

Untuk mengaktifkan mode ini, tetapkan properti PortACLAbsolutePriority dalam registri untuk nilai 0 (nol). Mode ini juga berlaku jika setelan tidak ditetapkan di registri (yaitu, jika properti tidak dibuat).

Dalam mode ini, prinsip berikut berlaku Selain konsep inti yang telah dijelaskan sebelumnya:
  • Prioritas dalam port yang sama ACL dipertahankan. Oleh karena itu, prioritas nilai yang ditetapkan di setiap aturan diperlakukan sebagai relatif dalam ACL.
  • Ketika Anda menerapkan beberapa port ACL, aturan diterapkan dalam ember. Aturan dari ACL sama (terpasang ke objek tertentu) yang digunakan bersama-sama dalam bucket sama. Didahulukan tertentu ember tergantung pada objek yang terpasang port ACL.
  • Di sini, aturan yang ditetapkan di tataan global ACL (terlepas dari prioritas mereka sendiri seperti yang didefinisikan di port ACL) selalu lebih diutamakan daripada aturan yang ditetapkan di ACL yang diterapkan ke vmNIC, dan seterusnya. Dengan kata lain, pemisahan lapisan diterapkan.

Terakhir, efektif aturan prioritas dapat berbeda dari nilai angka yang Anda tentukan pada port ACL aturan properti. Informasi lebih lanjut tentang bagaimana perilaku ini didukung dan bagaimana Anda dapat mengubah dengan logika berikut.

  1. urutan menurun di mana tiga tingkat "objek khusus" (yaitu, vmNIC, VM subnet, dan jaringan VM) diutamakan dapat diubah.

    1. urutan menurun pengaturan global tidak berubah. Itu selalu lebih diutamakan tertinggi (atau urutan menurun = 0).
    2. Untuk tingkat tiga lainnya, Anda dapat mengkonfigurasi pengaturan berikut untuk nilai numerik antara 0 dan 3, di mana 0 adalah didahulukan tertinggi (sama dengan pengaturan global) dan 3 didahulukan Terendah:
      • PortACLVMNetworkAdapterPriority
        (asali adalah 1)
      • PortACLVMSubnetPriority
        (asali adalah 2)
      • PortACLVMNetworkPriority
        (asali adalah 3)
    3. Jika Anda menetapkan nilai yang sama (0 hingga 3) untuk pengaturan registri ini beberapa, atau jika Anda menetapkan nilai di luar kisaran 0 hingga 3, VMM akan gagal kembali ke perilaku default.
  2. Cara bahwa memesan diterapkan adalah efektif aturan prioritas diubah sehingga ACL aturan yang ditetapkan pada tingkat yang lebih tinggi menerima prioritas tinggi (yaitu, lebih kecil nilai numerik). Ketika efektif ACL dihitung, setiap nilai prioritas relatif aturan adalah "bertemu" tingkat khusus nilai atau "langkah."
  3. Nilai tingkat khusus adalah "langkah" yang memisahkan tingkat yang berbeda. secara asali, ukuran "langkah" adalah 10000 dan dikonfigurasi dengan pengaturan registri berikut ini:
    PortACLLayerSeparation
  4. Ini berarti bahwa, dalam mode ini, setiap aturan prioritas dalam ACL (yaitu, aturan yang akan diperlakukan sebagai relatif) tidak dapat melebihi nilai setelan berikut:
    PortACLLayerSeparation
    (secara asali, 10000)
Contoh konfigurasi
Berasumsi bahwa semua pengaturan yang memiliki nilai bawaannya. (Ini dijelaskan sebelumnya.)
  1. Kami telah ACL yang dilampirkan ke vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Prioritas efektif untuk semua aturan yang ditetapkan di ACL ini bertemu dengan 10000 (PortACLLayerSeparation nilai).
  3. Kami menetapkan Aturan di ACL yang memiliki prioritas yang diatur ke 100.
  4. Prioritas efektif untuk aturan ini akan 10000 + 100 = 10100.
  5. Aturan akan diutamakan daripada aturan lain dalam ACL sama prioritas lebih dari 100.
  6. Aturan akan selalu diutamakan daripada aturan yang ditetapkan di ACL yang terpasang di VM jaringan dan tingkat subnet VM. (Ini benar karena mereka dianggap sebagai "rendah").
  7. Aturan akan pernah diutamakan daripada aturan yang ditetapkan di tataan global ACL.
Keuntungan dari mode ini
  • Ada keamanan yang lebih baik dalam skenario multi-penyewa karena port ACL aturan yang ditetapkan oleh admin kain (pada tingkat tataan Global) akan selalu lebih diutamakan daripada aturan yang didefinisikan oleh penyewa sendiri.
  • Konflik aturan ACL port (yaitu, ambiguitas) dicegah secara otomatis karena lapisan pemisahan. Sangat mudah untuk memprediksi aturan yang akan efektif dan mengapa.
Perhatian dengan mode ini
  • Fleksibilitas kurang. Jika Anda menetapkan Aturan (misalnya, "Tolak semua lalu lintas ke port 80") di tataan global, Anda tidak dapat membuat pengecualian lebih rinci dari aturan ini pada lapisan rendah (misalnya, "Izinkan port 80 hanya di VM yang menjalankan server web yang sah").

Prioritas relatif

Untuk mengaktifkan mode ini, tetapkan properti PortACLAbsolutePriority dalam registri untuk nilai 1.

Dalam mode ini, prinsip berikut berlaku Selain konsep inti yang dijelaskan sebelumnya:
  • Jika objek jatuh dalam lingkup banyak ACL (misalnya, VM subnet jaringan dan VM), semua aturan yang ditetapkan di setiap ACL terlampir diterapkan urutan menurun terpadu (atau sebagai bucket tunggal). Ada tingkat pemisahan dan tidak ada "menabrak" apa pun.
  • Semua aturan prioritas diperlakukan sebagai absolut, persis seperti yang didefinisikan di setiap aturan prioritas. Dengan kata lain, prioritas efektif untuk setiap aturan adalah sama dengan yang ditetapkan di aturan sendiri dan tidak berubah dengan mesin VMM sebelum berlaku.
  • Pengaturan registri lainnya yang dijelaskan di bagian sebelumnya tidak berpengaruh.
  • Dalam mode ini, setiap individu aturan prioritas ACL (yaitu, prioritas aturan yang akan diperlakukan sebagai absolut) tidak dapat melebihi 65535.
Contoh konfigurasi
  1. Pengaturan global ACL, Anda menetapkan aturan prioritas yang diatur ke 100.
  2. Di ACL yang dilampirkan ke vmNIC, Anda menetapkan aturan prioritas yang diatur ke 50.
  3. Aturan yang ditetapkan pada tingkat vmNIC lebih diutamakan karena prioritas tinggi (yaitu, numerik nilai yang lebih rendah).
Keuntungan dari mode ini
  • Lebih banyak fleksibilitas. Anda dapat membuat "salah satu" pengecualian dari aturan global pengaturan pada tingkat yang lebih rendah (misalnya, VM subnet atau vmNIC).
Perhatian dengan mode ini
  • Perencanaan mungkin menjadi lebih kompleks karena ada tingkat pemisahan. Dan dapat aturan pada tingkat yang menimpa peraturan lainnya yang ditetapkan pada objek lainnya.
  • Dalam lingkungan multi-penyewa, keamanan dapat terpengaruh karena penghuni dapat membuat aturan pada tingkat subnet VM yang menimpa kebijakan yang ditetapkan oleh admin kain di tingkat tataan global.
  • Aturan konflik (yaitu, ambiguitas) tidak menghapus secara otomatis dan dapat terjadi. VMM dapat mencegah konflik hanya pada tingkat ACL yang sama. Hal ini tidak dapat mencegah konflik seluruh ACL yang dilampirkan ke objek yang berbeda. Dalam kasus konflik, karena VMM tidak dapat mengatasi konflik secara otomatis, hal itu akan berhenti menerapkan aturan dan akan membuang galat.

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Proprietà

ID articolo: 3101161 - Ultima revisione: 10/30/2015 07:45:00 - Revisione: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtid
Feedback