Dukungan untuk menyebarkan perpanjangan port ACL di System Center 2012 R2 VMM dengan Update Rollup 8 Hyper-V

Ringkasan

Administrator dari Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) dapat sekarang secara terpusat menciptakan dan mengelola Hyper-V port daftar kontrol akses (ACL) di VMM.

Informasi lebih lanjut

Untuk informasi selengkapnya tentang Update Rollup 8 untuk manajer Mesin Virtual System Center 2012 R2, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:



Rollup pembaruan 3096389 8 untuk System Center 2012 R2 Virtual Machine Manager

Daftar istilah

Kami telah meningkatkan model objek manajer Mesin Virtual dengan menambahkan konsep baru berikut ini di bidang manajemen jaringan.

  • Daftar kontrol akses Port (port ACL)
    Objek yang terpasang pada berbagai VMM primitif jaringan untuk menggambarkan keamanan jaringan. Port ACL berfungsi sebagai pengumpulan entri kontrol akses atau aturan ACL. ACL dapat dilampirkan ke sejumlah (nol atau lebih) VMM jaringan primitif, seperti jaringan VM, VM subnet, adaptor jaringan virtual, atau server manajemen VMM sendirinya. ACL dapat berisi sejumlah (nol atau lebih) ACL aturan. Setiap kompatibel VMM jaringan primitif (VM jaringan, VM subnet, adaptor jaringan virtual, atau server manajemen VMM) dapat memiliki satu port ACL terpasang atau tidak ada.

  • Entri kontrol akses Port atau ACL aturan
    Objek yang menjelaskan kebijakan penyaringan. Beberapa aturan ACL dapat ada di port yang sama ACL dan menerapkan berdasarkan prioritas mereka. Setiap ACL aturan berkaitan dengan tepat satu port ACL.

  • Pengaturan global
    Konsep virtual yang menjelaskan port ACL yang diterapkan ke semua adaptor jaringan virtual VM dalam infrastruktur. Ada tidak ada jenis objek yang terpisah untuk pengaturan Global. Sebaliknya, port tataan Global ACL menempel ke server manajemen VMM sendirinya. Objek server manajemen VMM dapat memiliki satu port ACL atau tidak ada.

Untuk informasi tentang objek di bidang manajemen jaringan yang sebelumnya tersedia, lihat Virtual Machine Manager jaringan objek dasar-dasar.

Apa yang dapat dilakukan dengan fitur ini?

Dengan menggunakan antarmuka PowerShell di VMM, Anda dapat mengambil tindakan berikut ini:

  • Tentukan port ACL dan aturan ACL mereka.

    • Aturan diterapkan ke Port virtual switch pada Hyper-V server sebagai "diperpanjang port ACL" (VMNetworkAdapterExtendedAcl) dalam terminologi Hyper-V. Ini berarti bahwa mereka dapat berlaku hanya untuk Windows Server 2012 R2 (dan Hyper-V Server 2012 R2) host server.

    • VMM tidak akan membuat ACL port Hyper-V "warisan" (VMNetworkAdapterAcl). Oleh karena itu, Anda tidak dapat menerapkan port ACL Windows Server 2012 (atau Hyper-V Server 2012) host server dengan menggunakan VMM.

    • Semua port ACL aturan yang ditetapkan di VMM dengan menggunakan fitur ini stateful (untuk TCP). Anda tidak dapat membuat stateless ACL aturan untuk TCP menggunakan VMM.

    Untuk informasi selengkapnya tentang fitur ACL port perpanjangan di Windows Server 2012 R2 Hyper-V, lihat Membuat kebijakan keamanan dengan perpanjangan Port akses kontrol mendaftar untuk Windows Server 2012 R2.

  • Melampirkan port ACL tataan Global. Hal ini berlaku untuk semua adapter jaringan virtual VM. Tersedia hanya untuk admin penuh.

  • Melampirkan ACL port yang dibuat ke jaringan VM, VM subnet, atau adaptor jaringan virtual VM. Ini tersedia untuk admin penuh, penghuni admin dan layanan mandiri pengguna (SSUs).

  • Melihat dan memutakhirkan aturan ACL port yang dikonfigurasi di vNIC VM masing-masing.

  • Hapus port ACL dan aturan ACL mereka.

Setiap tindakan ini tercakup dalam lebih rinci nanti dalam artikel ini.

Perhatikan bahwa fungsionalitas ini terkena hanya melalui Cmdlet PowerShell dan tidak akan tercermin di konsol VMM UI (kecuali status "Kepatuhan").

Apa yang dapat tidak dilakukan dengan fitur ini?

  • Mengelola/pemutakhiran individu aturan satu contoh ketika ACL dibagi di antara beberapa contoh. Semua aturan dikelola secara terpusat dalam mereka induk ACL dan menerapkan manapun ACL terpasang.

  • Melampirkan ACL lebih dari satu entitas.

  • Berlaku port ACL untuk adapter jaringan virtual (vNICs) dalam partisi induk Hyper-V (manajemen OS).

  • Buat aturan ACL port yang menyertakan protokol tingkat-IP (selain TCP atau UDP).

  • Menerapkan port ACL ke jaringan logis, situs jaringan (jaringan Logis definisi), subnet vLANs, dan lainnya VMM jaringan primitif yang tidak terdaftar sebelumnya.

Bagaimana menggunakan fitur?

Mendefinisikan baru port ACL dan aturan ACL port

Anda sekarang dapat membuat ACL dan aturan ACL secara langsung dari dalam VMM dengan menggunakan cmdlet PowerShell.

Membuat ACL baru

Cmdlet PowerShell berikut baru ditambahkan:

Baru-SCPortACL -nama <string> [-Deskripsi <string>]

-Nama: Nama port ACL

-Deskripsi: Deskripsi port ACL (parameter opsional)

Get-SCPortACL

Mengambil semua ACL port

-Nama: Opsional filter menurut nama

-ID: opsional filter dengan ID

Contoh perintah

New-SCPortACL -Name Samplerule -Description SampleDescription 


$acl = Get-SCPortACL -Name Samplerule 



Tentukan port ACL aturan untuk port ACL

Setiap port ACL terdiri dari kumpulan aturan ACL port. Setiap aturan yang berisi parameter yang berbeda.

  • Nama

  • Deskripsi

  • Jenis: Masuk/Outbound (arah yang akan diterapkan ACL)

  • Tindakan: Memungkinkan/Tolak (tindakan ACL, untuk mengizinkan lalu lintas atau untuk memblokir lalu lintas)

  • SourceAddressPrefix:

  • SourcePortRange:

  • DestinationAddressPrefix:

  • DestinationPortRange:

  • Protokol: TCP/Udp/apa pun (Catatan: tingkat-IP protokol tidak didukung di ACL port yang ditetapkan oleh VMM. Mereka masih didukung Native Hyper-V.)

  • Prioritas: 1-65535 (nomor terendah memiliki prioritas). Prioritas ini adalah relatif lapisan yang diterapkan. (Informasi lebih lanjut tentang bagaimana ACL aturan diterapkan berdasarkan prioritas dan objek yang ACL adalah berikut terlampir.)

Cmdlet PowerShell baru yang ditambahkan

Baru-SCPortACLrule - PortACL <PortACL>-nama <string> [-Deskripsi < string >]-jenis < Inbound | Keluar >-tindakan < memungkinkan | Menolak >-prioritas < uint16 >-protokol < Tcp | UDP | Setiap > [-SourceAddressPrefix < string: IPAddress | IPSubnet >] [-SourcePortRange < string: X | X-Y | Setiap >] [-DestinationAddressPrefix < string: IPAddress | IPSubnet >] [-DestinationPortRange < string: X | X-Y | Setiap >]

Get-SCPortACLrule

Mengambil semua port ACL aturan.

  • Nama: Opsional filter menurut nama

  • ID: Opsional filter dengan ID

  • PortACL: Opsional filter dengan port ACL

Contoh perintah

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 


New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 


New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 


New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Memasang dan melepas ACL port



ACL dapat menempel berikut ini:

  • Tataan global (berlaku untuk semua adaptor jaringan VM. Hanya admin penuh dapat melakukan hal ini.)

  • Jaringan VM (admin/penghuni penuh admin/SSUs dapat melakukan hal ini.)

  • VM subnet (admin/penghuni penuh admin/SSUs dapat melakukan hal ini.)

  • Adapter jaringan virtual (admin/penghuni penuh admin/SSUs dapat melakukannya.)

Pengaturan global

Aturan ACL port ini berlaku untuk semua adapter jaringan virtual VM dalam infrastruktur.

Ada Cmdlet PowerShell dimutakhirkan dengan parameter baru untuk memasang dan melepas port ACL.

Set-SCVMMServer -VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]

  • PortACL: Parameter opsional baru yang mengkonfigurasi port khusus ACL ke tataan global.

  • RemovePortACL: Parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari tataan global.

Get-SCVMMServer: menghasilkan port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 


Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Jaringan VM


Aturan ini akan diterapkan untuk semua adapter jaringan virtual VM yang tersambung ke jaringan VM ini.

Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Baru-SCVMNetwork [-PortACL <NetworkAccessControlList>] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda menentukan port ACL ke jaringan VM selama pembuatan.

Set-SCVMNetwork [-PortACL <NetworkAccessControlList> | - RemovePortACL] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda mengatur port ACL ke jaringan VM.

-RemovePortACL: parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari jaringan VM.

Get-SCVMNetwork: mengembalikan port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 


Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 


VM subnet



Aturan ini akan diterapkan untuk semua adapter jaringan virtual VM yang tersambung ke subnet VM ini.

Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Baru-SCVMSubnet [-PortACL <NetworkAccessControlList>] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda menentukan port ACL untuk VM subnet selama pembuatan.

Set-SCVMSubnet [-PortACL <NetworkAccessControlList> | - RemovePortACL] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda mengatur port ACL untuk VM subnet.

-RemovePortACL: parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari VM subnet.

Get-SCVMSubnet: mengembalikan port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 


Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 


Adapter jaringan virtual VM (vmNIC)



Ada Cmdlet PowerShell yang diperbarui dengan parameter baru untuk memasang dan melepas port ACL.

Baru-SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda menentukan port ACL ke adaptor jaringan virtual saat Anda membuat vNIC baru.

Set-SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList> | - RemovePortACL] [sisa parameter]

-PortACL: parameter opsional baru yang memungkinkan Anda mengatur port ACL ke adaptor jaringan virtual.

-RemovePortACL: parameter opsional baru yang menghapus setiap dikonfigurasi port ACL dari adaptor jaringan virtual.

Get-SCVirtualNetworkAdapter: mengembalikan port dikonfigurasi ACL pada objek yang dikembalikan.

Contoh perintah

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 


Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 


Menerapkan aturan ACL port

Ketika Anda me-refresh VM setelah Anda memasang ACL port, Anda memperhatikan bahwa status VM ditampilkan sebagai "Tidak kompatibel" di tampilan lembar kerja Mesin Virtual. (Untuk beralih ke tampilan Mesin Virtual, Anda harus terlebih dahulu menjelajah ke simpul Logis jaringan atau Switch Logis node lembar kerja). Berhati-hatilah VM refresh terjadi secara otomatis di latar belakang (sesuai jadwal). Oleh karena itu, bahkan jika Anda tidak me-refresh VM secara eksplisit, mereka akan masuk ke keadaan noncompliant akhirnya.

alternate text

Pada titik ini, ACL port tidak belum Terapkan ke VM dan adapter jaringan virtual yang relevan. Untuk menerapkan ACL port, Anda harus memicu proses yang disebut sebagai remediasi. Ini tidak terjadi secara otomatis dan harus dijalankan secara eksplisit berdasarkan permintaan pengguna.

Untuk memulai remediasi, Anda klik Remediate pada pita atau menjalankan cmdlet SCVirtualNetworkAdapter perbaikan . Ada tidak ada perubahan tertentu untuk cmdlet sintaks untuk fitur ini.

Repair-SCVirtualNetworkAdapter - VirtualNetworkAdapter <VirtualNetworkAdapter>

Remediating VM ini akan menandai mereka sebagai sesuai dan akan memastikan ACL diperpanjang port yang diterapkan. Berhati-hatilah bahwa port ACL tidak akan berlaku untuk setiap VM dalam lingkup sebelum Anda memulihkan secara eksplisit.

Melihat port ACL aturan

Untuk melihat ACL dan ACL aturan, Anda dapat menggunakan cmdlet PowerShell berikut.

Cmdlet PowerShell baru yang ditambahkan



Ambil ACL port

Parameter ditetapkan 1. Untuk mendapatkan semua atau dengan nama: Get-SCPortACL [-nama <>]

Parameter ditetapkan 2. Untuk mendapatkan dengan ID: Get-SCPortACL -Id <> [-nama <>]

Mengambil port ACL aturan

Parameter ditetapkan 1. Semua atau dengan nama: Get-SCPortACLrule [-nama <>]

Parameter ditetapkan 2. Dengan ID: Get SCPortACLrule -Id <>

Parameter ditetapkan 3. Dengan objek ACL: Get-SCPortACLrule -PortACL <NetworkAccessControlList>

Memperbarui port ACL aturan

Ketika Anda memutakhirkan ACL yang dilampirkan ke adaptor jaringan, perubahan tercermin pada semua contoh adaptor jaringan yang menggunakan ACL tersebut. Untuk ACL yang dilampirkan ke VM subnet atau jaringan VM, Semua contoh adaptor jaringan yang tersambung ke subnet yang diperbarui dengan perubahan.

Catatan Memperbarui aturan ACL pada adaptor jaringan pribadi dijalankan secara paralel dalam skema usaha terbaik satu-coba. Adaptor yang tidak dapat diperbarui karena alasan apa pun yang ditandai "keamanan dimulai", dan tugas selesai dengan pesan galat yang menyatakan bahwa adaptor jaringan tidak diperbarui berhasil. "Security dimulai" di sini merujuk ke ketidakcocokan dalam diharapkan versus aktual ACL aturan. Adaptor akan memiliki status kepatuhan "Tidak kompatibel" bersama-sama dengan pesan galat yang relevan. Lihat bagian sebelumnya untuk informasi selengkapnya tentang remediating noncompliant mesin virtual.

Cmdlet PowerShell yang baru ditambahkan

Set-SCPortACL - PortACL <PortACL> [-nama <nama>] [-Deskripsi < description >]

Set-SCPortACLrule - PortACLrule <PortACLrule> [-nama <nama>] [-Deskripsi <string>] [-ketik <PortACLRuleDirection> {Inbound | Keluar}] [-tindakan <PortACLRuleAction> {memungkinkan | Menolak}] [-SourceAddressPrefix <string>] [-SourcePortRange <string>] [-DestinationAddressPrefix <string>] [-DestinationPortRange <string>] [-protokol <PortACLruleProtocol> {Tcp | UDP | Setiap}]

Set-SCPortACL: mengubah port ACL keterangan.

  • Deskripsi: Pembaruan keterangan.


Set-SCPortACLrule: mengubah port ACL aturan parameter.

  • Keterangan: Pembaruan Deskripsi.

  • Jenis: Pembaruan arah diterapkan ACL.

  • Tindakan: Pembaruan tindakan ACL.

  • Protokol: Pembaruan protokol yang ACL akan diterapkan.

  • Prioritas: Pembaruan prioritas.

  • SourceAddressPrefix: Pembaruan sumber alamat awalan.

  • SourcePortRange: Pembaruan kisaran port sumber.

  • DestinationAddressPrefix: Pembaruan awalan alamat tujuan.

  • DestinationPortRange: Pembaruan kisaran port tujuan.

Menghapus port ACL dan port ACL aturan

ACL dapat dihapus hanya jika ada dependensi tidak terpasang untuk itu. Dependensi termasuk VM jaringan VM subnet virtual adaptor global pengaturan jaringan yang terpasang ACL. Ketika Anda mencoba untuk menghapus port ACL menggunakan PowerShell cmdlet, cmdlet akan mendeteksi apakah port ACL dilampirkan ke salah satu ketergantungan dan akan memunculkan pesan kesalahan yang sesuai.

Menghapus ACL port

Cmdlet PowerShell yang baru ditambahkan:

Hapus-SCPortACL - PortACL <NetworkAccessControlList>

Menghapus port ACL aturan

Cmdlet PowerShell yang baru ditambahkan:

Hapus-SCPortACLRule - PortACLRule <NetworkAccessControlListRule>

Perhatikan bahwa menghapus VM subnet VM jaringan/adaptor jaringan secara otomatis menghapus asosiasi dengan ACL tersebut.

ACL juga dapat berhubungan dari adaptor jaringan jaringan subnet VM VM dengan mengubah objek jaringan VMM masing-masing. Untuk melakukannya, gunakan Set - cmdlet bersama - RemovePortACL switch, seperti dijelaskan di bagian sebelumnya. Dalam kasus ini, port ACL akan terlepas dari masing-masing Jaringan objek tetapi tidak akan dihapus dari infrastruktur VMM. Oleh karena itu, ini dapat digunakan nanti.

Perubahan Out of band ACL aturan

Jika kami melakukan perubahan (OOB) out of band ACL aturan dari port virtual switch Hyper-V (menggunakan cmdlet Hyper-V asli seperti Tambah-VMNetworkAdapterExtendedAcl), VM Refresh akan menampilkan adaptor jaringan sebagai "Keamanan Incompliant." Adaptor jaringan kemudian dapat remediated dari VMM seperti dijelaskan di bagian "Menerapkan port ACL". Namun, perbaikan akan menimpa semua port ACL aturan yang ditentukan di luar VMM dengan yang diharapkan oleh VMM.

Port ACL aturan prioritas dan aplikasi lebih diutamakan (lanjut)

Konsep inti



Setiap aturan ACL port pada port ACL memiliki properti yang bernama "Prioritas." Aturan diterapkan dalam urutan berdasarkan prioritas mereka. Prinsip inti berikut ini menetapkan aturan didahulukan:

  • Prioritas yang lebih rendah nomor, adalah prioritas tinggi. Yaitu, jika banyak port ACL aturan bertentangan setiap lain, aturan dengan prioritas yang lebih rendah wins.

  • Tindakan aturan tidak mempengaruhi didahulukan. Yaitu, seperti ACL NTFS (misalnya), di sini kita tidak memiliki konsep seperti "Tolak selalu lebih diutamakan daripada Izinkan".

  • Yang sama prioritas (sama nilai numerik), Anda tidak dapat memiliki dua aturan dengan arah yang sama. Perilaku ini mencegah hipotetis situasi di mana yang dapat menetapkan aturan "Tolak" dan "Mengizinkan" dengan prioritas yang sama, karena ini akan menghasilkan ambiguitas, atau konflik.

  • Konflik didefinisikan sebagai dua atau lebih aturan prioritas yang sama dan arah yang sama. Konflik dapat terjadi jika ada dua port ACL aturan dengan sama prioritas arah dalam dua ACL yang diaplikasikan pada level yang berbeda, dan jika tingkat tersebut sebagian tumpang tindih. Yaitu, mungkin ada objek (misalnya, vmNIC) yang jatuh dalam lingkup tingkat kedua. Contoh umum tumpang tindih adalah VM jaringan dan VM subnet di jaringan yang sama.

Menerapkan beberapa port ACL ke satu entitas

Karena port ACL dapat menerapkan berbeda VMM jaringan objek (atau pada tingkat yang berbeda, seperti dijelaskan sebelumnya), adaptor jaringan virtual VM tunggal (vmNIC) dapat jatuh ke dalam lingkup beberapa port ACL. Dalam skenario ini, port ACL aturan dari semua ACL port yang digunakan. Namun, didahulukan aturan tersebut dapat berbeda, tergantung pada beberapa VMM baru fine-tuning pengaturan yang disebutkan kemudian di artikel ini.

Pengaturan registri

Pengaturan tersebut didefinisikan sebagai nilai Dword yang ada di registri Windows di bawah kunci berikut ini di server manajemen VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings
Perhatikan bahwa semua pengaturan ini akan mempengaruhi perilaku port ACL sepanjang infrastruktur VMM keseluruhan.

Efektif port ACL aturan prioritas

Dalam diskusi ini, kami akan menjelaskan lebih diutamakan aktual port ACL aturan bila beberapa port ACL diterapkan ke satu entitas efektif aturan prioritas. Perhatikan bahwa ada pengaturan terpisah atau objek di VMM untuk menetapkan atau melihat efektif prioritas aturan. Dihitung di runtime.

Ada dua mode global di mana efektif aturan prioritas dapat dihitung. Mode diaktifkan oleh pengaturan registri:

PortACLAbsolutePriority
Nilai yang dapat diterima untuk pengaturan ini adalah 0 (nol) atau 1, di mana 0 menunjukkan perilaku default.

Prioritas relatif (perilaku default)

Untuk mengaktifkan mode ini, tetapkan properti PortACLAbsolutePriority dalam registri untuk nilai 0 (nol). Mode ini juga berlaku jika setelan tidak ditetapkan di registri (yaitu, jika properti tidak dibuat).

Dalam mode ini, prinsip berikut berlaku Selain konsep inti yang telah dijelaskan sebelumnya:

  • Prioritas dalam port yang sama ACL dipertahankan. Oleh karena itu, prioritas nilai yang ditetapkan di setiap aturan diperlakukan sebagai relatif dalam ACL.

  • Ketika Anda menerapkan beberapa port ACL, aturan yang digunakan dalam ember. Aturan dari ACL sama (terpasang ke objek tertentu) yang digunakan bersama-sama dalam bucket sama. Didahulukan tertentu ember tergantung pada objek yang terpasang port ACL.

  • Di sini, aturan yang ditetapkan di tataan global ACL (terlepas dari prioritas mereka sendiri seperti yang didefinisikan di port ACL) selalu lebih diutamakan daripada aturan yang ditetapkan di ACL yang diterapkan ke vmNIC, dan seterusnya. Dengan kata lain, pemisahan lapisan diterapkan.


Terakhir, efektif aturan prioritas dapat berbeda dari nilai angka yang Anda tentukan pada port ACL aturan properti. Informasi lebih lanjut tentang bagaimana perilaku ini didukung dan bagaimana Anda dapat mengubah dengan logika berikut.

  1. Urutan di mana tiga tingkat "objek khusus" (yaitu, vmNIC, VM subnet, dan jaringan VM) diutamakan dapat diubah.

    1. Urutan pengaturan global tidak berubah. Itu selalu lebih diutamakan tertinggi (atau urutan = 0).

    2. Untuk tingkat tiga lainnya, Anda dapat mengkonfigurasi pengaturan berikut untuk nilai numerik antara 0 dan 3, di mana 0 adalah didahulukan tertinggi (sama dengan pengaturan global) dan 3 didahulukan Terendah:

      • PortACLVMNetworkAdapterPriority (asali adalah 1)

      • PortACLVMSubnetPriority (asali adalah 2)

      • PortACLVMNetworkPriority (asali adalah 3)

    3. Jika Anda menetapkan nilai yang sama (0 hingga 3) untuk pengaturan registri ini beberapa, atau jika Anda menetapkan nilai di luar kisaran 0 hingga 3, VMM akan gagal kembali ke perilaku default.

  2. Cara bahwa memesan diterapkan adalah efektif aturan prioritas diubah sehingga ACL aturan yang ditetapkan pada tingkat yang lebih tinggi menerima prioritas tinggi (yaitu, lebih kecil nilai numerik). Ketika efektif ACL dihitung, setiap aturan relatif prioritas nilai adalah "bertemu" khusus tingkat nilai atau "langkah."

  3. Nilai tingkat khusus adalah "langkah" yang memisahkan tingkat yang berbeda. Secara asali, ukuran "langkah" adalah 10000 dan dikonfigurasi dengan pengaturan registri berikut ini:

    PortACLLayerSeparation

  4. Ini berarti bahwa, dalam mode ini, setiap aturan prioritas dalam ACL (yaitu, aturan yang akan diperlakukan sebagai relatif) tidak dapat melebihi nilai setelan berikut:

    PortACLLayerSeparation (secara asali, 10000)

Contoh konfigurasi

Berasumsi bahwa semua pengaturan yang memiliki nilai bawaannya. (Ini dijelaskan sebelumnya.)

  1. Kami telah ACL yang dilampirkan ke vmNIC (PortACLVMNetworkAdapterPriority = 1).

  2. Prioritas efektif untuk semua aturan yang ditetapkan di ACL ini bertemu dengan 10000 (PortACLLayerSeparation nilai).

  3. Kami menetapkan Aturan di ACL yang memiliki prioritas yang diatur ke 100.

  4. Prioritas efektif untuk aturan ini akan 10000 + 100 = 10100.

  5. Aturan akan diutamakan daripada aturan lain dalam ACL sama prioritas lebih dari 100.

  6. Aturan akan selalu diutamakan daripada aturan yang ditetapkan di ACL yang terpasang di VM jaringan dan tingkat subnet VM. (Ini benar karena mereka dianggap sebagai "rendah").

  7. Aturan akan pernah diutamakan daripada aturan yang ditetapkan di tataan global ACL.

Keunggulan dari mode ini

  • Ada keamanan yang lebih baik dalam skenario multi-penyewa karena port ACL aturan yang ditetapkan oleh admin kain (pada tingkat tataan Global) akan selalu lebih diutamakan daripada aturan yang didefinisikan oleh penyewa sendiri.

  • Konflik aturan ACL port (yaitu, ambiguitas) dicegah secara otomatis karena lapisan pemisahan. Sangat mudah untuk memprediksi aturan yang akan efektif dan mengapa.

Perhatian dengan mode ini

  • Fleksibilitas kurang. Jika Anda menetapkan Aturan (misalnya, "Tolak semua lalu lintas ke port 80") dalam pengaturan global, Anda tidak dapat membuat pengecualian lebih rinci dari aturan ini pada lapisan rendah (misalnya, "Izinkan port 80 hanya di VM yang menjalankan server web yang sah").

Prioritas relatif

Untuk mengaktifkan mode ini, tetapkan properti PortACLAbsolutePriority dalam registri untuk nilai 1.

Dalam mode ini, prinsip berikut berlaku Selain konsep inti yang dijelaskan sebelumnya:

  • Jika objek jatuh dalam lingkup ACL multi (misalnya, VM subnet jaringan dan VM), semua aturan yang ditetapkan di setiap ACL terlampir diterapkan urutan terpadu (atau sebagai bucket tunggal). Ada tingkat pemisahan dan tidak ada "menabrak" apa pun.

  • Semua aturan prioritas diperlakukan sebagai absolut, persis seperti yang didefinisikan di setiap aturan prioritas. Dengan kata lain, prioritas efektif untuk setiap aturan adalah sama dengan yang ditetapkan di aturan sendiri dan tidak berubah dengan mesin VMM sebelum berlaku.

  • Pengaturan registri lainnya yang dijelaskan di bagian sebelumnya tidak berpengaruh.

  • Dalam mode ini, setiap individu aturan prioritas ACL (yaitu, prioritas aturan yang akan diperlakukan sebagai absolut) tidak boleh melebihi 65535.

Contoh konfigurasi
  1. Pengaturan global ACL, Anda menetapkan aturan prioritas yang diatur ke 100.

  2. Di ACL yang dilampirkan ke vmNIC, Anda menetapkan aturan prioritas yang diatur ke 50.

  3. Aturan yang ditetapkan pada tingkat vmNIC lebih diutamakan karena memiliki prioritas tinggi (yaitu, bawah nilai numerik).

Keuntungan dari mode ini

  • Lebih banyak fleksibilitas. Anda dapat membuat "salah satu" pengecualian dari aturan global pengaturan pada tingkat yang lebih rendah (misalnya, VM subnet atau vmNIC).

Perhatian dengan mode ini

  • Perencanaan mungkin menjadi lebih kompleks karena ada tingkat pemisahan. Dan dapat aturan pada tingkat yang mengabaikan aturan lain yang ditetapkan pada objek lain.

  • Dalam lingkungan multi-penyewa, keamanan dapat terpengaruh karena penghuni dapat membuat aturan pada tingkat subnet VM yang menimpa kebijakan yang didefinisikan oleh admin kain di tingkat tataan global.

  • Konflik aturan (yaitu, ambiguitas) tidak menghapus secara otomatis dan dapat terjadi. VMM dapat mencegah konflik hanya pada tingkat ACL yang sama. Itu tidak mencegah konflik di ACL yang dilampirkan ke objek yang berbeda. Dalam kasus konflik, karena VMM tidak dapat mengatasi konflik secara otomatis, hal itu akan berhenti menerapkan aturan dan akan membuang galat.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×