Il supporto per la distribuzione estesa porta ACL in System Center 2012 R2 VMM con aggiornamento cumulativo 8 per Hyper-V

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3101161
Sommario
Gli amministratori di Microsoft System Center 2012 R2 di Virtual Machine Manager (VMM) possono ora creare e gestire centralmente la tecnologia Hyper-V porta elenchi di controllo accesso (ACL) in VMM.
Informazioni
Per ulteriori informazioni sull'aggiornamento cumulativo 8 per System Center 2012 R2 di Virtual Machine Manager, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

3096389 Aggiornamento cumulativo 8 per System Center 2012 R2 di Virtual Machine Manager

Glossario

Il modello a oggetti di Virtual Machine Manager sono stati migliorati mediante l'aggiunta di nuovi concetti seguenti nell'area di gestione di rete.
  • Elenco di controllo di accesso di porta (porta ACL)
    Un oggetto collegato a varie primitive rete VMM per descrivere la protezione della rete. La porta ACL funge da un insieme di voci di controllo di accesso o regole ACL. Un ACL può essere collegato a qualsiasi numero di rete primitive, ad esempio una rete VM, subnet VM, scheda di rete virtuale o il server di gestione VMM stesso VMM (zero o più). Un ACL può contenere qualsiasi numero di regole ACL (zero o più). Ogni compatibile VMM primitivi di rete (rete VM, subnet VM, scheda di rete virtuale o il server di gestione di VMM) può avere una porta che ACL allegato o nessuno.
  • Voce di controllo di accesso di porta o la regola ACL
    Un oggetto che descrive i criteri di filtro. Più regole ACL possono presente nella stessa porta ACL e applicare in base alle loro priorità. Ogni regola ACL corrisponde alla porta esattamente un ACL.
  • Impostazioni globali
    Un concetto virtuale che descrive una porta ACL da applicare a tutte le schede di rete virtuale VM nell'infrastruttura. Non vi è alcun tipo di oggetto separato per le impostazioni globali. Invece la porta di impostazioni globali ACL si connette al server di gestione VMM stesso. L'oggetto server di gestione VMM può avere una porta ACL o nessuno.
Per informazioni sugli oggetti che erano precedentemente disponibili nell'area di gestione di rete, vedere Nozioni di base oggetto di rete di Virtual Machine Manager.

Cosa posso fare con questa funzionalità?

Utilizzando l'interfaccia di PowerShell in VMM, è ora possibile effettuare le seguenti operazioni:
  • Definire gli ACL di porta e le regole ACL.
    • Le regole vengono applicate alle porte di commutazione virtuale sul server Hyper-V come "porta estesa ACL" (VMNetworkAdapterExtendedAcl) nella terminologia di Hyper-V. Ciò significa che possono essere applicati solo ai server host Windows Server 2012 R2 (e Hyper-V Server 2012 R2).
    • VMM non creerà gli ACL di porta "legacy" Hyper-V (VMNetworkAdapterAcl). Pertanto, non è possibile applicare ACL porta ai server host Windows Server 2012 (o Hyper-V Server 2012) tramite VMM.
    • Tutte le regole di porta ACL definiti in VMM tramite questa funzionalità sono stateful (per TCP). È possibile creare regole ACL senza informazioni sullo stato per TCP tramite VMM.
    Per ulteriori informazioni sulla funzionalità estesa porta ACL in Windows Server 2012 R2 Hyper-V, vedere Creare criteri di protezione con gli elenchi di controllo di accesso esteso porta per Windows Server 2012 R2.
  • Collegare una porta ACL alle impostazioni globali. Questo viene applicato a tutte le schede di rete virtuale VM. È disponibile solo per amministratori completi.
  • Collegare gli ACL di porta che vengono creati a una rete VM, VM subnet o schede di rete virtuali VM. È disponibile per amministratori completi, tenant amministratori e utenti self-service (self).
  • Consente di visualizzare e aggiornare le regole di porta ACL che vengono configurate per il singolo vNIC VM.
  • Eliminare gli ACL di porta e le regole ACL.
Ognuna di queste azioni viene descritto in dettaglio più avanti in questo articolo.

Assicurarsi che questa funzionalità viene esposta solo attraverso i cmdlet PowerShell e non verranno riflesse nella console di VMM dell'interfaccia utente (fatta eccezione per lo stato di "Conformità").

Non posso con questa funzionalità?

  • Gestire o aggiornare le singole regole per una singola istanza quando l'ACL viene condiviso tra più istanze. Tutte le regole sono gestite centralmente in ACL padre e si applicano ogni qualvolta l'ACL è collegato.
  • Collegare più di un ACL a un'entità.
  • Applicare gli ACL di porta per schede di rete virtuale (vNICs) nella partizione padre di Hyper-V (gestione del sistema operativo).
  • Creare regole di porta ACL che includono i protocolli di livello IP (diversi da TCP o UDP).
  • Applicare ACL di porta a reti logiche, siti della rete (definizioni di rete logica), VLAN subnet e altre primitive rete VMM non elencate in precedenza.

Come è possibile utilizzare la funzionalità?

Definizione nuovo ACL di porta e le regole di porta ACL

È ora possibile creare elenchi ACL e le regole ACL direttamente da in VMM utilizzando i cmdlet PowerShell.

Creare un nuovo elenco ACL

Vengono aggiunti nuovi cmdlet PowerShell seguenti:

SCPortACL-nuovo -nomestringa> [– Descrizionestringa>]

– Nome: Nome della porta di ACL

– Descrizione: Descrizione della porta di ACL (parametro facoltativo)

Get-SCPortACL

Recupera tutti gli ACL di porta

– Nome: Se lo si desidera filtrare in base al nome

– ID: se lo si desidera filtrare in base all'ID

Comandi di esempio

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definire le regole di porta ACL per la porta di ACL
Ogni porta ACL è costituito da un insieme di regole di porta ACL. Ogni regola contiene diversi parametri.

  • Nome
  • Descrizione
  • Tipo: In ingresso/uscita (direzione in cui verrà applicata l'ACL)
  • Azione: Consentire/Deny (l'azione dell'ACL, per consentire il traffico o bloccare il traffico)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protocollo: TCP/Udp/qualsiasi (Nota: i protocolli di livello IP non sono supportati in ACL porta definiti da VMM. Sono ancora supportati in modo nativo da Hyper-V.)
  • Priorità: tra 1 e 65535 (numero più basso ha priorità più alta). Questo livello di priorità è relativo al livello in cui è applicata. (Ulteriori informazioni sulle modalità di applicazione regola ACL in base alla priorità e l'oggetto a cui l'ACL segue associate).

Nuovi cmdlet PowerShell che vengono aggiunti

Nuovo-SCPortACLrule - PortACLPortACL>-Nomestringa> [-Descrizione <string>]-tipo <Inbound |="" outbound="">-azione <Allow |="" deny="">-priorità <uint16>-protocollo <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Recupera tutte le regole ACL di porta.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nome: Se lo si desidera filtrare in base al nome
  • ID: Se lo si desidera filtrare in base all'ID
  • PortACL: Se lo si desidera filtrare dalla porta ACL
Comandi di esempio

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Collegamento e scollegamento di ACL porta



Gli ACL possono essere collegati al seguente:
  • Impostazioni globali (si applica a tutte le schede di rete macchina virtuale. Solo amministratori completi farlo.)
  • Rete VM (admins completo/tenant admins/Self può farlo.)
  • Subnet VM (admins completo/tenant admins/Self può farlo.)
  • Schede di rete virtuali (admins completo/tenant admins/Self può farlo.)

Impostazioni globali

Queste regole ACL porta si applicano a tutte le schede di rete virtuale VM nell'infrastruttura.

I cmdlet PowerShell esistenti sono stati aggiornati con i nuovi parametri di collegamento e scollegamento di ACL di porta.

Set-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nuovo parametro facoltativo che consente di configurare la porta specificata ACL alle impostazioni globali.
  • RemovePortACL: Nuovo parametro facoltativo che consente di rimuovere qualsiasi porta ACL dalle impostazioni globali configurata.
Get-SCVMMServer: restituisce la porta configurata ACL nell'oggetto restituito.

Comandi di esempio

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Rete VM


Queste regole verranno applicate a tutte le schede di rete virtuale VM connessi alla rete macchina virtuale.

I cmdlet PowerShell esistenti sono stati aggiornati con i nuovi parametri di collegamento e scollegamento di ACL di porta.

Nuovo-SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [altri parametri]

-PortACL: nuovo parametro facoltativo che consente di specificare una porta ACL di rete macchina virtuale durante la creazione.

Set-SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [altri parametri]

-PortACL: nuovo parametro facoltativo che consente di imposta una porta ACL di rete macchina virtuale.

-RemovePortACL: nuovo parametro facoltativo che consente di rimuovere qualsiasi configurazione porta ACL dalla rete macchina virtuale.

Get-SCVMNetwork: restituisce la porta configurata ACL nell'oggetto restituito.

Comandi di esempio

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Subnet VM


Queste regole verranno applicate a tutte le schede di rete virtuale VM connessi a questa subnet VM.

Sono stati aggiornati i cmdlet PowerShell esistenti con nuovo parametro di collegamento e scollegamento di ACL di porta.

Nuovo-SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [altri parametri]

-PortACL: nuovo parametro facoltativo che consente di specificare una porta ACL alla subnet VM durante la creazione.

Set-SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [altri parametri]

-PortACL: nuovo parametro facoltativo che consente di imposta una porta ACL alla subnet VM.

-RemovePortACL: nuovo parametro facoltativo che consente di rimuovere qualsiasi configurazione porta ACL dalla subnet VM.

Get-SCVMSubnet: restituisce la porta configurata ACL nell'oggetto restituito.

Comandi di esempio

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Scheda di rete virtuale VM (vmNIC)


I cmdlet PowerShell esistenti sono stati aggiornati con i nuovi parametri di collegamento e scollegamento di ACL di porta.

Nuovo-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [altri parametri]

-PortACL: nuovo parametro facoltativo che consente di specificare una porta ACL alla scheda di rete virtuale durante la creazione di un nuovo vNIC.

Set-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [altri parametri]

-PortACL: nuovo parametro facoltativo che consente di imposta una porta ACL alla scheda di rete virtuale.

-RemovePortACL: nuovo parametro facoltativo che consente di rimuovere qualsiasi porta ACL dalla scheda di rete virtuale è configurato.

Get-SCVirtualNetworkAdapter: restituisce la porta configurata ACL nell'oggetto restituito.

Comandi di esempio

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Applicazione delle regole di porta ACL

Quando si aggiornano le macchine virtuali dopo aver collegato gli ACL di porta, si nota che lo stato delle macchine virtuali viene visualizzato come"non" nella visualizzazione dell'area di lavoro tessuto macchina virtuale. (Per passare alla visualizzazione di macchina virtuale, è necessario innanzitutto individuare il nodo di Reti logiche o il nodo Switch logico dell'area di lavoro Fabric). Si tenga presente che l'aggiornamento VM avviene automaticamente in background (pianificazione). Pertanto, anche se non si aggiornano in modo esplicito le macchine virtuali, verrà entrano in uno stato non conforme alla fine.



A questo punto, gli ACL di porta non hanno ancora applicato a macchine virtuali e le schede di rete virtuale pertinente. Per applicare gli ACL di porta, è necessario attivare un processo noto come monitoraggio e aggiornamento. Questo non avviene automaticamente e deve essere avviato in modo esplicito su richiesta dell'utente.

Per avviare monitoraggio e aggiornamento, scegliere Remediate sulla barra multifunzione oppure eseguire il cmdlet SCVirtualNetworkAdapter di riparazione . Non sono presenti modifiche particolare sintassi di cmdlet per questa funzionalità.

Ripristino-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Ripristinando le macchine virtuali verrà contrassegnato come compatibile e verrà assicurarsi che vengano applicati gli ACL esteso porta. Si tenga presente che porta ACL non verrà applicata a tutte le macchine virtuali nell'ambito fino a quando non si correggere in modo esplicito.

Visualizzare le regole di porta ACL

Per visualizzare gli elenchi ACL e ACL regole, è possibile utilizzare il cmdlet PowerShell seguenti.

Nuovi cmdlet PowerShell che vengono aggiunti

Recuperare gli ACL di porta

Parametro impostato a 1. Per ottenere tutti o al nome: Get-SCPortACL [-nome <> </>]

Parametro set 2. Per ottenere dall'ID: Get-SCPortACL -Id <> [-nome <> </>]

Recuperare le regole di porta ACL

Parametro impostato a 1. Tutte o per nome: Get-SCPortACLrule [-nome <> </>]

Parametro set 2. In base all'ID: Get-SCPortACLrule -Id <>

Parametro impostato a 3. Dall'oggetto ACL: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Aggiornamento delle regole di porta ACL

Quando si aggiorna l'ACL che è collegato alle schede di rete, le modifiche vengono riportate in tutte le varianti della scheda di rete che utilizzano tale ACL. Per un ACL che è associato a una subnet VM o di rete macchina virtuale, tutte le istanze di scheda di rete connesse a tale subnet vengono aggiornate con le modifiche.

Nota Aggiornamento regole ACL su singole schede di rete viene eseguita in parallelo una combinazione di provare a uno sforzo. Schede di rete che non possono essere aggiornati per qualsiasi motivo sono contrassegnati come "security incompliant" e l'attività finisce con un messaggio di errore indicante che le schede di rete non sono state aggiornate correttamente. "Protezione incompliant" qui si intende una mancata corrispondenza del previsto e regole ACL effettive. La scheda disporrà di uno stato di conformità di "Non compatibile" tra loro con messaggi di errore. Vedere la sezione precedente per ulteriori informazioni su aggiornando le macchine virtuali non conformi.
Aggiunto nuovo cmdlet di PowerShell
Set-SCPortACL - PortACLPortACL> [-NomeNome&gt;] [-Descrizione <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Nomenome&gt;] [-Descrizionestringa&gt;] [-TipoPortACLRuleDirection> {In entrata | In uscita}] [-azionePortACLRuleAction> {Consentire | Negare}] [-SourceAddressPrefixstringa&gt;] [-SourcePortRangestringa&gt;] [-DestinationAddressPrefixstringa&gt;] [-DestinationPortRangestringa&gt;] [-ProtocolloPortACLruleProtocol> {Tcp | UDP | Qualsiasi}]

Set-SCPortACL: modifica la descrizione di ACL di porta.
  • Descrizione: Aggiorna la descrizione.

Set-SCPortACLrule: modifica i parametri della regola porta ACL.
  • Descrizione: Aggiorna la descrizione.
  • Tipo: Aggiorna la direzione in cui l'ACL viene applicata.
  • Azione: Consente di aggiornare l'azione dell'ACL.
  • Protocollo: Aggiorna il protocollo a cui verrà applicata l'ACL.
  • Priorità: Aggiorna la priorità.
  • SourceAddressPrefix: Aggiorna il prefisso di indirizzo di origine.
  • SourcePortRange: Aggiorna l'intervallo di porte di origine.
  • DestinationAddressPrefix: Aggiorna il prefisso dell'indirizzo di destinazione.
  • DestinationPortRange: Aggiorna l'intervallo di porte di destinazione.

Eliminazione porta ACL e le regole di porta ACL

Un ACL può essere eliminato solo se non esistono dipendenze collegate. Dipendenze includono VM rete/VM virtuale/subnet rete adattatore/impostazioni globali che sono collegate all'ACL. Quando si tenta di eliminare una porta ACL utilizzando il cmdlet PowerShell, il cmdlet rileverà se la porta ACL è associato a tutte le dipendenze e genererà messaggi di errore appropriati.

Rimozione porta ACL

Sono stati aggiunti nuovi cmdlet PowerShell:

Rimuovi-SCPortACL - PortACLNetworkAccessControlList>

Rimuovere tali regole ACL

Sono stati aggiunti nuovi cmdlet PowerShell:

Rimuovi-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Si tenga presente che l'eliminazione di una macchina virtuale di rete subnet/VM/scheda di rete rimuove automaticamente l'associazione con l'ACL.

Un ACL può inoltre essere dissociato dalla scheda di rete/subnet/VM VM modificando il rispettivo oggetto rete di VMM. A tale scopo, utilizzare il cmdlet Set - con l'opzione - RemovePortACL , come descritto nelle sezioni precedenti. In questo caso, la porta ACL sarà disconnesso dall'oggetto rispettiva rete ma non verrà eliminato dall'infrastruttura di VMM. Pertanto, può essere riutilizzato in seguito.

Out-of-band modifiche alle regole ACL

Ciò out-of-band (OOB) modifiche alle regole ACL dalla porta di switch virtuale Hyper-V (utilizzando cmdlet nativi di Hyper-V come Add-VMNetworkAdapterExtendedAcl), aggiornamento di VM saranno visualizzati la scheda di rete come "Incompliant di protezione". Scheda di rete può quindi essere applicati i rimedi da VMM come descritto nella sezione "Applicazione porta ACL". Tuttavia, monitoraggio e aggiornamento sovrascriverà tutte le regole ACL porta definiti all'esterno di VMM con quelle previste da VMM.

Porta ACL priorità e applicazione di precedenza delle regole (avanzata)

Concetti di base

Ogni regola di porta ACL in un porto ACL ha una proprietà denominata "Priority". Le regole vengono applicate nell'ordine in base alla priorità. I seguenti principi fondamentali di definire la precedenza delle regole:
  • Minore sarà la priorità di numero, maggiore sarà la precedenza è. Ovvero, se più regole di porta ACL contraddicono ogni altro, prevale la regola con priorità più bassa.
  • L'azione regola non influenza la precedenza. Ovvero, a differenza di ACL NTFS (ad esempio), qui non è un concetto simile "Deny ha sempre la precedenza su Consenti".
  • La stessa priorità (valore numerico stesso), non è possibile avere due regole con la stessa direzione. Questo comportamento impedisce una situazione ipotetica in cui uno potrebbe definire "Nega" e "Consenti" regole con uguale priorità, poiché in questo modo, nell'ambiguità o un conflitto.
  • Un conflitto è definito come due o più regole aventi la stessa priorità e la stessa direzione. Se vi sono due regole di porta ACL con la stessa priorità e la direzione in due elenchi ACL sono applicate a diversi livelli e i livelli si sovrappongono parzialmente, potrebbe verificarsi un conflitto. In altre parole, potrebbe essere un oggetto (ad esempio, vmNIC) che rientra nell'ambito di entrambi i livelli. Un esempio comune di sovrapposizione è una rete macchina virtuale e la subnet di macchina virtuale nella stessa rete.

Applicare gli ACL di porta più di una singola entità

Perché porta ACL può applicarsi a VMM di diversi oggetti di rete (o su livelli diversi, come descritto in precedenza), una singola scheda di rete virtuale VM (vmNIC) può rientrare nell'ambito di più porte ACL. In questo scenario, vengono applicate le regole di porta ACL da tutti gli ACL di porta. Tuttavia, la precedenza delle regole può essere diversa a seconda di diversi nuovo VMM ottimizzare le impostazioni descritte più avanti in questo articolo.

Impostazioni del Registro di sistema

Tali impostazioni sono definite come valori Dword nel Registro di sistema di Windows sul server di gestione VMM nella chiave seguente:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Assicurarsi che tutte queste impostazioni verranno applicate il comportamento della porta ACL nell'intera infrastruttura di VMM.

Priorità di regola di porta effettivo ACL

In questa sezione, verranno descritti la precedenza delle regole di porta ACL effettiva quando vengono applicati gli ACL di porta più di una singola entità come priorità regola efficace. Assicurarsi che non vi sia alcuna impostazione separata o un oggetto in VMM per definire o visualizzare efficace regola di priorità. Viene calcolato in fase di esecuzione.

Esistono due modalità globale in cui può essere calcolata efficace regola di priorità. Le modalità vengono scambiate dall'impostazione del Registro di sistema:
PortACLAbsolutePriority

I valori accettabili per questa impostazione sono 0 (zero) o 1, dove 0 indica il comportamento predefinito.

Priorità relativa (impostazione predefinita)

Per attivare questa modalità, impostare la proprietà PortACLAbsolutePriority nel Registro di sistema su un valore pari a 0 (zero). Questa modalità si applica anche se l'impostazione non è definito nel Registro di sistema (ovvero, se la proprietà non viene creata).

In questa modalità, oltre i concetti principali illustrati in precedenza devono essere i seguenti principi:
  • La priorità all'interno della stessa porta ACL viene mantenuta. Pertanto, i valori di priorità definiti in ogni regola vengono considerati come relativa all'interno dell'elenco ACL.
  • Quando si applica più porta ACL, vengono applicate le regole nel bucket. Le regole dall'ACL stessa (associati a un determinato oggetto) vengono applicate contemporaneamente in stesso bucket. La precedenza di bucket particolare dipende dall'oggetto a cui è collegata alla porta ACL.
  • In questo caso, tutte le regole che vengono sempre definite nelle impostazioni globali ACL (indipendentemente dalla loro priorità come definito nella porta di ACL) hanno la precedenza su regole definite nell'ACL che viene applicato a vmNIC e così via. In altre parole, è richiesta una separazione di livello.

In definitiva, priorità regole efficaci possono differire dal valore numerico che definisce proprietà regola porta ACL. Ulteriori informazioni sull'applicazione di questo comportamento e il modo in cui è possibile modificare la logica seguono.

  1. Possibile modificare l'ordine in cui i tre livelli di "oggetto specifici" (vale a dire vmNIC, alla subnet VM e rete VM) hanno la precedenza.

    1. Impossibile modificare l'ordine delle impostazioni globali. Sempre la precedenza più alta (o ordine = 0).
    2. Per gli altri tre livelli, è possibile impostare le seguenti impostazioni in un valore numerico compreso tra 0 e 3, dove 0 è la precedenza più alta (uguale a impostazioni globali) e 3 è la precedenza più bassa:
      • PortACLVMNetworkAdapterPriority
        (il valore predefinito è 1)
      • PortACLVMSubnetPriority
        (il valore predefinito è 2)
      • PortACLVMNetworkPriority
        (il valore predefinito è 3)
    3. Se si assegna lo stesso valore (da 0 a 3) a queste impostazioni del Registro di sistema più o se si assegna un valore compreso nell'intervallo da 0 a 3, VMM eseguirà il failback sul comportamento predefinito.
  2. L'applicazione di ordinamento consiste che efficace regola di priorità è stata modificata in modo che le regole ACL definiti in un livello superiore ricevano priorità più alta (vale a dire un più piccolo valore numerico). Quando viene calcolato l'ACL efficaci, ogni valore di priorità della regola relativa è "distributore" dal livello di valore specifico, o "passaggio".
  3. Il livello di valore specifico, è il "passaggio" che separa i diversi livelli. Per impostazione predefinita, la dimensione del "passaggio" 10000 e viene configurata tramite l'impostazione del Registro di sistema seguente:
    PortACLLayerSeparation
  4. Ciò significa che, in questa modalità, qualsiasi priorità singola regola all'interno di ACL (vale a dire una regola che viene considerata come relativa) non può superare il valore dell'impostazione seguente:
    PortACLLayerSeparation
    (per impostazione predefinita, 10000)
Esempio di configurazione
Si supponga di dispongano di tutte le impostazioni sui valori predefiniti. (Descritti in precedenza.)
  1. Disponiamo di un ACL che è associato a vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. La priorità effettiva per tutte le regole definite in questo elenco ACL viene urtata da 10000 (valore PortACLLayerSeparation).
  3. È definire una regola in questo elenco ACL che ha una priorità che è impostata su 100.
  4. La priorità per questa regola efficace sarebbe 10000 + 100 = 10100.
  5. La regola ha la precedenza su altre regole all'interno lo stesso ACL per i quali la priorità è maggiore di 100.
  6. La regola avrà sempre la precedenza su tutte le regole che sono definite nell'ACL che sono collegati in rete macchina virtuale e il livello di subnet VM. (Ciò vale in quanto quelli sono considerati "inferiori").
  7. La regola non avrà la precedenza su tutte le regole definite nelle impostazioni globali ACL.
Vantaggi di questa modalità
  • È migliore protezione negli scenari multi-tenant poiché le regole di porta ACL definiti dall'amministratore di tessuto (a livello di impostazioni globali) avrà sempre la precedenza su tutte le regole definite dai locatari stessi.
  • Eventuali conflitti di regola di porta ACL (vale a dire ambiguità) non sono consentiti automaticamente a causa di separazione di livello. È molto facile prevedere quali regole saranno efficace e perché.
Precauzioni con questa modalità
  • Minore flessibilità. Se si definisce una regola (ad esempio, "Nega tutto il traffico verso la porta 80") nelle impostazioni globali, è non possibile creare mai un'esenzione più granulare da questa regola su un livello inferiore (ad esempio "Consenti la porta 80 solo su questa macchina virtuale che esegue un server web legittimo").

Priorità relativa

Per attivare questa modalità, impostare la proprietà PortACLAbsolutePriority nel Registro di sistema su un valore pari a 1.

In questa modalità, oltre a concetti descritti in precedenza devono essere i seguenti principi:
  • Se un oggetto non rientra nell'ambito di più ACL (ad esempio, VM rete e subnet VM), tutte le regole che sono definite in tutte le ACL associate vengono applicate nell'ordine unificata (o come un singolo intervallo). Vi è alcuna separazione di livello e non "ebollizione" qualsiasi.
  • Tutte le priorità alle regole sono considerati assoluti, esattamente come sono definiti in base alla priorità ogni regola. In altre parole, la priorità efficace per ogni regola è lo stesso che cosa è definito nella regola stessa e non viene modificato dal motore di VMM prima dell'applicazione.
  • Tutte le altre impostazioni del Registro di sistema descritte nella sezione precedente non hanno effetto.
  • In questa modalità, qualsiasi priorità singola regola in un ACL (vale a dire una priorità di regola che non viene considerata come assoluta) non può superare 65535.
Esempio di configurazione
  1. In impostazioni globali, ACL, definire una regola la cui priorità è impostata su 100.
  2. Nell'ACL associato a vmNIC, definire una regola la cui priorità è impostata su 50.
  3. La regola definita a livello di vmNIC ha la precedenza perché ha una priorità più alta (vale a dire un basso valore numerico).
Vantaggi di questa modalità
  • Maggiore flessibilità. È possibile creare le regole di impostazioni globali di deroghe "one-off" nei livelli inferiori (ad esempio, VM subnet o vmNIC).
Precauzioni con questa modalità
  • Pianificazione potrebbe diventare più complessa poiché non vi è alcuna separazione di livello. E può esistere una regola a qualsiasi livello che esegue l'override di altre regole che sono definite su altri oggetti.
  • In ambienti multi-tenant, protezione può essere influenzata poiché un affittuario può creare una regola a livello di subnet di macchina virtuale che esegue l'override di criteri definiti dall'amministratore di tessuto al livello di impostazioni globali.
  • Regola in conflitto (vale a dire ambiguità) non vengono eliminate automaticamente, può verificarsi. VMM è possibile evitare conflitti solo sullo stesso livello di ACL. Impossibile evitare conflitti tra gli ACL associati a oggetti diversi. In caso di conflitto, poiché VMM non può risolvere il conflitto automaticamente, verrà interrotta l'applicazione delle norme e genererà un errore.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3101161 - Ultima revisione: 10/30/2015 07:46:00 - Revisione: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtit
Feedback