현재 오프라인 상태입니다. 인터넷에 다시 연결하기를 기다리고 있습니다.

Hyper-V 업데이트 롤업 8을 사용 하 여 System Center 2012 R2 VMM에서 Acl 포트 확장을 배포 하기 위한 지원

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3101161
요약
관리자의 Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) 지금 중앙에서 만들고 관리할 수 있습니다 VMM에서 Hyper-V 포트 액세스 제어 목록 (Acl).
추가 정보
System Center 2012 R2 Virtual Machine Manager 대 한 업데이트 롤업 8에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

3096389 System Center 2012 R2 Virtual Machine Manager 대 한 롤업 8 업데이트

용어집

Virtual Machine Manager 개체 모델 네트워크 관리 영역에서 다음과 같은 새로운 개념을 추가 하 여 개선 하겠습니다.
  • 포트 액세스 제어 목록 (ACL 포트)
    네트워크 보안을 설명 하기 위해 다양 한 VMM 네트워킹 기본 형식에 연결 된 개체입니다. 포트 ACL 규칙 ACL 또는 액세스 제어 항목의 컬렉션으로 사용 됩니다. VMM VM 네트워크, 서브넷 VM, 가상 네트워크 어댑터 또는 VMM 관리 서버 자체와 같은 기본 네트워킹의 여러 (0 개 이상)에 ACL은 첨부할 수 있습니다. ACL의 ACL 규칙 여러 (0 개 이상)를 포함할 수 있습니다. 각 호환 VMM 기본 네트워킹 (VM 네트워크, 서브넷 VM, 가상 네트워크 어댑터 또는 VMM 관리 서버)에 첨부 된 ACL 포트 또는 없음 가질 수 있습니다.
  • 액세스 제어 엔트리 포트 또는 ACL 규칙
    필터링 정책을 설명 하는 개체입니다. 여러 ACL 규칙 ACL 같은 포트에 하 고 우선 순위에 따라 적용 수 있습니다. 각 ACL 규칙 하나만 포트 ACL에 해당 합니다.
  • 전역 설정
    인프라의 모든 VM 가상 네트워크 어댑터에 적용 되는 ACL에 포트를 설명 하는 가상 개념입니다. 전역 설정에 대 한 별도 개체 형식이 없습니다. 대신, 전역 설정 포트 ACL 연결 VMM 관리 서버 자체를 합니다. VMM 관리 서버 개체는 하나의 포트 ACL 또는 없음 있을 수 있습니다.
네트워크 관리 영역에서 이전에 사용할 수 있는 개체에 대 한 정보를 참조 하십시오. Virtual Machine Manager 네트워크 개체의 기본 사항.

이 기능을 사용 하 여 어떻게 해야 합니까?

VMM에서 PowerShell 인터페이스를 통해 이제 다음과 같은 작업을 수행할 수 있습니다.
  • 포트 Acl의 ACL 규칙을 정의 합니다.
    • 규칙으로 "확장된 포트 Acl" Hyper-V 서버에서 가상 스위치 포트에 적용 됩니다 (VMNetworkAdapterExtendedAcl)에서 Hyper-V 용어. 즉, Windows Server 2012 R2 (및 Hyper-V Server 2012 R2) 호스트 서버에만 적용할 수 있습니다.
    • VMM에서 "구식" Hyper-V 포트 Acl (VMNetworkAdapterAcl)을 만들지 않습니다. 따라서 VMM을 사용 하 여 Acl 포트 호스트 서버를 Windows Server 2012 (또는 Hyper-V Server 2012) 적용할 수 없습니다.
    • 이 기능을 사용 하 여 VMM에 정의 된 모든 포트 ACL 규칙 (TCP)에 대 한 상태 저장 됩니다. VMM을 사용 하 여 tcp 상태 비저장 ACL 규칙을 만들 수 없습니다.
    확장 포트 ACL 기능 Windows Server 2012 R2 Hyper-V 대 한 자세한 내용은 참조 하십시오. Windows Server 2012 r 2에 대 한 액세스 제어 목록 확장된 포트를 사용 하 여 보안 정책을 만들으십시오.
  • 전역 설정 ACL에 포트를 연결 합니다. 이 모든 VM의 가상 네트워크 어댑터에 적용 합니다. 전체 관리자 에게만 가능 하다입니다.
  • 만들어진 포트 Acl VM 네트워크 서브넷 VM, VM의 가상 네트워크 어댑터에 연결 합니다. 이것은 전체 관리자, 테 넌 트 관리자 및 셀프 서비스 사용자 (Ssu)를 사용할 수 있습니다.
  • 살펴보고 개별 VM vNIC에 구성 된 포트 ACL 규칙을 업데이트 합니다.
  • 포트 Acl 및 ACL 규칙을 삭제 합니다.
이러한 각 작업은이 문서의 뒷부분에서 자세히 다룹니다.

이 기능은 PowerShell cmdlet를 사용할 때만 노출 하 고 ("준수" 상태)를 제외한 VMM 콘솔 UI에에서 반영 되지 것입니다 주의 해야 합니다.

어떻게 하지 하면이 기능을 사용 하 여?

  • 관리/업데이트 단일 인스턴스에 대 한 개별적인 규칙 ACL 여러 인스턴스 사이에서 공유 되는 경우. 모든 규칙이 해당 부모 Acl에 중앙에서 관리 되 고 ACL이 연결 된 위치에 관계 없이 적용.
  • 둘 이상의 ACL 엔터티를 연결 합니다.
  • Hyper-V 부모 파티션의 (관리 운영 체제)에서 가상 네트워크 어댑터 (vNICs) 포트 Acl을 적용 합니다.
  • IP 수준의 프로토콜 (TCP 또는 UDP) 이외의 포함 하는 포트 ACL 규칙을 만듭니다.
  • 논리 네트워크, 네트워크 사이트 (논리적 네트워크 정의), 서브넷 Vlan 및 이전에 나열 되지 않은 다른 VMM 네트워킹 기본 포트 Acl을 적용 합니다.

기능을 사용 하려면 어떻게 해야 합니까?

새 포트 Acl 및 포트 ACL 규칙을 정의합니다.

PowerShell cmdlet을 사용 하 여 VMM에서 Acl 및 ACL 규칙에서 직접 지금 만들 수 있습니다.

새로운 ACL을 만듭니다

다음과 같은 새로운 PowerShell cmdlet이 추가 됩니다.

새로운 SCPortACL -이름문자열> [-설명문자열>]

-이름: ACL은 포트의 이름

-설명: 포트 (선택적 매개 변수) ACL에 대 한

SCPortACL 가져오기

모든 포트 Acl을 검색합니다.

-이름: 이름으로 선택적으로 필터링

-ID: ID가 필요한 경우 필터링

예제 명령

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


포트 포트 ACL ACL 규칙을 정의 합니다.
각 포트는 ACL 포트 ACL 규칙의 컬렉션으로 구성 됩니다. 각 규칙에 다른 매개 변수가 포함 되어 있습니다.

  • 이름
  • 설명
  • 종류: 인바운드/아웃 바운드 (ACL 적용 될 방향)
  • 해결 방법: 허용/거부 (트래픽이 허용 하거나 차단할 트래픽을 ACL 동작)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • 프로토콜: TCP/Udp/Any (참고: VMM에서 정의한 포트 Acl 수준의 IP 프로토콜 지원 되지 않습니다. 여전히 지원 됩니다 기본적으로 Hyper-V.)
  • 우선 순위: 1-65535 (낮은 번호의 우선 순위가 높은). 적용 된 레이어를 기준으로이 우선이입니다. (ACL 규칙 적용 방법에 대 한 자세한 내용은 개체 ACL은 다음과 연결 된 우선 순위에 따라 합니다.)

추가 된 새로운 PowerShell cmdlet

새 SCPortACLrule PortACLPortACL&gt;-이름문자열&gt; [- <string>설명]-유형 <Inbound |="" outbound="">- <Allow |="" deny="">작업-우선 순위 <uint16>- <Tcp |="" udp="" |="" any="">프로토콜 [-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

SCPortACLrule 가져오기

모든 포트 ACL 규칙을 검색합니다.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • 이름으로 선택적으로 필터링 된 이름:
  • ID: ID가 필요한 경우 필터링
  • PortACL: 필요에 따라 ACL 포트 필터링
예제 명령

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

연결 및 포트 Acl 분리



Acl에 다음 연결할 수 있습니다.
  • 전역 설정 (모든 VM 네트워크 어댑터에 적용 합니다. 만 전체 관리자 이렇게 수 있습니다.)
  • VM 네트워크 (전체 관리자/테 넌 트 관리자/Ssu 이렇게 수 있습니다.)
  • VM 서브넷 (전체 관리자/테 넌 트 관리자/Ssu 이렇게 수 있습니다.)
  • 가상 네트워크 어댑터 (전체 관리자/테 넌 트 관리자/Ssu 이렇게 수 있습니다.)

전역 설정

이러한 포트 ACL 규칙 인프라에서 모든 VM 가상 네트워크 어댑터에 적용 됩니다.

기존 PowerShell cmdlet에 연결 및 포트 Acl 분리에 대 한 새 매개 변수를 사용 하 여 업데이트 되었습니다.

세트-SCVMMServer -VMMServerVMMServer&gt; [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: 새로운 선택적 매개 변수 전역 설정에 지정된 된 포트 ACL을 구성 하는.
  • RemovePortACL: 새로운 선택적 매개 변수 하나를 제거 하는 전역 설정에서 포트 ACL을 구성 합니다.
SCVMMServer get: 반환된 된 개체의 ACL에서 구성 된 포트를 반환 합니다.

예제 명령

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM 네트워크


이러한 규칙은이 VM 네트워크에 연결 되어 있는 모든 VM 가상 네트워크 어댑터에 적용 됩니다.

기존 PowerShell cmdlet에 연결 및 포트 Acl 분리에 대 한 새 매개 변수를 사용 하 여 업데이트 되었습니다.

새로운 SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [나머지 매개 변수]

-PortACL: 생성 하는 동안 VM 네트워크 ACL 포트를 지정 하는 데 사용할 수 있는 새로운 선택적 매개 변수입니다.

세트 SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [나머지 매개 변수]

-PortACL: 새 선택적 매개 변수를 사용 하면 VM 네트워크 포트 ACL 설정 합니다.

-RemovePortACL: 모두 제거 하는 새로운 선택적 매개 변수는 VM 네트워크에서 ACL 포트를 구성 합니다.

SCVMNetwork get: 반환된 된 개체의 ACL에서 구성 된 포트를 반환 합니다.

예제 명령

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM 서브넷


이러한 규칙은이 VM 서브넷에 연결 된 모든 VM 가상 네트워크 어댑터에 적용 됩니다.

기존 PowerShell cmdlet에 연결 및 포트 Acl 분리에 대 한 새 매개 변수를 사용 하 여 업데이트 되었습니다.

새로운 SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [나머지 매개 변수]

-PortACL: 생성 하는 동안 VM 서브넷 ACL 포트를 지정 하는 데 사용할 수 있는 새로운 선택적 매개 변수입니다.

세트 SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [나머지 매개 변수]

-PortACL: 새 선택적 매개 변수를 사용 하면 VM 서브넷 포트 ACL 설정 합니다.

-RemovePortACL: 모두 제거 하는 새로운 선택적 매개 변수는 VM 서브넷에서 ACL 포트를 구성 합니다.

SCVMSubnet get: 반환된 된 개체의 ACL에서 구성 된 포트를 반환 합니다.

예제 명령

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM의 가상 네트워크 어댑터 (vmNIC)


기존 PowerShell cmdlet에 연결 및 포트 Acl 분리에 대 한 새 매개 변수를 사용 하 여 업데이트 되었습니다.

새로운 SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [나머지 매개 변수]

-PortACL: 새로운 선택적 매개 변수 수 있는 새로운 vNIC 만드는 동안 ACL 가상 네트워크 어댑터에 포트를 지정 하십시오.

세트 SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [나머지 매개 변수]

-PortACL: 새 선택적 매개 변수를 사용 하면 가상 네트워크 어댑터에 ACL 포트를 설정 합니다.

-RemovePortACL: 모두 제거 하는 새로운 선택적 매개 변수는 가상 네트워크 어댑터에서 ACL 포트를 구성 합니다.

SCVirtualNetworkAdapter get: 반환된 된 개체의 ACL에서 구성 된 포트를 반환 합니다.

예제 명령

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

포트 ACL 규칙을 적용합니다.

포트 Acl을 연결 하면 Vm을 새로 고치면 알려 Vm의 상태 "규격이 아닌" 것으로 표시 되도록 패브릭 작업 영역 가상 컴퓨터 보기에서. (가상 컴퓨터의 보기를 전환 하려면 해야 먼저 논리 네트워크 노드 또는 패브릭 작업 공간의 전환 논리 노드를 찾아). VM 새로 고침 (일정)에 대 한 백그라운드에서 자동으로 발생 한다는 점에 유의. 따라서 Vm을 명시적으로 새로 고쳐지지 않는 경우에 이러한 들어갑니다 비규격 상태인 결국.



이제 포트 Acl Vm과 관련 된 가상 네트워크 어댑터를 아직 적용 하지 않았습니다. 포트 Acl을 적용 하려면 치료 라고 하는 프로세스를 시작 해야 합니다. 적이 자동 발생 하 고 사용자의 요청이 명시적으로 시작 해야 합니다.

업데이트 관리를 시작 하려면 Remediate 리본 메뉴에서 클릭 하거나 복구 SCVirtualNetworkAdapter cmdlet를 실행 합니다. 이 기능에 대 한 cmdlet 구문에 특정 변경 사항이 있습니다.

복구-SCVirtualNetworkAdapter -VirtualNetworkAdapterVirtualNetworkAdapter>

이 Vm이 문제를 해결 하 고 규격으로 표시 됩니다 확장된 포트 Acl이 적용 되어 있는지 확인 합니다. 주의 명시적으로 해결 될 때까지 포트 Acl 범위 내에서 Vm에는 적용 되지 것입니다.

포트 ACL 규칙 보기

Acl 및 ACL을 보려면 규칙을 다음 PowerShell cmdlet을 사용할 수 있습니다.

추가 된 새로운 PowerShell cmdlet

포트 Acl을 검색

매개 변수 1을 설정 합니다. 모든 나 이름: Get SCPortACL [-이름 <> </>]

2 매개 변수를 설정 합니다. 으로 ID: SCPortACL 가져오기 -Id <> [-이름 <> </>]

포트 ACL 규칙을 검색 합니다.

매개 변수 1을 설정 합니다. 모든 이름: Get SCPortACLrule [-이름 <> </>]

2 매개 변수를 설정 합니다. Id: SCPortACLrule Get -Id <>

매개 변수 설정 3. ACL 개체: Get-SCPortACLrule -PortACLNetworkAccessControlList>

포트 ACL 규칙을 업데이트합니다.

네트워크 어댑터에 연결 된 ACL을 업데이트 하는 경우 해당 ACL을 사용 하는 모든 네트워크 어댑터 인스턴스에 변경 내용이 반영 됩니다. 해당 서브넷에 연결 된 모든 네트워크 어댑터 인스턴스 VM 서브넷 또는 VM 네트워크에 연결 된 ACL에 대 한 변경 내용으로 업데이트 됩니다.

참고: 개별 네트워크 어댑터에 대 한 ACL 규칙을 업데이트 한 try 최대한 체계에 병렬로 수행 됩니다. 어댑터가 어떠한 이유로 든 업데이트할 수 없는 "incompliant, 보안"으로 표시 됩니다 하 고 네트워크 어댑터가 제대로 업데이트 되지 않았습니다 내용의 오류 메시지가 나타나면서 작업이 완료 합니다. "보안 incompliant" 여기 참조 일치 하지 않아 실제 ACL 규칙 및 예상 합니다. 어댑터 관련 오류 메시지와 함께 "규격이 아닌"의 규정 준수 상태를 함께 해야 합니다. 하며 비규격 가상 컴퓨터에 대 한 자세한 내용은 이전 섹션을 참조 하십시오.
추가 되는 새로운 PowerShell cmdlet
세트 SCPortACL PortACLPortACL&gt; [-이름이름&gt;] [-설명 <>n &gt;]

세트 SCPortACLrule PortACLrulePortACLrule&gt; [-이름이름&gt;] [-설명문자열&gt;] [-유형PortACLRuleDirection&gt; {인바운드 | 아웃 바운드}] [-작업PortACLRuleAction&gt; {허용 | (를) 거부] [-SourceAddressPrefix문자열&gt;] [-SourcePortRange문자열&gt;] [-DestinationAddressPrefix문자열&gt;] [-DestinationPortRange문자열&gt;] [-프로토콜PortACLruleProtocol&gt; {Tcp | Udp | 모든}]

세트 SCPortACL: 해당 포트에 대 한 ACL을 변경 합니다.
  • 에 대 한 설명을 업데이트합니다.

세트 SCPortACLrule: 포트 ACL 규칙 매개 변수를 변경 합니다.
  • 에 대 한 설명을 업데이트합니다.
  • 종류: ACL 적용 방향을 업데이트 합니다.
  • 작업: 작업 ACL 업데이트합니다.
  • 프로토콜: ACL 적용 될 프로토콜을 업데이트 합니다.
  • 우선 순위: 우선 순위를 업데이트합니다.
  • SourceAddressPrefix: 원본 주소 접두사를 업데이트합니다.
  • SourcePortRange: 원본 포트 범위를 업데이트합니다.
  • DestinationAddressPrefix: 대상 주소 접두사를 업데이트합니다.
  • DestinationPortRange: 대상 포트 범위를 업데이트합니다.

Acl 포트 및 포트 ACL 규칙을 삭제합니다.

연결 된 종속성이 없는 경우에 ACL은 삭제할 수 있습니다. 종속성 포함 VM VM 네트워크/서브넷/가상 네트워크 어댑터/전역 설정 ACL에 연결 되어 있는. PowerShell cmdlet을 사용 하 여 ACL 포트를 삭제 하려고 하면 cmdlet가 있는지 확인 포트 ACL 종속성 중 하나에 연결 된 한 적절 한 오류 메시지를 throw 합니다.

포트 Acl을 제거합니다.

새로운 PowerShell cmdlet가 추가 되었습니다.

제거-SCPortACL -PortACLNetworkAccessControlList>

포트 ACL 규칙을 제거합니다.

새로운 PowerShell cmdlet가 추가 되었습니다.

제거-SCPortACLRule -PortACLRuleNetworkAccessControlListRule>

주의 VM을 삭제 VM이 서브넷/네트워크/네트워크 어댑터는 자동으로 해당 ACL 사용 하 여 연결을 제거 해야 합니다.

ACL VM VM이 서브넷/네트워크/네트워크 어댑터에서 분리 하는 VMM 네트워킹 개체를 변경 하 여 수도 있습니다. 이렇게 하려면 이전 섹션에 설명 된 대로 세트- cmdlet -RemovePortACL 스위치와 함께 사용 합니다. 이 경우 포트 ACL 각 네트워크 개체에서 분리할 수는 있지만 VMM 인프라에서 삭제 되지 않습니다. 따라서 다시 사용할 수 나중에.

대역의 ACL 규칙을 변경

VM을 새로 수행 하는-대역외 (OOB) 변경 ACL 규칙을 Hyper-V 가상 스위치 포트에서 (사용 하 여 네이티브 Hyper-V cmdlet VMNetworkAdapterExtendedAcl 추가등)을 경우 네트워크 어댑터 "보안 Incompliant."로 표시 됩니다. 네트워크 어댑터 수 있습니다 "포트 Acl 적용" 절에 설명 된 대로 VMM에서 설정을 합니다. 그러나 치료는 VMM에서 연산자를 사용 하 여 VMM 외부에서 정의 되는 모든 포트 ACL 규칙을 덮어씁니다.

포트 ACL 규칙 우선 순위 및 응용 프로그램 우선 순위 (고급)

핵심 개념

"우선 순위" 라는 속성이 포트 ACL에서에서 각 포트 ACL 규칙 규칙의 우선 순위에 따라 순서 대로 적용 됩니다. 다음과 같은 주요 원리 규칙 우선 순위를 정의합니다.
  • 가장 낮은 우선 순위 번호가 높을수록 우선 순위입니다. 즉, 여러 개의 포트 ACL 규칙에 서로 상충, 낮은 우선 순위를 가진 규칙 적용 됩니다.
  • 규칙 작업 우선 순위는 영향을 주지 않습니다. 즉, NTFS Acl 달리 예를 들면, 여기 없어요 개념 "Deny 항상 우선 허용"과 같은.
  • 동일한 우선 순위 (숫자 값)를 같은 방향으로 두 개의 규칙을 사용할 수 없습니다. 충돌 또는 모호성을 발생할 것이 있기 때문에이 문제는 동일한 우선 순위를 사용 하 여 "거부" 및 "허용" 규칙을 정의할 수 하나는 가상의 상황을을 방지 합니다.
  • 충돌은 같은 우선 순위와 같은 방향으로 두 개 이상의 규칙으로 정의 됩니다. 같은 우선 순위와 방향을 서로 다른 레벨에 적용 되는 두 개의 Acl 사용 하 여 두 포트 ACL 규칙 및 해당 수준에서 부분적으로 겹치는 경우에 충돌이 발생할 수 있습니다. 즉, 두 수준 범위 내에 있는 개체 (예: vmNIC) 있을 수 있습니다. 중첩의 일반적인 예로 VM 네트워크와 동일한 네트워크에 있는 VM 서브넷입니다.

하나의 항목에 여러 개의 포트 Acl을 적용합니다.

다른 VMM 개체를 네트워킹에 (또는, 앞서 설명한 대로 다른 수준에) 포트 Acl 적용 하기 때문에 단일 VM 가상 네트워크 어댑터 (vmNIC) 범위에 여러 포트 Acl 분류할 수 있습니다. 이 시나리오에서는 모든 포트 Acl ACL 포트 규칙이 적용 됩니다. 그러나 이러한 규칙의 우선 순위 여러 새로운 VMM이이 문서의 뒷부분에 나와 있는 설정을 미세 조정에 따라 달라질 수 있습니다.

레지스트리 설정

이러한 설정은 VMM 관리 서버에서 다음 키 아래에 Windows 레지스트리에 Dword 값으로 정의 됩니다.
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

모두 이러한 설정이 적용 Acl 포트의 동작 전체 VMM 인프라에서 주의 해야 합니다.

효과적인 포트 ACL 규칙 우선 순위

이 토론에서 여러 포트 Acl 규칙 우선 순위를 효과적으로 하나의 항목에 적용 되는 실제 포트 ACL 규칙 우선 순위를 설명 합니다. 별도 설정 및 개체를 정의 하거나 볼 효과적인 규칙의 우선 순위는 VMM에 없습니다 주의 해야 합니다. 런타임에 계산 됩니다.

글로벌 모드 효과적인 규칙의 우선 순위를 계산할 수 있습니다. 모드는 레지스트리 설정으로 전환 됩니다.
PortACLAbsolutePriority

이 설정에 대해 허용 되는 값은 0 (영) 또는 1, 여기서 0 기본 동작을 나타냅니다.

상대적 우선 순위 (기본 동작)

이 모드를 사용 하려면 레지스트리 값을 0 (영) PortACLAbsolutePriority 속성을 설정 합니다. 이 모드 (즉, 속성은 만들지 않은 경우) 레지스트리에서 설정을 정의 되지 않은 경우에 적용 됩니다.

이 모드에서는 다음 원칙 핵심 개념은 앞에서 설명한 것 외에도 적용 됩니다.
  • 우선 순위는 동일한 포트 ACL에서 유지 됩니다. 따라서 각 규칙에 정의 된 우선 순위 값은 ACL 내의 상대 인스턴스로 취급 됩니다.
  • 여러 포트의 Acl에 적용 하면 규칙 버킷 단위로 적용 됩니다. (지정된 된 개체에 연결 된) 동일한 ACL에서 규칙은 동일한 버킷 내에서 함께 적용 됩니다. 우선 특정 버킷 ACL 포트가 연결 되어 있는 개체에 따라 다릅니다.
  • 여기서 항상 ACL (ACL 포트에 정의 된 대로 자신의 우선 순위)에 상관 없이 전역 설정에 정의 된 모든 규칙이 우선, vmNIC 및 기타 등등에 적용 되는 ACL에 정의 된 규칙. 즉, 계층 구분이 적용 됩니다.

궁극적으로 효과적인 규칙 우선 순위가 포트 ACL 규칙 속성에서 정의 하는 숫자 값을 다를 수 있습니다. 이 문제는 적용 되는 방법 및 해당 논리를 변경 하는 방법에 대 한 자세한 내용은 다음과 같습니다.

  1. 3 "객체별" 수준 (즉, vmNIC, VM 서브넷 및 VM 네트워크)에 우선 적용 되는 순서를 변경할 수 있습니다.

    1. 전역 설정의 순서를 변경할 수 없습니다. 항상 가장 높은 우선 순위를 걸리는 (또는 주문 = 0).
    2. 다른 세 가지 수준에 대해 다음과 같은 설정을 3, 여기서 0은 가장 높은 우선 순위 (동일한 전역 설정), 3은 가장 낮은 우선 순위 0 사이의 숫자 값으로 설정할 수 있습니다.
      • PortACLVMNetworkAdapterPriority
        (기본값은 1)
      • PortACLVMSubnetPriority
        (기본값은 2)
      • PortACLVMNetworkPriority
        (기본값은 3)
    3. 이러한 여러 레지스트리 설정에 동일한 값 (0 ~ 3)을 지정 하거나 0 ~ 3 범위 밖의 값을 할당 하는 경우 VMM은 기본 동작으로 실패 합니다.
  2. 순서가 적용 됩니다 방식으로 상위 수준에 정의 된 ACL 규칙에 높은 우선 순위 (즉, 더 작은 숫자 값) 받을 수 있도록 효과적인 규칙의 우선 순위가 변경 되는 경우 효과적인 ACL을 계산할 때 각 상대 규칙 우선 순위 값은 "추락" 수준을 특정 값 또는 "단계"입니다.
  3. 레벨 관련 값 차이 구분 하는 "단계"입니다. 기본적으로 "step"의 크기는 10000 이며 다음 레지스트리 설정을 통해 구성 됩니다.
    PortACLLayerSeparation
  4. 즉,이 모드에서 (즉, 규칙을 상대 인스턴스로 처리 되며) ACL에서 모든 개별 규칙 우선 순위를 초과할 수 없습니다 다음 설정 값:
    PortACLLayerSeparation
    (기본적으로 10000)
구성 예
모든 설정을 기본 값이 있다고 가정 합니다. (이 앞에서 설명한.)
  1. 우리는 vmNIC에 연결 된 ACL (PortACLVMNetworkAdapterPriority = 1).
  2. 이 ACL에 정의 된 모든 규칙에 대 한 효과적인 우선 순위 10000 (PortACLLayerSeparation 값)에 의해 추락입니다.
  3. 100으로 설정 된 우선 순위에 따라 하이 ACL에 규칙을 정의 합니다.
  4. 이 규칙에 대 한 효과적인 우선 순위 10100 + 100 = 10000 것입니다.
  5. 규칙 우선 순위는 100 보다 크면 동일한 ACL 내의 다른 규칙 보다 우선 합니다.
  6. 규칙은 항상 우선 VM 네트워크와 서브넷 수준 VM에 연결 된 Acl에 정의 된 모든 규칙이 있습니다. (그렇습니다이 "낮은" 수준으로 간주 되기 때문에).
  7. 규칙 안 우선 ACL의 전역 설정에 정의 된 모든 규칙이 있습니다.
이 모드의 장점
  • 패브릭 관리자 (전역 설정 수준)에 의해 정의 된 포트 ACL 규칙은 항상 우선 임차인 자체에 정의 된 모든 규칙이 있기 때문에 단일 시스템 상의 다중 시나리오에서 더 나은 보안 기능이.
  • 포트 ACL 규칙 충돌 (즉, 모호함) 레이어 분리 때문에 자동으로 수 없습니다. 어떤 규칙이 적용 됩니다 예측 하는 데 매우 쉽습니다 왜.
이 모드를 사용 하 여 주의 사항
  • 유연성이 있습니다. "(예를 들어," 거부 모든 트래픽을 포트 80)의 전역 설정 하는 규칙을 정의 하는 경우 하위 계층 (예를 들어, "허용 포트 80이 합법적인 웹 서버를 실행 하는이 VM에 대해서 만")에 한 보다 세분화 된 예외는이 규칙에서 절대로 만들 수 있습니다.

상대적인 우선 순위

이 모드를 사용 하려면 레지스트리 값이 1에 PortACLAbsolutePriority 속성을 설정 합니다.

이 모드에서는 다음 원칙 핵심 개념에는 앞에서 설명한 것 외에도 적용 됩니다.
  • 개체를 여러 Acl (VM 네트워크 및 서브넷 VM)의 범위 내에 있으면 통합 순서에서 (또는 하나의 바구니) 모든 연결 된 Acl에 정의 된 모든 규칙이 적용 됩니다. 수준의 분리 되지 않습니다 "부딪히는" 없이.
  • 모든 규칙의 우선 순위는 우선 순위 규칙에에서 정의 된 대로 절대도 처리 됩니다. 즉, 각 규칙에 대 한 효과적인 우선 순위 규칙 자체에 정의 된 대상과 적용 되기 전에 VMM 엔진에 의해 변경 되지 않습니다와 같습니다.
  • 이전 섹션에서 설명 하는 다른 모든 레지스트리 설정은 아무런 효과가 없습니다.
  • 이 모드에서 (즉, 절대 같이 취급 되는 규칙 우선) ACL에서 모든 개별 규칙 우선 순위는 65535를 초과할 수 없습니다.
구성 예
  1. ACL은 전역 설정에 우선 순위는 100으로 설정 되는 규칙을 정의할 수 있습니다.
  2. VmNIC에 연결 된 ACL을 우선 순위는 50으로 설정 된 규칙을 정의 합니다.
  3. VmNIC 수준에 정의 된 규칙에 높은 우선 순위 (즉, 낮은 숫자 값)가 있기 때문에 우선 합니다.
이 모드의 장점
  • 보다 유연 하 게 합니다. 낮은 수준 (예: 서브넷 VM 또는 vmNIC)에서 전역 설정 규칙에서 "일회용" 예외를 만들 수 있습니다.
이 모드를 사용 하 여 주의 사항
  • 계획 수준 분리 되지 않습니다 때문에 더 복잡 한 될 수 있습니다. 하며 다른 개체에 정의 된 다른 규칙을 재정의 하는 모든 수준에서 규칙을 수 있습니다.
  • 다중 테 넌 트 환경에서 보안 거주 VM 서브넷 수준 전역 설정 수준에서 패브릭 관리자가 정의한 정책을 재정의 하는 규칙을 만들 수 있기 때문에 달라질 수 있습니다.
  • 규칙 (즉, 모호함)은 자동으로 제거 되지 않습니다 충돌과 발생할 수 있습니다. VMM 동일한 ACL 수준에 대해서만 충돌을 방지할 수 있습니다. 서로 다른 개체에 연결 된 Acl을 통해 충돌을 방지할 수 없습니다 것. 충돌의 경우에서 VMM 충돌을 자동으로 수정할 수 있기 때문에 규칙 적용을 중지 하 고 오류가 throw 됩니다.

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3101161 - 마지막 검토: 10/30/2015 08:22:00 - 수정: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtko
피드백