Hyper-V paplašinātā porta ACL System Center 2012 R2 VMM atjauninājumu apkopojums 8 izvietošana atbalsts

Definējot jaunu portu ACL un to portu ACL kārtulas

Tagad varat izveidot ACL un to ACL noteikumi tieši no VMM, izmantojot PowerShell cmdlet.

Izveidojiet jaunu ACL

Pievieno šādu jaunu PowerShell cmdlet:

Jauns SCPortACL -nosaukums <virknes> [-apraksts <virknes>]

-Nosaukums: ACL porta nosaukumu

-Apraksts: Porta ACL (neobligāts parametrs) apraksts

Iegūt SCPortACL

Izgūst visus portu ACL

-Nosaukums: Varat filtrēt pēc nosaukuma

-ID: filtrējot izvēles ID

Izlases komandas

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Jaunā PowerShell cmdlet, kas pievienoti

Jauns SCPortACLrule - PortACL <PortACL>-nosaukums <virknes> [-apraksta virkni < >]-tips < ienākošais | Izejošais >-darbības < atļaut | Liegtu >-prioritātes < uint16 >-protokola < Tcp | UDP | Visas > [-SourceAddressPrefix < virknes: IP adresi | IPSubnet >] [-SourcePortRange < virknes: X | X Y | Visas >] [-DestinationAddressPrefix < virknes: IP adresi | IPSubnet >] [-DestinationPortRange < virknes: X | X Y | Visas >]

Iegūt SCPortACLrule

Iegūst porta ACL noteikumi.

• Vārds: Varat filtrēt pēc nosaukuma

• ID: Filtrējot izvēles ID

• PortACL: Varat filtrēt pēc porta ACL

Izlases komandas

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Pievienošana un atvienošana porta ACL

ACL var pievienot šādi:

• Globālie iestatījumi (attiecas uz VM tīkla adapteri. Tikai pilnībā administratori var veikt.)

• VM tīkla (pilns administratori/nomnieka administratori/SSUs var veikt.)

• VM apakštīkla (pilns administratori/nomnieka administratori/SSUs var veikt.)

• Virtuālā tīkla adapteri (pilns administratori/nomnieka administratori/SSUs var veikt.)

Globālie iestatījumi

Porta ACL noteikumi, kas attiecas uz visiem VM virtuālā tīkla adapteriem infrastruktūrā.

Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL.

Set-SCVMMServer -VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]

• PortACL: Jaunā neobligāts parametrs, kas konfigurē norādīto portu ACL Globālie iestatījumi.

• RemovePortACL: Jaunā neobligāts parametrs, kas noņem visus konfigurēt porta ACL no Globālie iestatījumi.

Get SCVMMServer: atgrieztais objekts atgriež konfigurēto portu ACL.

Izlases komandas

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM tīkls

Šie noteikumi jāpiemēro visi VM virtuālā tīkla adapteri, kas savienoti ar šo VM tīklu.

Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL.

Jauna SCVMNetwork [-PortACL <NetworkAccessControlList>] [pārējie parametri]

-PortACL: jaunu neobligāts parametrs, kas ļauj norādīt portu ACL VM tīklu izveides laikā.

Set SCVMNetwork [-PortACL <NetworkAccessControlList> | - RemovePortACL] [pārējie parametri]

-PortACL: jauna neobligāts parametrs, kas ļauj iestatīt portu ACL VM tīklā.

-RemovePortACL: jauna neobligāts parametrs, kas noņem visus konfigurēt porta ACL VM tīklā.

Get SCVMNetwork: atgrieztais objekts atgriež konfigurēto portu ACL.

Izlases komandas

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM apakštīkla

Šie noteikumi jāpiemēro visiem VM virtuālā tīkla adapteriem, kas savienoti ar šo VM apakštīkla.

Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL.

Jauna SCVMSubnet [-PortACL <NetworkAccessControlList>] [pārējie parametri]

-PortACL: jaunā neobligāts parametrs, kas ļauj norādīt portu ACL VM apakštīklam izveides laikā.

Set SCVMSubnet [-PortACL <NetworkAccessControlList> | - RemovePortACL] [pārējie parametri]

-PortACL: jauna neobligāts parametrs, kas ļauj iestatīt portu ACL VM apakštīklam.

-RemovePortACL: jauna neobligāts parametrs, kas noņem visus konfigurēt porta ACL no VM apakštīklā.

Get SCVMSubnet: atgrieztais objekts atgriež konfigurēto portu ACL.

Izlases komandas

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Virtuālā tīkla adaptera VM (vmNIC)

Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL.

Jauna SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [pārējie parametri]

-PortACL: jauna neobligāts parametrs, kas ļauj norādīt portu ACL virtuālā tīkla adapterim veidojot jaunu vNIC.

Set SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList> | - RemovePortACL] [pārējie parametri]

-PortACL: jauna neobligāts parametrs, kas ļauj iestatīt portu ACL virtuālā tīkla adapterim.

-RemovePortACL: jauna neobligāts parametrs, kas noņem visus konfigurēt porta ACL no virtuālā tīkla adapteri.

Get SCVirtualNetworkAdapter: atgrieztais objekts atgriež konfigurēto portu ACL.

Izlases komandas

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Lietojot portu ACL kārtulas

Pēc tam, kad pievienojat porta ACL atsvaidzināšanas VMs, pamanāt, ka no virtuālajām statuss tiek rādīts kā "Neatbilst" karkass darbvietas virtuālās mašīnas skatā. (Lai pārslēgtos uz virtuālās mašīnas skatu, jums vispirms jāatrod Loģisko tīklu mezglu vai Loģisko slēdži mezglu karkass darbvietas). Ņemiet vērā VM atsvaidzināšanas notiek automātiski fonā (pēc grafika). Tādēļ nevar atjaunināt VMs tieši, pat tad, ja tās stājas noncompliant valsts galu galā.



Šajā brīdī ACL ports nav vēl pieteikušies VMs un to attiecīgo virtuālā tīkla adapteri. Lietot ACL portu, jums ir uzsākt procesu, ko dēvē par koriģēšanas. Nekad tas notiek automātiski un jāsāk tieši lietotāja pieprasījuma.

Sākt koriģēšanas, jūs Remediate lentē noklikšķiniet vai palaist Labošanas SCVirtualNetworkAdapter cmdlet. Nav noteiktas izmaiņas cmdlet sintakse šim līdzeklim.

Repair SCVirtualNetworkAdapter - VirtualNetworkAdapter <VirtualNetworkAdapter>

Radušies šīs VMs atzīmēt tos kā saderīgas un pārliecinieties, ka tiek lietoti paplašinātā porta ACL. Ņemiet vērā, porta ACL neattiecas uz jebkuru VMs tvērumu līdz jūs tos tieši mazinātu.

Skatot ACL portu kārtulas

Lai apskatītu ACL un ACL kārtulas, varat izmantot šo PowerShell cmdlet.

Atjaunināšanas ACL portu kārtulas

Atjauninot ACL, kas ir pievienots tīkla adapteri, izmaiņas tiek parādītas visas tīkla adapteris gadījumos, kas izmanto šo ACL. ACL, kas piesaistīts VM apakštīklā vai tīklā VM visus tīkla adaptera gadījumus, kas savienoti, apakštīkla tiek atjaunināts ar izmaiņām.

Piezīme. Atsevišķu tīkla adapteru ACL noteikumiem atjaunināšanu veic paralēli mēģiniet vienu labāko iespējamo sistēmā. Adapteri, kas kāda iemesla dēļ nevar atjaunināt atzīmēti "drošības incompliant" un uzdevums ir pabeigta, tiek parādīts kļūdas ziņojums, kurā teikts, ka tīkla adapteri nav veiksmīgi atjaunināti. "Security incompliant" šeit nozīmē nesaderība ar paredzēts salīdzinājumā ar faktisko ACL noteikumi. Adapteris ir atbilstības uzraudzībai "Neatbilst" kopā ar attiecīgo kļūdu ziņojumiem. Skatiet iepriekšējo sadaļu, lai iegūtu papildinformāciju par radušies noncompliant virtuālās mašīnas.

Porta ACL un ACL portu kārtulas dzēšana

ACL var dzēst tikai tad, ja nav pievienota atkarības. Atkarību ietver VM tīkla/VM apakštīkla virtuālā tīkla adaptera globālā iestatījumus, kas pievienoti ACL. Mēģinot dzēst portu ACL, izmantojot PowerShell cmdlet, cmdlet noteikt, vai porta ACL piesaistīts jebkurai atkarības un mest attiecīgo kļūdu ziņojumi.

Noņemot porta ACL

Pievienotas jaunas PowerShell cmdlet:

Noņemt SCPortACL - PortACL <NetworkAccessControlList>

Noņemot ACL portu kārtulas

Pievienotas jaunas PowerShell cmdlet:

Noņemt SCPortACLRule - PortACLRule <NetworkAccessControlListRule>

Ņemiet vērā, ka dzēšot VM tīkla apakštīkla/VM/tīkla adapteri automātiski noņem saistība ar šo ACL.

ACL var arī būt piesaiste noņemta no VM apakštīkla/VM tīkla/tīkla adapteris mainot VMM tīkla attiecīgo objektu. Lai to izdarītu, izmantojiet cmdlet Set- kopā ar slēdzi - RemovePortACL , kā aprakstīts iepriekšējā sadaļā. Šādā gadījumā portu ACL būs atdalīts no izmantotā tīkla objekts, bet netiks dzēsti no VMM infrastruktūra. Tāpēc tas var atkārtoti vēlāk.

Ārpusjoslas izmaiņas ACL kārtulas

Ja mēs darām ārpusjoslas (OOB) izmaiņas ACL noteikumiem no Hyper-V virtuālo komutatora ports (izmantojot vietējos Hyper-V cmdlet, piemēram, Pievienot VMNetworkAdapterExtendedAcl), VM atsvaidzināt parādīsies tīkla adapteri kā "Drošības Incompliant". Tīkla adapteris var pēc tam remediated no VMM, kā aprakstīts sadaļā "Lietoti porta ACL". Tomēr koriģēšanas pārrakstīs visas porta ACL kārtulas, kas definētas ārpus VMM ar tiem, kas ir paredzēts, VMM.

Pamata koncepcijas

Katra porta ACL kārtula portu ACL ir rekvizīts ar nosaukumu "Prioritāte". Kārtulas tiek lietotas secībā, pamatojoties uz to prioritāti. Kārtulas prioritāte definēt šādus pamatprincipus:

• Zemāka prioritāte numurs ir augstāka prioritāte. Proti, vairāku portu ACL kārtulas pretrunā ar otru, ja iegūst kārtulas ar zemāku prioritāti.

• Kārtulas darbību neietekmē prioritāti. Proti, atšķirībā no NTFS ACL (piemēram), šeit mums nav koncepcija kā "Deny vienmēr ir prioritāri atļaut".

• Tajā pašā prioritātes (pats skaitlis) nevar būt divas noteikumiem vienā virzienā. Šāda izturēšanās novērš iespējamo situāciju, kad kāds definēt "Deny" un "Atļautajam" ar vienādu prioritāti, jo tas izraisa neskaidrības vai konflikts.

• Konflikta definē kā divas vai vairākas kārtulas ir prioritāte vienā un tajā pašā virzienā. Konflikts var rasties, ja pastāv divas porta ACL noteikumi ar tādu pašu prioritātes un divas ACL, kas tiek lietoti dažādi virzienā un daļēji pārklāties līmeni. Proti, iespējams, objekta (piemēram, vmNIC), kas ietilpst abiem līmeņiem. Kopējā piemērs pārklājas ir VM tīkla un VM apakštīkla vienā tīklā.

Lietoti vairāki porta ACL viena persona

Porta ACL var lietot citā VMM tīkla objekti (vai citā līmenī, kā aprakstīts iepriekš), jo vienā VM virtuālā tīkla adapteri (vmNIC) var iedalīt vairākus porta ACL apjomu. Šādā gadījumā tiek lietoti ACL portu kārtulas no visiem portu ACL. Tomēr šie noteikumi prioritāte var atšķirties atkarībā no vairākas jaunas VMM pielāgot iestatījumus, kas ir minēti tālāk šajā rakstā.

Reģistra iestatījumus

Šie iestatījumi tiek definēti Dword vērtības Windows reģistra atslēgā VMM pārvaldības servera:

System Center Virtual Machine Manager Server\Settings HKLM\Software\Microsoft\Microsoft
Lūdzu, ņemiet vērā, šie iestatījumi ietekmēs porta ACL visā visu VMM infrastruktūra.

Efektīva porta ACL kārtulu prioritāti

Diskusiju, mēs apraksta faktisko prioritāti ACL portu kārtulas pieprasot vairāku portu ACL vienu vienību efektīvu kārtulu prioritāti. Lūdzu, ņemiet vērā, ka nav atsevišķas iestatījums vai objektu VMM norādīt vai skatīt spēkā esošās kārtulas prioritātes. Tas tiek aprēķināts izpildlaika.

Ir divi pasaules veidi, kuras var aprēķināt efektīvu kārtulu prioritāti. Reģistra iestatījums ir ieslēgts režīmi:

PortACLAbsolutePriority
Šis iestatījums pieņemams vērtības ir 0 (nulle) vai 1, kur 0 apzīmē noklusējuma darbību.

Relatīvā prioritāte (noklusējuma)

Lai iespējotu šo režīmu, iestatiet rekvizīta PortACLAbsolutePriority reģistra vērtība ir 0 (nulle). Šis režīms arī tad, ja iestatījums nav definēts reģistrā (t.i., ja rekvizīts nav izveidots).

Šis režīms, tiek ievēroti šādi principi papildus pamata koncepcijas, kas tika iepriekš aprakstīts:

• Tiek saglabāts pēc tā paša porta ACL prioritāti. Tādēļ prioritāte vērtības, kas definētas katra kārtula apstrādā kā relatīvais laikā ACL.

• Lietojot vairākus porta ACL, to kārtulas tiek lietotas kopumi. Kārtulas no pašu ACL (pievienots konkrētajam objektam) tiek lietoti kopā ar pašu kopuma. Prioritāte noteikta kopumi ir atkarīgs no objekta, kuram ir pievienots portu ACL.

• Kārtulas, kas definētas Globālie iestatījumi ACL (neatkarīgi no savas prioritātes kā noteikts porta ACL) vienmēr dominē pār kārtulas, kas definētas ACL, ko lieto vmNIC un tā tālāk. Citiem vārdiem, tiek ieviesta slāņa atdalīšanas.
  
  

Galu galā spēkā nosacījums prioritātes var atšķirties no sevis ACL portu kārtulu rekvizītos skaitlisko vērtību. Papildinformāciju par to, kā tā tiek ieviesta un kā var mainīt tā loģika šādi.

1. Var mainīt secību, kas dominē trīs "specifisko objektu" līmeni (proti, vmNIC VM apakštīkla un VM tīkla).
   
   

   1. Globālie iestatījumi secību nevar mainīt. Augstāka prioritāte vienmēr aizņem (vai = 0).

   2. Trīs līmeņiem, skaitlisku vērtību no 0 līdz 3, kur 0 ir augstāka prioritāte (vienāds Globālie iestatījumi) un 3 ir viszemākā prioritāte var iestatīt šādi iestatījumi:
      
      

      • PortACLVMNetworkAdapterPriority (noklusējums ir 1)

      • PortACLVMSubnetPriority (noklusējums ir 2)

      • PortACLVMNetworkPriority (noklusējums ir 3.)

   3. Ja tādu pašu vērtību (0 3) piešķirt šiem vairākiem reģistra iestatījumiem vai jāpiešķir vērtība ārpus diapazona 0 līdz 3, VMM neizdosies atpakaļ uz noklusējumu.

2. Tiek ieviesta pasūtīšana ir spēkā kārtulu prioritāti ir mainīti tādējādi ACL kārtulas, kas definētas augstākā līmenī saņemtu augstāka prioritāte (proti, mazāka skaitlisko vērtību). Kad tiek aprēķināta efektīvu ACL, katra relatīvā kārtulas prioritātes vērtība ir "uzskrēja" līmenis konkrētu vērtību vai "darbību".

3. Konkrēta līmeņa vērtība ir "darbību", kas atdala atšķirīgu. Pēc noklusējuma "darbību" lielums ir 10 000 un iestata šo reģistra iestatījumu:
   

   PortACLLayerSeparation

4. Tas nozīmē, ka šajā režīmā jebkurā laikā ACL (proti, noteikumu, kas tiek uzskatīts par relatīvo) atsevišķā noteikumu prioritātes nedrīkst pārsniegt šī iestatījuma vērtību:
   

   PortACLLayerSeparation (pēc noklusējuma 10000)

Relatīvā prioritāte

Lai iespējotu šo režīmu, iestatiet rekvizīta PortACLAbsolutePriority reģistra vērtību 1.

Šajā režīmā pamata koncepcijas iepriekš aprakstītos papildus piemēro šādus principus:

• Ja objekts ietilpst vairākas ACL (piemēram, VM tīkla un VM apakštīkls) apjomu, visas kārtulas, kas definētas jebkuras pievienotās ACL tiek lietotas vienotā secībā (vai viena kopuma). Nav nav līmeņa atdalīšana un nav "mutuļošana" nekāda.

• Visas kārtulas prioritātes tiek uzskatīti par absolūto precīzi, kā tie noteikti katru kārtulu prioritāti. Proti, katra kārtula efektīvu prioritāti ir tāds pats kā ko nosaka pats nosacījums un netiek mainīts VMM programma, pirms tas tiek lietots.

• Visi citi reģistra iestatījumus, kas iepriekšējā sadaļā aprakstīto neietekmē.

• Šajā režīmā jebkurā atsevišķā noteikumu prioritāte ACL (proti, kārtulu prioritāti, tiek uzskatīts par absolūtā) nedrīkst pārsniegt 65535.