Kopsavilkums
Par Microsoft System Center 2012 R2 (Virtual Machine Manager — VMM) administratori var tagad centralizēti izveidot un pārvaldīt Hyper-V porta piekļuves vadības sarakstus (ACL) VMM.
Papildinformācija
Lai iegūtu papildinformāciju par atjauninājumu apkopojumu 8 System Center 2012 R2 Virtual Machine Manager, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
System Center 2012 R2 Virtual Machine Manager 3096389 atjauninājumu apkopojums 8
Vārdnīca
Mums ir uzlabota Virtual Machine Manager objekta modeli, pievienojot šādas jaunas koncepcijas tīkla pārvaldības apgabalā.
-
Porta piekļuves vadības sarakstu (ACL ports)
Objektu, kas ir pievienots dažādas VMM tīklošanas primitīvu aprakstos tīkla drošības. Porta ACL kalpo kā kolekciju ACL noteikumiem un piekļuves vadības ievadnes. ACL var pievienot vairākas (nulle vai vairāk) VMM tīklošanas primitīvu, piemēram, tīkla VM, VM apakštīkla, virtuālā tīkla adapteri vai sevi VMM pārvaldības serveris. ACL var būt jebkurš cipars (nulle vai vairāk) ACL noteikumi. Katram saderīgu VMM tīklošanas primitīvas (VM tīkla, VM apakštīkla, virtuālā tīkla adapteri vai VMM pārvaldības serveris) var būt vienu ACL pievienot portu vai nav. -
Porta piekļuves vadības ieraksts vai ACL kārtula
Objektu, kas aprakstīta filtrēšanas politiku. ACL vairākas kārtulas var atrodas tā paša porta ACL un lietot atkarībā no to prioritāti. Katra kārtula ACL atbilst tieši vienam portam ACL. -
Globālie iestatījumi
Virtuālā koncepcija, kas apraksta ACL, kas attiecas uz visiem VM virtuālā tīkla adapteriem infrastruktūras portu. Nav neviena atsevišķa objekta tips Globālie iestatījumi. Tā vietā Globālie iestatījumi portu ACL pievieno sevi VMM pārvaldības serveris. VMM pārvaldības servera objektu var būt viens ports ACL vai nav.
Papildinformāciju par tīkla pārvaldības apgabalā objekti, kas agrāk bija pieejami skatiet Virtual Machine Manager tīkla objektu Fundamentals.
Kā rīkoties ar šo līdzekli
Izmantojot PowerShell interfeiss VMM, varat tagad veiciet šādas darbības:
-
Norādiet porta ACL un ACL noteikumi.
-
Kārtulas tiek lietotas virtuālā slēdža portu, Hyper-V serveri kā "paplašinātā ports ACL" (VMNetworkAdapterExtendedAcl) Hyper-V terminoloģiju. Tas nozīmē, ka tie var lietot tikai ar Windows Server 2012 R2 (un Hyper-V Server 2012 R2) resursdatora serveriem.
-
VMM nerada "pārmantotās" Hyper-V porta ACL (VMNetworkAdapterAcl). Tādēļ nevar lietot ACL portu Windows Server 2012 (vai Hyper-V Server 2012) resursdatora serveriem, izmantojot VMM.
-
Visi porta ACL kārtulas, kas ir norādīti VMM, izmantojot šo līdzekli ir piesaistītajai (tikai TCP). Par TCP bezvalstnieku ACL kārtulas nevar izveidot, izmantojot VMM.
Papildinformāciju par paplašināto porta ACL līdzekli Windows Server 2012 R2 Hyper-V skatiet Paplašināto porta piekļuves vadības sarakstus Windows Server 2012 R2 drošības politikas izveide.
-
-
Pievienot portu ACL Globālie iestatījumi. Tas tā attiecas uz visiem VM virtuālā tīkla adapteri. Ir pieejama tikai pilnu administratorus.
-
Pievienot portu ACL izveidotajās VM tīklā, apakštīkli VM vai VM virtuālā tīkla adapteri. Tas ir pieejams pilns administratorus, Nomnieka administratorus un pašapkalpošanās lietotājiem (SSUs).
-
Skatīt un atjaunināt porta ACL kārtulas, kas ir konfigurētas atsevišķu VM vNIC.
-
Dzēst portu ACL un ACL noteikumi.
Katrai no šīm darbībām ir ietverta detalizētāka tālāk šajā rakstā.
Lūdzu, ņemiet vērā, ka šī funkcionalitāte ir piekļūt, tikai izmantojot PowerShell cmdlet un netiek parādītas VMM konsoli lietotāja interfeiss (izņemot valsts "Atbilstības").Kā man nav rīkoties ar šo līdzekli?
-
Pārvaldīt/atjauninājumu atsevišķu noteikumu vienam gadījumam, ACL ir jāsadala starp vairākiem gadījumiem. Visas kārtulas centralizēti pārvaldītas mātesuzņēmums ACL un lietot kur ACL ir pievienots.
-
Pievienot vairāk nekā vienu ACL entītijas.
-
Virtuālā tīkla adapteri (vNICs) attiecas porta ACL vecāknodalījumā Hyper-V (OS pārvaldība).
-
Izveidojiet portu ACL kārtulas, kas ietver līmeņa IP protokoli (ne tikai TCP vai UDP).
-
Porta ACL pieteikties loģisko tīklu, tīkla vietas (loģiskā tīkla definīcijas), apakštīkla VLAN un citi VMM tīklošanas primitīvu tika nav norādīti iepriekš.
Kā izmantot līdzekli?
Definējot jaunu portu ACL un to portu ACL kārtulas
Tagad varat izveidot ACL un to ACL noteikumi tieši no VMM, izmantojot PowerShell cmdlet.
Izveidojiet jaunu ACL
Pievieno šādu jaunu PowerShell cmdlet:
Jauns SCPortACL -nosaukums <virknes> [-apraksts <virknes>] -Nosaukums: ACL porta nosaukumu -Apraksts: Porta ACL (neobligāts parametrs) apraksts Iegūt SCPortACL Izgūst visus portu ACL -Nosaukums: Varat filtrēt pēc nosaukuma -ID: filtrējot izvēles ID Izlases komandasNew-SCPortACL -Name Samplerule -Description SampleDescription
$acl = Get-SCPortACL -Name Samplerule
Definēt porta ACL ACL portu kārtulas
Katram portam ACL veido portu ACL kārtulu kolekcija. Katra kārtula ir dažādi parametri.
-
vārds
-
Apraksts
-
Tips: Ienākošo/izejošo (virzienā, kurā tiks lietots ACL)
-
Darbība: Atļaut/aizliegt (ACL, lai atļautu trafiku vai bloķēt trafika darbība)
-
SourceAddressPrefix:
-
SourcePortRange:
-
DestinationAddressPrefix:
-
DestinationPortRange:
-
Protokols: TCP/Udp/jebkura (Piezīme: porta ACL ir noteiktas VMM līmeņa IP protokoli netiek atbalstīti. Tie joprojām tiek atbalstīti tikai ar Hyper-V.)
-
Prioritāte: 1-65535 (zemākais numurs ir prioritāte). Šī prioritāte, salīdzinot ar līmeni, kad tas tiek lietots. (Plašāku informāciju par to, kā tiek lietotas kārtulas ACL pamatojoties uz prioritātes un kuram ACL ir pievienota šāda objekta).
Jaunā PowerShell cmdlet, kas pievienoti
Jauns SCPortACLrule - PortACL <PortACL>-nosaukums <virknes> [-apraksta virkni < >]-tips < ienākošais | Izejošais >-darbības < atļaut | Liegtu >-prioritātes < uint16 >-protokola < Tcp | UDP | Visas > [-SourceAddressPrefix < virknes: IP adresi | IPSubnet >] [-SourcePortRange < virknes: X | X Y | Visas >] [-DestinationAddressPrefix < virknes: IP adresi | IPSubnet >] [-DestinationPortRange < virknes: X | X Y | Visas >]
Iegūt SCPortACLrule Iegūst porta ACL noteikumi.-
Vārds: Varat filtrēt pēc nosaukuma
-
ID: Filtrējot izvēles ID
-
PortACL: Varat filtrēt pēc porta ACL
Izlases komandas
New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10
New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10
New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20
New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound -Protocol Any -Action Deny -PortACL $acl -Priority 20
Pievienošana un atvienošana porta ACL
ACL var pievienot šādi:
-
Globālie iestatījumi (attiecas uz VM tīkla adapteri. Tikai pilnībā administratori var veikt.)
-
VM tīkla (pilns administratori/nomnieka administratori/SSUs var veikt.)
-
VM apakštīkla (pilns administratori/nomnieka administratori/SSUs var veikt.)
-
Virtuālā tīkla adapteri (pilns administratori/nomnieka administratori/SSUs var veikt.)
Globālie iestatījumi
Porta ACL noteikumi, kas attiecas uz visiem VM virtuālā tīkla adapteriem infrastruktūrā.
Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL. Set-SCVMMServer -VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | - RemovePortACL]-
PortACL: Jaunā neobligāts parametrs, kas konfigurē norādīto portu ACL Globālie iestatījumi.
-
RemovePortACL: Jaunā neobligāts parametrs, kas noņem visus konfigurēt porta ACL no Globālie iestatījumi.
Get SCVMMServer: atgrieztais objekts atgriež konfigurēto portu ACL.
Izlases komandasSet-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL
VM tīkls
Šie noteikumi jāpiemēro visi VM virtuālā tīkla adapteri, kas savienoti ar šo VM tīklu. Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL. Jauna SCVMNetwork [-PortACL <NetworkAccessControlList>] [pārējie parametri] -PortACL: jaunu neobligāts parametrs, kas ļauj norādīt portu ACL VM tīklu izveides laikā. Set SCVMNetwork [-PortACL <NetworkAccessControlList> | - RemovePortACL] [pārējie parametri] -PortACL: jauna neobligāts parametrs, kas ļauj iestatīt portu ACL VM tīklā. -RemovePortACL: jauna neobligāts parametrs, kas noņem visus konfigurēt porta ACL VM tīklā. Get SCVMNetwork: atgrieztais objekts atgriež konfigurēto portu ACL. Izlases komandas
Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl
Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL
VM apakštīkla
Šie noteikumi jāpiemēro visiem VM virtuālā tīkla adapteriem, kas savienoti ar šo VM apakštīkla. Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL. Jauna SCVMSubnet [-PortACL <NetworkAccessControlList>] [pārējie parametri] -PortACL: jaunā neobligāts parametrs, kas ļauj norādīt portu ACL VM apakštīklam izveides laikā. Set SCVMSubnet [-PortACL <NetworkAccessControlList> | - RemovePortACL] [pārējie parametri] -PortACL: jauna neobligāts parametrs, kas ļauj iestatīt portu ACL VM apakštīklam. -RemovePortACL: jauna neobligāts parametrs, kas noņem visus konfigurēt porta ACL no VM apakštīklā. Get SCVMSubnet: atgrieztais objekts atgriež konfigurēto portu ACL. Izlases komandas
Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl
Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL
Virtuālā tīkla adaptera VM (vmNIC)
Esošo PowerShell cmdlet tika atjaunināts ar jaunu parametru pievienošana un atvienošana porta ACL. Jauna SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [pārējie parametri] -PortACL: jauna neobligāts parametrs, kas ļauj norādīt portu ACL virtuālā tīkla adapterim veidojot jaunu vNIC. Set SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList> | - RemovePortACL] [pārējie parametri] -PortACL: jauna neobligāts parametrs, kas ļauj iestatīt portu ACL virtuālā tīkla adapterim. -RemovePortACL: jauna neobligāts parametrs, kas noņem visus konfigurēt porta ACL no virtuālā tīkla adapteri. Get SCVirtualNetworkAdapter: atgrieztais objekts atgriež konfigurēto portu ACL. Izlases komandas
Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl
Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL
Lietojot portu ACL kārtulas
Pēc tam, kad pievienojat porta ACL atsvaidzināšanas VMs, pamanāt, ka no virtuālajām statuss tiek rādīts kā "Neatbilst" karkass darbvietas virtuālās mašīnas skatā. (Lai pārslēgtos uz virtuālās mašīnas skatu, jums vispirms jāatrod Loģisko tīklu mezglu vai Loģisko slēdži mezglu karkass darbvietas). Ņemiet vērā VM atsvaidzināšanas notiek automātiski fonā (pēc grafika). Tādēļ nevar atjaunināt VMs tieši, pat tad, ja tās stājas noncompliant valsts galu galā.
Šajā brīdī ACL ports nav vēl pieteikušies VMs un to attiecīgo virtuālā tīkla adapteri. Lietot ACL portu, jums ir uzsākt procesu, ko dēvē par koriģēšanas. Nekad tas notiek automātiski un jāsāk tieši lietotāja pieprasījuma. Sākt koriģēšanas, jūs Remediate lentē noklikšķiniet vai palaist Labošanas SCVirtualNetworkAdapter cmdlet. Nav noteiktas izmaiņas cmdlet sintakse šim līdzeklim. Repair SCVirtualNetworkAdapter - VirtualNetworkAdapter <VirtualNetworkAdapter> Radušies šīs VMs atzīmēt tos kā saderīgas un pārliecinieties, ka tiek lietoti paplašinātā porta ACL. Ņemiet vērā, porta ACL neattiecas uz jebkuru VMs tvērumu līdz jūs tos tieši mazinātu.Skatot ACL portu kārtulas
Lai apskatītu ACL un ACL kārtulas, varat izmantot šo PowerShell cmdlet.
Jaunā PowerShell cmdlet, kas pievienoti
Izgūt porta ACL Parametrs ir iestatīts 1. Iegūt visu vai nosaukuma: Get SCPortACL [-<> nosaukums] Parametrs ir iestatīts 2. Iegūt ID: Get SCPortACL -Id <> [-<> nosaukums] Izgūt porta ACL kārtulas Parametrs ir iestatīts 1. Visas vai nosaukuma: Get SCPortACLrule [-<> nosaukums] Parametrs ir iestatīts 2. ID: Get SCPortACLrule -Id <> Parametrs ir iestatīts 3. ACL objekts: Get SCPortACLrule -PortACL <NetworkAccessControlList>
Atjaunināšanas ACL portu kārtulas
Atjauninot ACL, kas ir pievienots tīkla adapteri, izmaiņas tiek parādītas visas tīkla adapteris gadījumos, kas izmanto šo ACL. ACL, kas piesaistīts VM apakštīklā vai tīklā VM visus tīkla adaptera gadījumus, kas savienoti, apakštīkla tiek atjaunināts ar izmaiņām.
Piezīme. Atsevišķu tīkla adapteru ACL noteikumiem atjaunināšanu veic paralēli mēģiniet vienu labāko iespējamo sistēmā. Adapteri, kas kāda iemesla dēļ nevar atjaunināt atzīmēti "drošības incompliant" un uzdevums ir pabeigta, tiek parādīts kļūdas ziņojums, kurā teikts, ka tīkla adapteri nav veiksmīgi atjaunināti. "Security incompliant" šeit nozīmē nesaderība ar paredzēts salīdzinājumā ar faktisko ACL noteikumi. Adapteris ir atbilstības uzraudzībai "Neatbilst" kopā ar attiecīgo kļūdu ziņojumiem. Skatiet iepriekšējo sadaļu, lai iegūtu papildinformāciju par radušies noncompliant virtuālās mašīnas.Pievieno jaunu PowerShell cmdlet
Set-SCPortACL - PortACL <PortACL> [-nosaukums <nosaukums>] [-apraksts < description >]
Set-SCPortACLrule - PortACLrule <PortACLrule> [-nosaukums <nosaukums>] [-apraksts <virknes>] [-<PortACLRuleDirection> ievadiet {ienākošais | Izejošais}] [-darbības <PortACLRuleAction> {atļaut | Liegtu}] [-SourceAddressPrefix <virknes>] [-SourcePortRange <virknes>] [-DestinationAddressPrefix <virknes>] [-DestinationPortRange <virknes>] [-protokola <PortACLruleProtocol> {Tcp | UDP | Visas}] Set SCPortACL: maina porta ACL apraksts.-
Apraksts: Atjauninājumu apraksts.
Set SCPortACLrule: maina porta ACL kārtula parametrus.
-
Apraksts: Atjauninājumu apraksts.
-
Tips: Atjauninājumiem, kas tiek lietots ACL virzienā.
-
Darbība: Atjaunina ACL darbību.
-
Protokols: Atjauninājumus, kurā tiks lietots ACL protokolu.
-
Prioritāte: Prioritātes atjauninājumus.
-
SourceAddressPrefix: Atjauninājumus avota adrese prefiksu.
-
SourcePortRange: Atjauninājumus avota portu diapazonā.
-
DestinationAddressPrefix: Atjauninājumus mērķa adreses prefiksu.
-
DestinationPortRange: Atjauninājumus mērķa portu diapazonā.
Porta ACL un ACL portu kārtulas dzēšana
ACL var dzēst tikai tad, ja nav pievienota atkarības. Atkarību ietver VM tīkla/VM apakštīkla virtuālā tīkla adaptera globālā iestatījumus, kas pievienoti ACL. Mēģinot dzēst portu ACL, izmantojot PowerShell cmdlet, cmdlet noteikt, vai porta ACL piesaistīts jebkurai atkarības un mest attiecīgo kļūdu ziņojumi.
Noņemot porta ACL
Pievienotas jaunas PowerShell cmdlet:
Noņemt SCPortACL - PortACL <NetworkAccessControlList>Noņemot ACL portu kārtulas
Pievienotas jaunas PowerShell cmdlet:
Noņemt SCPortACLRule - PortACLRule <NetworkAccessControlListRule> Ņemiet vērā, ka dzēšot VM tīkla apakštīkla/VM/tīkla adapteri automātiski noņem saistība ar šo ACL. ACL var arī būt piesaiste noņemta no VM apakštīkla/VM tīkla/tīkla adapteris mainot VMM tīkla attiecīgo objektu. Lai to izdarītu, izmantojiet cmdlet Set- kopā ar slēdzi - RemovePortACL , kā aprakstīts iepriekšējā sadaļā. Šādā gadījumā portu ACL būs atdalīts no izmantotā tīkla objekts, bet netiks dzēsti no VMM infrastruktūra. Tāpēc tas var atkārtoti vēlāk.Ārpusjoslas izmaiņas ACL kārtulas
Ja mēs darām ārpusjoslas (OOB) izmaiņas ACL noteikumiem no Hyper-V virtuālo komutatora ports (izmantojot vietējos Hyper-V cmdlet, piemēram, Pievienot VMNetworkAdapterExtendedAcl), VM atsvaidzināt parādīsies tīkla adapteri kā "Drošības Incompliant". Tīkla adapteris var pēc tam remediated no VMM, kā aprakstīts sadaļā "Lietoti porta ACL". Tomēr koriģēšanas pārrakstīs visas porta ACL kārtulas, kas definētas ārpus VMM ar tiem, kas ir paredzēts, VMM.
Porta ACL kārtulas prioritāte un lietojumprogrammu prioritātes (papildu)
Pamata koncepcijas
Katra porta ACL kārtula portu ACL ir rekvizīts ar nosaukumu "Prioritāte". Kārtulas tiek lietotas secībā, pamatojoties uz to prioritāti. Kārtulas prioritāte definēt šādus pamatprincipus:
-
Zemāka prioritāte numurs ir augstāka prioritāte. Proti, vairāku portu ACL kārtulas pretrunā ar otru, ja iegūst kārtulas ar zemāku prioritāti.
-
Kārtulas darbību neietekmē prioritāti. Proti, atšķirībā no NTFS ACL (piemēram), šeit mums nav koncepcija kā "Deny vienmēr ir prioritāri atļaut".
-
Tajā pašā prioritātes (pats skaitlis) nevar būt divas noteikumiem vienā virzienā. Šāda izturēšanās novērš iespējamo situāciju, kad kāds definēt "Deny" un "Atļautajam" ar vienādu prioritāti, jo tas izraisa neskaidrības vai konflikts.
-
Konflikta definē kā divas vai vairākas kārtulas ir prioritāte vienā un tajā pašā virzienā. Konflikts var rasties, ja pastāv divas porta ACL noteikumi ar tādu pašu prioritātes un divas ACL, kas tiek lietoti dažādi virzienā un daļēji pārklāties līmeni. Proti, iespējams, objekta (piemēram, vmNIC), kas ietilpst abiem līmeņiem. Kopējā piemērs pārklājas ir VM tīkla un VM apakštīkla vienā tīklā.
Lietoti vairāki porta ACL viena persona
Porta ACL var lietot citā VMM tīkla objekti (vai citā līmenī, kā aprakstīts iepriekš), jo vienā VM virtuālā tīkla adapteri (vmNIC) var iedalīt vairākus porta ACL apjomu. Šādā gadījumā tiek lietoti ACL portu kārtulas no visiem portu ACL. Tomēr šie noteikumi prioritāte var atšķirties atkarībā no vairākas jaunas VMM pielāgot iestatījumus, kas ir minēti tālāk šajā rakstā.
Reģistra iestatījumus
Šie iestatījumi tiek definēti Dword vērtības Windows reģistra atslēgā VMM pārvaldības servera:
System Center Virtual Machine Manager Server\Settings HKLM\Software\Microsoft\Microsoft
Lūdzu, ņemiet vērā, šie iestatījumi ietekmēs porta ACL visā visu VMM infrastruktūra.Efektīva porta ACL kārtulu prioritāti
Diskusiju, mēs apraksta faktisko prioritāti ACL portu kārtulas pieprasot vairāku portu ACL vienu vienību efektīvu kārtulu prioritāti. Lūdzu, ņemiet vērā, ka nav atsevišķas iestatījums vai objektu VMM norādīt vai skatīt spēkā esošās kārtulas prioritātes. Tas tiek aprēķināts izpildlaika.
Ir divi pasaules veidi, kuras var aprēķināt efektīvu kārtulu prioritāti. Reģistra iestatījums ir ieslēgts režīmi:PortACLAbsolutePriority
Šis iestatījums pieņemams vērtības ir 0 (nulle) vai 1, kur 0 apzīmē noklusējuma darbību.Relatīvā prioritāte (noklusējuma)
Lai iespējotu šo režīmu, iestatiet rekvizīta PortACLAbsolutePriority reģistra vērtība ir 0 (nulle). Šis režīms arī tad, ja iestatījums nav definēts reģistrā (t.i., ja rekvizīts nav izveidots).
Šis režīms, tiek ievēroti šādi principi papildus pamata koncepcijas, kas tika iepriekš aprakstīts:-
Tiek saglabāts pēc tā paša porta ACL prioritāti. Tādēļ prioritāte vērtības, kas definētas katra kārtula apstrādā kā relatīvais laikā ACL.
-
Lietojot vairākus porta ACL, to kārtulas tiek lietotas kopumi. Kārtulas no pašu ACL (pievienots konkrētajam objektam) tiek lietoti kopā ar pašu kopuma. Prioritāte noteikta kopumi ir atkarīgs no objekta, kuram ir pievienots portu ACL.
-
Kārtulas, kas definētas Globālie iestatījumi ACL (neatkarīgi no savas prioritātes kā noteikts porta ACL) vienmēr dominē pār kārtulas, kas definētas ACL, ko lieto vmNIC un tā tālāk. Citiem vārdiem, tiek ieviesta slāņa atdalīšanas.
Galu galā spēkā nosacījums prioritātes var atšķirties no sevis ACL portu kārtulu rekvizītos skaitlisko vērtību. Papildinformāciju par to, kā tā tiek ieviesta un kā var mainīt tā loģika šādi.
-
Var mainīt secību, kas dominē trīs "specifisko objektu" līmeni (proti, vmNIC VM apakštīkla un VM tīkla).
-
Globālie iestatījumi secību nevar mainīt. Augstāka prioritāte vienmēr aizņem (vai = 0).
-
Trīs līmeņiem, skaitlisku vērtību no 0 līdz 3, kur 0 ir augstāka prioritāte (vienāds Globālie iestatījumi) un 3 ir viszemākā prioritāte var iestatīt šādi iestatījumi:
-
PortACLVMNetworkAdapterPriority (noklusējums ir 1)
-
PortACLVMSubnetPriority (noklusējums ir 2)
-
PortACLVMNetworkPriority (noklusējums ir 3.)
-
-
Ja tādu pašu vērtību (0 3) piešķirt šiem vairākiem reģistra iestatījumiem vai jāpiešķir vērtība ārpus diapazona 0 līdz 3, VMM neizdosies atpakaļ uz noklusējumu.
-
-
Tiek ieviesta pasūtīšana ir spēkā kārtulu prioritāti ir mainīti tādējādi ACL kārtulas, kas definētas augstākā līmenī saņemtu augstāka prioritāte (proti, mazāka skaitlisko vērtību). Kad tiek aprēķināta efektīvu ACL, katra relatīvā kārtulas prioritātes vērtība ir "uzskrēja" līmenis konkrētu vērtību vai "darbību".
-
Konkrēta līmeņa vērtība ir "darbību", kas atdala atšķirīgu. Pēc noklusējuma "darbību" lielums ir 10 000 un iestata šo reģistra iestatījumu:
PortACLLayerSeparation
-
Tas nozīmē, ka šajā režīmā jebkurā laikā ACL (proti, noteikumu, kas tiek uzskatīts par relatīvo) atsevišķā noteikumu prioritātes nedrīkst pārsniegt šī iestatījuma vērtību:
PortACLLayerSeparation (pēc noklusējuma 10000)
Konfigurācijas piemērs
Pieņemsim, ka iestatījumi ir noklusējuma vērtības. (Tie ir aprakstīti iepriekš.)
-
Mums ir piesaistīto vmNIC ACL (PortACLVMNetworkAdapterPriority = 1).
-
Visas kārtulas, kas definētas šajā ACL efektīvu prioritāti ir bumped ar 10000 (PortACLLayerSeparation vērtība).
-
Parasti mēs definēt šo prioritāti, kas ir iestatīts uz 100 ACL.
-
10000 + 100 = 10100 būtu efektīva kārtulu prioritāti.
-
Kārtulas tiks dominē pār citiem noteikumiem vienā ACL prioritāte ir lielāka par 100.
-
Kārtulas tiks vienmēr priekšroka kārtulas, kas definētas ACL pievienoto VM tīklā un VM apakštīkla līmeni. (Tas ir spēkā, jo tie tiek uzskatīti par "zemāku" līmeni).
-
Noteikums nekad būs dominē pār kārtulas, kas definētas ACL Globālie iestatījumi.
Šis režīms priekšrocības
-
Nav labāku drošību vairāku nomnieku gadījumos, jo portu ACL kārtulas, kas definētas admin karkass (globālie iestatījumi līmenis) ir vienmēr priekšroka kārtulas, kas nosaka nomniekiem sevi.
-
Kārtulu porta ACL konflikti (proti, neskaidrības) ir bloķēta automātiski slāņa atdalīšanas dēļ. Ir ļoti grūti prognozēt, kas būs spēkā un kāpēc.
Brīdinājumi šajā režīmā
-
Mazāk elastību. Ja definējat kārtulas (piemēram, "aizliegt visas trafiku uz portu 80"), globālie iestatījumi, var nekad veidot graudaināks atbrīvot no šī kārtula zemāka līmeņa (piemēram, "atļaut portu 80 tikai šo VM, kas likumīgi web serverī darbojas").
Relatīvā prioritāte
Lai iespējotu šo režīmu, iestatiet rekvizīta PortACLAbsolutePriority reģistra vērtību 1.
Šajā režīmā pamata koncepcijas iepriekš aprakstītos papildus piemēro šādus principus:-
Ja objekts ietilpst vairākas ACL (piemēram, VM tīkla un VM apakštīkls) apjomu, visas kārtulas, kas definētas jebkuras pievienotās ACL tiek lietotas vienotā secībā (vai viena kopuma). Nav nav līmeņa atdalīšana un nav "mutuļošana" nekāda.
-
Visas kārtulas prioritātes tiek uzskatīti par absolūto precīzi, kā tie noteikti katru kārtulu prioritāti. Proti, katra kārtula efektīvu prioritāti ir tāds pats kā ko nosaka pats nosacījums un netiek mainīts VMM programma, pirms tas tiek lietots.
-
Visi citi reģistra iestatījumus, kas iepriekšējā sadaļā aprakstīto neietekmē.
-
Šajā režīmā jebkurā atsevišķā noteikumu prioritāte ACL (proti, kārtulu prioritāti, tiek uzskatīts par absolūtā) nedrīkst pārsniegt 65535.
Konfigurācijas piemērs
-
Globālie iestatījumi ACL definējat kārtulas, kuras prioritāte ir iestatīts uz 100.
-
ACL, kas piesaistīts vmNIC definējat kārtulas, kuras prioritāte ir iestatīts uz 50.
-
Kārtulu, kas ir norādīti vmNIC līmeņa prioritāte, jo tā ir augstāka prioritāte (proti, zemāku skaitlisko vērtību).
Šis režīms priekšrocības
-
Lielāku elastību. Jūs varat izveidot "vienreizēju" Globālie iestatījumi kārtulas izņēmumi zemāku (piemēram, VM apakštīklā vai vmNIC).
Brīdinājumi šajā režīmā
-
Plānošana var kļūt sarežģītāka, jo nav neviena līmeņa atdalīšana. Un var būt kārtulu jebkurā līmenī, kas ignorē citus noteikumus, kas ir norādīti citi objekti.
-
Vairāku nomnieku vidē, jo nomnieka var veidot kārtulu VM apakštīkla līmeņiem, kas ignorē politika, kas nosaka karkass administratora līmeņa Globālie iestatījumi var ietekmēt drošības.
-
Kārtulu konflikts (proti, neskaidrības) nav novērstas automātiski un var rasties. VMM var novērst tikai ar tādu pašu ACL konflikti. To nevar novērst konfliktus visā ACL, kas pievienoti citu objektu. Konfliktu gadījumos VMM nevar novērst konfliktu, jo tas pārtrauktu noteikumiem un mest kļūdas.