Wsparcie dla wdrażania funkcji Hyper-V extended portu listy ACL w System Center 2012 R2 VMM z 8 pakietu zbiorczego aktualizacji

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 3101161
Streszczenie
Administratorzy z Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) teraz centralnie tworzyć i zarządzać Hyper-V portu list kontroli dostępu (ACL) w VMM.
Więcej informacji
Aby uzyskać więcej informacji na temat 8 pakiet zbiorczy aktualizacji dla programu System Center 2012 R2 Virtual Machine Manager kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

3096389 Pakiet zbiorczy aktualizacji 8 dla programu System Center 2012 R2 Virtual Machine Manager

Słownik pojęć

Rozbudowany modelu obiektów programu Virtual Machine Manager przez dodanie następujących nowych koncepcji w obszarze Zarządzanie siecią.
  • Listy kontroli dostępu w porcie (port ACL)
    Obiekt, który jest dołączony do różnych VMM prymitywów sieci do opisania zabezpieczeń sieci. Port ACL służy jako zbiór reguł ACL lub wpisy kontroli dostępu. Listy ACL może być dołączony do dowolnej liczby (zero lub więcej) VMM prymitywów sieci VM, VM podsieci, wirtualna karta sieciowa lub samego serwera zarządzania programem VMM w sieci. Listy ACL może zawierać dowolną liczbę (zero lub więcej) reguł ACL. Każdy zgodny VMM networking pierwotnych (maszyna wirtualna sieć, VM podsieci, wirtualna karta sieciowa lub serwer zarządzania VMM) może mieć jeden port, którego dołączony ACL lub Brak.
  • Wpis kontroli dostępu do portu lub reguły ACL
    Obiekt, który zawiera opis zasad filtrowania. Wiele reguł ACL można istnieć w tym samym porcie ACL i zastosować oparte na ich priorytet. Każda reguła ACL odpowiada dokładnie jeden port ACL.
  • Ustawienia globalne
    Koncepcja wirtualnego opisującą port ACL, która jest stosowana do wszystkich kart sieciowych wirtualnych maszyn wirtualnych w infrastrukturze. Istnieje Brak oddzielny obiekt typu dla ustawienia globalne. Zamiast tego portu globalne ustawienia listy ACL przywiązuje do samego serwera zarządzania programem VMM. Obiekt serwera zarządzania VMM może mieć jeden port ACL lub Brak.
Aby uzyskać informacje o obiektach w obszarze zarządzania siecią, które były wcześniej dostępne zobacz Podstawy obiektu typu sieć Virtual Machine Manager.

Co można zrobić z tą funkcją?

Za pomocą interfejsu programu PowerShell w VMM, może teraz podjąć następujące działania:
  • Definiowanie list ACL portu i ich reguł ACL.
    • Reguły są stosowane do portów przełącznika wirtualnych na serwerach funkcji Hyper-V jako "port rozszerzonej listy ACL" (VMNetworkAdapterExtendedAcl) w terminologii funkcji Hyper-V. Oznacza to, że mogą ubiegać się tylko do serwerów hosta Windows Server 2012 R2 (i funkcji Hyper-V Server 2012 R2).
    • Program VMM nie utworzy "starszy" ACL portu funkcji Hyper-V (VMNetworkAdapterAcl). W związku z tym nie można zastosować listy ACL portu do serwerów hosta Windows Server 2012 (lub funkcji Hyper-V Server 2012) przy użyciu VMM.
    • Wszystkich reguł ACL portów, które są zdefiniowane w VMM za pomocą tej funkcji są akumulującej stan (dla protokołu TCP). Nie można utworzyć bezstanowej reguł ACL dla protokołu TCP za pomocą VMM.
    Aby uzyskać więcej informacji na temat rozszerzonego portu ACL funkcji w systemie Windows Server 2012 R2 Hyper-V zobacz Utworzyć zasady zabezpieczeń z portu rozszerzonej listy kontroli dostępu dla systemu Windows Server 2012 R2.
  • Podłącz port ACL do ustawienia globalne. Dotyczy to wszystkich kart sieciowych wirtualnych maszyn wirtualnych. Jest on dostępny tylko do pełnego Administratorzy.
  • Dołączyć portu list kontroli dostępu, które są tworzone z siecią VM, VM podsieci lub VM wirtualne karty sieciowe. Polecenie jest dostępne do pełnego Administratorzy, Administratorzy dzierżawczej i użytkownicy Sklep internetowy (SSUs).
  • Przeglądanie i aktualizowanie reguł ACL portów skonfigurowanych na indywidualnych vNIC VM.
  • Usuwanie listy ACL portu i ich reguł ACL.
Każda z tych akcji omówiono bardziej szczegółowo w dalszej części tego artykułu.

Należy pamiętać, że ta funkcjonalność jest dostępny wyłącznie za pośrednictwem apletów poleceń programu PowerShell i nie zostaną odzwierciedlone w konsoli VMM interfejsu użytkownika (z wyjątkiem stanu "Zgodności").

Co nie można zrobić z tą funkcją?

  • Zarządzanie/aktualizacja poszczególnych reguł dla jednego wystąpienia listy ACL jest współużytkowane przez wiele wystąpień. Wszystkie reguły są zarządzane centralnie w ich katalogach list ACL i stosować wszędzie tam, gdzie jest dołączona lista ACL.
  • Dołączyć więcej niż jeden ACL do jednostki.
  • Dotyczą ACL portu wirtualne karty sieciowe (vNICs) w partycji nadrzędnej funkcji Hyper-V (Zarządzanie systemu operacyjnego).
  • Tworzenie reguły ACL portów, które zawierają protokołów IP (inny niż TCP lub UDP).
  • Listy ACL portu dotyczą sieci logiczne, witrynach sieci (sieci logicznej definicje), podsieci sieci VLAN i innych VMM prymitywów sieciowych, które nie zostały wymienione wcześniej.

Jak używać funkcji?

Definiowanie nowego portu list ACL i ich reguł portów ACL

Teraz można utworzyć list ACL i ich reguł ACL bezpośrednio z w VMM za pomocą apletów poleceń programu PowerShell.

Utwórz nową listę ACL

Dodaje się następujące nowe polecenia cmdlet środowiska PowerShell:

Nowy SCPortACL — nazwaciąg znaków> [-Opisciąg znaków>]

— Nazwa: Nazwa portu ACL

— Opis: Opis port ACL (parametr opcjonalny)

Get-SCPortACL

Pobiera wszystkie listy ACL portu

— Nazwa: Opcjonalnie można filtrować według nazwy

-ID: Opcjonalnie można filtrować według identyfikatorów

Przykładowe polecenia

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definiowanie reguł ACL portu dla portu ACL
Każdy port ACL składa się z kolekcji reguł portów ACL. Każda reguła zawiera różne parametry.

  • Nazwa
  • Opis
  • Typ: Przychodzących/wychodzących (kierunek, w którym zostaną zastosowane listy ACL)
  • Akcja: Zezwalaj/Odmów (Akcja listy ACL, aby zezwolić na ruch lub blokować ruchu)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokół: TCP/Udp/dowolny (Uwaga: protokołów IP nie są obsługiwane w port list kontroli dostępu, które są definiowane przez VMM. Oni są nadal obsługiwany macierzyście przez funkcji Hyper-V.)
  • Priorytet: 1 – 65535 (najniższy numer ma najwyższy priorytet). Ten priorytet jest warstwy, w których jest stosowany. (Więcej informacji na temat sposobu stosowania reguł ACL oparte na priorytet i obiektu, do którego listy ACL jest dołączony następujący).

Nowe apletów poleceń programu PowerShell, które są dodawane

Nowe SCPortACLrule - PortACLPortACL>-Nazwaciąg znaków> [-Opis <string>]-Typ <Inbound |="" outbound="">-Akcja <Allow |="" deny="">-priorytet <uint16>-protokół <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Pobiera wszystkie reguły portu ACL.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nazwa: Opcjonalnie można filtrować według nazwy
  • ID: Opcjonalnie można filtrować według identyfikatorów
  • PortACL: Opcjonalnie można filtrować według portu ACL
Przykładowe polecenia

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Dołączanie i odłączanie portu ACL



Listy ACL może być dołączony do następujących czynności:
  • Ustawienia globalne (dotyczy wszystkich kart sieciowych VM. Pełne Administratorzy mogą to zrobić tylko.)
  • Maszyna wirtualna sieć (pełna Administratorzy/najemcy Administratorzy/SSUs można to zrobić.)
  • Maszyna wirtualna podsieci (pełna Administratorzy/najemcy Administratorzy/SSUs można to zrobić.)
  • Wirtualne karty sieciowe (pełna Administratorzy/najemcy Administratorzy/SSUs można to zrobić.)

Ustawienia globalne

Te reguły ACL portu stosuje się do wszystkich kart sieciowych wirtualnych maszyn wirtualnych w infrastrukturze.

Istniejące apletów poleceń programu PowerShell zostały zaktualizowane o nowe parametry Dołączanie i odłączanie portu listy ACL.

Set-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nowy parametr opcjonalny, który konfiguruje określony port listy kontroli dostępu do ustawień globalnych.
  • RemovePortACL: Nowy parametr opcjonalny, który usuwa dowolny skonfigurowany port ACL z ustawienia globalne.
Get-SCVMMServer: zwraca skonfigurowany port ACL w zwracany obiekt.

Przykładowe polecenia

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Maszyna wirtualna sieć


Te reguły zostaną zastosowane do wszystkich kart VM wirtualnej sieci, które są połączone z tą siecią VM.

Istniejące apletów poleceń programu PowerShell zostały zaktualizowane o nowe parametry Dołączanie i odłączanie portu listy ACL.

Nowy SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [pozostałe parametry]

-PortACL: nowy parametr opcjonalny, który pozwala określić port listy kontroli dostępu do sieci VM podczas tworzenia.

Zestaw SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [pozostałe parametry]

-PortACL: nowy parametr opcjonalny, który pozwala ustawić port listy kontroli dostępu do sieci VM.

-RemovePortACL: nowy parametr opcjonalny, który usuwa dowolny skonfigurowany port ACL z sieci VM.

Get-SCVMNetwork: zwraca skonfigurowany port ACL w zwracany obiekt.

Przykładowe polecenia

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Podsieci VM


Te reguły zostaną zastosowane do wszystkich kart wirtualnej sieci VM, które są podłączone do tej podsieci VM.

Istniejące apletów poleceń programu PowerShell zostały zaktualizowane z nowy parametr dla Dołączanie i odłączanie portu listy ACL.

Nowy SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [pozostałe parametry]

-PortACL: nowy parametr opcjonalny, który pozwala określić port listy kontroli dostępu do podsieci VM podczas tworzenia.

Zestaw SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [pozostałe parametry]

-PortACL: nowy parametr opcjonalny, który pozwala ustawić port listy kontroli dostępu do podsieci VM.

-RemovePortACL: nowy parametr opcjonalny, który usuwa dowolny skonfigurowany port ACL z podsieci VM.

Get-SCVMSubnet: zwraca skonfigurowany port ACL w zwracany obiekt.

Przykładowe polecenia

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Maszyna wirtualna wirtualna karta sieciowa (vmNIC)


Istniejące apletów poleceń programu PowerShell zostały zaktualizowane o nowe parametry Dołączanie i odłączanie portu listy ACL.

Nowy SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [pozostałe parametry]

-PortACL: nowy parametr opcjonalny, który pozwala określić port ACL do wirtualnej karty sieciowej, podczas tworzenia nowych vNIC.

Zestaw SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [pozostałe parametry]

-PortACL: nowy parametr opcjonalny, który pozwala ustawić port listy kontroli dostępu do wirtualnej karty sieciowej.

-RemovePortACL: nowy parametr opcjonalny, który usuwa dowolny skonfigurowany port ACL z wirtualnej karty sieciowej.

Get-SCVirtualNetworkAdapter: zwraca skonfigurowany port ACL w zwracany obiekt.

Przykładowe polecenia

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Stosowanie reguł ACL portu

Podczas odświeżania maszyn wirtualnych po dołączeniu ACL portu, można zauważyć, że stan VMs jest wyświetlany jako "Nie spełnia" w widoku maszyny wirtualnej przestrzeni roboczej sieci szkieletowej. (Aby przejść do widoku maszyny wirtualnej, trzeba najpierw przejść do węzła Sieci logiczne lub Przełącza się logiczne węzła obszaru roboczego tkaniny). Należy pamiętać, że VM odświeżenia automatycznie w tle (zgodnie z harmonogramem). W związku z tym nawet jeśli nie odświeżaj jawnie VMs, one przejdzie w stanie niezgodności po pewnym czasie.



W tym momencie ACL portu nie zastosowali jeszcze VMs i ich odpowiednich wirtualne karty sieciowe. Aby zastosować ACL portu, musisz wywołać to proces, który jest nazywany korygowaniem. To nigdy nie odbywa się automatycznie i powinny być uruchamiane jawnie na żądanie użytkownika.

Aby rozpocząć korygujących, możesz Korygowanie na wstążce kliknij przycisk lub uruchomić polecenie cmdlet SCVirtualNetworkAdapter naprawy . Nie ma żadnych zmian określonej składni polecenia dla tej funkcji.

Naprawa SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Rekultywację te maszyny wirtualne oznaczy je jako zgodne z wymogami i upewnij się, że stosowanie listy ACL portu rozszerzonego. Należy pamiętać, że port ACL nie zastosuje do wszelkich maszyn wirtualnych w zakresie aż do ich jawnie korygowania.

Przeglądanie reguł portów ACL

Służy do wyświetlania listy ACL i ACL zasady, można użyć następujących poleceń cmdlet środowiska PowerShell.

Nowe apletów poleceń programu PowerShell, które są dodawane

Pobieranie listy ACL portu

Parametr wartość 1. Aby uzyskać wszystkie lub według nazwy: Get-SCPortACL [-nazwa <> </>]

Parametr wartość 2. Aby uzyskać identyfikator: Get-SCPortACL -Id <> [-nazwa <> </>]

Pobieranie reguł portów ACL

Parametr wartość 1. Wszystkie lub według nazwy: Get-SCPortACLrule [-nazwa <> </>]

Parametr wartość 2. Według Identyfikatora: Get-SCPortACLrule -Id <>

Parametr wartość 3. Przez ACL obiektu: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Aktualizowanie reguł portów ACL

Podczas aktualizowania listy kontroli dostępu, który jest dołączony do karty sieciowe, zmiany są odzwierciedlane w wszystkich network adapter wystąpień używające tej listy ACL. Dla listy ACL dołączonego do VM podsieci lub sieci VM wszystkie sieci adapter wystąpienia, które są podłączone do tej podsieci są aktualizowane przy użyciu zmian.

Uwaga: Aktualizowanie listy ACL zasady dotyczące poszczególnych kart sieciowych jest wykonywane równolegle w schemacie optymalny jeden try. Karty, które nie mogą być aktualizowane z jakiegokolwiek powodu są oznaczone "security niezgodnego", a zadanie zakończy się komunikat o błędzie z informacją, że karty sieciowe nie zostały pomyślnie zaktualizowane. "Bezpieczeństwo niezgodnego" odnosi się tutaj do niezgodność w oczekiwany w stosunku do rzeczywistych reguł ACL. Karta będzie miał stan zgodności "Nie spełnia" razem z odpowiednie komunikaty o błędach. Zobacz poprzednią sekcję, aby uzyskać więcej informacji na temat korygując niezgodne maszyn wirtualnych.
Nowe polecenia środowiska PowerShell dodane
Set-SCPortACL - PortACLPortACL> [-NazwaNazwa&gt;] [-Opis <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-NazwaNazwa&gt;] [-Opisciąg znaków&gt;] [-TypPortACLRuleDirection> {Ruchu przychodzącego | Wychodzące}] [-AkcjaPortACLRuleAction> {Pozwalają | Odmawianie}] [-SourceAddressPrefixciąg znaków&gt;] [-SourcePortRangeciąg znaków&gt;] [-DestinationAddressPrefixciąg znaków&gt;] [-DestinationPortRangeciąg znaków&gt;] [-ProtokółPortACLruleProtocol> {Tcp | UDP | Wszelkie}]

Zestaw SCPortACL: zmienia się opis listy ACL portu.
  • Opis: Aktualizuje opis.

Zestaw SCPortACLrule: Zmienia parametry reguły portu ACL.
  • Opis: Aktualizuje opis.
  • Typ: Aktualizuje kierunek, w którym zastosowano listy ACL.
  • Akcja: Aktualizuje działania listy kontroli dostępu.
  • Protokół: Aktualizacje protokołu, do którego będą stosowane listy ACL.
  • Priorytet: Aktualizuje priorytet.
  • SourceAddressPrefix: Aktualizuje prefiksu adresu źródłowego.
  • SourcePortRange: Aktualizuje zakres portów źródłowych.
  • DestinationAddressPrefix: Aktualizuje prefiks adresu docelowego.
  • DestinationPortRange: Aktualizuje zakresu portu docelowego.

Usuwanie listy ACL portu i reguły portów ACL

Listy ACL można usunąć tylko wtedy, gdy istnieją żadnych zależności z nim związane. Zależności są VM sieci/VM podsieci/wirtualnych sieci adapter/ustawienia globalne dołączonych do listy ACL. Podczas próby usunięcia portu ACL przy użyciu polecenia cmdlet środowiska PowerShell polecenia cmdlet wykryje, czy port ACL jest dołączony do żadnej zależności i wyrzuci odpowiednie komunikaty o błędach.

Usuwanie listy ACL portu

Dodano nowe apletów poleceń programu PowerShell:

Usuń SCPortACL - PortACLNetworkAccessControlList>

Usuwanie reguły portów ACL

Dodano nowe apletów poleceń programu PowerShell:

Usuń SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Należy pamiętać, że usunięcie maszynie Wirtualnej sieci podsieć/VM/karta sieciowa automatycznie usuwa skojarzenie z tej listy ACL.

Listy ACL może również odłączony od karty sieci/podsieci/VM VM poprzez zmianę odpowiednich obiektów sieciowych VMM. Aby to zrobić, należy użyć polecenia Set- wraz z przełącznikiem - RemovePortACL jak opisano we wcześniejszych częściach. W tym przypadku portu listy ACL zostaną odłączone od obiektu odpowiednich sieci, ale nie zostaną usunięte z infrastruktury VMM. W związku z tym to można wykorzystać później.

Poza pasmem zmian reguł ACL

Czy robimy out-of-band (OOB) zmiany do reguł ACL z portu przełącznika wirtualnej funkcji Hyper-V (przy użyciu macierzystego cmdlets funkcji Hyper-V, takich jak Dodaj-VMNetworkAdapterExtendedAcl), Odśwież VM będą widoczne karty sieciowej jako "Incompliant zabezpieczeń." Karty sieciowej mogą być następnie regenerowane z VMM zgodnie z opisem w sekcji "Applying portu ACL". Jednakże środki zaradcze zastąpi wszystkie reguły ACL portów są zdefiniowane poza VMM z tymi, które według przewidywań przez VMM.

Port ACL priorytet i aplikacji pierwszeństwo reguł (zaawansowane)

Pojęcia podstawowe

Każda reguła ACL portu w polu port ACL ma właściwość o nazwie "Priorytet". Reguły są stosowane w kolejności, na podstawie ich priorytetu. Następujące podstawowe zasady definiowania zasady pierwszeństwa:
  • Im niższy priorytet numer, tym wyższy jest priorytet. To znaczy jeśli wiele reguł ACL portu sprzeczne z każdej innej, reguła o niższym priorytecie wins.
  • Akcja reguły nie wpływa na priorytet. Oznacza to w przeciwieństwie do listy ACL systemu plików NTFS (na przykład), w tym miejscu nie mamy koncepcji jak "Odmów zawsze ma pierwszeństwo przed Zezwalaj".
  • Na tym samym priorytecie (samej wartości liczbowe), nie można mieć dwóch reguł o tym samym kierunku. To zachowanie zapobiega hipotetycznej sytuacji, w której jeden można zdefiniować reguły "Odmów" i "Zezwalaj" o równym priorytecie, ponieważ spowodowałoby to w niejasności lub konflikt.
  • Konflikt jest definiowana jako dwa lub więcej reguł o takim samym priorytecie i tym samym kierunku. Konflikt może wystąpić, jeśli istnieją dwie reguły ACL portu o tym samym priorytecie i kierunku w dwóch list kontroli dostępu, które są stosowane na różnych poziomach, a jeśli poziomy te częściowo pokrywają się. Oznacza to, że może być obiekt, który mieści się w zakresie obu poziomach (na przykład vmNIC). Typowym przykładem nakładających się jest VM sieci i podsieci maszyn wirtualnych w tej samej sieci.

Stosowanie wielu portów listy ACL dla pojedynczego podmiotu

Ponieważ port list ACL można zastosować do różnych VMM networking obiektów (lub na różnych poziomach, opisanej wcześniej), jednej karty wirtualnej sieci VM (vmNIC) może wpaść w zakres wielu portów list ACL. W tym scenariuszu są stosowane reguły portów ACL z wszystkich list ACL portu. Jednak pierwszeństwo zasady te mogą być różne, w zależności od kilku nowych VMM dostosowywania ustawień, które są wymienione w dalszej części tego artykułu.

Ustawienia rejestru

Te ustawienia są definiowane jako wartości Dword w rejestrze systemu Windows na serwerze zarządzania programem VMM w następującym kluczu:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Należy pamiętać, że te ustawienia będą wpływają na zachowanie ACL portu w całej infrastruktury VMM.

Priorytetu reguły portu skuteczne ACL

W tej dyskusji opiszemy rzeczywiste pierwszeństwo reguł portów ACL przy stosowaniu portu wiele list ACL dla pojedynczego podmiotu jako skuteczne priorytetu reguły. Należy pamiętać, że istnieje osobne ustawienie lub obiekt w VMM Aby zdefiniować lub wyświetlić skuteczne priorytetu reguły. Jest on obliczany w czasie wykonywania.

Istnieją dwa tryby globalnych, w których można obliczyć skuteczne priorytetu reguły. Tryby są przełączane przez ustawienie rejestru:
PortACLAbsolutePriority

Dopuszczalne wartości dla tego ustawienia jest 0 (zero) lub 1, gdzie 0 oznacza zachowanie domyślne.

Priorytet względny (zachowanie domyślne)

Aby włączyć ten tryb, ustaw właściwość PortACLAbsolutePriority w rejestrze na wartość 0 (zero). W tym trybie stosuje się również, jeśli ustawienie nie jest zdefiniowana w rejestrze (to znaczy, jeśli właściwość nie jest tworzony).

W tym trybie w uzupełnieniu pojęcia podstawowe, opisane wcześniej stosuje się następujące zasady:
  • Priorytet w ramach tego samego portu ACL jest zachowywany. W związku z tym wartości priorytetów, które są zdefiniowane w każdej regule są traktowane jako względne w obrębie listy ACL.
  • Po zastosowaniu wielu portów listy ACL, ich reguły są stosowane w wiadrach. Reguły z samej listy ACL (dołączone do danego obiektu) są stosowane razem w samym kolorem. Priorytet określonym Wiadra zależy od obiektu, do którego dołączona jest port ACL.
  • W tym miejscu wszystkich reguł, które są zdefiniowane w globalne ustawienia listy ACL (niezależnie od ich własnych priorytet, zgodnie z definicją w porcie ACL) zawsze pierwszeństwo reguł, które są zdefiniowane w ACL, który jest stosowany do vmNIC i tak dalej. Innymi słowy wymuszeniu separacji warstwy.

Ostatecznie skuteczne priorytetu reguły mogą się różnić od wartość liczbowa, która definiowania właściwości reguły portu ACL. Więcej informacji na temat jak zachowanie to jest wymuszane i jak można zmienić jego logikę następujące.

  1. Można zmienić kolejność, w której trzy poziomy "specyficzne dla obiektu" (czyli vmNIC, VM podsieci i sieć VM) mają pierwszeństwo przed.

    1. Nie można zmienić kolejności ustawienia globalne. Zawsze ma najwyższy priorytet (lub zamówienie = 0).
    2. Dla trzech poziomów wartość liczbową z przedziału od 0 do 3, gdzie 0 oznacza najwyższy priorytet (równa się ustawienia globalne) i 3 jest najniższy priorytet można ustawić następujące ustawienia:
      • PortACLVMNetworkAdapterPriority
        (wartość domyślna to 1)
      • PortACLVMSubnetPriority
        (wartość domyślna to 2)
      • PortACLVMNetworkPriority
        (wartość domyślna to 3)
    3. Po przypisaniu do tych wielu ustawień rejestru tej samej wartości (od 0 do 3) lub jeśli zostanie przypisana wartość spoza zakresu 0 do 3, VMM zakończy się niepowodzeniem, wróć do zachowania domyślnego.
  2. Sposób, że zamówienia są wymuszane jest, że skuteczne priorytetu reguły jest zmieniany, tak aby reguł ACL, które są zdefiniowane na wyższym poziomie są traktowani priorytetowo (oznacza to mniejszą wartość liczbową). Po obliczeniu skuteczne ACL każdej wartości priorytetu reguły względna jest "wpadł" według wartości specyficzne dla poziomu lub "krok".
  3. Wartości specyficznych dla poziomu jest "krok" oddzielający różnych poziomów. Domyślnie rozmiar "krok" to 10000 i jest konfigurowany przez następujące ustawienie rejestru:
    PortACLLayerSeparation
  4. Oznacza to, że w tym trybie wszelkie priorytet poszczególnych reguł w obrębie listy kontroli dostępu (to znaczy regułę, która jest traktowana jako względne) nie może przekroczyć wartość następujące ustawienia:
    PortACLLayerSeparation
    (domyślnie 10000)
Przykład konfiguracji
Załóżmy, że wszystkie ustawienia wartości domyślnych. (Są one opisane wcześniej.)
  1. Mamy listy ACL, który jest dołączony do vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Skuteczne priorytet dla wszystkich reguł, które są zdefiniowane w tym ACL jest wpadł przez 10000 (wartość PortACLLayerSeparation).
  3. Możemy zdefiniować regułę w tym ACL, która ma priorytet, który jest ustawiony na 100.
  4. Priorytet skuteczne dla tej reguły będzie 10000 + 100 = 10100.
  5. Reguły będą miały pierwszeństwo przed inne zasady wewnątrz samej listy ACL, którego priorytet jest wyższy niż 100.
  6. Reguła będzie zawsze mają pierwszeństwo przed wszelkimi zasadami, które są zdefiniowane w listy ACL, które są przyłączone do sieci maszyn wirtualnych i poziomie podsieci VM. (To obowiązuje, ponieważ te uważane są za "niższe" poziomy).
  7. Reguła nigdy nie będą miały pierwszeństwo przed wszystkich reguł, które są zdefiniowane w globalne ustawienia listy ACL.
Zalety tego trybu
  • Scenariusze wielu najemców jest lepsze zabezpieczenie, ponieważ reguły ACL portów, które są definiowane przez administratora sieci szkieletowej (na poziomie ustawienia globalne) zawsze będą miały pierwszeństwo przed wszystkich reguł, które są definiowane przez najemców, sami.
  • Konflikty reguła portu ACL (czyli niejasności) nie będą mogły automatycznie z powodu separacji warstwy. To bardzo proste do przewidzenia, zasady, które będą skuteczne i dlaczego.
Ostrzeżenia z tego trybu
  • Mniej elastyczne. Można zdefiniować reguły (na przykład "Odmów wszystkich rodzajów ruchu z portem 80") w ustawieniach globalnych, nigdy nie można utworzyć bardziej szczegółowego zwolnienia od tej zasady w niższej warstwie (na przykład "Zezwalaj port 80 tylko na ten VM działającą prawem serwer").

Priorytet względny

Aby włączyć ten tryb, ustaw właściwość PortACLAbsolutePriority w rejestrze na wartość 1.

W tym trybie w uzupełnieniu podstawowe pojęcia, które opisano wcześniej stosuje się następujące zasady:
  • Jeśli obiekt jest objęta zakresem wiele list kontroli dostępu (na przykład VM sieci i podsieci VM), wszystkich reguł, które są zdefiniowane w wszystkie dołączone listy ACL są stosowane w kolejności zunifikowany (lub jednym kolorem). Jest oddzielenie poziomu i nie "wrzenie burzliwe" jakiejkolwiek.
  • Wszystkie priorytety reguły są traktowane jako bezwzględna, dokładnie tak, jak są one zdefiniowane w każdego priorytetu reguły. Innymi słowy skuteczne priorytet dla każdej reguły jest taki sam, jak to, co jest zdefiniowane w regule, sama i nie zmienia przez aparat VMM przed jej zastosowaniem.
  • Wszystkie inne ustawienia rejestru, które są opisane w poprzedniej sekcji nie mają wpływu.
  • W tym trybie każdy priorytet poszczególnych reguł na liście kontroli dostępu (czyli reguły priorytet jest traktowana jako bezwzględna) nie może przekraczać 65535.
Przykład konfiguracji
  1. Globalne ustawienia listy ACL definiowania reguły, którego priorytet jest ustawiony na 100.
  2. W ACL, który jest dołączony do vmNIC można określić reguły, którego priorytet jest ustawiony na 50.
  3. Reguły, który jest zdefiniowany na poziomie vmNIC ma pierwszeństwo, ponieważ ma wyższy priorytet (czyli niższa wartość liczbową).
Zalety tego trybu
  • Większą elastyczność. Można utworzyć "one-off" zwolnienia z reguły globalne ustawienia na niższych poziomach (na przykład VM podsieci lub vmNIC).
Ostrzeżenia z tego trybu
  • Planowania może stać się bardziej złożone, ponieważ nie ma żadnych poziomu separacji. I na dowolnym poziomie, który zastępuje inne reguły, które są definiowane na inne obiekty mogą być reguły.
  • W środowiskach wielu najemców zabezpieczeń może mieć wpływ, ponieważ najemcy, można utworzyć regułę na poziomie podsieci VM, że zastępują zasady, który jest zdefiniowany przez administratora sieci szkieletowej, na poziomie ustawienia globalne.
  • Reguła konflikty (czyli niejasności) nie są automatycznie eliminowane i może wystąpić. Program VMM można zapobiec konfliktom tylko na tym samym poziomie listy ACL. Nie może to zapobiec konfliktom całej listy ACL, które są dołączone do różnych obiektów. W przypadku konfliktu ponieważ VMM nie można rozwiązać konfliktu automatycznie, to zatrzyma stosowania reguł i spowoduje zgłoszenie błędu.

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 3101161 — ostatni przegląd: 10/30/2015 08:46:00 — zmiana: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtpl
Opinia