Suporte para implantação de ACLs de porta estendido do Hyper-V no System Center 2012 R2 VMM com o Update Rollup 8

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3101161
Sumário
Os administradores do Microsoft System Center 2012 R2 do Virtual Machine Manager (VMM) podem agora centralmente criar e gerenciar o Hyper-V porta controle listas de acesso (ACLs) no VMM.
Mais Informações
Para obter mais informações sobre o Update Rollup 8 para o System Center 2012 R2 do Virtual Machine Manager, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:

3096389 Update Rollup 8 para o System Center 2012 R2 do Virtual Machine Manager

Glossário

Melhoramos o modelo de objeto do Virtual Machine Manager, adicionando os seguintes conceitos na área de gerenciamento de rede.
  • Lista de controle de acesso de porta (porta ACL)
    Um objeto que é anexado a vários primitivos de rede VMM para descrever a segurança da rede. A porta ACL serve como uma coleção de entradas de controle de acesso ou ACL regras. Uma ACL pode ser anexada a qualquer número (zero ou mais) do VMM rede primitivos, como uma rede VM, sub-rede VM, adaptador de rede virtual ou o servidor de gerenciamento do VMM propriamente dita. Uma ACL pode conter qualquer número (zero ou mais) de regras ACL. Cada VMM compatível primitivos de networking (rede VM, sub-rede VM, adaptador de rede virtual ou o servidor de gerenciamento do VMM) pode ter uma porta que ACL anexada ou nenhum.
  • Entrada de controle de acesso de porta ou regra ACL
    Um objeto que descreve a diretiva de filtragem. Várias regras ACL podem existir na mesma porta ACL e aplicar com base em suas prioridades. Cada regra ACL corresponde à porta exatamente uma ACL.
  • Configurações globais
    Um conceito virtual que descreve uma ACL que é aplicada a todos os adaptadores de rede virtual VM na infra-estrutura da porta. Não há nenhum tipo de objeto separado para as configurações globais. Em vez disso, a porta de configurações globais ACL anexa ao servidor de gerenciamento do VMM propriamente dita. O objeto de servidor de gerenciamento do VMM pode ter uma porta ACL ou nenhum.
Para obter informações sobre objetos na área de gerenciamento de rede que estavam anteriormente disponíveis, consulte Fundamentos do objeto de rede do Virtual Machine Manager.

O que pode fazer com esse recurso?

Usando a interface do PowerShell no VMM, agora você pode executar as seguintes ações:
  • Defina ACLs de porta e suas regras ACL.
    • As regras são aplicadas às portas do switch virtual nos servidores Hyper-V como "porta estendida ACLs" (VMNetworkAdapterExtendedAcl) na terminologia do Hyper-V. Isso significa que eles podem ser aplicados somente para servidores host Windows Server 2012 R2 (e Hyper-V Server 2012 R2).
    • O VMM não criará as ACLs de porta "herdadas" do Hyper-V (VMNetworkAdapterAcl). Portanto, você não pode aplicar ACLs de porta para servidores host Windows Server 2012 (ou Hyper-V Server 2012) pelo uso do VMM.
    • Todas as regras ACL de porta são definidas no VMM usando esse recurso estão com monitoração de estado (para TCP). Você não pode criar regras ACL sem monitoração de estado para TCP usando o VMM.
    Para obter mais informações sobre o recurso ACL estendida porta no Windows Server 2012 R2 Hyper-V, consulte Criar diretivas de segurança com listas de controle de acesso de porta estendido para o Windows Server 2012 R2.
  • Anexe uma porta ACL configurações globais. Isso aplica a todos os adaptadores de rede virtual da VM. Ele está disponível somente para administradores completo.
  • Anexe as ACLs de porta são criadas para uma rede VM, VM sub-redes ou adaptadores de rede virtual da VM. Isso está disponível para administradores completo, administradores de inquilinos e usuários de autoatendimento (SSUs).
  • Exibir e atualizar regras de ACL de porta configuradas no vNIC VM individual.
  • Exclua porta ACLs e suas regras ACL.
Cada uma dessas ações é abordada em mais detalhes posteriormente neste artigo.

Esteja ciente de que essa funcionalidade é exposta por meio de cmdlets do PowerShell e não será refletida no console do VMM da interface do usuário (exceto para o estado de "Conformidade").

O que não fazer com esse recurso?

  • Gerenciar/atualização de regras individuais para uma única instância quando a ACL é compartilhada entre várias instâncias. Todas as regras de seu pai ACLs são gerenciadas centralmente e aplicam sempre que a ACL é anexada.
  • Anexe mais de uma ACL a uma entidade.
  • Aplica ACLs de porta para adaptadores de rede virtual (vNICs) na partição pai do Hyper-V (gerenciamento de sistema operacional).
  • Crie regras ACL de porta que incluem protocolos de nível IP (diferente de TCP ou UDP).
  • Aplica ACLs de porta para redes lógicas, sites de rede (definições de rede lógicas), sub-rede vLANs e outros primitivos de rede VMM que não foram listados anteriormente.

Como usar o recurso?

Definindo novas ACLs de porta e suas regras ACL de porta

Agora você pode criar ACLs e suas regras ACL diretamente no VMM usando cmdlets do PowerShell.

Criar uma nova ACL

Os seguintes cmdlets do PowerShell novos são adicionados:

Novo SCPortACL – nomecadeia de caracteres> [– Descriçãocadeia de caracteres>]

– Nome: O nome da porta ACL

– Descrição: Descrição da porta ACL (parâmetro opcional)

Get-SCPortACL

Recupera todas as ACLs de porta

– Nome: Opcionalmente filtrar por nome

– Identificação: opcionalmente filtrar por ID

Exemplos de comandos

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definir regras de ACL de porta para a porta de ACL
Cada porta ACL consiste em um conjunto de regras ACL de porta. Cada regra contém parâmetros diferentes.

  • Nome
  • Descrição
  • Tipo: Entrada/saída (a direção em que a ACL será aplicada)
  • Ação: Permitir/Negar (a ação da ACL, para permitir o tráfego ou bloquear o tráfego)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protocolo: TCP/Udp/qualquer (Observação: não são compatíveis com protocolos de nível IP porta ACLs que são definidas pelo VMM. Eles ainda são suportados nativamente pelo Hyper-V.)
  • Prioridade: 1 – 65535 (menor número tem prioridade mais alta). Essa prioridade é relativo a camada na qual ela é aplicada. (Para obter mais informações sobre como são aplicadas as regras ACL com base em prioridade e o objeto ao qual a ACL é anexada a seguir).

Novos cmdlets do PowerShell que são adicionados

Novo SCPortACLrule - PortACLPortACL>-Nomecadeia de caracteres> [- <string>Descrição]-tipo <Inbound |="" outbound="">-ação <Allow |="" deny="">-prioridade <uint16>-protocolo <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Recupera todas as regras ACL de porta.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nome: Opcionalmente filtrar por nome
  • Identificação: Opcionalmente filtrar por ID
  • PortACL: Opcionalmente filtrar por porta ACL
Exemplos de comandos

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Anexando e desanexando ACLs de porta



As ACLs podem ser anexadas ao seguinte:
  • Configurações globais (aplica-se a todos os adaptadores de rede VM. Somente administradores completo podem fazer isso.)
  • Rede VM (admins de administradores/inquilino completo/SSUs pode fazer isso.)
  • Sub-rede VM (admins de administradores/inquilino completo/SSUs pode fazer isso.)
  • Adaptadores de rede virtual (admins de administradores/inquilino completo/SSUs pode fazer isso.)

Configurações globais

Essas regras ACL porta se aplicam a todos os adaptadores de rede virtual VM na infra-estrutura.

Cmdlets do PowerShell existentes foram atualizados com novos parâmetros de anexação e desanexação ACLs de porta.

Conjunto de SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Novo parâmetro opcional que configura a porta especificada ACL configurações globais.
  • RemovePortACL: O novo parâmetro opcional que remove qualquer configurado porta ACL de configurações globais.
Get-SCVMMServer: Retorna a porta configurada ACL no objeto retornado.

Exemplos de comandos

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Rede VM


Estas regras serão aplicadas a todos os adaptadores de rede virtual da VM conectados a essa rede VM.

Cmdlets do PowerShell existentes foram atualizados com novos parâmetros de anexação e desanexação ACLs de porta.

Novo SCVMNetwork [– PortACLNetworkAccessControlList&gt;] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite que você especifique uma porta ACL à rede VM durante a criação.

Conjunto de SCVMNetwork [– PortACLNetworkAccessControlList> | -RemovePortACL] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite que você defina uma ACL de porta para a rede VM.

-RemovePortACL: novo parâmetro opcional que remove qualquer configurado porta ACL da rede VM.

Get-SCVMNetwork: Retorna a porta configurada ACL no objeto retornado.

Exemplos de comandos

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Sub-rede VM


Estas regras serão aplicadas a todos os adaptadores de rede virtual da VM estão conectados a esta sub-rede VM.

Cmdlets do PowerShell existentes foram atualizados com o novo parâmetro para anexação e desanexação ACLs de porta.

Novo SCVMSubnet [– PortACLNetworkAccessControlList&gt;] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite que você especifique uma porta ACL à sub-rede VM durante a criação.

Conjunto de SCVMSubnet [– PortACLNetworkAccessControlList> | -RemovePortACL] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite que você defina uma ACL de porta para a sub-rede VM.

-RemovePortACL: novo parâmetro opcional que remove qualquer configurado porta ACL da sub-rede VM.

Get-SCVMSubnet: Retorna a porta configurada ACL no objeto retornado.

Exemplos de comandos

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Adaptador de rede virtual da VM (vmNIC)


Cmdlets do PowerShell existentes foram atualizados com novos parâmetros de anexação e desanexação ACLs de porta.

Novo SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList&gt;] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite especificar uma ACL de porta para o adaptador de rede virtual enquanto você estiver criando um novo vNIC.

Conjunto de SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList> | -RemovePortACL] [restante dos parâmetros]

-PortACL: novo parâmetro opcional que permite que você defina uma ACL de porta para o adaptador de rede virtual.

-RemovePortACL: novo parâmetro opcional que remove qualquer configurado ACL da porta do adaptador de rede virtual.

Get-SCVirtualNetworkAdapter: Retorna a porta configurada ACL no objeto retornado.

Exemplos de comandos

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Aplicando regras ACL de porta

Quando você atualizar as VMs depois que você anexar as ACLs de porta, você notar que o status das VMs é exibido como "Não compatível" no modo de exibição de máquina Virtual do espaço de trabalho de malha. (Para alternar para o modo de exibição de máquina Virtual, você precisa primeiro navegue até o nó de Redes lógicas ou o nó do espaço de trabalho Fabric Switches lógicos ). Esteja ciente de que atualizar VM ocorre automaticamente em segundo plano (no prazo). Portanto, mesmo se você não atualizar VMs explicitamente, ele entrará em um estado de incompatibilidade eventualmente.



Nesse ponto, as ACLs de porta ainda não aplicadas para VMs e seus adaptadores de rede virtuais relevantes. Para aplicar as ACLs de porta, você precisa acionar um processo conhecido como remediação. Isso nunca acontece automaticamente e deve ser explicitamente iniciado sob solicitação do usuário.

Para iniciar a correção, clique em corrigir na faixa de opções ou executar o cmdlet de Reparo SCVirtualNetworkAdapter . Não existem alterações à sintaxe do cmdlet para este recurso específicas.

Reparo-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediar essas VMs marcará como compatível e irá assegurar que as ACLs estendidas de porta são aplicadas. Lembre-se de que porta ACLs não se aplicará a qualquer VMs no escopo até remediá-las explicitamente.

Exibir regras de ACL de porta

Para visualizar as ACLs e ACL regras, você pode usar os seguintes cmdlets do PowerShell.

Novos cmdlets do PowerShell que são adicionados

Recuperar as ACLs de porta

Parâmetro definido 1. Para obter todos os ou por nome de: Get-SCPortACL [-nome <> </>]

Parâmetro definido 2. Obter ID: Get-SCPortACL -Id <> [-nome <> </>]

Recuperar regras de ACL de porta

Parâmetro definido 1. Todos ou por nome de: Get-SCPortACLrule [-nome <> </>]

Parâmetro definido 2. Por identificação de: Get-SCPortACLrule -Id <>

Parâmetro definido 3. Por objeto ACL: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Atualizando as regras de porta ACL

Quando você atualiza a ACL que está associada a adaptadores de rede, as alterações serão refletidas em todas as instâncias de adaptador de rede que usam essa ACL. Para uma ACL que é anexada a uma VM sub-rede ou rede VM, todas as instâncias de adaptador de rede estão conectadas à sub-rede são atualizadas com as alterações.

Observação: Atualizando as regras ACL em adaptadores de rede individuais é executada em paralelo em um esquema de esforço de um try. Adaptadores que não podem ser atualizados por qualquer motivo são marcados "incompliant de segurança", e a tarefa termina com uma mensagem de erro afirmando que os adaptadores de rede não foram atualizados com êxito. "Segurança incompliant" aqui refere-se a uma incompatibilidade no esperado versus reais regras ACL. O adaptador terá um estado de conformidade de "Não compatível" juntos com mensagens de erro relevantes. Consulte a seção anterior para obter mais informações sobre a correção máquinas virtuais não compatíveis.
Novo cmdlet do PowerShell adicionado
Conjunto SCPortACL - PortACLPortACL> [-NomeNome&gt;] [-Descrição <>n >]

Conjunto SCPortACLrule - PortACLrulePortACLrule> [-Nomenome&gt;] [-Descriçãocadeia de caracteres&gt;] [-TipoPortACLRuleDirection> {Entrada | Saída}] [-açãoPortACLRuleAction> {Permitir | Negar}] [-SourceAddressPrefixcadeia de caracteres&gt;] [-SourcePortRangecadeia de caracteres&gt;] [-DestinationAddressPrefixcadeia de caracteres&gt;] [-DestinationPortRangecadeia de caracteres&gt;] [-ProtocoloPortACLruleProtocol> {Tcp | UDP | Qualquer}]

Conjunto SCPortACL: altera a descrição de ACL de porta.
  • Descrição: Atualiza a descrição.

Conjunto SCPortACLrule: altera os parâmetros da regra porta ACL.
  • Descrição: Atualiza a descrição.
  • Tipo: Atualiza a direção em que a ACL é aplicada.
  • Ação: Atualiza a ação da ACL.
  • Protocolo: Atualiza o protocolo ao qual será aplicada a ACL.
  • Prioridade: Atualizações a prioridade.
  • SourceAddressPrefix: Atualiza o prefixo de endereço de origem.
  • SourcePortRange: Atualiza o intervalo de porta de origem.
  • DestinationAddressPrefix: Atualiza o prefixo de endereço de destino.
  • DestinationPortRange: Atualiza o intervalo de porta de destino.

Excluindo regras ACL de porta e ACLs de porta

Uma ACL pode ser excluída somente se não há nenhuma dependência anexada a ele. Dependências incluem VM rede/sub-rede/virtual rede global/adaptador as definições da VM associadas à ACL. Quando você tenta excluir uma porta ACL usando o cmdlet do PowerShell, o cmdlet detectará se a porta ACL anexada a qualquer uma das dependências e irá gerar mensagens de erro apropriadas.

Removendo ACLs de porta

Foram adicionados novos cmdlets do PowerShell:

Remover-SCPortACL - PortACLNetworkAccessControlList>

Removendo regras ACL de porta

Foram adicionados novos cmdlets do PowerShell:

Remover-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Lembre-se de que a exclusão de uma VM rede de sub-rede/VM/adaptador de rede automaticamente remove a associação com essa ACL.

Uma ACL pode também ser desassociada do adaptador de rede/sub-rede/VM de VM, alterando o respectivo objeto rede do VMM. Para fazer isso, use o cmdlet Set- em conjunto com a opção - RemovePortACL , conforme descrito nas seções anteriores. Nesse caso, a porta ACL será desconectado do objeto respectiva rede mas não será excluída da infra-estrutura do VMM. Portanto, ele pode ser reutilizado posteriormente.

Out-of-band alterações às regras ACL

Se estamos fazendo out-of-band (OOB) alterações às regras ACL da porta de switch virtual do Hyper-V (usando cmdlets nativos do Hyper-V como Add-VMNetworkAdapterExtendedAcl), a VM atualizar mostrar o adaptador de rede como "Incompliant de segurança". O adaptador de rede em seguida pode remediado do VMM conforme descrito na seção "Aplicar ACLs de porta". No entanto, a correção substituirá todas as regras ACL de porta que estão definidas fora do VMM com aqueles que são esperados pelo VMM.

Porta ACL prioridade e aplicativo precedência de regra (avançada)

Conceitos básicos

Cada regra ACL de porta em porta ACL tem uma propriedade chamada "Priority". As regras são aplicadas na ordem, com base em suas prioridades. Os seguintes princípios principais definem precedência de regras:
  • Quanto menor a prioridade número, maior a precedência é. Ou seja, se várias regras ACL de porta contradigam entre si, a regra com prioridade mais baixa vence.
  • Ação de regra não afeta a precedência. Ou seja, ao contrário das ACLs do NTFS (por exemplo), aqui não temos um conceito como "Negar sempre terá precedência sobre permitir".
  • Na mesma prioridade (valor numérico mesmo), você não pode ter duas regras com a mesma direção. Esse comportamento impede que uma situação hipotética na qual um poderia definir regras "Negar" e "Permitir" com prioridade igual, porque isso resultaria em ambigüidade ou um conflito.
  • Um conflito é definido como duas ou mais regras, tendo a mesma prioridade e a mesma direção. Um conflito pode ocorrer se houver duas regras ACL de porta com a mesma prioridade e direção em duas ACLs que são aplicadas em diferentes níveis, e se esses níveis se sobrepõem parcialmente. Ou seja, pode ser um objeto (por exemplo, vmNIC) que fica dentro do escopo de ambos os níveis. Um exemplo comum de sobreposição é uma rede VM e sub-rede VM na mesma rede.

Aplicar várias ACLs de porta a uma única entidade

Porque a porta ACLs pode ser aplicadas ao VMM diferente objetos de rede (ou em níveis diferentes, conforme descrito anteriormente), um único adaptador de rede virtual de VM (vmNIC) pode se enquadrar em escopo de várias ACLs de porta. Nesse cenário, são aplicadas as regras de porta ACL de todas as ACLs de porta. No entanto, a precedência dessas regras pode ser diferente, dependendo de vários novo VMM ajustar configurações mencionadas neste artigo.

Configurações do registro

Essas configurações são definidas como valores Dword no registro do Windows sob a seguinte chave do servidor de gerenciamento do VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Esteja ciente de que todas essas configurações afetarão o comportamento de porta ACLs em toda a infra-estrutura inteira do VMM.

Prioridade da regra ACL portas eficiente

Nesta discussão, descreveremos a precedência das regras de ACL de porta real quando vários porta ACLs são aplicados a uma única entidade como prioridade efetiva da regra. Esteja ciente de que não há nenhuma configuração separada ou objeto no VMM para definir ou exibir efetiva prioridade da regra. Ele é calculado em tempo de execução.

Há dois modos globais em que prioridade da regra efetiva pode ser calculada. Os modos são trocados pela configuração do registro:
PortACLAbsolutePriority

Os valores aceitáveis para esta configuração são 0 (zero) ou 1, onde 0 indica o comportamento padrão.

Prioridade relativa (comportamento padrão)

Para ativar esse modo, defina a propriedade PortACLAbsolutePriority no registro para um valor de 0 (zero). Esse modo também se aplica se a configuração não é definida no registro (ou seja, se a propriedade não for criada).

Nesse modo, os princípios a seguir aplicam-se além dos principais conceitos que foram descritos anteriormente:
  • A prioridade na mesma porta ACL é preservada. Portanto, os valores de prioridade são definidos em cada regra são tratados como relativo na ACL.
  • Quando você aplicar várias ACLs de porta, as regras são aplicadas em compartimentos de memória. As regras da mesma ACL (conectado a um determinado objeto) são aplicadas juntos no mesmo compartimento de memória. A precedência dos buckets específicos depende do objeto ao qual a porta de ACL está anexada.
  • Aqui, todas as regras que são definidas nas configurações globais ACL (independentemente de sua própria prioridade conforme definido na porta ACL) sempre têm precedência sobre as regras que são definidas na ACL que é aplicado a vmNIC e assim por diante. Em outras palavras, a separação da camada é aplicada.

Em última análise, prioridade da regra eficaz pode diferir do valor numérico que você definir as propriedades da regra de porta ACL. Para obter mais informações sobre como reforçar esse comportamento e como você pode alterar a lógica a seguir.

  1. A ordem na qual três níveis "específicos de objeto" (isto é, vmNIC, sub-rede VM e rede VM) têm prioridade pode ser alterada.

    1. A ordem das configurações globais não pode ser alterada. Ela sempre terá precedência mais alta (ou ordem = 0).
    2. Para os outros três níveis, você pode definir as seguintes configurações para um valor numérico entre 0 e 3, onde 0 é a prioridade mais alta (igual a configurações globais) e 3 é a menor precedência:
      • PortACLVMNetworkAdapterPriority
        (o padrão é 1)
      • PortACLVMSubnetPriority
        (o padrão é 2)
      • PortACLVMNetworkPriority
        (o padrão é 3)
    3. Se você atribuir o mesmo valor (de 0 a 3) para as várias configurações do registro, ou se você atribuir um valor fora do intervalo de 0 a 3, o VMM falhará ao comportamento padrão.
  2. A ordenação é imposta é que efetiva prioridade da regra é alterada para que as regras ACL são definidas em um nível mais alto têm prioridade (isto é, um menor valor numérico). Quando ACLs efetivos é calculado, o valor de prioridade de cada regra relativa será "aumentado" pelo valor específico do nível ou da "etapa".
  3. O valor específico de nível é a "etapa" que separa os níveis diferentes. Por padrão, o tamanho da "etapa" é 10000 e é configurado com a seguinte configuração do registro:
    PortACLLayerSeparation
  4. Isso significa que, nesse modo, qualquer prioridade de regra individual em ACL (isto é, uma regra que é tratada como relativo) não pode exceder o valor da configuração do seguinte:
    PortACLLayerSeparation
    (por padrão, 10000)
Exemplo de configuração
Suponha que todas as configurações de seus valores padrão. (Eles são descritos anteriormente.)
  1. Temos uma ACL que está anexada ao vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. A prioridade eficaz para todas as regras que são definidas nessa ACL será aumentada pelo 10000 (valor de PortACLLayerSeparation).
  3. Definimos uma regra nessa ACL que tem uma prioridade que é definida como 100.
  4. A prioridade para esta regra eficiente seria 10000 + 100 = 10100.
  5. A regra terão precedência sobre outras regras na mesma ACL para o qual a prioridade é maior do que 100.
  6. A regra sempre terá precedência sobre quaisquer regras que são definidas nas ACLs estão conectadas na rede VM e nível de sub-rede VM. (Isso ocorre porque essas são consideradas níveis "mais baixos").
  7. A regra nunca terão precedência sobre as regras que são definidas nas configurações globais ACL.
Vantagens deste modo
  • Há mais segurança em cenários de multilocação porque regras de ACL de porta são definidas pelo administrador de malha (no nível de configurações globais) sempre terão precedência sobre as regras que são definidas por inquilinos próprios.
  • Qualquer conflito de regra ACL de porta (ou seja, ambigüidades) é impedido automaticamente devido a separação de camada. É muito fácil prever quais regras serão eficazes e por quê.
Cuidados com esse modo
  • Menor flexibilidade. Se você definir uma regra (por exemplo, "Negar todo o tráfego para a porta 80") nas configurações globais, você nunca pode criar uma isenção mais granular da regra em uma camada inferior (por exemplo, "Permitir porta 80 somente essa VM que executa um servidor de web legítimo").

Prioridade relativa

Para ativar esse modo, defina a propriedade PortACLAbsolutePriority no registro para um valor de 1.

Nesse modo, os princípios a seguir aplicam-se além dos conceitos básicos que são descritos anteriormente:
  • Se um objeto estiver dentro do escopo de várias ACLs (por exemplo, a rede VM e a sub-rede VM), todas as regras que são definidas em todas as ACLs anexadas são aplicadas na ordem unificada (ou como um único compartimento de memória). Há sem separação de nível e não "falarem" qualquer tipo.
  • Todas as prioridades de regra são tratadas como absoluto, exatamente como eles são definidos em cada prioridade da regra. Em outras palavras, a prioridade efetiva para cada regra é o mesmo que o que é definido na regra em si e não é alterado pelo mecanismo do VMM antes que ele seja aplicado.
  • Todas as outras configurações do Registro descritas na seção anterior não terão efeito.
  • Nesse modo, qualquer prioridade de regra individual em uma ACL (ou seja, uma prioridade de regra que é tratada como absoluto) não pode exceder 65535.
Exemplo de configuração
  1. Nas configurações globais ACL, você definir uma regra cuja prioridade é definida como 100.
  2. ACL associada à vmNIC, você definir uma regra cuja prioridade é definida para 50.
  3. A regra que é definida no nível do vmNIC terá precedência porque ele tem uma prioridade mais alta (ou seja, um menor valor numérico).
Vantagens deste modo
  • Mais flexibilidade. Você pode criar isenções "one-off" das regras de configurações globais em níveis mais baixos (por exemplo, vmNIC ou sub-rede VM).
Cuidados com esse modo
  • Planejamento pode se tornar mais complexo porque há uma distinção entre nível. E pode haver uma regra em qualquer nível que substitui as outras regras que são definidas em outros objetos.
  • Em ambientes de multilocação segurança pode ser afetada porque um inquilino pode criar uma regra no nível de sub-rede VM que substitui a diretiva definida pelo administrador a malha no nível de configurações globais.
  • Conflitos de regra (ou seja, ambigüidades) não são eliminados automaticamente e podem ocorrer. O VMM pode evitar conflitos somente no mesmo nível ACL. Ele não pode evitar conflitos entre as ACLs que são anexadas a objetos diferentes. Em caso de conflito, pois o VMM não conseguir corrigir o conflito automaticamente, ele irá parar a aplicação das regras e emitirá um erro.

Propriedades

ID do Artigo: 3101161 - Última Revisão: 10/30/2015 08:47:00 - Revisão: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtpt
Comentários