Suporte para implementação de Hyper-V expandido porta ACLs no System Center 2012 R2 VMM com o Update Rollup 8

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 3101161
Sumário
Os administradores do Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) podem agora criar e gerir centralmente Hyper-V porta controlo listas de acesso (ACL) no VMM.
Mais Informação
Para mais informações sobre o Update Rollup 8 para o System Center 2012 R2 Virtual Machine Manager, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

3096389 Update Rollup 8 para o System Center 2012 R2 Virtual Machine Manager

Glossário

Vamos ter melhorado o modelo de objecto do Gestor de Máquina Virtual através da adição de novos conceitos que se segue na área de gestão de rede.
  • Lista de controlo de acesso de porta (porta ACL)
    Um objecto que está ligado a vários primitivas de funcionamento em rede VMM para descrever a segurança da rede. A porta ACL funciona como um conjunto de entradas de controlo de acesso ou regras ACL. Uma ACL pode ser anexada a qualquer número (igual a zero ou mais) de VMM primitivas, por exemplo, uma rede VM, sub-rede VM, placa de rede virtual ou o próprio servidor de gestão de VMM de funcionamento em rede. Uma ACL pode conter qualquer número (igual a zero ou mais) das regras ACL. Cada VMM compatível primitiva de rede (rede VM, sub-rede VM, placa de rede virtual ou servidor de gestão do VMM) pode ter uma porta anexado ACL ou nenhum.
  • Entrada de controlo de acesso de porta ou uma regra ACL
    Um objecto que descreve a política de filtragem. Várias regras ACL podem existir na mesma porta ACL e aplicar com base na respectiva prioridade. Cada regra ACL corresponde à porta exactamente uma ACL.
  • Definições globais
    Um conceito virtual que descreve uma ACL que é aplicada a todas as placas de rede virtual VM na infra-estrutura de porta. Não existe nenhum tipo de objectos distintos para as definições globais. Em vez disso, a porta de definições globais ACL anexa ao servidor de gestão de VMM propriamente dito. O objecto de servidor de gestão do VMM pode ter uma porta ACL ou nenhum.
Para obter informações sobre objectos na área de gestão de rede que estavam anteriormente disponível, consulte Noções fundamentais do objecto de rede virtual Machine Manager.

O que posso fazer com esta funcionalidade?

Utilizando a interface de PowerShell VMM, agora pode efectuar as seguintes acções:
  • Defina as ACL de porta e as suas regras ACL.
    • As regras são aplicadas a portas de comutador virtuais em servidores de Hyper-V como "expandida porta ACLs" (VMNetworkAdapterExtendedAcl) na terminologia de Hyper-V. Isto significa que pode aplicar apenas aos servidores de anfitrião do Windows Server 2012 R2 (e Hyper-V Server 2012 R2).
    • VMM não criará as ACLs de porta de Hyper-V "legadas" (VMNetworkAdapterAcl). Por conseguinte, não é possível aplicar ACLs de porta para servidores de anfitrião de 2012 do servidor de Windows (ou Hyper-V Server 2012) utilizando o VMM.
    • Todas as regras ACL de porta que são definidas no VMM utilizando esta funcionalidade são com estado (por TCP). Não é possível criar regras ACL sem estado para o TCP utilizando VMM.
    Para mais informações sobre a funcionalidade ACL de porta expandidos no Windows Server 2012 R2 Hyper-V, consulte Criar políticas de segurança com listas de controlo de acesso de porta adicional para o Windows Server 2012 R2.
  • Anexe uma ACL de porta para definições globais. Isto aplica-a todas as placas de rede virtual a VM. Está disponível apenas para admins completo.
  • Anexe as ACLs de porta que são criadas a uma rede VM, sub-redes VM ou placas de rede virtual VM. Está disponível para admins completo, administradores tenant e utilizadores Self-serviços (SSUs).
  • Ver e actualizar regras de ACL de portas que estão configuradas no vNIC VM individual.
  • Elimine porta ACLs e respectivas regras ACL.
Cada uma destas acções é descrita mais detalhadamente posteriormente no presente artigo.

Por favor tenha em atenção de que esta funcionalidade é exposta apenas através de cmdlets do PowerShell e não será reflectida na consola do VMM UI (excepto para o estado de "Conformidade").

O que pode não fazer com esta funcionalidade?

  • Gerir ou actualizar regras individuais para uma única instância quando a ACL é partilhada entre várias instâncias. Todas as regras são geridas centralmente na sua empresa-mãe ACLs e aplicam sempre que a ACL está ligada.
  • Anexe mais do que uma ACL para uma entidade.
  • Aplica ACLs de porta para placas de rede virtual (vNICs) a partição principal de Hyper-V (gestão de sistema operativo).
  • Crie regras ACL de porta que incluem os protocolos de nível do IP (que não o TCP ou UDP).
  • Aplicam-se as ACL de porta para redes lógicas, sites da rede (definições de rede lógica), sub-rede vLANs e outras primitivas de funcionamento em rede VMM não foram listadas anteriormente.

Como utilizar a funcionalidade?

Definir nova ACL de porta e as regras ACL de porta

Agora pode criar ACL e suas regras ACL directamente a partir do VMM utilizando os cmdlets do PowerShell.

Criar uma nova ACL

São aditados os cmdlets PowerShell novos seguintes:

Novo SCPortACL – nomecadeia de caracteres> [– Descriçãocadeia de caracteres>]

– Nome: Nome da porta ACL

– Descrição: Descrição da porta ACL (parâmetro opcional)

Get-SCPortACL

Obtém todas as ACLs de porta

– Nome: Filtrar, opcionalmente, por nome

– ID: filtrar, opcionalmente, por ID

Comandos de exemplo

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definir regras de ACL de portas para a porta de ACL
Cada porta ACL é constituído por um conjunto de regras de portas do ACL. Cada regra contém parâmetros diferentes.

  • Nome
  • Descrição
  • Tipo: De entrada/saída (direcção na qual será aplicada a ACL)
  • Acção: Permitir/Negar (acção da ACL, para permitir o tráfego ou bloquear o tráfego)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protocolo: TCP/Udp/qualquer (Nota: os protocolos de nível do IP não são suportados em ACLs de porta que são definidas por VMM. São ainda suportadas nativamente pelo Hyper-V.)
  • Prioridade: 1 – 65535 (número mais baixo tem prioridade mais elevada). Esta prioridade está relacionado com a camada em que é aplicado. (Mais informações sobre como são aplicadas com base na prioridade e o objecto ao qual a ACL é anexado segue as regras ACL.)

Cmdlets PowerShell novas que são adicionados

Novo SCPortACLrule - PortACLPortACL>-Nomecadeia de caracteres> [-Descrição <string>]-tipo <Inbound |="" outbound="">-acção <Allow |="" deny="">-prioridade <uint16>-protocolo <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Obtém todas as regras ACL de porta.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nome: Filtrar, opcionalmente, por nome
  • ID: Filtrar, opcionalmente, por ID
  • PortACL: Filtrar, opcionalmente, por porta ACL
Comandos de exemplo

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Ligar e desligar porta ACLs



As ACLs podem ser anexadas à seguinte:
  • Definições globais (aplica-se a todas as placas de rede a VM. Apenas administradores completa podem fazer isto.)
  • Rede VM (admins Full/tenant admins/SSUs pode fazer.)
  • Sub-rede VM (admins Full/tenant admins/SSUs pode fazer.)
  • Placas de rede virtual (admins Full/tenant admins/SSUs pode fazer.)

Definições globais

Estas regras ACL da porta aplicam-se a todas as placas de rede virtual VM na infra-estrutura.

Cmdlets PowerShell existentes foram actualizados com novos parâmetros para ligar e desligar porta ACLs.

Conjunto-SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Novo parâmetro opcional que configura a porta especificada ACL para definições globais.
  • RemovePortACL: O novo parâmetro opcional que remove qualquer configurado porta ACL de definições globais.
Get-SCVMMServer: devolve a porta configurada ACL no objecto devolvido.

Comandos de exemplo

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Rede VM


Estas regras serão aplicadas a todas as placas de rede virtual VM estão ligadas a esta rede VM.

Cmdlets PowerShell existentes foram actualizados com novos parâmetros para ligar e desligar porta ACLs.

Novo SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [resto dos parâmetros]

-PortACL: novo parâmetro opcional que lhe permite especificar uma porta ACL à rede VM durante a criação.

Conjunto-SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [resto dos parâmetros]

-PortACL: novo parâmetro opcional que lhe permite definir uma porta ACL à rede VM.

-RemovePortACL: novo parâmetro opcional que remove qualquer configurado porta ACL da rede VM.

Get-SCVMNetwork: devolve a porta configurada ACL no objecto devolvido.

Comandos de exemplo

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Sub-rede VM


Estas regras serão aplicadas a todas as placas de rede virtual VM estão ligadas a esta sub-rede VM.

Cmdlets PowerShell existentes foram actualizadas com o novo parâmetro para ligar e desligar porta ACLs.

Novo SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [resto dos parâmetros]

-PortACL: novo parâmetro opcional que lhe permite especificar uma porta ACL para a sub-rede VM durante a criação.

Conjunto-SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [resto dos parâmetros]

-PortACL: novo parâmetro opcional que lhe permite definir uma ACL de porta para a sub-rede VM.

-RemovePortACL: novo parâmetro opcional que remove qualquer configurado porta ACL da sub-rede VM.

Get-SCVMSubnet: devolve a porta configurada ACL no objecto devolvido.

Comandos de exemplo

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Placa de rede virtual VM (vmNIC)


Cmdlets PowerShell existentes foram actualizados com novos parâmetros para ligar e desligar porta ACLs.

Novo SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [resto dos parâmetros]

-PortACL: novo parâmetro opcional que lhe permite especificar uma porta ACL para a placa de rede virtual enquanto estiver a criar um novo vNIC.

Conjunto-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [resto dos parâmetros]

-PortACL: novo parâmetro opcional que lhe permite definir uma ACL de porta para a placa de rede virtual.

-RemovePortACL: novo parâmetro opcional que remove qualquer configurado porta ACL da placa de rede virtual.

Get-SCVirtualNetworkAdapter: devolve a porta configurada ACL no objecto devolvido.

Comandos de exemplo

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Aplicar regras de portas do ACL

Quando actualizar os VMs depois de anexar as ACLs de porta, repara que o estado dos VMs é apresentado como "Não compatível com" na vista de Máquina Virtual da área de trabalho do tecido. (Para mudar para vista de Máquina Virtual, tem navegue primeiro para o nó de Redes lógicas ou o nó Muda lógico da área de trabalho tecido). Tenha em atenção de que a actualização da VM ocorre automaticamente em segundo plano (na agenda). Por conseguinte, mesmo se não actualizar VMs explicitamente, que aceitem num Estado não compatível eventualmente.



Neste momento, as ACL de porta ainda não tiverem aplicado VMs e respectivas placas de rede virtual relevantes. Para aplicar as ACLs de porta, tem de accionar um processo conhecido como remediação. Isto nunca ocorre automaticamente e deverá ser iniciado explicitamente mediante solicitação do utilizador.

Para iniciar a reparação, clique em Remediate no Friso ou executar o cmdlet SCVirtualNetworkAdapter de reparação . Não existem alterações específicas para a sintaxe do cmdlet para esta funcionalidade.

Reparação-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediar estes VMs marcá-las como estando em conformidade e será Certifique-se de que as ACLs de porta expandidos são aplicadas. Tenha em atenção que porta ACL não será aplicada a qualquer VMs no âmbito de aplicação até rectificar explicitamente.

Ver regras de portas do ACL

Para ver as ACLs e ACL regras, pode utilizar os cmdlets PowerShell seguintes.

Cmdlets PowerShell novas que são adicionados

Obter a ACL de porta

Parâmetro definido 1. Para obter todas as ou pelo nome: Get-SCPortACL [-nome de <> </>]

Parâmetro definido 2. Para obter por ID: Get-SCPortACL -Id <> [-nome de <> </>]

Obter as regras de portas do ACL

Parâmetro definido 1. Todas as ou pelo nome: Get-SCPortACLrule [-nome de <> </>]

Parâmetro definido 2. Por ID: Get-SCPortACLrule -Id <>

Parâmetro definido 3. Por objecto ACL: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Actualizar regras de portas do ACL

Quando actualiza a ACL que está ligada a placas de rede, as alterações reflectem-se em todas as instâncias de placa de rede que utilizam esse ACL. Para uma ACL que está ligada a uma rede VM ou sub-rede VM, todas as instâncias de placa de rede que estão ligadas a essa sub-rede são actualizadas com as alterações.

Nota Actualizar as regras ACL em placas de rede individual é efectuado em paralelo num esquema de melhor esforço tente um. Placas de rede que não podem ser actualizadas por qualquer razão marcados como "incompliant de segurança" e a conclusão da tarefa com uma mensagem de erro que indica que as placas de rede não foram actualizadas com êxito. "Incompliant de segurança" aqui refere-se à falta de correspondência no esperado versus reais regras ACL. O adaptador terá um Estado de conformidade do "Não compatíveis" em conjunto com mensagens de erro pertinentes. Consulte a secção anterior para mais informações sobre incompatíveis máquinas virtuais não compatíveis.
Novo PowerShell cmdlet adicionado
Conjunto-SCPortACL - PortACLPortACL> [-NomeNome&gt;] [-Descrição <>n >]

Conjunto-SCPortACLrule - PortACLrulePortACLrule> [-Nomenome&gt;] [-Descriçãocadeia de caracteres&gt;] [-TipoPortACLRuleDirection> {Entrada | Saída}] [-acçãoPortACLRuleAction> {Permitir | Negar}] [-SourceAddressPrefixcadeia de caracteres&gt;] [-SourcePortRangecadeia de caracteres&gt;] [-DestinationAddressPrefixcadeia de caracteres&gt;] [-DestinationPortRangecadeia de caracteres&gt;] [-ProtocoloPortACLruleProtocol> {Tcp | UDP | Qualquer}]

Conjunto-SCPortACL: altera a descrição de ACL de porta.
  • Descrição: Actualiza a descrição.

Conjunto-SCPortACLrule: altera os parâmetros da regra da ACL.
  • Descrição: Actualiza a descrição.
  • Tipo: Actualiza a direcção em que é aplicada a ACL.
  • Acção: Actualiza a acção da ACL.
  • Protocolo: Actualiza o protocolo para o qual será aplicada a ACL.
  • Prioridade: Actualizações a prioridade.
  • SourceAddressPrefix: Actualiza o prefixo de endereço de origem.
  • SourcePortRange: Actualiza o intervalo de portas de origem.
  • DestinationAddressPrefix: Actualiza o prefixo de endereço de destino.
  • DestinationPortRange: Actualiza o intervalo de portas de destino.

Eliminar porta ACLs e regras de portas do ACL

Uma ACL pode ser eliminada se não existirem sem dependências anexadas. Dependências incluem VM rede/VM sub-rede virtual placa global as definições de rede que estão anexadas à ACL. Quando tenta eliminar uma porta ACL utilizando o cmdlet PowerShell, o cmdlet irá detectar se a porta ACL é anexado a qualquer uma das dependências e irá accionar a mensagens de erro adequadas.

Remover a ACL de porta

Foram adicionados novos cmdlets PowerShell:

Remover-SCPortACL - PortACLNetworkAccessControlList>

Remover regras de portas do ACL

Foram adicionados novos cmdlets PowerShell:

Remover-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Tenha em atenção que eliminar uma VM rede de sub-rede/VM/placa de rede automaticamente remove a associação com esse ACL.

Uma ACL também pode ser desassociada da placa de rede/sub-rede/VM VM alterando o respectivo objecto de rede VMM. Para tal, utilize o cmdlet do conjunto- juntamente com o parâmetro - RemovePortACL , tal como descrito nas secções anteriores. Neste caso, a porta ACL será desligado do objecto respectivos rede mas não será eliminada da infra-estrutura VMM. Por conseguinte, se pode ser reutilizado mais tarde.

Fora-de-banda alterações às regras ACL

Se estamos a fazer fora-de-banda (OOB) alterações às regras ACL da porta de comutador virtual Hyper-V (utilizando cmdlets de Hyper-V nativo como Adicionar-VMNetworkAdapterExtendedAcl), actualizar VM apresentará a placa de rede como "Incompliant de segurança". A placa de rede, em seguida, pode ser remediated do VMM conforme descrito na secção "Aplicar ACLs de porta". No entanto, a remediação substituirá todas as regras ACL de portas que estão definidas fora VMM com aqueles em que se espera por VMM.

Porta ACL prioridade e aplicação de precedência da regra (avançada)

Conceitos de núcleo

Cada regra ACL de porta num porto ACL tem uma propriedade com o nome "Prioridade". As regras são aplicadas pela ordem com base na sua prioridade. Os seguintes princípios de núcleo definem prioridade de regras:
  • Quanto mais baixa a prioridade número, maior a precedência é. Isto é, se várias regras ACL de porta contradizem si, a regra com prioridade mais baixa ganha.
  • A acção da regra não afecta a precedência. Isto é, ao contrário da ACL de NTFS (por exemplo), aqui não temos um conceito como "Negar sempre prevalece sobre permitir".
  • Na mesma prioridade (valor numérico mesmo), não é possível ter duas regras com a mesma direcção. Este comportamento impede que uma situação hipotética em que um poderia definir regras "Deny" e "Permitir" com igual prioridade, uma vez que o resultado seria ambiguidade ou um conflito.
  • Um conflito é definido como dois ou mais regras, tendo a mesma prioridade e a mesma direcção. Poderá ocorrer um conflito se existirem duas regras ACL de porta com a mesma prioridade e direcção dois ACLs que são aplicadas em níveis diferentes, e se esses níveis se sobreponham parcialmente. Isto é, poderá existir um objecto (por exemplo, vmNIC) que abrangido pelo âmbito de ambos os níveis. Um exemplo comum de cumulação é uma rede VM e sub-rede VM na mesma rede.

Aplicar várias ACL de porta a uma única entidade

Uma vez que a porta ACLs pode aplicar diferente VMM objectos de rede (ou em níveis diferentes, tal como descrito anteriormente), uma única placa de rede virtual VM (vmNIC) pode enquadram-se o âmbito de vários ACLs de porta. Neste cenário, são aplicadas as regras de portas ACL de todas as ACLs de porta. No entanto, a precedência dessas regras pode ser diferente, dependendo de vários VMM novo afinar as definições que são mencionadas neste artigo.

Definições de registo

Essas definições são definidas como valores Dword no registo do Windows na seguinte chave no servidor de gestão VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Por favor tenha em atenção de que todas estas definições irão afectar o comportamento de ACLs de porta através da infra-estrutura VMM toda.

Prioridade de regra ACL de portas efectivo

Este debate, vamos descreve a precedência real ACL de regras de portas quando vários porta ACL são aplicadas a uma única entidade como efectiva de regras de prioridade. Por favor tenha em atenção de que não existe nenhuma definição separada ou objecto VMM para definir ou ver efectiva de regras de prioridade. É calculado no tempo de execução.

Existem dois modos globais na qual pode ser calculada eficaz de regra de prioridade. Os modos são alternados na definição do registo:
PortACLAbsolutePriority

Os valores aceitáveis para esta definição são 0 (zero) ou 1, onde 0 indica o comportamento predefinido.

Prioridade relativa (comportamento predefinido)

Para activar este modo, defina a propriedade PortACLAbsolutePriority no registo para um valor de 0 (zero). Este modo também se aplica se a definição não está definida no registo (ou seja, se a propriedade não é criada).

Neste modo, os seguintes princípios aplicam-se para além dos conceitos core descritos anteriormente:
  • A prioridade na mesma porta que ACL é preservado. Por conseguinte, os valores da prioridade que são definidos em cada regra são tratados como relativo dentro de ACL.
  • Quando aplicar várias ACL de porta, as regras são aplicadas em baldes. As regras da mesma ACL (ligado a um determinado objecto) são aplicadas em conjunto o mesmo período. A precedência de recipientes nomeadamente depende do objecto ao qual está ligada à porta ACL.
  • Aqui, as regras que são sempre definidas nas definições globais ACL (independentemente da sua própria prioridade tal como definido na porta de ACL) têm precedência sobre as regras que são definidas na ACL que é aplicada a vmNIC etc. Por outras palavras, a separação de camada é aplicada.

Em última análise, eficaz de regra de prioridade pode diferir do valor numérico que definir as propriedades da regra da ACL. Segue-se mais informações sobre como este comportamento é imposto e como pode alterar a respectiva lógica.

  1. Pode ser alterada a ordem em que três níveis de "objecto específicas" (ou seja, vmNIC, VM de sub-rede e rede VM) têm precedência.

    1. Não é possível alterar a ordem das definições globais. Este demora sempre precedência mais alta (ou ordem = 0).
    2. Para os outros três níveis, pode definir as seguintes definições para um valor numérico entre 0 e 3, onde 0 é a precedência mais elevada (igual a definições globais) e 3 é a precedência mais baixa:
      • PortACLVMNetworkAdapterPriority
        (a predefinição é 1)
      • PortACLVMSubnetPriority
        (a predefinição é 2)
      • PortACLVMNetworkPriority
        (a predefinição é 3)
    3. Se atribuir o mesmo valor (0 a 3) para estas várias definições de registo, ou se atribuir um valor fora do intervalo de 0 a 3, VMM falhará para o comportamento predefinido.
  2. A forma de ordenação é aplicada a que é que o efectivo de regra de prioridade é alterada para que as regras ACL que são definidas num nível mais elevado recebem prioridade mais alta (ou seja, um valor numérico mais pequeno). Quando é calculada a ACL eficaz, cada valor de prioridade de regra relativa "aumenta" pelo valor de nível específico ou "step."
  3. O valor de nível específico é o "passo" que separa a níveis diferentes. Por predefinição, o tamanho do "passo" é 10000 e é configurado a seguinte definição do registo:
    PortACLLayerSeparation
  4. Isto significa que, neste modo, qualquer prioridade da regra individual dentro de ACL (ou seja, uma regra que é tratada como relativo) não pode exceder o valor da definição seguinte:
    PortACLLayerSeparation
    (por predefinição, 10000)
Exemplo de configuração
Suponha que todas as definições tem valores predefinidos. (Estes são descritos anteriormente.)
  1. Temos uma ACL que está ligada a vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Aumenta a prioridade efectiva para todas as regras definidas na presente ACL por 10000 (valor PortACLLayerSeparation).
  3. Vamos definir uma regra neste ACL que tem uma prioridade que é definida como 100.
  4. A prioridade eficaz para esta regra seria 10000 + 100 = 10100.
  5. A regra terão precedência sobre outras regras dentro do mesma ACL para o qual a prioridade é superior a 100.
  6. A regra será sempre precedência sobre quaisquer regras que são definidas no ACLs que estão ligadas na rede VM e a nível da sub-rede VM. (Isto acontece porque as que são consideradas níveis "inferiores").
  7. A regra nunca terão prioridade sobre quaisquer regras que são definidas nas definições globais ACL.
Vantagens deste modo
  • Existe uma melhor segurança Tenants vários cenários, uma vez que as regras de ACL de portas que são definidas por admin de tecido (no nível definições globais) terá sempre precedência sobre quaisquer regras que são definidas pelos inquilinos próprios.
  • Quaisquer conflitos de regra ACL de porta (ou seja, ambiguidades) são impedidos automaticamente devido a separação de camada. É muito fácil prever as regras será eficazes e porquê.
Cuidados com este modo
  • Menos flexibilidade. Se definir uma regra (por exemplo, "Negar todo o tráfego para a porta 80") nas definições globais, nunca pode criar uma derrogação a esta regra mais granular sobre a camada inferior (por exemplo, "Permitir porta 80 apenas neste VM que é executado num servidor web legítima").

Prioridade relativa

Para activar este modo, defina a propriedade PortACLAbsolutePriority no registo para um valor de 1.

Neste modo, os seguintes princípios aplicam-se para além dos conceitos de núcleo descritas anteriormente:
  • Se um objecto cai dentro do âmbito de vários ACLs (por exemplo, rede VM e sub-rede VM), todas as regras que são definidas em qualquer ACLs anexadas são aplicadas por ordem unificado (ou como um único balde). Não existe nenhuma separação de nível e não "destinados" qualquer.
  • Todas as prioridades da regra são tratadas como absoluto, exactamente como são definidas em cada prioridade de regra. Por outras palavras, a prioridade eficaz para cada regra é o mesmo que o que é definido na regra própria e não é alterado pelo motor VMM antes de ser aplicada.
  • Todas as outras definições de registo que são descritas na secção anterior não têm qualquer efeito.
  • Neste modo, qualquer prioridade da regra individual de uma ACL (ou seja, uma prioridade de regra que é tratada como absoluta) não pode exceder 65535.
Exemplo de configuração
  1. As definições globais de ACL, defina uma regra cuja prioridade está definida para 100.
  2. A ACL que está anexada a vmNIC, defina uma regra cuja prioridade está definida para 50.
  3. A regra que é definida no nível vmNIC prevalece porque tem uma prioridade mais alta (ou seja, um valor numérico mais baixo).
Vantagens deste modo
  • Maior flexibilidade. Pode criar isenções one-off"as regras de definições globais em níveis inferiores (por exemplo, sub-rede VM ou vmNIC).
Cuidados com este modo
  • Planeamento poderá tornar-se mais complexa porque não existe nenhuma separação de nível. E pode ser uma regra em qualquer nível, que substitui outras regras que são definidas em outros objectos.
  • Em ambientes de múltiplos tenants, segurança pode ser afectada porque um inquilino pode criar uma regra no nível da sub-rede VM que substitui a política que é definida pelo admin de tecido, a nível de definições globais.
  • Conflitos de regra (ou seja, ambiguidades) não são eliminados automaticamente e podem ocorrer. VMM pode impedir conflitos apenas no mesmo nível ACL. -Não é possível evitar conflitos entre as ACLs que estão ligadas a objectos diferentes. Em caso de conflito, porque VMM não é possível corrigir o conflito automaticamente, este irá parar a aplicação das regras e irá gerar um erro.

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 3101161 - Última Revisão: 10/30/2015 08:47:00 - Revisão: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtpt
Comentários