Momentan sunteți offline, așteptați să vă reconectați la internet

Suport pentru implementarea Hyper-V extins portul ACL-uri în System Center 2012 R2 VMM cu Update Rollup 8

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 3101161
Rezumat
Administratorii de Microsoft System Center 2012 R2 maşină virtuală Manager (VMM) poate acum central crearea și gestionarea Hyper-V port acces listele de control (ACL-uri) în VMM.
Informaţii suplimentare
Pentru mai multe informații despre Update Rollup 8 pentru System Center 2012 R2 maşină virtuală Manager, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

3096389 set de actualizări 8 pentru System Center 2012 R2 maşină virtuală Manager

Glosar

Am îmbunătăţit modelul de obiect maşină virtuală Manager prin adăugarea următoarele concepte nou în zona de gestionare rețea.
  • Listă de control acces port (port ACL)
    Un obiect care este atașată diverse VMM primitive de rețea pentru a descrie securitate de rețea. Portul ACL serveşte ca o colecție de intrările de control al accesului sau reguli ACL. Un ACL poate fi ataşat la orice număr (zero sau mai multe) dintre VMM networking primitive, o rețea de mașini virtuale, VM subrețea, adaptor de reţea virtuală sau VMM management server în sine. Un ACL poate conține orice număr (zero sau mai multe) dintre reguli ACL. Fiecare compatibil VMM networking primitive (VM rețea, VM subrețea, adaptor de reţea virtuală sau server de gestionare VMM) poate avea un port ACL atașat sau none.
  • Port intrare de control de acces sau ACL regulă
    Un obiect care descrie politica de filtrare. Mai multe reguli ACL poate există în același port ACL și se aplică în funcție de prioritățile lor. Fiecare regulă ACL corespunde cu un singur port ACL.
  • Setări globale
    Un concept virtual care descrie un ACL care se aplică la toate adaptoarele de rețea virtuală VM în infrastructura port. Nu există nici un tip de obiect separat pentru setări globale. În schimb, portul Global setările ACL atașează la serverul de management VMM sine. Obiectul VMM management server poate avea un port ACL sau none.
Pentru informații despre obiecte în zona de gestionare rețea care au fost disponibile anterior, consultați Obiect de rețea maşină virtuală Manager Fundamentals.

Ce pot face cu această caracteristică?

Utilizând interfața PowerShell în VMM pot acum să următoarele acțiuni:
  • Definiți portul ACL-uri și normele ACL lor.
    • Reguli se aplică la porturi virtuale pe serverele Hyper-V ca "port extins ACL-uri" (VMNetworkAdapterExtendedAcl) în terminologie Hyper-V. Aceasta înseamnă că poate aplica numai la fermă de servere gazdă Windows Server 2012 R2 (şi Hyper-V Server 2012 R2).
    • VMM nu va crea "legacy" Hyper-V port ACL-uri (VMNetworkAdapterAcl). De aceea, nu poate aplica port ACL-uri pentru Windows Server 2012 (sau Hyper-V Server 2012) fermă de servere gazdă utilizând VMM.
    • Toate port ACL reguli definite în VMM utilizând această caracteristică sunt statefull (pentru TCP). Este posibilă crearea reguli ACL fără menținere de stare pentru TCP utilizând VMM.
    Pentru mai multe informații despre extins portul ACL caracteristici în Windows Server 2012 R2 Hyper-V, consultaţi Crearea de politici de securitate cu listele de Control al accesului Port extins pentru Windows Server 2012 R2.
  • Atașați un port ACL setări globale. Aceasta se aplică o toate adaptoarele de rețea virtuală VM. Este disponibil numai pentru administratori completă.
  • Atașați port ACL-uri care sunt create la o rețea de mașini virtuale, VM subrețele sau adaptoare de rețea virtuală VM. Acest lucru este disponibil pentru administratori completă, administratori de entitate găzduită și autoservire utilizatori (Atty_kraft).
  • Vizualizați și actualiza port ACL reguli, care sunt configurate pe vNIC VM individuale.
  • Ștergeți port ACL-uri și normele ACL lor.
Fiecare dintre aceste acțiuni este acoperită mai în detaliu mai târziu în acest articol.

Vă rugăm să rețineți că această funcționalitate este expus numai prin cmdlet PowerShell și nu va fi reflectă în consola VMM UI (cu excepția starea "Conformitate").

Ce pot face nu cu această caracteristică?

  • Gestionarea/actualizare reguli individuale pentru o singură instanță când ACL sunt partajate între mai multe instanțe. Toate regulile sunt gestionate central în cadrul lor părinte ACL-uri şi aplicarea oriunde ACL este atașat.
  • Atașați mai mult de un ACL la o entitate.
  • Se aplică port ACL-uri pentru adaptoarele de rețea virtuală (vNICs) în partiția părinte Hyper-V (gestionare OS).
  • Creați port ACL reguli care includ protocoale la nivel IP (decât TCP sau UDP).
  • Se aplică port ACL-uri pentru rețele logice, site-uri de rețea (rețea logică definițiile), subrețea VLAN și alte VMM primitive de rețea care nu au fost enumerate mai sus.

Cum se utilizează caracteristica?

Definirea noul port ACL-uri și normele ACL port

Acum puteți crea ACL-uri și normele ACL direct din în VMM utilizând cmdlet PowerShell.

Creați un ACL nou

Se adaugă următoarele caracteristici cmdlet PowerShell noi:

Noi SCPortACL – numeșir> [-Descriereașir>]

-Nume: nume de sign-in portului ACL

– Descriere: Port ACL (parametru opţional)

Get-SCPortACL

Preia toate ACL-uri port

– Nume: Opțional filtrare după nume

– ID: opțional filtrare după ID

Eșantioane de comenzi

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Definiți portul ACL reguli pentru portul ACL
Fiecare port ACL constă dintr-o colecție de reguli de ACL port. Fiecare regulă conține diferite parametri.

  • Nume
  • Descrierea
  • Tip: De intrare/ieşire (direcția în care se va aplica ACL)
  • Acțiune: Permite/Deny (acțiunea ACL, pentru a permite traficul sau de a bloca traficul de)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protocol: TCP/Udp/orice (Notă: protocoale la nivel IP nu sunt acceptate în portul ACL-uri care sunt definite de VMM. Acestea sunt încă acceptat nativ de Hyper-V.)
  • Prioritate: 1-65535 (mai mic număr are prioritate). Această prioritate este relativ layer în care este aplicat. (Mai multe informații despre cum se aplică regulile ACL bazate pe prioritate şi obiectul care este atașat urmează ACL).

Noi caracteristici cmdlet PowerShell care se adaugă

Nou-SCPortACLrule - PortACLPortACL>-Numeșir> [-Descrierea <string>]-tip <Inbound |="" outbound="">-acțiune <Allow |="" deny="">-prioritate <uint16>-Protocol <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Preia toate normele ACL port.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Nume: Opțional filtrare după nume
  • ID: Opțional filtrare după ID
  • PortACL: Opțional filtrare după port ACL
Eșantioane de comenzi

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Ataşarea şi detaching port ACL-uri



ACL-uri poate fi ataşat la următoarele:
  • Setări globale (se aplică la toate adaptoarele de rețea virtuală. Numai administratorii complet poate face acest lucru.)
  • Rețea virtuală (complet administratori/entitate găzduită administratori/Atty_kraft puteți face acest lucru.)
  • VM subrețea (complet administratori/entitate găzduită administratori/Atty_kraft puteți face acest lucru.)
  • Adaptoarele de rețea virtuală (complet administratori/entitate găzduită administratori/Atty_kraft puteți face acest lucru.)

Setări globale

Aceste porturi ACL reguli se aplică la toate adaptoarele de rețea virtuală de mașini virtuale în infrastructura.

Caracteristici cmdlet PowerShell existente s-au actualizat cu noi parametri pentru ataşarea şi detaching port ACL-uri.

Set-SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nou parametru opţional care configurează portul specificat ACL de setări globale.
  • RemovePortACL: Nou parametru opţional care elimină orice configurat portul ACL din Setări globale.
Get-SCVMMServer: returnează portul configurat ACL în obiectul returnat.

Eșantioane de comenzi

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Rețea virtuală


Aceste reguli vor fi aplicate la toate adaptoarele de rețea virtuală de mașini virtuale care sunt conectate la această rețea VM.

Caracteristici cmdlet PowerShell existente s-au actualizat cu noi parametri pentru ataşarea şi detaching port ACL-uri.

Nou-SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [restul parametrii]

-PortACL: parametru opţional nou, care vă permite să specificați un port ACL la rețea virtuală în timpul creării.

Set-SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [restul parametrii]

-PortACL: parametru opţional nou, care vă permite să setați un port ACL la rețea VM.

-RemovePortACL: nou parametru opţional care elimină orice configurat portul ACL din rețea VM.

Get-SCVMNetwork: returnează portul configurat ACL în obiectul returnat.

Eșantioane de comenzi

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM subrețea


Aceste reguli vor fi aplicate la toate adaptoarele de rețea virtuală VM care sunt conectate la această subrețeaua VM.

Caracteristici cmdlet PowerShell existente s-au actualizat cu parametru nou pentru ataşarea şi detaching port ACL-uri.

Nou-SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [restul parametrii]

-PortACL: parametru opţional nou, care vă permite să specificați un port ACL la subrețeaua VM în timpul creării.

Set-SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [restul parametrii]

-PortACL: parametru opţional nou, care vă permite să setați un port ACL la subrețeaua VM.

-RemovePortACL: nou parametru opţional care elimină orice configurat portul ACL de subrețea VM.

Get-SCVMSubnet: returnează portul configurat ACL în obiectul returnat.

Eșantioane de comenzi

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Adaptor de rețea virtuală VM (vmNIC)


Caracteristici cmdlet PowerShell existente s-au actualizat cu noi parametri pentru ataşarea şi detaching port ACL-uri.

Nou-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [restul parametrii]

-PortACL: parametru opţional nou, care vă permite să specificați un port ACL pentru adaptor de reţea virtuală în marcă de timp ce se creează un nou vNIC.

Set-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [restul parametrii]

-PortACL: parametru opţional nou, care vă permite să setați un port ACL pentru adaptor de reţea virtuală.

-RemovePortACL: nou parametru opţional care elimină orice configurat portul ACL din adaptor de reţea virtuală.

Get-SCVirtualNetworkAdapter: returnează portul configurat ACL în obiectul returnat.

Eșantioane de comenzi

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Aplicarea regulilor de ACL port

Reîmprospătarea SMS după ce atașați ACL-uri de port, observați că starea SMS este afișat ca "Nu este compatibil" în vizualizarea mașină virtuală de spațiul de lucru Fabric. (Pentru a comuta la vizualizarea mașinii virtuale, trebuie să navigați mai întâi la Rețele logice nodul sau nodul Comutatoare logice din spațiul de lucru Fabric). Rețineți că VM reîmprospătare apare automat în fundal (la termen). De aceea, chiar dacă reîmprospătați explicit SMS, ele va intra într-o stare neconforme în cele din urmă.



În acest moment, ACL-uri port nu au încă aplicate SMS și lor adaptoarele de rețea virtuală relevante. Pentru a aplica ACL-uri de port, trebuie să declanșeze un proces care este cunoscută ca remediere. Acest lucru nu se întâmplă automat și ar trebui să înceapă în mod explicit la cerere de utilizator.

Pentru a porni remedierea, să faceți clic pe Remediate în panglică sau executați cmdletul SCVirtualNetworkAdapter reparare . Nu există nici un anumit modificările cmdletul sintaxa pentru această caracteristică.

Reparare-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating aceste SMS vor fi marcate ca compatibile și va asigurați-vă că portul extinsă ACL-uri se aplică. Rețineți că portul ACL-uri nu se aplică orice SMS în domeniu până când le remedieze în mod explicit.

Vizualizarea port ACL reguli

Pentru a vizualiza ACL-uri şi ACL reguli, aveți posibilitatea să utilizați următoarele caracteristici cmdlet PowerShell.

Noi caracteristici cmdlet PowerShell care se adaugă

Regăsirea port ACL-uri

Parametru setat la 1. Pentru a obține toate sau nume: Get-SCPortACL [-nume <> </>]

Parametrul set 2. Pentru a obține ID: Get-SCPortACL -Id <> [-nume <> </>]

Regăsirea port ACL reguli

Parametru setat la 1. Toate sau nume: Get-SCPortACLrule [-nume <> </>]

Parametrul set 2. ID: Get-SCPortACLrule -Id <>

Parametrul set 3. Obiect ACL: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Actualizarea port ACL reguli

Atunci când actualizați ACL atașat la adaptoarele de rețea, modificările se reflectă în toate network adapter cazuri care utilizează acea ACL. Pentru un ACL care este atașat la un VM subrețea sau rețea VM, toate rețea adaptor cazuri care sunt conectate la subrețeaua care sunt actualizate cu modificările.

Notă Actualizarea normele ACL adaptoarele de rețea individuale se efectuează în paralel în o schemă de efort mai bune încercați una. Adaptoare care nu pot fi actualizate pentru orice motiv sunt marcate ca "securitate incompliant", iar activitate de firmă se termină cu un mesaj de eroare care afirmă că adaptoarele de rețea nu s-au actualizat cu succes. "Securitate incompliant" aici se referă la o nepotrivire în așteptărilor versus reale ACL reguli. Adaptorul va avea o stare de conformitate de "Nu compatibil cu" împreună cu mesaje de eroare relevante. Consultați secțiunea anterioară pentru mai multe informații despre depoluarea neconforme maşini virtuale.
Noi cmdlet PowerShell adăugat
Set-SCPortACL - PortACLPortACL> [-NumeNume&gt;] [-Descrierea <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Numenume&gt;] [-Descriereașir&gt;] [-TipPortACLRuleDirection> {De intrare | Ieșire}] [-acţiunePortACLRuleAction> {Permite | Refuza}] [-SourceAddressPrefixșir&gt;] [-SourcePortRangeșir&gt;] [-DestinationAddressPrefixșir&gt;] [-DestinationPortRangeșir&gt;] [-ProtocolPortACLruleProtocol> {Tcp | UDP | Orice}]

Set-SCPortACL: schimbă portul ACL Descrierea.
  • Descriere: Actualizări Descrierea.

Set-SCPortACLrule: modifică parametrii de regulă ACL de port.
  • Descriere: Actualizări Descrierea.
  • Tip: Actualizări direcția în care se aplică ACL.
  • Acțiune: Actualizări acțiunea ACL.
  • Protocol: Actualizări protocolul care se va aplica ACL.
  • Prioritate: Actualizează prioritate.
  • SourceAddressPrefix: Actualizări prefixul adresă sursă.
  • SourcePortRange: Actualizări intervalul de port sursă.
  • DestinationAddressPrefix: Actualizări prefixul adresa destinație.
  • DestinationPortRange: Actualizări intervalul de port de destinație.

Ștergerea port ACL-uri și portul ACL reguli

Un ACL pot fi șterse numai dacă nu există nicio dependențele ataşat la acesta. Dependențele includ VM rețea/VM subrețea/virtual adaptor/global setările de rețea care sunt atașate ACL. Când încercați să ștergeți un port ACL utilizând cmdletul PowerShell, cmdlet va detecta dacă portul ACL este atașat la oricare dintre dependențele și va genera mesaje de eroare corespunzător.

Eliminarea port ACL-uri

S-au adăugat noi caracteristici cmdlet PowerShell:

Remove-SCPortACL - PortACLNetworkAccessControlList>

Eliminarea port ACL reguli

S-au adăugat noi caracteristici cmdlet PowerShell:

Remove-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Rețineți că ștergerea unei mașini virtuale subrețea/VM Network/adaptor de rețea elimină automat împreună cu acel ACL.

Un ACL poate fi, de asemenea, dezasociat din adaptorul de rețea/rețea subrețea/VM VM prin modificarea obiectul rețea VMM respective. Pentru aceasta, utilizați cmdletul Set- împreună cu parametrul - RemovePortACL , așa cum se descrie în secțiunile anterioare. În acest caz, portul ACL va fi de obiectul de rețea respective dar nu va fi ștearsă de pe infrastructura VMM. De aceea, se poate fi reutilizat mai târziu.

Out of band modificările de reguli ACL

Dacă vom face out of band (OOB) modificările la normele ACL portul parametru virtuale Hyper-V (utilizând native cmdlet Hyper-V, cum ar fi Add-VMNetworkAdapterExtendedAcl), reîmprospătați VM va afișa adaptor de reţea ca "Incompliant de securitate." adaptor de reţea apoi pot fi remediate de VMM descris în secțiunea "Aplică port ACL-uri". Cu toate acestea, remedierea va înlocui toate port ACL regulile definite în afara VMM cu cele care urmează după VMM.

Port ACL regulă prioritate și aplicații prioritate (complex)

Concepte de bază

Fiecare port ACL regulă într-un port ACL are o proprietate care este numit "Prioritate." Reguli se aplică în ordine bazate pe prioritățile lor. Principiile de bază următoarele definiți reguli de prioritate:
  • Mai mică prioritate, numărul mai mare prioritate este. Adică, dacă mai multe reguli de port ACL contrazic fiecare altul, wins regula cu prioritate mai mică.
  • Regulă de acțiune nu afectează prioritate. Spre deosebire de NTFS ACL-uri (de exemplu), aici nu avem un concept ca "Deny întotdeauna are prioritate asupra permite".
  • Pe aceeași prioritate (aceeași valoare numerică), nu aveți două reguli cu aceeași direcție. Acest comportament împiedică o situaţie ipotetică în care una ar putea defini "Deny" și "Permite" reguli cu prioritate egală, deoarece aceasta are ca rezultat în ambiguitatea sau un conflict.
  • Un conflict este definit ca două sau mai multe reguli au aceeași prioritate și aceeași direcție. Un conflict, pot apărea dacă există două porturi ACL reguli cu aceeași prioritate și direcția în două ACL-uri care sunt aplicate pe niveluri diferite, și dacă aceste niveluri suprapune parțial. Care este posibil să existe un obiect (de exemplu, vmNIC) care se încadrează în domeniul de ambele niveluri. Un exemplu uzual de suprapunere este un VM și subrețeaua VM în aceeași rețea.

Mai multe port ACL-uri se aplică o singură entitate

Deoarece portul ACL-uri poate aplica pentru diferite VMM networking obiecte (sau pe niveluri diferite, după cum este descris mai sus), un singur VM adaptor de rețea virtuală (vmNIC) poate se încadrează în sfera de aplicare a mai multor port ACL-uri. În acest scenariu, se aplică regulile de port ACL din toate ACL-uri port. Cu toate acestea, prioritate acele reguli pot fi diferite, în funcție de câteva VMM nou ajustarea setărilor care sunt menționate în continuarea acestui articol.

Setările de registry

Aceste setări sunt definite ca valori Dword în Windows Registry sub următoarea cheie de pe serverul de management VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Vă rugăm să rețineți că toate aceste setări va afecta comportamentul port ACL-uri prin întreaga VMM infrastructura.

Port efective ACL regulă prioritate

În această discuție, vom descrie prioritate reală de port ACL reguli atunci când mai multe port ACL-uri se aplică pentru o singură entitate prioritară regulă efective. Vă rugăm să rețineți că nu este separat setare sau obiect în VMM să definiți sau să vizualizați eficient regulă prioritate. Acesta este calculat în execuție.

Există două moduri global în care pot fi calculate efective regulă prioritate. Modurile sunt pornite prin setarea de registry:
PortACLAbsolutePriority

Valorile acceptate pentru această setare sunt 0 (zero) sau 1, unde 0 indică comportamentul implicit.

Relativ prioritate (comportament implicit)

Pentru a activa acest mod, setați proprietatea PortACLAbsolutePriority în registry la valoarea 0 (zero). Acest mod se aplică, de asemenea, dacă setarea nu este definită în registry (adică, dacă proprietatea nu este creat).

În acest mod, pe lângă concepte de bază, care au fost descrise mai sus se aplică următoarele principii:
  • Prioritate în același port ACL este păstrată. De aceea, prioritatea valori definite în fiecare regulă sunt tratate ca relativă în cadrul ACL.
  • Atunci când se aplică mai multe port ACL-uri, se aplică regulile lor în compartimente. Împreună, în același bucket se aplică regulile de la același ACL (ataşat la un anumit obiect). Prioritate de anumite compartimente depinde de obiect la care este atașată portul ACL.
  • Aici, orice reguli definite în global setările ACL (indiferent de propriile prioritate definite în portul ACL) întotdeauna prevalează asupra regulilor definite în ACL care se aplică vmNIC, și așa mai departe. Cu alte cuvinte, layer separare este activat.

În cele din urmă, efective regulă prioritate poate diferă de valoare numerică pe care le definiţi din proprietățile de regulă ACL de port. Mai multe informații despre modul în care acest comportament este impusă și cum se poate modifica logica sa urmează.

  1. Ordinea în care trei niveluri de "obiect specifice" (, vmNIC, VM subrețea și rețea VM) prevalează poate fi modificată.

    1. Ordinea global setări nu pot fi modificate. Aceasta are întotdeauna cea mai mare prioritate (sau ordine = 0).
    2. Pentru alte trei niveluri, setați setările următoare de la o valoare numerică între 0 și 3, unde 0 este cea mai mare prioritate (egală cu setări globale) și 3 este cea mai mică prioritate:
      • PortACLVMNetworkAdapterPriority
        (implicit este 1)
      • PortACLVMSubnetPriority
        (valoarea implicită este 2)
      • PortACLVMNetworkPriority
        (implicit este 3)
    3. Dacă asociaţi aceeași valoare (0-3) aceste mai multe setări de registry sau dacă asociaţi o valoare în afara intervalului 0-3, VMM nu va reuși înapoi la comportamentul implicit.
  2. Modul în care comanda este impusă este că efective regulă prioritate se modifică astfel încât normele ACL definite la un nivel mai mare prioritate mai mare (adică, o mai mică valoare numerică). Atunci când este calculată efective ACL, fiecare valoare relativă regula de prioritate este "întâlnit" de valoare specifică nivelul sau "Pasul."
  3. Valoarea specifică nivelul este "Pasul" care separă niveluri diferite. implicit, dimensiunea "Pasul" este de 10000 și este configurat cu următoarea setare de registry:
    PortACLLayerSeparation
  4. Acest lucru înseamnă că, în acest mod, orice individuale regula de prioritate în cadrul ACL (adică, o regulă care este tratată ca relativ) nu poate depăși valoarea setării următoarele:
    PortACLLayerSeparation
    (în mod implicit, 10000)
Exemplu de configurare
Să presupunem că toate setările au valorile implicite. (Acestea sunt descrise mai sus.)
  1. Avem un ACL care este atașată vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Prioritate efective pentru toate regulile care sunt definite în această ACL este întâlnit de 10000 (PortACLLayerSeparation value).
  3. Se definește o regulă în această ACL care are prioritate care este setată la 100.
  4. Prioritate efective pentru această regulă ar fi 10000 + 100 = 10100.
  5. Regula vor avea prioritate asupra altor reguli în același ACL pentru care este mai mare decât 100 prioritate.
  6. Regula va avea întotdeauna prioritate prin orice reguli definite în ACL-uri care sunt atașate VM rețea și la nivel de subrețea VM. (Acest lucru este adevărat, deoarece aceste sunt considerate "mai mic" niveluri).
  7. Regula nu vor avea prioritate prin orice reguli definite în global setările ACL.
Avantajele acest mod
  • Există o securitate mai bună în scenarii de tip deoarece portul ACL reguli definite de admin Fabric (la nivel Global Settings) va avea întotdeauna prioritate asupra regulilor orice care sunt definite de entități găzduite se.
  • Orice conflicte port de regulă ACL (adică, ambiguităţi) sunt împiedicate automat din cauza layer separare. Este foarte simplă pentru a estima reguli care vor fi efective și de ce.
Avertismente cu acest mod
  • Flexibilitate mai puțin. Dacă se definește o regulă (de exemplu, "refuza toate trafic la portul 80") în setările global, nu aveți posibilitatea să creați o scutire mai granulare de la această regulă pe un nivel inferior (de exemplu, "permite portul 80 numai pe acest VM care se execută pe un server web legitim").

Prioritate relativă

Pentru a activa acest mod, setați proprietatea PortACLAbsolutePriority în registry la valoarea 1.

În acest mod, pe lângă concepte de bază, care sunt descrise mai sus se aplică următoarele principii:
  • Dacă un obiect se încadrează în domeniul ACL-uri multiple (de exemplu, VM rețea și VM subrețea), toate regulile care sunt definite în orice atașat ACL-uri se aplică în ordine unificat (sau ca un singur bucket). Nu există nici o separare nivel și nu "bumping" orice alte pagube.
  • Toate regulă prioritățile sunt tratate ca absolute, exact așa cum acestea sunt definite în fiecare regula de prioritate. Cu alte cuvinte, prioritatea efective pentru fiecare regulă este la fel ca ceea ce este definit în regula în sine şi nu se modifică de motor VMM înainte de a se aplica.
  • Toate celelalte setări de registry, descrise în secțiunea anterioară nu aibă niciun efect.
  • În acest mod, orice prioritate regulă individuale dintr-un ACL (care este o regulă de prioritate care este tratată ca absolută) nu poate depăși 65535.
Exemplu de configurare
  1. În setările global ACL, se definește o regulă a căror prioritate este setat la 100.
  2. În ACL atașat vmNIC, se definește o regulă a căror prioritate este setată la 50.
  3. Regula care este definit la nivel de vmNIC are prioritate, deoarece are o prioritate mai mare (adică, o valoare mai mică numerice).
Avantajele acest mod
  • Mai mare flexibilitate. Aveți posibilitatea să creați "unice" excepții de la regulile de setări globale pe niveluri mai mici (de exemplu, VM subrețea sau vmNIC).
Avertismente cu acest mod
  • Planificare poate deveni mai complexe, deoarece nu există nici un nivel de separare. Și poate fi o regulă de pe orice nivel care ignoră alte reguli definite în alte obiecte.
  • În mediile de tip, securitate pot fi afectate, deoarece o entitate găzduită poate crea o regulă la nivel de subrețea VM suprascrie politica care este definit de admin Fabric la nivel global setările.
  • Regulă de conflicte (adică, ambiguităţi) nu sunt eliminate automat şi pot apărea. VMM care pot împiedica conflicte numai pe același nivel ACL. Ea nu poate împiedica conflicte peste ACL-uri care sunt atașate la obiecte diferite. În caz de conflict, deoarece VMM poate remedia automat, conflictul se va opri aplicarea regulilor și va genera o eroare.

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 3101161 - Ultima examinare: 10/30/2015 08:50:00 - Revizie: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtro
Feedback
ementsByTagName("head")[0].appendChild(m);