Suport pentru implementarea ACL-urilor de port extins Hyper-V în System Center 2012 R2 VMM cu setul de actualizări 8

Definirea noilor ACL-uri de port și a regulilor ACL pentru port

Acum puteți crea ACL-uri și regulile lor ACL direct din VMM, utilizând cmdleturi PowerShell.

Creare ACL nou

Sunt adăugate următoarele cmdleturi PowerShell noi:

New-SCPortACL -Name <string> [–Description <string>]

–Name: Name of the port ACL

–Description: Description of the port ACL (optional parameter)

Get-SCPortACL

Retrieves all port ACLs

–Name: Optionally filter by name

–ID: Optionally filter by ID

Sample commands

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Noi cmdleturi PowerShell care sunt adăugate

New-SCPortACLrule -PortACL <> <>> șir de <[-Descriere <șir>] - Tastați <| de intrare> de ieșire <| Refuzare> <prioritate 16> | Protocol <Tcp Udp | Orice> [-SourceAddressPrefix <șir: IPAddress | IPSubnet>] [-SourcePortRange șir <:X|X-Y| Orice>] [-DestinationAddressPrefix <șir: IPAddress | IPSubnet>] [-DestinationPortRange șir <:X|X-Y| Orice>]

Get-SCPortACLrule

Regăsește toate regulile ACL de port.

• Nume: Filtrați opțional după nume

• ID: Filtrați opțional după ID

• PortACL: Filtrare opțională după portul ACL

Comenzi eșantion

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

ACL-uri pentru atașarea și detașarea porturilor

ACL-urile pot fi atașate la următoarele:

• Setări globale (Se aplică tuturor adaptoarelor de rețea VM. Doar administratorii completi pot face acest lucru.)

• Rețea VM (Administratorii completi/administratorii de entități găzduite/SSU pot face acest lucru.)

• Subrețea VM (Administratorii completi/administratorii de entități găzduite/SSU pot face acest lucru.)

• Adaptoare de rețea virtuală (Administratorii completi/administratorii de entități găzduite/SSU pot face acest lucru.)

Setări globale

Aceste reguli ACL de port se aplică tuturor adaptoarelor de rețea virtuală VM din infrastructură.

Cmdleturile PowerShell existente au fost actualizate cu parametri noi pentru atașarea și detașarea ACL-urilor porturilor.

Set-SCVMMServer -VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: Parametru opțional nou care configurează ACL-ul portului specificat la setările globale.

• RemovePortACL: Parametru opțional nou care elimină orice ACL de port configurat din setările globale.

Get-SCVMMServer: Returnează ACL-ul de port configurat în obiectul returnat.

Comenzi eșantion

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Rețea VM

Aceste reguli se vor aplica tuturor adaptoarelor de rețea virtuală VM conectate la această rețea VM.

Cmdleturile PowerShell existente au fost actualizate cu parametri noi pentru atașarea și detașarea ACL-urilor porturilor.

New-SCVMNetwork [-PortACL <NetworkAccessControlList>] [restul parametrilor]

-PortACL: Parametru opțional nou care vă permite să specificați un port ACL la rețeaua VM în timpul creării.

Set-SCVMNetwork [-PortACL <NetworkAccessControlList> | -RemovePortACL] [restul parametrilor]

-PortACL: Noul parametru opțional care vă permite să setați un port ACL la rețeaua VM.

-RemovePortACL: Parametru opțional nou care elimină orice ACL de port configurat din rețeaua VM.

Get-SCVMNetwork: Returnează portul ACL configurat în obiectul returnat.

Comenzi eșantion

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Subrețea VM

Aceste reguli se vor aplica tuturor adaptoarelor de rețea virtuală VM conectate la această subrețea VM.

Cmdleturile PowerShell existente au fost actualizate cu noul parametru pentru atașarea și detașarea ACL-urilor porturilor.

New-SCVMSubnet [-PortACL <NetworkAccessControlList>] [restul parametrilor]

-PortACL: Parametru opțional nou care vă permite să specificați un port ACL la subrețea VM în timpul creării.

Set-SCVMSubnet [-PortACL <NetworkAccessControlList> | -RemovePortACL] [restul parametrilor]

-PortACL: Noul parametru opțional care vă permite să setați un port ACL la subrețea VM.

-RemovePortACL: Parametru opțional nou care elimină orice ACL de port configurat din subrețea VM.

Get-SCVMSubnet: Returnează portul ACL configurat în obiectul returnat.

Comenzi eșantion

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Adaptor de rețea virtuală VM (vmNIC)

Cmdleturile PowerShell existente au fost actualizate cu parametri noi pentru atașarea și detașarea ACL-urilor porturilor.

New-SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList>] [restul parametrilor]

-PortACL: Noul parametru opțional care vă permite să specificați un port ACL la adaptorul de rețea virtuală în timp ce creați un nou vNIC.

Set-SCVirtualNetworkAdapter [-PortACL <NetworkAccessControlList> | -RemovePortACL] [restul parametrilor]

-PortACL: Noul parametru opțional care vă permite să setați un ACL de port la adaptorul de rețea virtuală.

-RemovePortACL: Noul parametru opțional care elimină orice ACL de port configurat din adaptorul de rețea virtuală.

Get-SCVirtualNetworkAdapter: Returnează ACL-ul de port configurat în obiectul returnat.

Comenzi eșantion

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Aplicarea regulilor ACL de port

Când reîmprospătați mașinile virtuale după ce atașați ACL-urile portului, observați că starea mașinilor virtuale este afișată ca "Neconform" în vizualizarea Mașină virtuală a spațiului de lucru Fabric. (Pentru a comuta la vizualizarea Mașină virtuală, trebuie mai întâi să navigați la nodul Rețele logice sau la nodul Argumente logice al spațiului de lucru Fabric). Rețineți că reîmprospătarea mașinii virtuale are loc automat în fundal (la timp). Prin urmare, chiar dacă nu reîmprospătați mașinile virtuale în mod explicit, acestea vor intra într-o stare necompliantă în cele din urmă.



În acest moment, ACL-urile portului nu s-au aplicat încă la mașinile virtuale și adaptoarele lor relevante de rețea virtuală. Pentru a aplica ACL-urile portului, trebuie să declanșați un proces cunoscut ca remediere. Acest lucru nu se întâmplă niciodată automat și ar trebui să fie pornit în mod explicit la solicitarea utilizatorului.

Pentru a începe remedierea, faceți clic pe Remediere pe Panglică sau rulați cmdletul Repair-SCVirtualNetworkAdapter. Nu există modificări specifice ale sintaxei cmdletului pentru această caracteristică.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Remedierea acestor mașini virtuale le va marca drept compatibile și se va asigura că se aplică ACL-uri de port extins. Rețineți că ACL-urile portului nu se vor aplica niciunei mașini virtuale în domeniu până când nu le remediați în mod explicit.

Vizualizarea regulilor ACL pentru porturi

Pentru a vizualiza regulile ACL și ACL, puteți utiliza următoarele cmdleturi PowerShell.

Se actualizează regulile ACL pentru port

Atunci când actualizați ACL-ul atașat la adaptoarele de rețea, modificările se reflectă în toate instanțele adaptorului de rețea care utilizează acel ACL. Pentru un ACL atașat la o subrețea VM sau la o rețea VM, toate instanțele adaptorului de rețea conectate la acea subrețea sunt actualizate cu modificările.

Notă Actualizarea regulilor ACL pentru adaptoarele de rețea individuale se efectuează în paralel într-o schemă cu cel mai bun efort de o încercare. Adaptoarele care nu pot fi actualizate din niciun motiv sunt marcate cu "necomplențiat de securitate", iar activitatea se termină cu un mesaj de eroare care spune că adaptoarele de rețea nu au fost actualizate cu succes. "Security incompliant" aici se referă la o nepotrivire în preconiza versus regulile ACL reale. Adaptorul va avea o stare de conformitate "Neconform" împreună cu mesajele de eroare relevante. Consultați secțiunea anterioară pentru mai multe informații despre remedierea mașinilor virtuale necompliante.

Ștergerea ACL-urilor de port și a regulilor ACL de port

Un ACL poate fi șters doar dacă nu există dependențe atașate la acesta. Dependențele includ subrețea VM/subrețea VM/adaptorul de rețea virtuală/setările globale atașate la ACL. Atunci când încercați să ștergeți un ACL de port utilizând cmdletul PowerShell, cmdletul va detecta dacă portul ACL este atașat la oricare dintre dependențe și va genera mesaje de eroare corespunzătoare.

Se elimină ACL-urile portului

Au fost adăugate noi cmdleturi PowerShell:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Se elimină regulile ACL pentru port

Au fost adăugate noi cmdleturi PowerShell:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Rețineți că ștergerea unei subrețele VM/VM Network/Network adapter elimină automat asocierea cu acel ACL.

De asemenea, un ACL poate fi dezasociat din adaptorul de rețea/rețea VM/subrețea VM, modificând obiectul de rețea VMM respectiv. Pentru a face acest lucru, utilizați cmdletul Set-împreună cu comutatorul -RemovePortACL, așa cum este descris în secțiunile anterioare. În acest caz, portul ACL va fi detașat de obiectul de rețea respectiv, dar nu va fi șters din infrastructura VMM. Prin urmare, acesta poate fi reutilizat mai târziu.

Modificări în afara intervalului la regulile ACL

Dacă efectuăm modificări în afara benzii (OOB) la regulile ACL de la portul de comutare virtual Hyper-V (utilizând cmdleturi Hyper-V native, cum ar fi Add-VMNetworkAdapterExtendedAcl), VM Refresh va afișa adaptorul de rețea ca "Security Incompliant". Adaptorul de rețea poate fi remediat apoi de la VMM, așa cum este descris în secțiunea "Se aplică ACL-urile porturilor". Totuși, remedierea va suprascrie toate regulile ACL de port definite în afara VMM cu cele așteptate de VMM.

Concepte de bază

Fiecare regulă ACL de port dintr-un port ACL are o proprietate denumită "Prioritate". Regulile se aplică în ordine pe baza priorității lor. Următoarele principii de bază definesc prioritatea regulilor:

• Cu cât numărul priorității este mai mic, cu atat prioritatea este mai mare. Asta este, în cazul în care mai multe reguli de port ACL contrazice reciproc, regula cu prioritate mai mică victorii.

• Acțiunea regulii nu afectează ordinea. Aceasta înseamnă că, spre deosebire de ACL-urile NTFS (de exemplu), aici nu avem un concept precum "Refuz are întotdeauna prioritate față de Allow".

• Pe aceeași prioritate (aceeași valoare numerică), nu puteți avea două reguli cu aceeași direcție. Acest comportament împiedică o situație ipotetică în care se pot defini atât regulile "Refuz", cât și "Se permite" cu prioritate egală, deoarece acest lucru ar avea ca rezultat ambiguitate sau un conflict.

• Un conflict este definit ca două sau mai multe reguli care au aceeași prioritate și aceeași direcție. Poate apărea un conflict dacă există două reguli ACL port cu aceeași prioritate și direcție în două ACL-uri care se aplică la niveluri diferite și dacă aceste niveluri se suprapun parțial. Mai exact, poate exista un obiect (de exemplu, vmNIC) care se încadrează în domeniul ambelor niveluri. Un exemplu comun de suprapunere este o rețea VM și o subrețea VM în aceeași rețea.

Aplicarea mai multor ACL-uri de port la o singură entitate 

Deoarece ACL-urile de port se pot aplica la diferite obiecte de rețea VMM (sau la niveluri diferite, așa cum s-a descris anterior), un singur adaptor de rețea virtuală VM (vmNIC) poate intra în domeniul mai multor ACL-uri de porturi. În acest scenariu, se aplică regulile ACL de port din toate ACL-urile portului. Cu toate acestea, prioritatea acestor reguli poate fi diferită, în funcție de mai multe noi setări de reglare fină VMM, care sunt menționate mai jos în acest articol.

Setări registry

Aceste setări sunt definite ca valori Dword în Windows Registry sub următoarea cheie de pe serverul de gestionare VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Setări
Rețineți că toate aceste setări vor afecta comportamentul ACL-urilor portului în întreaga infrastructură VMM.

Prioritate regulă ACL port eficient

În această discuție, vom descrie prioritatea reală a regulilor ACL de port atunci când se aplică mai multe ACL-uri de port pentru o singură entitate ca prioritate efectivă a regulilor. Rețineți că nu există nicio setare sau obiect separat în VMM pentru a defini sau a vizualiza Prioritatea efectivă a regulilor. Acesta este calculat în timpul rulării.

Există două moduri globale în care se poate calcula prioritatea efectivă a regulii. Modurile sunt comutate prin setarea de registry:

PortACLAbsolutePriority
Valorile acceptate pentru această setare sunt 0 (zero) sau 1, unde 0 indică comportamentul implicit.

Prioritate relativă (comportament implicit)

Pentru a activa acest mod, setați proprietatea PortACLAbsolutePriority din registry la valoarea 0 (zero). Acest mod se aplică și dacă setarea nu este definită în registry (adică dacă proprietatea nu este creată).

În acest mod, următoarele principii se aplică în plus față de conceptele de bază care au fost descrise anterior:

• Prioritatea din același port ACL este păstrată. Prin urmare, valorile de prioritate definite în fiecare regulă sunt tratate ca relative în cadrul ACL.

• Atunci când aplicați mai multe ACL-uri de port, regulile lor se aplică în bucketuri. Regulile din același ACL (atașate la un anumit obiect) se aplică împreună în cadrul aceluiași bucket. Precedența anumitor bucketuri depinde de obiectul la care este atașat ACL-ul portului.

• Aici, toate regulile definite în setările globale ACL (indiferent de propria lor prioritate, așa cum sunt definite în ACL-ul de port) au întotdeauna prioritate în fața regulilor definite în ACL care se aplică la vmNIC și așa mai departe. Cu alte cuvinte, separarea straturilor este impusă.
  
  

În cele din urmă, Prioritatea efectivă a regulii poate fi diferită de valoarea numerică pe care o definiți în proprietățile regulii ACL de port. Mai multe informații despre cum este impus acest comportament și cum îi puteți modifica logica.

1. Ordinea în care trei niveluri "specifice obiectului" (adică vmNIC, subrețea VM și rețeaua VM) pot fi modificate.
   
   

   1. Ordinea setărilor globale nu se poate modifica. Întotdeauna are cea mai mare prioritate (sau ordine = 0).

   2. Pentru celelalte trei niveluri, puteți seta următoarele setări la o valoare numerică între 0 și 3, unde 0 este prioritatea cea mai mare (egală cu setările globale) și 3 este prioritatea cea mai joasă:
      
      

      • PortACLVMNetworkAdapterPriority (valoarea implicită este 1)

      • PortACLVMSubnetPriority (valoarea implicită este 2)

      • PortACLVMNetworkPriority (valoarea implicită este 3)

   3. Dacă atribuiți aceeași valoare (de la 0 la 3) la aceste setări de registry multiple sau dacă atribuiți o valoare din afara intervalului de la 0 la 3, VMM nu va reveni la comportamentul implicit.

2. Modul în care se impune ordonarea este că prioritatea efectivă a regulii se modifică, astfel încât regulile ACL definite la un nivel mai înalt să primească o prioritate mai mare (adică o valoare numerică mai mică). Când se calculează ACL eficient, fiecare valoare de prioritate relativă a regulii este "denivelată" de valoarea specifică nivelului sau de "pas".

3. Valoarea specifică nivelului este "pasul" care separă niveluri diferite. În mod implicit, dimensiunea "pasului" este 10000 și este configurată de următoarea setare de registry:
   

   PortACLLayerSeparation

4. Aceasta înseamnă că, în acest mod, orice prioritate de regulă individuală din ACL (adică o regulă tratată ca relativă) nu poate depăși valoarea următoarei setări:
   

   PortACLLayerSeparation(implicit, 10000)

Prioritate relativă

Pentru a activa acest mod, setați proprietatea PortACLAbsolutePriority din registry la valoarea 1.

În acest mod, următoarele principii se aplică în plus față de conceptele de bază descrise anterior:

• Dacă un obiect se încadrează în domeniul mai multor ACL-uri (de exemplu, rețea VM și subrețea VM), toate regulile definite în toate ACL-urile atașate se aplică în ordine unificată (sau ca un singur bucket). Nu există nici o separare de nivel și nici un fel de "bumping".

• Toate prioritățile regulilor sunt tratate ca absolute, exact așa cum sunt definite în fiecare prioritate de regulă. Cu alte cuvinte, prioritatea efectivă pentru fiecare regulă este aceeași cu ceea ce este definit în regula propriu-zisă și nu este modificată de motorul VMM înainte de a fi aplicată.

• Toate celelalte setări de registry descrise în secțiunea anterioară nu au niciun efect.

• În acest mod, orice prioritate de regulă individuală dintr-un ACL (adică o prioritate de regulă tratată ca absolută) nu poate depăși 65535.