Поддержка развертывания списков ACL расширенных портов Hyper-V в System Center VMM 2012 R2 с накопительным пакетом обновления 8

Определение новых списков ACL портов и их правил ACL портов

Теперь вы можете создавать списки ACL и их правила ACL непосредственно из VMM с помощью командлетов PowerShell.

Создание нового списка управления доступом

Добавлены следующие новые командлеты PowerShell:

New-SCPortACL –Name <string> [–Description <string>]

–Name: Name of the port ACL

–Description: Description of the port ACL (optional parameter)

Get-SCPortACL

retrieves all the port ACCl

–Name: Optionally filter by name

–ID: Optionally filter by ID

Sample commands

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Добавленные командлеты PowerShell

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Исходящие> -Action <разрешить | Запретить> -Priority <uint16> -Protocol <Tcp | Udp | Любая> [-SourceAddressPrefix <: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Любая>] [-DestinationAddressPrefix <строка: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Любой>]

Get-SCPortACLrule

извлекает все правила ACL портов.

• Имя: при необходимости фильтрация по имени

• Идентификатор: при необходимости фильтрация по идентификатору

• PortACL: при необходимости фильтрация по ACL портов

Примеры команд

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Присоединение и отключение списков ACL портов

Списки ACL можно подключить к следующим:

• Глобальные параметры (применяются ко всем сетевым адаптерам виртуальной машины. Это могут сделать только полные администраторы.)

• Сеть виртуальных машин (это могут сделать полные администраторы, администраторы клиентов и SSU).)

• Подсеть виртуальной машины (это могут сделать полные администраторы, администраторы клиентов и SSU).)

• Виртуальные сетевые адаптеры (это могут сделать полные администраторы, администраторы клиентов и SSU).)

Глобальные параметры

Эти правила ACL портов применяются ко всем виртуальным сетевым адаптерам виртуальных машин в инфраструктуре.

Существующие командлеты PowerShell были обновлены с помощью новых параметров для подключения и отсоединения списков ACL портов.

Set-SCVMMServer – VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: новый необязательный параметр, который настраивает указанный ACL порта для глобальных параметров.

• RemovePortACL: новый необязательный параметр, который удаляет все настроенные ACL портов из глобальных параметров.

Get-SCVMMServer: возвращает настроенный ACL порта в возвращенном объекте.

Примеры команд

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Сеть виртуальных машин

Эти правила будут применяться ко всем виртуальным сетевым адаптерам виртуальных машин, подключенным к этой сети виртуальных машин.

Существующие командлеты PowerShell были обновлены с помощью новых параметров для подключения и отсоединения списков ACL портов.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [остальные параметры]

-PortACL: новый необязательный параметр, который позволяет указать ACL порта для сети виртуальных машин во время создания.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [остальные параметры]

-PortACL: новый необязательный параметр, позволяющий задать ACL порта для сети виртуальных машин.

-RemovePortACL: новый необязательный параметр, который удаляет все настроенные ACL портов из сети виртуальной машины.

Get-SCVMNetwork: возвращает настроенный ACL порта в возвращенном объекте.

Примеры команд

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Подсеть виртуальной машины

Эти правила будут применяться ко всем виртуальным сетевым адаптерам виртуальных машин, подключенным к этой подсети виртуальной машины.

Существующие командлеты PowerShell были обновлены с помощью нового параметра для подключения и отсоединения списков ACL портов.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [остальные параметры]

-PortACL: новый необязательный параметр, позволяющий указать ACL порта для подсети виртуальной машины во время создания.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [остальные параметры]

-PortACL: новый необязательный параметр, позволяющий задать ACL порта для подсети виртуальной машины.

-RemovePortACL: новый необязательный параметр, который удаляет все настроенные ACL портов из подсети виртуальной машины.

Get-SCVMSubnet: возвращает настроенный ACL порта в возвращенном объекте.

Примеры команд

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Виртуальный сетевой адаптер виртуальной машины (vmNIC)

Существующие командлеты PowerShell были обновлены с помощью новых параметров для подключения и отсоединения списков ACL портов.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [остальные параметры]

-PortACL: новый необязательный параметр, который позволяет указать ACL порта для адаптера виртуальной сети при создании нового виртуального сетевого адаптера.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [остальные параметры]

-PortACL: новый необязательный параметр, позволяющий задать ACL порта для виртуального сетевого адаптера.

-RemovePortACL: новый необязательный параметр, который удаляет все настроенные ACL портов из виртуального сетевого адаптера.

Get-SCVirtualNetworkAdapter: возвращает настроенный ACL порта в возвращенном объекте.

Примеры команд

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Применение правил ACL портов

При обновлении виртуальных машин после подключения списков ACL портов вы заметите, что состояние виртуальных машин отображается как "Не соответствует" в представлении виртуальной машины рабочей области Fabric. (Чтобы переключиться в представление виртуальной машины, сначала необходимо перейти к узлу логических сетей или узлу логических коммутаторов рабочей области Fabric. Имейте в виду, что обновление виртуальной машины происходит автоматически в фоновом режиме (по расписанию). Таким образом, даже если вы не обновите виртуальные машины явным образом, в конечном итоге они будут переходить в несоответствующее состояние.



на этом этапе списки ACL портов еще не применены к виртуальным машинам и соответствующим виртуальным сетевым адаптерам. Чтобы применить списки ACL портов, необходимо активировать процесс, известный как исправление. Это никогда не происходит автоматически и должно быть запущено явным образом по запросу пользователя.

Чтобы начать исправление, нажмите кнопку "Исправить " на ленте или запустите Repair-SCVirtualNetworkAdapter командлета. Конкретные изменения синтаксиса командлетов для этой функции отсутствуют.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Исправление этих виртуальных машин помечет их как соответствующие требованиям и гарантирует применение расширенных списков ACL портов. Имейте в виду, что списки ACL портов не будут применяться к виртуальным машинам в области, пока вы не исправите их явным образом.

Просмотр правил ACL портов

Чтобы просмотреть списки ACL и правила ACL, можно использовать следующие командлеты PowerShell.

Обновление правил ACL портов

При обновлении ACL, подключенного к сетевым адаптерам, изменения отражаются во всех экземплярах сетевых адаптеров, использующих этот список ACL. Для ACL, подключенного к подсети виртуальной машины или сети виртуальных машин, все экземпляры сетевых адаптеров, подключенные к этой подсети, обновляются с учетом изменений.

Обратите внимание, что обновление правил ACL для отдельных сетевых адаптеров выполняется параллельно в схеме с одним действием. Адаптеры, которые невозможно обновить по какой-либо причине, помечаются как "несоответствующие требованиям безопасности", и задача завершается сообщением об ошибке, в котором говорится, что сетевые адаптеры не были успешно обновлены. "Несоответствующие требованиям безопасности" здесь относятся к несоответствию ожидаемых и фактических правил ACL. Адаптер будет иметь состояние соответствия "Не соответствует" вместе с соответствующими сообщениями об ошибках. Дополнительные сведения об исправлении несоответствующих виртуальных машин см. в предыдущем разделе.

Удаление списков ACL портов и правил ACL портов

Список ACL можно удалить только в том случае, если к ней не подключены зависимости. К зависимостям относятся сеть виртуальной машины, подсеть виртуальной машины, виртуальный сетевой адаптер или глобальные параметры, подключенные к ACL. При попытке удалить ACL портов с помощью командлета PowerShell командлет определит, подключен ли ACL порта к какой-либо из зависимостей, и выдаст соответствующие сообщения об ошибках.

Удаление списков ACL портов

Добавлены новые командлеты PowerShell:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Удаление правил ACL портов

Добавлены новые командлеты PowerShell:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Имейте в виду, что при удалении подсети виртуальной машины или сетевого адаптера виртуальной машины автоматически удаляется связь с этим ACL.

ACL также можно отменить связь с подсетью виртуальной машины, сетью или сетевым адаптером виртуальной машины, изменив соответствующий сетевой объект VMM. Для этого используйте командлет Set-cmdlet вместе с параметром -RemovePortACL, как описано в предыдущих разделах. В этом случае ACL портов будет отсоединяться от соответствующего сетевого объекта, но не будет удален из инфраструктуры VMM. Поэтому его можно использовать повторно позже.

Внештатные изменения правил ACL

Если мы внося изменения в правила ACL из порта виртуального коммутатора Hyper-V (с помощью собственных командлетов Hyper-V, таких как Add-VNetworkAdapterExtendedAcl), при обновлении виртуальной машины сетевой адаптер будет отображаться как "Несоответствующие требованиям безопасности". Затем сетевой адаптер можно исправить из VMM, как описано в разделе "Применение списков ACL портов". Однако исправление перезапишет все правила ACL портов, определенные за пределами VMM, на правила, ожидаемые VMM.

Основные понятия

Каждое правило ACL портов в ACL порта имеет свойство с именем Priority. Правила применяются по порядку в зависимости от их приоритета. Приоритет правил определяется следующими основными принципами:

• Чем меньше номер приоритета, тем выше приоритет. То есть, если несколько правил ACL портов противоречит друг другу, то правило с более низким приоритетом имеет приоритет.

• Действие правила не влияет на приоритет. То есть в отличие от списков ACL NTFS (например, здесь у нас нет такой концепции, как "Запрет всегда имеет приоритет над разрешением").

• С одинаковым приоритетом (одно и то же числовое значение) нельзя иметь два правила с одинаковым направлением. Такое поведение предотвращает гипотетическую ситуацию, в которой можно определить правила "Запретить" и "Разрешить" с одинаковым приоритетом, так как это приведет к неоднозначности или конфликту.

• Конфликт определяется как два или более правил с одинаковым приоритетом и одинаковым направлением. Конфликт может возникнуть при наличии двух правил ACL портов с одинаковым приоритетом и направлением в двух списках ACL, которые применяются на разных уровнях, и если эти уровни частично перекрываются. То есть может быть объект (например, vmNIC), который попадает в область обоих уровней. Распространенным примером перекрытия является сеть виртуальной машины и подсеть виртуальной машины в той же сети.

Применение нескольких списков ACL портов к одной сущности 

Так как списки ACL портов могут применяться к разным сетевым объектам VMM (или на разных уровнях, как описано выше), один виртуальный сетевой адаптер виртуальной машины (vmNIC) может действовать в области действия нескольких списков ACL портов. В этом сценарии применяются правила ACL портов из всех списков ACL портов. Однако приоритет этих правил может отличаться в зависимости от нескольких новых параметров точной настройки VMM, упомянутых далее в этой статье.

Параметры реестра

Эти параметры определяются как значения Dword в реестре Windows в следующем разделе на сервере управления VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Параметры
Имейте в виду, что все эти параметры будут влиять на поведение списков ACL портов во всей инфраструктуре VMM.

Приоритет действующего правила ACL порта

В этом обсуждении мы опишем фактическую очередность правил ACL портов, когда несколько списков ACL портов применяются к одной сущности в качестве приоритета действующего правила. Имейте в виду, что в VMM нет отдельного параметра или объекта для определения или просмотра приоритета действующего правила. Он вычисляется в среде выполнения.

Существует два глобальных режима, в которых можно вычислить приоритет действующего правила. Режимы переключаются параметром реестра:

PortACLAbsolutePriority
Допустимые значения для этого параметра : 0 (ноль) или 1, где 0 указывает поведение по умолчанию.

Относительный приоритет (поведение по умолчанию)

Чтобы включить этот режим, задайте для свойства PortACLAbsolutePriority в реестре значение 0 (ноль). Этот режим также применяется, если параметр не определен в реестре (то есть, если свойство не создано).

В этом режиме в дополнение к основным понятиям, описанным ранее, применяются следующие принципы:

• Приоритет в том же списке ACL портов сохраняется. Таким образом, значения приоритета, определенные в каждом правиле, обрабатываются как относительные в ACL.

• При применении нескольких списков ACL портов их правила применяются в контейнерах. Правила из того же списка ACL (присоединенные к заданному объекту) применяются вместе в одном контейнере. Приоритет определенных контейнеров зависит от объекта, к которому присоединен ACL порта.

• Здесь все правила, определенные в списке ACL глобальных параметров (независимо от их приоритета, как определено в ACL портов), всегда имеют приоритет над правилами, определенными в списке ACL, который применяется к vmNIC, и т. д. Иными словами, разделение слоев применяется принудительно.
  
  

В конечном счете приоритет действующего правила может отличаться от числового значения, определенного в свойствах правила ACL порта. Дополнительные сведения о том, как это поведение применяется и как можно изменить его логику, см. ниже.

1. Порядок, в котором приоритет имеет три уровня для конкретного объекта (т. е. vmNIC, подсеть виртуальной машины и сеть виртуальных машин), можно изменить.
   
   

   1. Порядок глобальных параметров изменить нельзя. Он всегда имеет наивысший приоритет (или порядок = 0).

   2. Для остальных трех уровней можно задать для следующих параметров числовое значение в диапазоне от 0 до 3, где 0 является наивысшим приоритетом (равным глобальным параметрам), а 3 — наименьшим приоритетом:
      
      

      • PortACLVMNetworkAdapterPriority (значение по умолчанию — 1)

      • PortACLVMSubnetPriority (значение по умолчанию — 2)

      • PortACLVMNetworkPriority (значение по умолчанию — 3)

   3. Если присвоить одно и то же значение (от 0 до 3) этим параметрам реестра или присвоить значение за пределами диапазона от 0 до 3, VMM выполнит восстановление размещения по умолчанию.

2. При принудительном упорядочении приоритет действующего правила меняется таким образом, что правила ACL, определенные на более высоком уровне, получают более высокий приоритет (т. е. меньшее числовое значение). При вычислении эффективного списка управления доступом каждое относительное значение приоритета правила "обрезается" значением уровня или "шагом".

3. Значение уровня — это "шаг", который разделяет разные уровни. По умолчанию размер шага — 10 000 и настраивается с помощью следующего параметра реестра:
   

   PortACLLayerSeparation

4. Это означает, что в этом режиме любой приоритет отдельного правила в ACL (то есть правило, которое рассматривается как относительное) не может превышать значение следующего параметра:
   

   PortACLLayerSeparation(по умолчанию 10000)

Относительный приоритет

Чтобы включить этот режим, задайте для свойства PortACLAbsolutePriority в реестре значение 1.

В этом режиме в дополнение к основным понятиям, описанным выше, применяются следующие принципы:

• Если объект попадает в область действия нескольких списков ACL (например, сеть виртуальной машины и подсеть виртуальной машины), все правила, определенные во всех присоединенных списках ACL, применяются в едином порядке (или в виде одного контейнера). Разделение на уровне не выполняется, а "сбой" не выполняется.

• Все приоритеты правил рассматриваются как абсолютные, точно так же, как они определены в каждом приоритете правила. Другими словами, фактический приоритет для каждого правила совпадает с тем, что определено в самом правиле, и не меняется подсистемой VMM до его применения.

• Все остальные параметры реестра, описанные в предыдущем разделе, не влияют.

• В этом режиме любой приоритет отдельного правила в списке управления доступом (то есть приоритет правила, который рассматривается как абсолютный) не может превышать 65535.