Trenutno ste van mreže; čekamo da se ponovo povežete na internet

Podpora pre zavedenie technológie Hyper-V rozšírenej portu ACL v System Center 2012 R2 VMM 8 kumulatívnej aktualizácie

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3101161
Súhrn
Správcovia z Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) môžete centrálne vytvárať a spravovať Hyper-V portu zoznamov prístupových (práv ACL) v VMM.
Ďalšie informácie
Ďalšie informácie o Update Rollup 8 pre System Center 2012 R2 Virtual Machine Manager, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

3096389 8 Kumulatívna aktualizácia pre System Center 2012 R2 Virtual Machine Manager

Slovník

Sme sa zlepšila objektového modelu Virtual Machine Manager pridaním nasledujúce nové pojmy riadenia siete.
  • Port zoznam prístupových práv (port ACL)
    Objekt, ktorý je pripojený k rôzne siete základných VMM opísať zabezpečenia siete. Port ACL slúži ako súbor alebo položky prístupových práv ACL pravidlá. ACL môže byť pripojená na ľubovoľný počet (alebo viacerých) VMM siete základných VM siete, VM podsiete, virtuálny sieťový adaptér alebo VMM management server. ACL môže obsahovať ľubovoľný počet (alebo viacerých) ACL pravidlá. Každý kompatibilný VMM siete primitive (VM siete, VM podsiete, virtuálny sieťový adaptér alebo VMM server správy) môže mať jeden port ACL pripojený alebo nie.
  • Položka riadenia prístupu portu alebo ACL pravidla
    Objekt, ktorý popisuje politiku filtrovania. Viacero ACL pravidiel možno v rovnaký port ACL a použiť na ich prioritou. Každý ACL pravidlo zodpovedá presne jeden port ACL.
  • Globálne nastavenie
    Virtuálny koncept, ktorý popisuje port ACL, ktorý sa použije na všetky virtuálne sieťové adaptéry VM infraštruktúry. Neexistuje žiadny samostatný objekt typu globálne nastavenie. Namiesto toho globálne nastavenie portu ACL prikladá VMM management server. Objekt servera VMM správa môže mať jeden port ACL alebo nie.
Informácie o objekty v sieti správy, ktoré boli predtým k dispozícii nájdete Virtual Machine Manager Network Object základy.

Ako možno túto funkciu?

Pomocou PowerShell rozhranie VMM teraz môžete vykonať nasledujúce akcie:
  • Definovať ACL portu a pravidlá ich ACL.
    • Pravidiel virtuálne prepínač porty na servery Hyper-V ako "Rozšírená port ACL" (VMNetworkAdapterExtendedAcl) v terminológii Hyper-V. To znamená, že môžu použiť len na Windows Server 2012 R2 (a Hyper-V Server 2012 R2) host servery.
    • VMM vytvoriť "starších" Hyper-V Porte ACL (VMNetworkAdapterAcl). Preto nemôžete použiť port ACL Windows Server 2012 (alebo Hyper-V Server 2012) host servery pomocou VMM.
    • Všetky port ACL pravidlá definované VMM pomocou tejto funkcie sú stavové (pre TCP). Nie je možné vytvoriť bez štátnej ACL pravidlá pre TCP pomocou VMM.
    Ďalšie informácie o funkcii rozšírenej portu ACL v systéme Windows Server 2012 R2 Hyper-V téme Vytvorenie politiky zabezpečenia s rozšírené Port zoznamy Windows Server 2012 R2.
  • Pripojenie k portu ACL globálne nastavenie. Toto sa týka sa všetkých Virtuálnych virtuálne sieťové adaptéry. Je k dispozícii len úplné správcovia.
  • Pripojiť portu ACL vytvorené VM siete a podsiete VM VM virtuálne sieťové adaptéry. Toto je plný správcovia, správcovia nájomcov a samoobslužné používateľov (SSUs).
  • Zobraziť a aktualizovať portu ACL pravidiel, ktoré sú nakonfigurované na jednotlivé vNIC VM.
  • Odstránenie portu ACL a pravidlá ich ACL.
Všetky tieto akcie sú podrobnejšie ďalej v tomto článku.

Nezabudnite, že táto funkcia prezentovaný iba pomocou rutiny cmdlet prostredia PowerShell a neprejavia v konzole VMM používateľského rozhrania (okrem stav "Súlad").

Čo mám robiť s túto funkciu?

  • Správa a aktualizácia jednotlivé pravidlá pre jednu inštanciu pri ACL sa zdieľajú viaceré inštancie. Všetky pravidlá sú spravované centrálne v ich nadradené ACL a použiť vždy, keď je pripojená ACL.
  • Pripojiť viacero ACL entity.
  • Použite port ACL virtuálne sieťové adaptéry (vNICs) v Hyper-V nadradenej oblasti (správa OS).
  • Vytvorenie pravidiel portu ACL, obsahujúce protokolov IP úrovni (ako TCP alebo UDP).
  • Použite port ACL logických sietí, sieti (logickej sieti definície), podsiete VLAN a ďalších základných VMM siete, ktoré nie sú uvedené vyššie.

Používanie funkcie

Nový port ACL a ich ACL pravidlá portov

Teraz môžete vytvoriť zoznamy ACL a ich ACL pravidlá priamo z v VMM pomocou rutiny cmdlet prostredia PowerShell.

Vytvorte nový zoznam ACL

Dopĺňajú sa tieto nové rutiny cmdlet prostredia PowerShell

Nové SCPortACL -názovreťazec> [– Popisreťazec>]

-Meno: Portu ACL

– Popis: Popis port ACL (voliteľný parameter)

Get-SCPortACL

Načíta všetky portu ACL

-Meno: Filtrovanie podľa názvu

-ID: filtrovanie ID

Vzorové príkazy

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Port ACL pravidlá pre port ACL
Každý port ACL sa skladá z kolekcie pravidiel portu ACL. Každé pravidlo obsahuje iné parametre.

  • Názov
  • Popis
  • Typ: Prichádzajúce a odchádzajúce (smer, v ktorom sa použije ACL)
  • Akcia: Povoliť alebo zakázať (akcia ACL povolenie prenosov alebo blokovanie prenosu)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokol: TCP a Udp/Any (Poznámka: úrovni IP protokoly nie sú podporované v portu ACL, ktoré sú definované VMM. Sú naďalej podporované natívne Hyper-V.)
  • Priorita: 1 – 65535 (najnižší počet s najvyššou prioritou). Táto priorita sa vzťahuje vrstvy, v ktorých sa uplatňuje. (Ďalšie informácie o spôsobe ACL pravidiel na základe priority a objekt, ktorého ACL je pripojené nasledovné.)

Nové rutiny cmdlet prostredia PowerShell, ktoré boli pridané

Nové SCPortACLrule - PortACLPortACL>-Názovreťazec> [-Popis <string>]-typ <Inbound |="" outbound="">-Akcia <Allow |="" deny="">-Priority <uint16>-Protocol <Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Načíta ACL pravidlá portov.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Meno: Filtrovanie podľa názvu
  • ID: Filtrovanie ID
  • PortACL: Filtrovanie portu ACL
Vzorové príkazy

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Pripojenie a odpojenie portu ACL



Zoznamy ACL môžu byť pripojené k nasledovnému:
  • Globálne nastavenie (vzťahuje sa na všetky sieťové adaptéry VM. Iba úplné admins to.)
  • VM siete (úplné admins/nájomcu admins/SSUs to urobiť.)
  • VM podsiete (úplné admins/nájomcu admins/SSUs to urobiť.)
  • Virtuálne sieťové adaptéry (úplné admins/nájomcu admins/SSUs to urobiť.)

Globálne nastavenie

Tieto portu ACL pravidlá platia pre všetky VM virtuálne sieťové adaptéry infraštruktúry.

Existujúce rutiny cmdlet prostredia PowerShell boli aktualizované nové parametre pripojenie a odpojenie portu ACL.

Súbor SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Nový voliteľný parameter, ktorý nakonfiguruje Zadaný port ACL globálne nastavenie.
  • RemovePortACL: Nové voliteľný parameter, ktorý odstráni všetky nakonfigurovaný port ACL globálne nastavenie.
Get-SCVMMServer: vráti nakonfigurovaný port ACL vrátený objekt.

Vzorové príkazy

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM siete


Tieto pravidlá sa použijú pre všetky VM virtuálne sieťové adaptéry, ktoré sú pripojené k sieti VM.

Existujúce rutiny cmdlet prostredia PowerShell boli aktualizované nové parametre pripojenie a odpojenie portu ACL.

Nové SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [Ostatné parametre]

-PortACL: nový voliteľný parameter, ktorý umožňuje určiť port ACL VM siete počas vytvárania.

Súbor SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [Ostatné parametre]

-PortACL: nový voliteľný parameter, ktorý umožňuje nastaviť port ACL VM siete.

-RemovePortACL: nový voliteľný parameter, ktorý odstráni všetky nakonfigurovaný port ACL VM siete.

Get-SCVMNetwork: vráti nakonfigurovaný port ACL vrátený objekt.

Vzorové príkazy

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM podsiete


Tieto pravidlá sa použijú VM virtual sieťovým adaptérom pripojeným VM podsiete.

Existujúce rutiny cmdlet prostredia PowerShell aktualizovali parametrom nové pripojenie a odpojenie portu ACL.

Nové SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [Ostatné parametre]

-PortACL: nový voliteľný parameter, ktorý umožňuje určiť port ACL VM podsiete pri vytváraní.

Súbor SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [Ostatné parametre]

-PortACL: nový voliteľný parameter, ktorý umožňuje nastaviť port ACL VM podsiete.

-RemovePortACL: nový voliteľný parameter, ktorý odstráni všetky nakonfigurovaný port ACL VM podsiete.

Get-SCVMSubnet: vráti nakonfigurovaný port ACL vrátený objekt.

Vzorové príkazy

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM virtuálny sieťový adaptér (vmNIC)


Existujúce rutiny cmdlet prostredia PowerShell boli aktualizované nové parametre pripojenie a odpojenie portu ACL.

Nové SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [Ostatné parametre]

-PortACL: nový voliteľný parameter, ktorý umožňuje určiť port ACL na virtuálny sieťový adaptér, pri vytváraní novej vNIC.

Súbor SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [Ostatné parametre]

-PortACL: nový voliteľný parameter, ktorý umožňuje nastaviť port ACL virtuálny sieťový adaptér.

-RemovePortACL: nový voliteľný parameter, ktorý odstráni všetky nakonfigurovaný port ACL virtuálny sieťový adaptér.

Get-SCVirtualNetworkAdapter: vráti nakonfigurovaný port ACL vrátený objekt.

Vzorové príkazy

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Pravidiel portu ACL

Po obnovení VM po pripojení portu ACL, zistíte, že stav VM sa zobrazuje ako "Nie je kompatibilný s" virtuálnym zobrazenie štruktúry priestoru. (Prepnúť zobrazenie virtuálneho počítača, musíte najprv vyhľadajte uzol Logickej siete alebo Logickej prepínače uzol štruktúry priestoru). Nezabúdajte, že VM obnovení automaticky na pozadí (podľa plánu). Preto aj v prípade, že sa neobnovuje VM explicitne, sa prejde do stavu nekompatibilné nakoniec.



V tomto bode portu ACL majú ešte neuplatňuje VM a ich príslušné virtuálne sieťové adaptéry. Použiť port ACL, musíte spustiť proces, ktorý sa nazýva liečením. To nikdy nestane automaticky a predmete výslovne na požiadanie používateľa.

Začnite liečením buď kliknete náprava na páse s nástrojmi alebo spustením rutiny cmdlet Opravy SCVirtualNetworkAdapter . Neexistujú žiadne konkrétne zmeny cmdlet syntax tejto funkcie.

Oprava SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Prostredí rekultiváciou tieto VM označiť ako kompatibilný a uistite sa, že použité rozšírené portu ACL. Nezabúdajte, že portu ACL sa nevzťahuje na všetky VM rozsah dovtedy, kým sa ich náprava explicitne.

Zobrazenie pravidiel portu ACL

Zoznamy ACL a ACL pravidlá, môžete použiť nasledujúce rutiny cmdlet prostredia PowerShell.

Nové rutiny cmdlet prostredia PowerShell, ktoré boli pridané

Načítanie portu ACL

Parameter nastavený na 1. Všetky alebo názov: Get-SCPortACL [-názov <> </>]

Parameter nastavený 2. Získať ID: Get-SCPortACL -Id <> [-názov <> </>]

Načítanie ACL pravidlá portov

Parameter nastavený na 1. Všetky alebo názov: Get-SCPortACLrule [-názov <> </>]

Parameter nastavený 2. ID: Get-SCPortACLrule -Id <>

Parameter nastavený 3. Objekt ACL: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Aktualizácia portu ACL pravidiel

Pri aktualizácii zoznamu ACL, ktorý je pripojený k sieťovému adaptéru, zmeny sa prejavia vo všetkých prípadoch adaptér siete, používajúce tento zoznam ACL. Pre ACL, ktorý je pripojený k VM podsieti alebo sieti VM, všetky inštancie adaptér siete, pripojené k danej podsieti aktualizované zmenami.

Poznámka: Aktualizácia ACL pravidlá pre jednotlivé sieťové adaptéry sa vykonáva v systéme jeden skúsiť najlepšie úsilie. Adaptéry, ktoré nie je možné aktualizovať z nejakého dôvodu sú označené ako "zabezpečenie nespĺňa kritériá" a úloha končí chybové hlásenie, ktoré informuje, že sieťové adaptéry neaktualizovali úspešne. "Zabezpečenie nespĺňa kritériá" tu odkazuje na nesúlad v očakávaní verzus skutočný ACL pravidlá. Adaptér bude mať stavu súladu "Nie je kompatibilný s" spolu s príslušnými chybové hlásenia. Predchádzajúce časti Ďalšie informácie o prostredí rekultiváciou nekompatibilné Virtuálne počítače.
Nové cmdlet prostredia PowerShell pridané
Súbor SCPortACL - PortACLPortACL> [-MenoNázov&gt;] [-Popis <>n >]

Súbor SCPortACLrule - PortACLrulePortACLrule> [-Menonázov&gt;] [-Popisreťazec&gt;] [-TypePortACLRuleDirection> {Prichádzajúce | Výstupný}] [-akciePortACLRuleAction> {Povoliť | Zakázať}] [-SourceAddressPrefixreťazec&gt;] [-SourcePortRangereťazec&gt;] [-DestinationAddressPrefixreťazec&gt;] [-DestinationPortRangereťazec&gt;] [-ProtokolPortACLruleProtocol> {Tcp | UDP | Všetky}]

Set SCPortACL: zmeny Popis ACL portu.
  • Popis: Aktualizácie Popis.

Set SCPortACLrule: zmeny pravidla parametre portu ACL.
  • Popis: Aktualizácie Popis.
  • Typ: Aktualizuje smer, v ktorom je použitá ACL.
  • Akcia: Aktualizácie akciu ACL.
  • Protokol: Aktualizácia protokolu, ktorým sa použije ACL.
  • Priorita: Aktualizácia prioritou.
  • SourceAddressPrefix: Aktualizuje predponu adresy zdroja.
  • SourcePortRange: Aktualizuje zdrojový rozsah portov.
  • DestinationAddressPrefix: Aktualizuje umiestnenie predpony adresy.
  • DestinationPortRange: Aktualizácie rozsah cieľového portu.

Odstránenie portu ACL a ACL pravidlá portov

ACL, je možné odstrániť len v prípade, že neexistujú žiadne závislosti s ňou. Závislosti patria VM siete/VM podsiete a virtuálne sieťový adaptér/globálne nastavenie pripojené k ACL. Pri pokuse o odstránenie portu ACL pomocou rutiny cmdlet prostredia PowerShell cmdlet zistí, či port ACL je pripojený na žiadne závislosti a príslušné chybové hlásenia sa bude hodiť.

Odstránenie portu ACL

Boli pridané nové rutiny cmdlet prostredia PowerShell:

Odstrániť SCPortACL - PortACLNetworkAccessControlList>

Odstránenie portu ACL pravidiel

Boli pridané nové rutiny cmdlet prostredia PowerShell:

Odstrániť SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Nezabúdajte, že odstránenie VM podsiete a VM siete/sieťový adaptér automaticky zruší priradenie tejto ACL.

ACL môže byť aj priradenia VM podsiete a VM siete alebo sieťový adaptér zmenou príslušný objekt VMM siete. Na rutiny cmdlet Set- spolu s prepínačom - RemovePortACL opísané v predchádzajúcich častiach. V takom prípade port ACL bude odpojený od siete objekt, ale sa neodstránia z VMM infraštruktúra. Preto sa môže znovu použiť neskôr.

Zmeny sa zo skupiny ACL pravidiel

Ak robíme out of band (OOB) zmeny pravidiel ACL z Hyper-V virtuálnych prepínač port (pomocou natívne rutiny cmdlet Hyper-V ako Pridať VMNetworkAdapterExtendedAcl), VM obnoviť zobrazí sieťový adaptér ako "Zabezpečenie Incompliant." Podľa pokynov v časti "Použitie portu ACL", môže byť sanácie z VMM potom sieťový adaptér. Však liečením prepíše portu ACL pravidlá definované mimo VMM s tými, ktoré sa očakáva VMM.

Port ACL pravidla priority a aplikácie priorita (rozšírené)

Základné princípy

Každý port ACL pravidla portu ACL má vlastnosť s názvom "Prioritu." Pravidiel v poradí podľa ich priority. Tieto základné princípy definovať pravidlá priority:
  • Nižšiu prioritu číslo je vyššiu prioritu. Čiže, ak viacero portov ACL pravidlá v rozpore s navzájom, pravidlo s nižšou prioritou výhier.
  • Pravidlo neovplyvňuje priorita. To je na rozdiel od NTFS ACL (napríklad) tu nemáme koncept ako "Zakázať vždy prednosť povoliť".
  • Na základe priority (rovnaké číselnú hodnotu), nemôžete mať dve pravidlá s rovnakým smerom. Toto správanie zabraňuje hypotetickú situáciu, kedy jeden definovať "Zakázať" a "Povoliť" s rovnakou prioritou, pretože výsledkom by nejasnostiam alebo konflikt.
  • Konflikt je definovaná ako dve alebo viaceré pravidlá, ktoré majú rovnakú prioritu a smerom. Konflikt môžu nastať, ak existujú dve pravidlá portov ACL s rovnakou prioritou a v dvoch ACL, použitými na rôzne úrovne a úrovňou čiastočne prekrývajú. To je pravdepodobne objekt (napríklad vmNIC), ktorá sa vzťahuje na obe úrovne. Bežným príkladom prekrývajúce sa VM siete a podsiete VM v rovnakej sieti.

Používanie viacerých portu ACL subjektu

Keďže portu ACL, môžete použiť iný VMM siete objekty (alebo na rôzne úrovne, ako je popísané vyššie), jednej VM virtuálny sieťový adaptér (vmNIC) môže patriť do rozsahu viacero portov ACL. V tomto prípade portu ACL zo všetkých portov ACL pravidiel. Priorita pravidiel môže však líšiť v závislosti od niekoľko nových VMM dolaďovanie nastavenia, ktoré sú uvedené v tomto článku.

Nastavenia databázy Registry

Tieto nastavenia sú definované hodnoty Dword v databáze Registry systému Windows pod nasledovným kľúčom na serveri VMM správy:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Nezabudnite, že tieto nastavenia ovplyvní správanie portu ACL cez celé infraštruktúry VMM.

Efektívne portu ACL pravidla priority

V týchto budeme popisovať skutočné priorita pravidiel portu ACL pri viacerých portu ACL subjektu ako platné pravidla Priority. Uvedomte si, či nie je samostatné nastavenie alebo objekt VMM definovať alebo zobraziť platné pravidla Priority. Vypočíta sa v režime runtime.

Existujú dva globálne režimy, akým možno vypočítať platné pravidla Priority. Režimy sú zapnuté nastavenie databázy registry:
PortACLAbsolutePriority

Prijateľné hodnoty pre toto nastavenie je 0 (nula) alebo 1, kde 0 znamená predvolené správanie.

Relatívnu prioritu (predvolené správanie)

Zapnutie tohto režimu, nastavte vlastnosť PortACLAbsolutePriority v databáze registry na hodnotu 0 (nula). Tento režim platí, ak nastavenie nie je definovaný v databáze registry (ak nie je vytvorený vlastnosť).

V tomto režime okrem základné pojmy, ktoré boli popísané vyššie platia tieto zásady:
  • Zachováva prioritu do toho istého portu ACL. Preto sa považujú priorita hodnôt, ktoré sú definované v každom pravidlo ako relatívna v ACL.
  • Pri použití viacerých portu ACL, ich pravidiel do segmentov. Rovnaké ACL (pripojené na daný objekt) pravidiel spolu do rovnakého sektora. Priorita najmä segmentov závisí od objektu, ku ktorému je pripojená port ACL.
  • Tu žiadne pravidlá definované definovať ACL (bez ohľadu na svoje vlastné priority definované v port ACL) vždy prednosť pravidlá definované ACL, ktorý sa použije na vmNIC atď. Inými slovami, uplatní vrstvy oddelenie.

Nakoniec platné pravidla Priority sa môže líšiť od číselnú hodnotu zadaných vo vlastnostiach pravidlo portu ACL. Ďalšie informácie o ako uplatní toto správanie a ako zmeniť jeho logika takto.

  1. Je možné zmeniť poradie prednosť tri stupne "objekt špecifické" (t. j. vmNIC VM podsiete a VM siete).

    1. Nie je možné zmeniť poradie globálne nastavenie. Vždy to najvyššej (alebo = 0).
    2. Tri úrovne, môžete nastaviť nasledujúce nastavenia číselnú hodnotu 0 až 3, kde 0 je najvyššou prioritou (rovná globálne nastavenie) a 3 najnižšiu:
      • PortACLVMNetworkAdapterPriority
        (predvolená je 1)
      • PortACLVMSubnetPriority
        (predvolená hodnota je 2)
      • PortACLVMNetworkPriority
        (predvolená hodnota je 3)
    3. Ak tieto viaceré nastavenia databázy registry rovnakú hodnotu (0 až 3), alebo ak hodnota mimo rozsahu 0 až 3, VMM zlyhá na predvolené správanie.
  2. Tak, že usporiadanie uplatní je, že platné pravidla Priority zmení tak, že ACL pravidiel, ktoré sú definované na vyššej úrovni získať vyššiu prioritu (t. j. menší číselnú hodnotu). Pri je platné ACL, každá hodnota priority relatívna pravidlo je "narazil" úroveň špecifické hodnoty alebo "krok."
  3. Úroveň špecifické hodnota je "krok", ktorá rôzne úrovne. Na základe predvoleného nastavenia veľkosti "krok" 10000 a konfigurácie nasledovné nastavenie databázy registry:
    PortACLLayerSeparation
  4. To znamená, že v tomto režime nesmie jednotlivých pravidlo prednosť do zoznamu ACL (t. j. pravidlo, ktoré sa spracuje ako relatívna) hodnota nasledujúce nastavenia:
    PortACLLayerSeparation
    (predvolene 10000)
Príklad konfigurácie
Predstavte si, že predvolené hodnoty všetkých nastavení. (Tieto sú popísané vyššie.)
  1. Máme ACL, ktorý je pripojený k vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Efektívne prioritou všetkých pravidiel, ktoré sú definované v tomto ACL je narazila od 10000 (PortACLLayerSeparation hodnota).
  3. Sme definovanie pravidla do tejto ACL, ktorý má prioritu, ktorá je nastavená na 100.
  4. Efektívne prioritu pravidla bude 10000 + 100 = 10100.
  5. Pravidlo prednosť ďalšie pravidlá v rámci rovnakej ACL, ktorého prioritou je väčšia ako 100.
  6. Pravidlo bude mať prednosť pred pravidlá, definované ACL, pripojené na VM siete a podsiete úrovni VM. (To je splnená, pretože tie sú považované za "nižšími").
  7. Pravidlo sa nikdy prednosť pravidlá, definované definovať ACL.
Výhody tohto spôsobu
  • Nie je lepšie zabezpečenie v prípadoch viacerých nájomníkov, pretože port ACL pravidiel, ktoré sú definované v Fabric admin (úroveň globálneho nastavenia) vždy prednosť všetky pravidlá, ktoré sú definované nájomníkov, sami.
  • Všetky konflikty pravidlo portu ACL (t. j. nejasnostiam) sa nespustí automaticky kvôli vrstvy oddelenie. Je veľmi ľahké predpovedať pravidiel bude účinná a prečo.
Upozornenia v tomto režime
  • Menej flexibility. Ak definujete pravidlo (napríklad "zakázať všetky prevádzky na port 80") globálneho nastavenia, môžete vytvoriť nikdy podrobnejšie výnimky z tohto pravidla na spodnú vrstvu (napríklad "povoliť port 80 len na tento VM spustený legitímne webový server").

Relatívna prioritou

Zapnutie tohto režimu, nastavte vlastnosť PortACLAbsolutePriority v databáze registry na hodnotu 1.

V tomto režime okrem základné pojmy, ktoré sú popísané vyššie platia tieto zásady:
  • Ak objekt vzťahuje viacero ACL (napríklad VM siete a podsiete VM), všetky definované žiadne pripojené ACL pravidiel v poradí združeného (alebo jedného sektora). Neexistuje žiadne úrovni oddelenia a žiadne "narážali" vôbec.
  • Všetky priority pravidla sa považujú za absolútne, presne tak, ako sú definované v každej pravidla priority. Inými slovami, platné priorita pre každé pravidlo sa rovná čo je definované v pravidle sám a nezmení nástroja VMM, než sa použije.
  • Všetky ostatné nastavenia databázy registry, popísaných v predchádzajúcej časti nemá žiadny vplyv.
  • V tomto režime prednosť samostatné pravidlo v zozname ACL (t. j. pravidlo prioritou, aby sa spracováva ako absolútny) nesmie presiahnuť hodnotu 65535.
Príklad konfigurácie
  1. Definovať ACL, definujete pravidlo, ktorého prioritou je nastavená na 100.
  2. V zoznam ACL, ktorý je pripojený k vmNIC definujete pravidlo, ktorého prioritou je nastavený na 50.
  3. Pravidlo, ktoré je definované na úrovni vmNIC prednosť, pretože má vyššiu prioritu (t. j. nižšiu číselnú hodnotu).
Výhody tohto spôsobu
  • Viac flexibility. Môžete vytvoriť "jednorazové" výnimky z pravidiel globálne nastavenie na nižšiu úroveň (napríklad VM podsieti alebo vmNIC).
Upozornenia v tomto režime
  • Plánovanie môže byť zložitejšie, neexistuje žiadna úroveň oddelenia. A možno pravidlo na úrovni, ktorá prepíše ďalších pravidiel, ktoré sú definované ďalšími objektmi.
  • V prostredí viacerých nájomníkov zabezpečenia môže byť ovplyvnená, pretože nájomcu môžete vytvoriť pravidlo na úrovni VM podsiete, ktorá prepíše uvedenej štruktúry admin úrovni globálne nastavenie politiky.
  • Pravidlo konflikty (t. j. nejasnostiam) nie sú vylúčené automaticky a môže nastať. VMM zabrániť konfliktom iba na rovnakej úrovni ACL. To nie je možné predchádzať konfliktom cez ACL, pripojené k rôznych objektov. V prípade konfliktu, pretože VMM nemôže vyriešiť konflikt automaticky sa zastaví pravidiel a bude hodiť chybu.

Upozornenie: Tento článok bol preložený automaticky.

Svojstva

ID članka: 3101161 - Poslednji pregled: 10/30/2015 09:25:00 - Verzija: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtsk
Povratne informacije