Podpora nasadenia rozšírených ACL portov Hyper-V v systéme System Center 2012 R2 VMM s súhrnnou aktualizáciou 8

Definovanie nových zoznamov ACL portov a ich pravidiel ACL portu

Teraz môžete vytvárať zoznamy ACL a ich pravidlá ACL priamo z VMM pomocou rutín typu cmdlet prostredia PowerShell.

Vytvorenie nového ACL

Pridajú sa tieto nové rutiny typu cmdlet prostredia PowerShell:

New-SCPortACL – názov <reťazec> [–Popis <reťazec>]

– názov: Názov portu ACL

– Popis: Popis portu ACL (voliteľný parameter)

Get-SCPortACL

načíta všetky zoznamy ACL

portu – názov: Voliteľne filtrovať podľa názvu

–ID: Voliteľne filtrovať podľa vzorových príkazov ID

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Nové rutiny typu cmdlet prostredia PowerShell, ktoré sa pridajú

New-SCPortACLrule -PortACL <PortACL> - názov reťazca <> [-Popis <reťazec>] – typ <prichádzajúcej | Odchádzajúce> – akcia <Povoliť | Deny> -Priority <uint16> -Protocol <Tcp | | Udp Ľubovoľný reťazec> [-SourceAddressPrefix <string: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Ľubovoľný reťazec>] [-DestinationAddressPrefix <string: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Všetky>]

Get-SCPortACLrule

Načíta všetky pravidlá ACL portu.

• Názov: Voliteľne filtrovať podľa názvu

• IDENTIFIKÁCIA: Voliteľne filtrovať podľa ID

• PortACL: Voliteľne filtrovať podľa portu ACL

Vzorové príkazy

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Pripájanie a odpájanie ACL portov

Zoznamy ACL je možné pripojiť k týmto:

• Globálne nastavenia (vzťahuje sa na všetky sieťové adaptéry virtuálneho počítača. Môžu to urobiť iba úplní správcovia.)

• Sieť virtuálnych počítačov (môžu to urobiť úplní správcovia/správcovia nájomníkov/SSU.)

• Podsieť virtuálneho počítaču (môžu to urobiť úplní správcovia/správcovia nájomníkov/SSU.)

• Virtuálne sieťové adaptéry (môžu to urobiť úplní správcovia/správcovia nájomníkov/SSU.)

Globálne nastavenia

Tieto pravidlá ACL portu sa vzťahujú na všetky virtuálne sieťové adaptéry virtuálneho počítača v infraštruktúre.

Existujúce rutiny typu cmdlet prostredia PowerShell sa aktualizovali novými parametrami na pripojenie a odpojenie ACL portu.

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: Nový voliteľný parameter, ktorý konfiguruje zadaný port ACL na globálne nastavenia.

• RemovePortACL: Nový voliteľný parameter, ktorý odstráni všetky nakonfigurované ACL portu z globálnych nastavení.

Get-SCVMMServer: Vráti nakonfigurovaný port ACL vo vrátenom objekte.

Vzorové príkazy

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Sieť virtuálneho počítaču

Tieto pravidlá sa použijú na všetky virtuálne sieťové adaptéry virtuálneho počítača pripojené k tejto sieti virtuálnych počítačov.

Existujúce rutiny typu cmdlet prostredia PowerShell sa aktualizovali novými parametrami na pripojenie a odpojenie ACL portu.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [zvyšok parametrov]

– PortACL: Nový voliteľný parameter, ktorý umožňuje zadať rozhranie ACL portu do VM siete počas vytvárania.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [zvyšok parametrov]

- PortACL: Nový voliteľný parameter, ktorý umožňuje nastaviť ACL portu do siete virtuálneho virtuálneho servera.

-RemovePortACL: Nový voliteľný parameter, ktorý odstráni všetky nakonfigurované port ACL z virtuálneho servera.

Get-SCVMNetwork: Vráti nakonfigurovaný port ACL vo vrátenom objekte.

Vzorové príkazy

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Podsieť virtuálneho počítaču

Tieto pravidlá sa použijú na všetky virtuálne sieťové adaptéry virtuálneho počítača pripojené k tejto podsieti virtuálneho počítača.

Existujúce rutiny typu cmdlet prostredia PowerShell sa aktualizovali novým parametrom na pripojenie a odpojenie ACL portu.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [zvyšok parametrov]

- PortACL: Nový voliteľný parameter, ktorý umožňuje zadať port ACL do podsiete VM počas vytvárania.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [zvyšok parametrov]

- PortACL: Nový voliteľný parameter, ktorý umožňuje nastaviť zoznam ACL portu na podsieť VM.

-RemovePortACL: Nový voliteľný parameter, ktorý odstráni všetky nakonfigurované port ACL z podsiete VM.

Get-SCVMSubnet: Vráti nakonfigurovaný port ACL vo vrátenom objekte.

Vzorové príkazy

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Virtuálny sieťový adaptér (vmNIC)

Existujúce rutiny typu cmdlet prostredia PowerShell sa aktualizovali novými parametrami na pripojenie a odpojenie ACL portu.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [zvyšok parametrov]

- PortACL: Nový voliteľný parameter, ktorý umožňuje zadať port ACL k virtuálnemu sieťovému adaptéru pri vytváraní nového vNIC.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [zvyšok parametrov]

– PortACL: Nový voliteľný parameter, ktorý umožňuje nastaviť zoznam ACL portu na virtuálny sieťový adaptér.

-RemovePortACL: Nový voliteľný parameter, ktorý odstráni všetky nakonfigurované port ACL z virtuálneho sieťového adaptéra.

Get-SCVirtualNetworkAdapter: Vráti nakonfigurovaný port ACL vo vrátenom objekte.

Vzorové príkazy

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Použitie pravidiel ACL portu

Keď obnovíte virtuálne počítače po pripojení ACL portu, všimnete si, že stav virtuálnych počítačov sa zobrazí ako "Nie je kompatibilný" v zobrazení virtuálneho počítača pracovného priestoru Fabric. (Ak chcete prepnúť na zobrazenie virtuálneho počítača, musíte najskôr prejsť na uzol Logické siete alebo logický prepínač pracovného priestoru Fabric. Majte na pamäti, že obnovenie virtuálneho počítaču sa automaticky vykonáva na pozadí (podľa plánu). Preto aj v prípade, že virtuálne počítače neobnovíte explicitne, časom sa prejdú do nekomplikantnej úložnej verzie.



V tomto bode sa ACL portu ešte nepoužili na virtuálne počítače a príslušné adaptéry virtuálnej siete. Ak chcete použiť zoznamy ACL portov, musíte spustiť proces, ktorý sa nazýva náprava. Nikdy sa to nestane automaticky a malo by sa to spúšťať explicitne na základe žiadosti používateľa.

Ak chcete spustiť nápravu, buď kliknite na položku Opraviť na páse s nástrojmi, alebo spustite Repair-SCVirtualNetworkAdapter rutinu typu cmdlet. Pre túto funkciu neexistujú žiadne konkrétne zmeny syntaxe rutiny typu cmdlet.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Oprava týchto virtuálnych počítačov ich označí ako kompatibilné a zabezpečí použitie rozšírených zoznamov ACL portov. Majte na pamäti, že zoznamy ACL portov sa nebudú vzťahovať na žiadne virtuálne počítačy v rozsahu, kým ich explicitne nenapravíte.

Zobrazenie pravidiel ACL portu

Ak chcete zobraziť zoznamy ACL a pravidlá ACL, môžete použiť tieto rutiny typu cmdlet prostredia PowerShell.

Aktualizácia pravidiel ACL portu

Pri aktualizácii ACL, ktorý je pripojený k sieťovým adaptérom, zmeny sa prejavia vo všetkých inštanciách sieťového adaptéra, ktoré používajú tento zoznam ACL. V prípade ACL pripojeného k podsieti VM alebo sieti virtuálneho počítača sa všetky inštancie sieťového adaptéra pripojené k tejto podsieti aktualizujú zmenami.

Poznámka Aktualizácia pravidiel ACL na jednotlivých sieťových adaptérov sa vykonáva paralelne v režime jednoduchého pokusu o najlepšie úsilie. Adaptéry, ktoré nie je možné z akéhokoľvek dôvodu aktualizovať, sú označené ako nekompilantné a úloha sa skončí chybovým hlásením s informáciou, že sieťové adaptéry sa neaktualizovali úspešne. V tomto článku sa odkazuje na nesúlad v očakávanom porovnaní so skutočnými pravidlami ACL. Adaptér bude mať stav súladu "Nie je kompatibilný" spolu s príslušnými chybovými hláseniami. Ďalšie informácie o oprave nekompilantných virtuálnych počítačov nájdete v predchádzajúcej časti.

Odstránenie zoznamov ACL portu a pravidiel ACL portu

ACL možno odstrániť iba vtedy, ak k nemu nie sú pripojené žiadne závislosti. Závislosti zahŕňajú VM siete/ VM podsieť/ virtuálny sieťový adaptér / globálne nastavenia, ktoré sú pripojené k ACL. Keď sa pokúsite odstrániť zoznam ACL portu pomocou rutiny typu cmdlet prostredia PowerShell, rutina typu cmdlet zistí, či je zoznam ACL portu pripojený k niektorej zo závislostí, a vygeneruje príslušné chybové hlásenia.

Odstraňujú sa zoznamy ACL portov

Pridali sa nové rutiny typu cmdlet prostredia PowerShell:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Odstránenie pravidiel ACL portu

Pridali sa nové rutiny typu cmdlet prostredia PowerShell:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Majte na pamäti, že odstránením podsiete VM, siete VM alebo sieťového adaptéra sa automaticky odstráni priradenie k danému zoznamu ACL.

Zoznam ACL možno tiež oddeliť od podsiete VM, siete VM alebo sieťového adaptéra zmenou príslušného sieťového objektu VMM. Ak to chcete urobiť, použite rutinu typu cmdlet Set- spolu s prepínačom -RemovePortACL, ako je to popísané v predchádzajúcich častiach. V tomto prípade sa zoznam ACL portu odpojí od príslušného sieťového objektu, ale neodstráni sa z infraštruktúry VMM. Preto ho možno neskôr znova použiť.

Mimopásmové zmeny pravidiel ACL

Ak vykonávame mimopásmové (OOB) zmeny pravidiel ACL z portu virtuálneho prepínača Hyper-V (pomocou natívnych rutín typu cmdlet Hyper-V, ako je napríklad Add-VMNetworkAdapterExtendedAcl), obnovenie virtuálneho počítača zobrazí sieťový adaptér ako "Security Incompliant". Sieťový adaptér je potom možné opraviť z VMM tak, ako je to popísané v časti Používanie ACL portu. Náprava však prepíše všetky pravidlá ACL portu definované mimo VMM pravidlami, ktoré očakáva VMM.

Základné koncepty

Každé pravidlo ACL portu v porte ACL má vlastnosť s názvom Priorita. Pravidlá sa použijú v poradí na základe ich priority. Nasledujúce základné princípy definujú nadradenosť pravidiel:

• Čím je číslo priority nižšie, tým vyššia je priorita. To znamená, že ak si navzájom odporuje viacero pravidiel ACL portu, pravidlo s nižšou prioritou vyhráva.

• Akcia pravidla nemá vplyv na nadradenosť. To znamená, že na rozdiel od NTFS ACL (napríklad), tu nemáme pojem ako "Deny vždy má prednosť pred Povoliť".

• S rovnakou prioritou (rovnaká číselná hodnota) nemôžete mať dve pravidlá s rovnakým smerom. Toto správanie zabraňuje hypotetickej situácii, v ktorej je možné definovať pravidlá "Odmietnuť" aj "Povoliť" s rovnakou prioritou, pretože by to malo za následok nejednoznačnosť alebo konflikt.

• Konflikt je definovaný ako dve alebo viac pravidiel s rovnakou prioritou a rovnakým smerom. Konflikt sa môže vyskytnúť, ak existujú dve pravidlá ACL portu s rovnakou prioritou a smerom v dvoch zoznamoch ACL, ktoré sa používajú na rôznych úrovniach, a ak sa tieto úrovne čiastočne prekrývajú. To znamená, že môže existovať objekt (napríklad vmNIC), ktorý spadá do rozsahu oboch úrovní. Bežným príkladom prekrývania je sieť virtuálneho a virtuálneho modelu v tej istej sieti.

Použitie viacerých zoznamov ACL portov na jednu entitu 

Keďže zoznamy ACL portov sa môžu vzťahovať na rôzne sieťové objekty VMM (alebo na rôznych úrovniach, ako je popísané vyššie), jeden virtuálny sieťový adaptér virtuálneho počítača (vmNIC) môže spadať do rozsahu viacerých ACL portov. V tomto scenári sa použijú pravidlá ACL portu zo všetkých zoznamov ACL portu. Priorita týchto pravidiel sa však môže líšiť v závislosti od niekoľkých nových nastavení dolaďovania VMM, ktoré sú uvedené ďalej v tomto článku.

Nastavenie databázy Registry

Tieto nastavenia sú definované ako hodnoty Dword v databáze Windows Registry pod nasledujúcim kľúčom na serveri správy VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Nastavenia
Majte na pamäti, že všetky tieto nastavenia ovplyvnia správanie zoznamov ACL portov v rámci celej infraštruktúry VMM.

Priorita pravidla ACL platného portu

V tejto diskusii popíšeme aktuálnu prioritu pravidiel ACL portu, keď sa na jednu entitu použije viacero zoznamov ACL portov ako priorita efektívneho pravidla. Upozorňujeme, že vo VMM neexistuje žiadne samostatné nastavenie ani objekt na definovanie alebo zobrazenie priority platného pravidla. Vypočíta sa v režime runtime.

Existujú dva globálne režimy, v ktorých možno vypočítať efektívnu prioritu pravidla. Režimy sa prepínajú podľa nastavenia databázy Registry:

PortACLAbsolutePriority
Prijateľné hodnoty pre toto nastavenie sú 0 (nula) alebo 1, kde 0 označuje predvolené správanie.

Relatívna priorita (predvolené správanie)

Ak chcete povoliť tento režim, nastavte vlastnosť PortACLAbsolutePriority v databáze Registry na hodnotu 0 (nula). Tento režim sa použije aj v prípade, že nastavenie nie je definované v databáze Registry (t. j. ak vlastnosť nie je vytvorená).

V tomto režime sa okrem základných konceptov, ktoré boli popísané vyššie, uplatňujú nasledujúce zásady:

• Priorita v rámci toho istého portu ACL sa zachová. Preto sa hodnoty priority definované v každom pravidle považujú za relatívne v rámci ACL.

• Ak použijete viaceré zoznamy ACL portov, ich pravidlá sa použijú v sektoroch. Pravidlá z rovnakého ACL (pripojené k daného objektu) sa použijú spoločne v rámci toho istého kontajnera. Priorita jednotlivých sektorov závisí od objektu, ku ktorému je pripojený zoznam ACL portu.

• Tu všetky pravidlá definované v globálnych nastaveniach ACL (bez ohľadu na ich vlastnú prioritu, ako je definované v porte ACL) majú vždy prednosť pred pravidlami, ktoré sú definované v ACL, ktorý sa používa na vmNIC, a tak ďalej. Inými slovami, vynucuje sa oddelenie vrstvy.
  
  

V konečnom dôsledku sa priorita platného pravidla môže líšiť od číselnej hodnoty definovanej vo vlastnostiach pravidla ACL portu. Ďalšie informácie o vynútení tohto správania a spôsobe zmeny jeho logiky.

1. Poradie, v ktorom majú prednosť tri úrovne špecifické pre objekt (teda vmNIC, podsieť VM a sieť VM), je možné zmeniť.
   
   

   1. Poradie globálnych nastavení nie je možné zmeniť. Vždy má najvyššiu prednosť (alebo poradie = 0).

   2. Pre ostatné tri úrovne môžete nastaviť tieto nastavenia na číselnú hodnotu medzi 0 a 3, kde 0 je najvyššia priorita (rovná sa globálnym nastaveniam) a 3 je najnižšia priorita:
      
      

      • PortACLVMNetworkAdapterPriority (predvolená hodnota je 1)

      • PortACLVMSubnetPriority (predvolená hodnota je 2)

      • PortACLVMNetworkPriority (predvolená hodnota je 3)

   3. Ak k týmto viacerým nastaveniam databázy Registry priradíte rovnakú hodnotu (0 až 3) alebo priradíte hodnotu mimo rozsahu 0 až 3, funkcia VMM sa nevráti na predvolené správanie.

2. Spôsob vynútenia zoradenia spočíva v zmene efektívnej priority pravidla tak, aby pravidlá ACL definované na vyššej úrovni získali vyššiu prioritu (teda menšiu číselnú hodnotu). Keď sa vypočíta efektívna hodnota ACL, každá hodnota priority relatívneho pravidla sa "naráža" hodnotou špecifickou pre danú úroveň alebo "krokom".

3. Hodnota špecifická pre danú úroveň je krok, ktorý oddeľuje rôzne úrovne. Veľkosť kroku je predvolene 10 000 a je nakonfigurovaná podľa nasledujúceho nastavenia databázy Registry:
   

   PortACLLayerSeparation

4. To znamená, že v tomto režime nesmie akákoľvek priorita jednotlivých pravidiel v rámci ACL (t. j. pravidlo, ktoré sa považuje za relatívne) prekročiť hodnotu nasledujúceho nastavenia:
   

   PortACLLayerSeparation(predvolene 10 000)

Relatívna priorita

Ak chcete povoliť tento režim, nastavte vlastnosť PortACLAbsolutePriority v databáze Registry na hodnotu 1.

V tomto režime sa okrem základných konceptov popísaných vyššie uplatňujú aj tieto zásady:

• Ak objekt spadá do rozsahu viacerých zoznamov ACL (napríklad sieť virtuálnych počítačov a podsieť virtuálnych počítačov), všetky pravidlá definované v pripojených zoznamoch ACL sa použijú v jednotnom poradí (alebo ako jeden sektor). Neexistuje žiadna úroveň separácie a žiadne "narážanie" vôbec.

• Všetky priority pravidiel sa považujú za absolútne, presne tak, ako sú definované v každej priorite pravidla. Inými slovami, efektívna priorita každého pravidla je rovnaká ako to, čo je definované v samotnom pravidle a nie je zmenená nástrojom VMM pred jeho použitím.

• Všetky ostatné nastavenia databázy Registry, ktoré sú popísané v predchádzajúcej časti, nemajú žiadny účinok.

• V tomto režime nesmie akákoľvek priorita jednotlivých pravidiel v rámci ACL (t. j. priorita pravidla, ktorá sa považuje za absolútnu) prekročiť hodnotu 65535.