Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Rezime

Administratori programa Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) sada mogu centralno da kreiraju i upravljaju listama kontrole pristupa Hyper-V portovima (ACLs) u virtuelnoj mašini.

Više informacija

Za više informacija o zbirnoj ispravki 8 za System Center 2012 R2 Virtual Machine Manager, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:



3096389 Zbirna ispravka 8 za System Center 2012 R2 Virtual Machine Manager

Rečnik

Poboljšali smo objektni model virtuelne mašine dodavanjem sledećih novih koncepata u oblast za upravljanje mrežom.

  • Lista kontrola pristupa porta (ACL)
    Objekat koji je priložen raznim primitivcima VMM umrežavanja kako bi opisao mrežnu bezbednost. ACL porta služi kao kolekcija stavki kontrole pristupa ili ACL pravila. ACL se može priložiti bilo kom broju (nula ili više) primitivnih VMM umrežavanja, kao što su VM mreža, VM podmreža, virtuelni mrežni adapter ili sam server za upravljanje VMM-om. ACL može da sadrži bilo koji broj (nula ili više) ACL pravila. Svaka kompatibilna VMM mreža za umrežavanje (VM mreža, VM podmreža, virtuelni mrežni adapter ili VMM server za upravljanje) može da ima jedan ACL porta priložen ili nijedan.

  • Stavka kontrole pristupa porta ili ACL pravilo
    Objekat koji opisuje smernice za filtriranje. Više ACL pravila mogu da postoje u istom ACL-u porta i primenjuju se na osnovu njihovog prioriteta. Svako ACL pravilo odgovara tačno jednom ACL portu.

  • Globalni Postavke A virtuelni
    koncept koji opisuje ACL porta koji je primenjen na sve VM adaptere virtuelne mreže u infrastrukturi. Ne postoji zasebni tip objekta za globalni Postavke. Umesto toga, globalni Postavke ACL porta prilaže samom serveru za upravljanje VMM-om. Objekat servera za upravljanje VMM-om može da ima jedan ACL porta ili nijedan.

Informacije o objektima u oblasti za upravljanje mrežom koji su prethodno bili dostupni potražite u članku Osnove mrežnih objekata upravljača virtuelnim mašinama.

Šta mogu da uradim sa ovom funkcijom?

Korišćenjem PowerShell interfejsa u virtuelnoj mašini sada možete da izvršite sledeće radnje:

  • Definišite ACL adrese porta i njihova ACL pravila.

    • Ova pravila se primenjuju na virtuelne prekidače portova na Hyper-V serverima kao "proširene ACLS adrese porta" (VMNetworkAdapterExtendedAcl) u Hyper-V terminologiji. To znači da mogu da se primene samo na servere Windows Server 2012 R2 (i Hyper-V Server 2012 R2).

    • Virtuelna mašina neće kreirati ACL adrese hiper-V porta (VMNetworkAdapterAcl). Zbog toga ne možete da primenite ACL-ove porta na servere Windows Server 2012 (ili Hyper-V Server 2012) pomoću VMM-a.

    • Sva ACL pravila porta definisana u virtuelnoj mašini pomoću ove funkcije su navedena (za TCP). Ne možete da kreirate ACL pravila bez stanja za TCP pomoću virtuelne mašine.

    Više informacija o funkciji proširenog ACL-a porta u Windows Server 2012 R2 Hyper-V potražite u članku Kreiranje bezbednosnih smernica sa listama za proširenu kontrolu pristupa portu za Windows Server 2012 R2.

  • Priložite ACL porta globalnom Postavke. Ovo se odnosi na sve adaptere virtuelne mreže virtuelne mreže virtuelne mreže. Dostupna je samo svim administratorima.

  • Priložite ACL-ove portova koji su kreirani uz VM mrežu, virtuelne podmreže ili VM virtuelne mrežne adaptere. Ovo je dostupno za sve administratore, administratore zakupca i samouslužne korisnike (SSU-ove).

  • Prikažite i ažurirajte ACL pravila porta koja su konfigurisana na pojedinačnoj VM vNIC kartici.

  • Izbrišite ACL-ove porta i njihova ACL pravila.

Svaka od ovih radnji je detaljnije opisana u nastavku ovog članka.

Imajte na umu da je ova funkcionalnost izložena samo putem PowerShell cmdlet komandi i da se neće odraziti u korisničkom interfejsu VMM konzole (osim u stanju "Usaglašenost").

Šta ne mogu da uradim sa ovom funkcijom?

  • Upravljajte pojedinačnim pravilima ili ih ažurirajte za jednu instancu kada se ACL deli među više instanci. Svim pravilima se upravlja centralno unutar nadređenih ACL-ova i primenjuju se gde god je ACL priložen.

  • Priložite više ACL-a entitetu.

  • Primena ACL-ova porta na virtuelne mrežne adaptere (vNIC-ove) na Hiper-V nadređenoj particiji (operativni sistem upravljanja).

  • Kreirajte ACL pravila porta koja obuhvataju protokole na nivou IP (osim TCP ili UDP).

  • Primenite ACL portove na logičke mreže, mrežne lokacije (logičke definicije mreže), podmrežne vLAN-ove i druge primitivne VMM umrežavanja koji nisu ranije navedeni.

Kako da koristim funkciju?

Definisanje novih ACL-ova portova i ACL pravila porta

Sada možete da kreirate ACL-ove i njihova ACL pravila direktno u virtuelnoj mašini koristeći PowerShell cmdlet komande.

Kreiranje nove ACL liste

Dodaju se sledeće nove PowerShell cmdlet komande:

New-SCPortACL –Name <string> [–Description <string>]

–Name: Name of the port ACL

–Description: Description of the port ACL (optional parameter)

Get-SCPortACL Retrieves all the port ACLS



–Name: Opcionalno filter by name

–ID: Opcionalno filtriraj po komandama ID

uzorka

New-SCPortACL -Name Samplerule -Description SampleDescription 


$acl = Get-SCPortACL -Name Samplerule



Definišite ACL pravila porta za ACL porta

Svaki ACL port se sastoji od kolekcije ACL pravila porta. Svako pravilo sadrži različite parametre.

  • Ime

  • Opis

  • Tip: Dolazno/odlazno (smer u kojem će se primeniti ACL)

  • Radnja: Dozvoljavanje/zabrana (radnja ACL liste, za dozvoljavanje saobraćaja ili blokiranje saobraćaja)

  • SourceAddressPrefix:

  • SourcePortRange:

  • DestinationAddressPrefix:

  • DestinationPortRange:

  • Protokol: TCP/Udp/Any (napomena: Protokoli na IP nivou nisu podržani u ACL-ovima porta koje definiše VMM. Hiper V su i dalje podržani u izvornim izvorima.)

  • Prioritet: 1 – 65535 (najmanji broj ima najviši prioritet). Ovaj prioritet se odnosi na sloj na koji je primenjen. (Više informacija o tome kako se ACL pravila primenjuju na osnovu prioriteta i objekta kojem je priložena ACL stavka sledi.)

Nove PowerShell cmdlet komande koje su dodate

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Odlazna> – <dozvoli | Odbij> -Priority <uint16> -Protocol <Tcp | Udp | Bilo> [-SourceAddressPrefix <: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Bilo>] [-DestinationAddressPrefix <: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Sva>]

Get-SCPortACLrule

preuzima sva ACL pravila porta.

  • Ime: Opcionalno filtriranje po imenu

  • ID: Opcionalno filtriranje po ID-u

  • PortACL: Opcionalno filtriranje po ACL-u porta

Sample commands 

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 


New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 


New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 


New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Prilaganje i odvajanje AK-ova porta



ACI-ovi mogu biti priloženi uz sledeće:

  • Globalne postavke (odnose se na sve VM mrežne adaptere. Samo puni administratori mogu to da rade.)

  • VM mreža (Kompletni administratori/administratori zakupca/SSU-i mogu to da rade.)

  • Virtuelna podmrega (Potpuni administratori/administratori zakupca/SSU-i mogu to da rade.)

  • Virtuelni mrežni adapteri (Kompletni administratori/administratori zakupca/SSU-i mogu to da rade.)

Globalne postavke

Ova ACL pravila porta primenjuju se na sve VM adaptere virtuelne mreže u infrastrukturi.

Postojeće PowerShell cmdlet komande ažurirane su novim parametrima za prilaganje i odvajanje ACL-ova porta.

Set-SCVMServer – VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

  • PortACL: Novi opcionalni parametar koji konfiguriše navedeni ACL porta u globalne postavke.

  • RemovePortACL: Novi opcionalni parametar koji uklanja sve konfigurisane ACL portove iz globalnih postavki.

Get-SCVMMServer: Daje konfigurisani ACL porta u vraćenim objektu.

Sample commands 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 


Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL

VM mreža


Ova pravila će biti primenjena na sve adaptere virtuelne mreže virtuelne mreže VM koji su povezani sa ovom VM mrežom.

Postojeće PowerShell cmdlet komande ažurirane su novim parametrima za prilaganje i odvajanje ACL-ova porta.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [ostatak parametara]

-PortACL: Novi opcionalni parametar koji vam omogućava da navedete ACL porta za VM mrežu tokom kreiranja.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ostatak parametara]

-PortACL: Novi opcionalni parametar koji vam omogućava da postavite ACL porta na VM mrežu.

-RemovePortACL: Novi opcionalni parametar koji uklanja sve konfigurisane ACL portove iz VM mreže.

Get-SCVMNetwork: Daje konfigurisani ACL porta u vraćenim objektima.

Sample commands

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 


Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL


Virtuelna podmrežna mreža



Ova pravila će biti primenjena na sve VM virtuelne mrežne adaptere koji su povezani sa ovom VM podmrežnom mrežom.

Postojeće PowerShell cmdlet komande ažurirane su novim parametrom za prilaganje i odvajanje ACL-ova portova.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [ostatak parametara]

-PortACL: Novi opcionalni parametar koji vam omogućava da navedete ACL porta za VM podmrežnu mrežu tokom kreiranja.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ostatak parametara]

-PortACL: Novi opcionalni parametar koji vam omogućava da postavite ACL porta na VM podmrežu.

-RemovePortACL: Novi opcionalni parametar koji uklanja sve konfigurisane ACL portove iz VM podmreže.

Get-SCVMSubnet: Daje konfigurisani ACL porta u vraćenim objektu.

Sample commands 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 


Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL


VM virtual network adapter (vmNIC)



Postojeće PowerShell cmdlet komande ažurirane su novim parametrima za prilaganje i odvajanje ACL-ova porta.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [ostatak parametara]

-PortACL: Novi opcionalni parametar koji vam omogućava da navedete ACL porta za adapter virtuelne mreže dok pravite novi vNIC.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ostatak parametara]

-PortACL: Novi opcionalni parametar koji vam omogućava da postavite ACL porta na adapter virtuelne mreže.

-RemovePortACL: Novi opcionalni parametar koji uklanja sve konfigurisane ACL portove iz adaptera virtuelne mreže.

Get-SCVirtualNetworkAdapter: Vraća konfigurisani ACL porta u vraćenom objektu.

Sample commands 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 


Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL


Primena ACL pravila porta

Kada osvežite virtuelne mašine nakon prilaganja ACL-ova porta, primetićete da se status virtuelnih mašina prikazuje kao "Nije usaglašen" u prikazu virtuelne mašine radnog prostora Fabrica. (Da biste se prebacili na prikaz virtuelne mašine, prvo morate da potražite čvor Logičke mreže ili čvor Logički prekidači radnog prostora Fabric).) Imajte na umu da se virtuelno osvežavanje obavlja automatski u pozadini (po rasporedu). Stoga, čak i ako ne osvežite virtuelne mašine izričito, one će na kraju ići u neuostavno stanje.



alternativni tekstovom trenutku, ACL-ovi portova se još uvek nisu primenili na virtuelne mašine i relevantne virtuelne mrežne adaptere. Da biste primenili ARL adrese porta, morate da pokrenete proces koji se naziva ispravka. To se nikada ne dešava automatski i trebalo bi da se pokreće izričito na zahtev korisnika.

Da biste započeli vraćanje, kliknite na dugme Remediate na traci ili pokrenite Repair-SCVirtualNetworkAdapter cmdlet komande. Nema određenih promena u sintaksi cmdlet komande za ovu funkciju.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Ispravljanje ovih virtuelnih mašina označiće ih kao usaglašene i obezbediće primenu proširenih ACL-ova porta. Imajte na umu da se ACL-ovi portova neće primenjivati na virtuelne mašine u opsegu dok ih ne izričito remenite.

Prikazivanje ACL pravila porta

Da biste prikazali ACL i ACL pravila, možete da koristite sledeće PowerShell cmdlet komande.

Nove PowerShell cmdlet komande koje su dodate



Preuzmi parametar ACLS

porta postavljen na 1. Da biste dobili sve ili po imenu: Get-SCPortACL [-Name <>] Skup parametara

2. Da biste dobili po ID-u: Get-SCPortACL -ID <> [-Name <>]

Preuzmi parametar ACL

pravila porta 1. Sve ili po imenu: Get-SCPortACLrule [-Name <>] Skup

parametara 2. Po ID-u: Get-SCPortACLrule -Id <> skupu

parametara 3. Po ACL objektu: Get-SCPortACLrule – PortACL <NetworkAccessControlList>

Ažuriranje ACL pravila porta

Kada ažurirate ACL koji je povezan sa mrežnim adapterima, promene se odražavaju na sve instance mrežnog adaptera koje koriste taj ACL. Za ACL koji je povezan sa VM podmrežnom mrežom ili VM mrežom, sve instance mrežnog adaptera koje su povezane sa tom podmrežnom mrežom ažuriraju se promenama.

Napoma Ažuriranje ACL pravila na pojedinačnim mrežnim adapterima izvršava se paralelno u jednokratnim šemama. Adapteri koji se ne mogu ažurirati iz bilo kog razloga označeni su kao "bezbednosni nekompliantni", a zadatak se završava porukom o grešci koja navodi da mrežni adapteri nisu uspešno ažurirani. "Bezbednosna nekompliantna" ovde se odnosi na nesudaranje u očekivanom nasmeranju stvarnih ACL pravila. Adapter će imati stanje usaglašenosti stavke "Nije usaglašeno" sa relevantnim porukama o grešci. Više informacija o uklanjanju virtuelnih mašina potražite u prethodnom odeljku.

Dodata je nova PowerShell cmdlet komanda

Set-SCPortACL -PortACL <PortACL> [-Name <Name>] [-Description <description>]

Set-SCPortACLrule -PortACLrule <PortACLrule> [-Name <name>] [-Description <string>] [-Type <PortACLRuleDirection> {Inbound | Odlazna}] [-radnja <PortACLRuleAction> {Allow | Deny}] [-SourceAddressPrefix <string>] [-SourcePortRange <string>] [-DestinationAddressPrefix <string>] [-DestinationPortRange <string>] [-Protocol <PortACLruleProtocol> {Tcp | Udp | Any}]

Set-SCPortACL: Menja ACL opis porta.

  • Opis: Ažurira opis.


Set-SCPortACLrule: Menja parametre ACL pravila porta.

  • Opis: Ažurira opis.

  • Tip: Ažurira smer u kojem se primenjuje ACL.

  • Radnja: Ažurira radnju ACL liste.

  • Protokol: Ažurira protokol na koji će se primeniti ACL.

  • Prioritet: Ažurira prioritet.

  • SourceAddressPrefix: Ažurira prefiks izvorne adrese.

  • SourcePortRange: Ažurira opseg izvornog porta.

  • DestinationAddressPrefix: Ažurira prefiks odredišne adrese.

  • DestinationPortRange: Ažurira opseg odredišnog porta.

Brisanje ACL-ova porta i ACL pravila porta

ACL se može izbrisati samo ako zavisni elementi nisu priloženi uz njega. Zavisni elementi obuhvataju VM mrežu/VM podmrežnu/virtuelnu mrežnu adapter/globalne postavke koje su priložene ACL-u. Kada pokušate da izbrišete ACL porta pomoću PowerShell cmdlet komande, cmdlet će otkriti da li je ACL porta priložen bilo kojoj zavisnosti i prikazaće odgovarajuće poruke o grešci.

Uklanjanje AK-ova porta

Dodate su nove PowerShell cmdlet komande:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Uklanjanje ACL pravila porta

Dodate su nove PowerShell cmdlet komande:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Imajte na umu da brisanje VM podmreže/VM Network/Network adaptera automatski uklanja povezivanje sa tim ACL-om.

ACL se takođe može prekinuti sa VM podmrežnom/VM mrežnom/mrežnom adapterom promenom odgovarajućih objekata VMM umrežavanja. Da biste to uradili, koristite Set- cmdlet zajedno sa prekidačom -RemovePortACL, kao što je opisano u starijim odeljcima. U ovom slučaju, ACL porta će biti uklonjen iz odgovarajućih mrežnih objekata, ali neće biti izbrisan iz VMM infrastrukture. Prema tome, kasnije se može ponovo koristiti.

Van grupe se menja u ACL pravila

Ako izvršavamo vanmrežne promene u ACL pravilima iz Hyper-V virtuelnog porta za prebacivanje (pomoću izvornih Hyper-V cmdlet komandi kao što su Add-VMNetworkAdapterExtendedAcl), VM Osvežavanje će prikazati mrežni adapter kao "Bezbednosni nekompliantni". Mrežni adapter zatim može da se vrati na virtuelnu mašinu kao što je opisano u odeljku "Primena ACL-ova porta". Međutim, remedijacija će zameniti sva ACL pravila porta koja su definisana izvan virtuelne mašine sa onima koja očekuje virtuelna mašina.

Prioritet pravila ACL porta i prioritet aplikacije (napredno)

Osnovne koncepte



Svako ACL pravilo porta u ACL-u porta ima svojstvo pod imenom "Prioritet". Pravila se primenjuju po redosledu na osnovu njihovog prioriteta. Sledeći osnovni principi definišu prednost pravila:

  • Što je broj prioriteta manji, to je prioritet veći. To jest, ako je više ACL pravila porta u suprotnosti jedno sa drugim, dobija se pravilo sa nižim prioritetom.

  • Radnja pravila ne utiče na prednost. To je za razliku od NTFS ACLs (na primer), ovde nemamo koncept kao što je "Zabrani uvek ima prednost u odnosu na dozvoli".

  • Pri istom prioritetu (istoj numeričkoj vrednosti) ne možete imati dva pravila sa istim smerom. Ovo ponašanje sprečava hipotetičke situacije u kojima neko može da definiše pravila "Zabrani" i "Dozvoli" sa jednakim prioritetom, zato što bi to dovelo do dvosmislenosti ili neusaglašenosti.

  • Neusaglašenost je definisana kao dva ili više pravila sa istim prioritetom i istim smerom. Do neusaglašenosti može doći ako postoje dva ACL pravila porta sa istim prioritetom i smerom na dve ACL liste koja su primenjena na različite nivoe i ako se ti nivoi delom preklapaju. To je zato što može da postoji objekat (na primer, vmNIC) koji spada u opseg oba nivoa. Uobičajen primer preklapanja je VM mreža i podmreža virtuelne mašine u istoj mreži.

Primena više ACL-ova portova na jedan entitet 

Pošto ACL-ovi portova mogu da se primene na različite VMM objekte umrežavanja (ili na različitim nivoima, kao što je ranije opisano), jedan VM virtuelni mrežni adapter (vmNIC) može da spada u opseg više ACL-ova portova. U ovom scenariju se primenjuju ACL pravila porta sa svih ACL-ova porta. Međutim, prednost tih pravila može da se razlikuje, u zavisnosti od nekoliko novih postavki preciznog podešavanja virtuelne mašine, koje su pomenute u nastavku ovog članka.

Postavke registratora

Te postavke su definisane kao vrednosti reči Dword u Windows u okviru sledećeg ključa na VMM serveru za upravljanje:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Postavke
Imajte na umu da će sve ove postavke uticati na ponašanje ACI-ja portova u celoj VMM infrastrukturi.

Važeći prioritet ACL pravila porta

U ovoj diskusiji ćemo opisati stvarni prioritet ACL pravila porta kada se više ACL-ova portova primeni na jedan entitet kao efikasan prioritet pravila. Imajte na umu da na virtuelnoj mašini ne postoji zasebna postavka ili objekat za definisanje ili prikazivanje efikasnog prioriteta pravila. Izračunava se u vremenu izvršavanja.

Postoje dva globalna režima u kojima se može izračunati efikasan prioritet pravila. Postavka registratora prebacuje režime:

PortACLAbsolutePriority
Prihvatljive vrednosti za ovu postavku su 0 (nula) ili 1, gde 0 ukazuje na podrazumevano ponašanje.

Relativni prioritet (podrazumevano ponašanje)

Da biste omogućili ovaj režim, postavite svojstvo PortACLAbsolutePriority u registratoru na vrednost 0 (nula). Ovaj režim se primenjuje i ako postavka nije definisana u registratoru (to je tako, ako svojstvo nije kreirano).

U ovom režimu, sledeći principi važe pored osnovnih koncepata koji su ranije opisani:

  • Prioritet u okviru istog ACL porta se čuva. Zbog toga se vrednosti prioriteta definisane u svakom pravilu tretiraju kao relativne unutar ACL liste.

  • Kada primenite više ACL-ova portova, njihova pravila se primenjuju u kontejnerima. Pravila iz istog ACL-a (priložena datom objektu) primenjuju se zajedno unutar istog kontejnera. Prednost određenih kontejnera zavisi od objekta kojem je priložena ACL porta.

  • Ovde sva pravila koja su definisana u ACL-u globalnih postavki (bez obzira na sopstveni prioritet kao što je definisano u ACL-u porta) uvek imaju prednost u odnosu na pravila definisana u ACL-u koja se primenjuju na vmNIC i tako dalje. Drugim rečima, nametnuto je razdvajanje sloja.


Na kraju, efikasan prioritet pravila može da se razlikuje od numeričke vrednosti koju definišete u svojstvima ACL pravila porta. Više informacija o tome kako se ovo ponašanje nameće i kako možete da promenite njegovu logiku.

  1. Može se promeniti redosled kojim tri nivoa specifičnih za objekat (npr. vmNIC, VM podmreža i VM mreža) mogu da se promene.

    1. Nije moguće promeniti redosled globalnih postavki. Uvek ima najveći prioritet (ili redosled = 0).

    2. Za ostala tri nivoa možete da podesite sledeće postavke na numeričku vrednost između 0 i 3, gde je 0 najveći prioritet (jednako globalnim postavkama), a 3 je najniži prioritet:

      • PortACLVMNetworkAdapterPriority (podrazumevana vrednost je 1)

      • PortACLVMSubnetPriority (podrazumevana vrednost je 2)

      • PortACLVMNetworkPriority (podrazumevana vrednost je 3)

    3. Ako dodelite istu vrednost (od 0 do 3) ovim postavkama registratora ili ako dodelite vrednost izvan opsega od 0 do 3, virtuelna mašina neće uspeti da se vrati na podrazumevano ponašanje.

  2. Način na koji se nameće redosled jeste da se efikasan prioritet pravila menja tako da ACL pravila koja su definisana na višem nivou dobiju viši prioritet (tj. manju numeričku vrednost). Kada se izračuna efikasan ACL, svaka relativna vrednost prioriteta pravila "naleće" vrednošću specifičnom za nivo ili "korak".

  3. Vrednost specifična za nivo je "korak" koji razdvaja različite nivoe. Veličina "koraka" podrazumevano je 10000 i konfiguriše je sledeća postavka registratora:

    PortACLLayerSeparation

  4. To znači da u ovom režimu svaki pojedinačni prioritet pravila u okviru ACL-a (to jest, pravilo koje se tretira kao relativno) ne može da premaši vrednost sledeće postavke:

    PortACLLayerSeparation(podrazumevano 10000)

Primer konfiguracije

Pretpostavimo da sve postavke imaju podrazumevane vrednosti. (Ovi su opisani ranije.)

  1. Imamo ACL koji je priložen uz vmNIC (PortACLVMNetworkAdapterPriority = 1).

  2. 10.000 (PortACLLayerSeparation) je 10000 glavni prioritet za sva pravila definisana u ovom ACL-u.

  3. U ovom ACL-u definišemo pravilo koje ima prioritet podešen na 100.

  4. Efikasan prioritet za ovo pravilo bio bi 10000 + 100 = 10100.

  5. Pravilo će imati prednost nad drugim pravilima u okviru iste ACL liste za koja je prioritet veći od 100.

  6. Pravilo će uvek imati prednost nad bilo kojim pravilima definisanim u ACL-ovima koja su priložena na VM mreži i nivou virtuelne podmreže. (To važi zato što se oni smatraju "nižim" nivoima).

  7. Pravilo nikada neće imati prednost nad bilo kojim pravilima definisanim u ACL-u globalnih postavki.

Prednosti ovog režima

  • Postoji bolja bezbednost u scenarijima sa više zakupaca zato što će ACL pravila porta koja su definisana od strane Fabric administratora (na nivou globalnog Postavke) uvek imati prednost u odnosu na sva pravila koja definišu sami zakupci.

  • Sve neusaglašenosti ACL pravila porta (npr. dvosmislenosti) automatski se sprečavaju zbog razdvajanja sloja. Veoma je lako predvideti koja pravila će biti efikasna i zašto.

Oprez u ovom režimu

  • Manje fleksibilnosti. Ako definišete pravilo (na primer "Zabrani sav saobraćaj na port 80") u globalnim postavkama, nikada ne možete da kreirate detaljnije izuzimanje od ovog pravila na nižem sloju (na primer "Dozvoli port 80 samo na ovoj virtuelnoj mašini koja pokreće valjani veb server").

Relativni prioritet

Da biste omogućili ovaj režim, postavite svojstvo PortACLAbsolutePriority u registratoru na vrednost 1.

U ovom režimu, pored osnovnih koncepata koji su ranije opisani, važe sledeći principi:

  • Ako objekat spada u opseg više ACLs (na primer, VM mreža i VM podmreža), sva pravila koja su definisana u svim priloženim ACL-ovima primenjuju se u objedinjenom redosledu (ili u vidu jednog kontejnera). Nema odvajanja nivoa i nema "udaranja" bilo љta.

  • Svi prioriteti pravila se tretiraju kao apsolutni, tačno onako kako su definisani u svakom prioritetu pravila. Drugim rečima, efikasan prioritet za svako pravilo isti je kao ono što je definisano u samom pravilu i ne menja ga VMM mašina pre nego što se primeni.

  • Sve ostale postavke registratora opisane u prethodnom odeljku nema efekta.

  • U ovom režimu, svaki pojedinačni prioritet pravila u ACL-u (to jest, prioritet pravila koji se tretira kao apsolutni) ne može da premaši 65535.

Primer konfiguracije

  1. U globalnim postavkama ACL definišete pravilo čiji je prioritet postavljen na 100.

  2. U ACL-u koja je priložena uz vmNIC definišete pravilo čiji je prioritet postavljen na 50.

  3. Prednost ima pravilo koje je definisano na vmNIC nivou zato što ima viši prioritet (to jest, manju numeričku vrednost).

Prednosti ovog režima

  • Viљe fleksibilnosti. Možete da kreirate "jednokratna" izuzeća od pravila globalnih postavki na nižim nivoima (na primer, VM podmreža ili vmNIC).

Oprez u ovom režimu

  • Planiranje može da postane složenije zato što ne postoji razdvajanje nivoa. A na bilo kom nivou može da postoji pravilo koje zamenjuje druga pravila definisana u drugim objektima.

  • U okruženjima sa više zakupaca bezbednost može biti ugrožena zato što zakupac može da kreira pravilo na virtuelnom nivou podmreže koje zamenjuju smernice koje je definisao Fabric administrator na nivou globalnih postavki.

  • Neusaglašenosti pravila (to jesti dvosmislenosti) ne uklanjaju se automatski i može doći do njih. Virtuelna mašina može da spreči neusaglašenosti samo na istom ACL nivou. Ne može da spreči neusaglašenosti na ACLS-ovima koje su priložene različitim objektima. U slučajevima neusaglašenosti, zbog toga što virtuelna mašina ne može automatski da otkloni neusaglašenost, prestaće da primenjuje pravila i prikazaće grešku.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×