สนับสนุนสำหรับการจัดวาง Hyper-V ขยายพอร์ต Acl ใน System Center 2012 R2 VMM กับการปรับปรุงค่าสะสม 8

ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ

ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:3101161
สรุป
ผู้ดูแลระบบของ Microsoft System Center 2012 R2 เครื่องเสมือน Manager (VMM) สามารถเดี๋ยวนี้จากส่วนกลางสร้าง และจัดการ Hyper-V พอร์ต access control list (Acl) ใน VMM
ข้อมูลเพิ่มเติม
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ 8 ยกเลิกโปรแกรมปรับปรุงสำหรับ System Center 2012 R2 เครื่องเสมือน Manager คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

3096389 ปรับปรุงสะสม 8 สำหรับ System Center 2012 R2 เครื่องเสมือน Manager

อภิธานศัพท์

เราได้ปรับปรุงโมเดลวัตถุตัวจัดการเครื่องเสมือนได้ โดยการเพิ่มแนวคิดใหม่ต่อไปนี้ในพื้นที่การจัดการเครือข่าย
  • รายการการควบคุมการเข้าถึงพอร์ต (พอร์ต ACL)
    วัตถุที่มีแนบ primitives เชื่อมต่อเครือข่าย VMM ต่าง ๆ เพื่ออธิบายความปลอดภัยของเครือข่าย ท่าเรือ ACL ที่ทำหน้าที่เป็นคอลเลกชันของรายการควบคุมการเข้าถึงหรือกฎ ACL ACL สามารถแนบกับหมายเลขใด ๆ (เท่ากับศูนย์ หรือมากกว่า) ของ VMM primitives เช่นเครือข่าย VM ซับเน็ต VM อะแดปเตอร์เครือข่ายเสมือน หรือเซิร์ฟเวอร์จัดการ VMM นั้นการเชื่อมต่อเครือข่าย ACL ประกอบด้วยจำนวนเท่าใด (เป็นศูนย์ หรือมากกว่า) ACL กฎ แต่ละเข้ากันได้กับ VMM ดั้งเดิมระบบเครือข่าย (เครือข่าย VM ซับเน็ต VM อะแดปเตอร์เครือข่ายเสมือน หรือเซิร์ฟเวอร์จัดการ VMM) สามารถมีได้หนึ่งพอร์ต ACL ที่แนบหรือไม่
  • รายการควบคุมการเข้าถึงพอร์ตหรือกฎ ACL
    วัตถุที่อธิบายนโยบายการกรอง ACL หลายกฎสามารถมีอยู่ใน ACL พอร์ตเดียวกัน และใช้ตามระดับความสำคัญ กฎแต่ละกฎ ACL ที่สอดคล้องกับเพียงหนึ่งพอร์ต ACL
  • ตั้งค่าส่วนกลาง
    แนวคิดเสมือนที่อธิบายพอร์ต ACL ที่ใช้กับอะแดปเตอร์เครือข่ายเสมือน VM ทั้งหมดในโครงสร้างพื้นฐาน ไม่มีชนิดของวัตถุที่แยกต่างหากสำหรับการตั้งค่าส่วนกลาง แทน พอร์ตตั้งค่าสากล ACL ที่แนบไปยังเซิร์ฟเวอร์จัดการ VMM เอง วัตถุเซิร์ฟเวอร์จัดการ VMM สามารถมีได้หนึ่งพอร์ต ACL ที่หรือไม่
ดูข้อมูลเกี่ยวกับวัตถุต่าง ๆ ในพื้นที่การจัดการเครือข่ายที่พร้อมใช้งานก่อนหน้านี้ ข้อมูลพื้นฐานของเดสก์ท็อปวัตถุเครือข่ายตัวจัดการเครื่องเสมือน.

ฉันสามารถทำอะไรกับคุณลักษณะนี้

โดยการใช้อินเทอร์เฟซของ PowerShell ใน VMM คุณเดี๋ยวนี้สามารถทำการดำเนินการต่อไปนี้:
  • กำหนด ACLs พอร์ตและกฎ ACL ของพวกเขา
    • มีใช้กฎกับพอร์ตสวิตช์เสมือนบน Hyper-V เซิร์ฟเวอร์เป็น "ขยายพอร์ต ACLs" (VMNetworkAdapterExtendedAcl) ในคำศัพท์ Hyper-V ซึ่งหมายความ ว่า จะสามารถใช้ได้เฉพาะกับเซิร์ฟเวอร์โฮสต์ R2 Windows Server 2012 (และ Hyper-V Server 2012 R2)
    • VMM จะไม่สร้าง ACLs พอร์ต Hyper-V (VMNetworkAdapterAcl) "ดั้งเดิม" ดังนั้น คุณไม่สามารถใช้ ACLs พอร์ต Windows Server 2012 (หรือ 2012 เซิร์ฟเวอร์ Hyper-V) เซิร์ฟเวอร์ที่โฮสต์ โดยใช้ VMM
    • กฎ ACL พอร์ตทั้งหมดที่กำหนด โดยการใช้คุณลักษณะนี้ใน VMM เป็น stateful (สำหรับ TCP) คุณไม่สามารถสร้างกฎ ACL ดอื่น ๆ สำหรับ TCP โดยใช้ VMM
    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคุณลักษณะ ACL พอร์ตแบบขยายใน Windows Server 2012 Hyper-V R2 ดู สร้างนโยบายความปลอดภัยให้กับรายการควบคุมการเข้าถึงพอร์ตเพิ่มเติมสำหรับ Windows Server 2012 R2.
  • แนบกับพอร์ต ACL การตั้งค่าสากล อาร์กิวเมนต์นี้ใช้ได้กับอะแดปเตอร์เครือข่ายเสมือน VM ทั้งหมดนั้น จะพร้อมใช้งานเฉพาะผู้ดูแลเต็มรูปแบบ
  • แนบ ACLs พอร์ตที่สร้างเครือข่าย VM เครือข่ายย่อย VM หรืออะแดปเตอร์เครือข่ายเสมือน VM นี้มีไว้สำหรับผู้ดูแลเต็มรูปแบบ ผู้ดูแลผู้เช่า และผู้บริการตนเอง (SSUs)
  • ดู และอัพเดตกฎการ ACL พอร์ตที่ถูกกำหนดค่าบน vNIC VM แต่ละตัว
  • ลบพอร์ต ACLs และกฎ ACL ของพวกเขา
แต่ละการดำเนินการเหล่านี้จะครอบคลุมรายละเอียดเพิ่มเติมในบทความนี้

โปรดระวังว่า ฟังก์ชันนี้จะแสดงเฉพาะผ่าน cmdlet ของ PowerShell และจะไม่มีผลในคอนโซล VMM UI (ยกเว้นสำหรับสถานะ "การปฏิบัติตามกฎระเบียบ")

ฉันไม่ทำอะไรกับคุณลักษณะนี้หรือไม่

  • จัดส่งแต่ละกฎสำหรับอินสแตนซ์เดียวเมื่อ ACL ที่ใช้ร่วมกันระหว่างอินสแตนซ์หลายนั้น กฎทั้งหมดจะถูกจัดการจากส่วนกลางภายใน Acl ของแม่ และนำไปใช้ที่ใด ACL ที่แนบ
  • แนบ ACL มากกว่าหนึ่งเอนทิตี
  • ใช้พอร์ต ACLs กับอะแดปเตอร์เครือข่ายเสมือน (vNICs) ในพาร์ติชันหลัก Hyper-V (การจัดการระบบปฏิบัติการ)
  • สร้างกฎของพอร์ต ACL ที่รวมโพรโทคอล IP ระดับ (นอกเหนือจาก TCP หรือ UDP)
  • ใช้พอร์ต ACLs กับเครือข่ายแบบลอจิคัล ไซต์เครือข่าย (ข้อกำหนดของเครือข่ายแบบลอจิคัล), ซับ vLANs และ primitives เชื่อมต่อเครือข่าย VMM อื่น ๆ ที่ถูกแสดงรายการก่อนหน้านี้

ฉันใช้ลักษณะการทำงานหรือไม่

การกำหนด ACLs พอร์ตใหม่และกฎ ACL ของพอร์ต

คุณเดี๋ยวนี้สามารถสร้าง Acl และกฎ ACL ของพวกเขาได้โดยตรงจากใน VMM โดยใช้ cmdlet ของ PowerShell

สร้าง ACL ใหม่

มีเพิ่ม cmdlet ของ PowerShell ใหม่ต่อไปนี้:

SCPortACL ใหม่– ชื่อสายอักขระ> [– คำอธิบายสายอักขระ>]

– ชื่อ: ชื่อของท่าเรือ ACL

– คำอธิบาย: คำอธิบายของพอร์ต ACL (พารามิเตอร์หรือไม่ก็ได้)

รับ SCPortACL

ดึง ACLs พอร์ตทั้งหมด

– ชื่อ: เลือกที่จะกรองตามชื่อ

– รหัส: เลือกที่จะกรองตามรหัส

คำสั่งตัวอย่าง

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


กำหนดกฎ ACL พอร์ตสำหรับพอร์ต ACL
แต่ละพอร์ต ACL ประกอบด้วยคอลเลกชันของ ACL กฎของพอร์ตนี้ กฎแต่ละกฎประกอบด้วยพารามิเตอร์ที่แตกต่างกัน

  • ชื่อ
  • คำอธิบาย
  • ชนิด: ที่ขาเข้า/ขาออก (ทิศทางที่จะใช้ ACL)
  • การดำเนินการ: อนุญาต/ปฏิเสธ (การดำเนินการของ ACL เพื่อให้ปริมาณการใช้งาน หรือเมื่อต้อง การบล็อกปริมาณการใช้งาน)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • โพรโทคอล: TCP/Udp/ใด ๆ (หมายเหตุ: ไม่สนับสนุนโพรโทคอล IP ระดับใน Acl ของพอร์ตที่กำหนด โดย VMM พวกเขายังคงรับการสนับสนุนวิธี โดย Hyper-V)
  • ระดับความสำคัญ: 1 – 65535 (หมายเลขต่ำสุดมีความสำคัญสูงสุด) ระดับความสำคัญนี้จะสัมพันธ์กับเลเยอร์ที่ถูกประยุกต์ใช้ (ข้อมูลเพิ่มเติมเกี่ยวกับวิธีใช้กฎ ACL ตามระดับความสำคัญและวัตถุที่แนบนี้เสนอมี ACL ที่สุด)

Cmdlet ของ PowerShell ใหม่ที่จะเพิ่ม

ใหม่-SCPortACLrule - PortACLPortACL> -ชื่อสายอักขระ> [-อธิบาย<string>] -ชนิด<Inbound |="" outbound="">-<Allow |="" deny="">การดำเนินการ-ความสำคัญ<uint16>-โพรโทคอล<Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

รับ SCPortACLrule

ดึงข้อมูลทั้งหมด ACL กฎของพอร์ต

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • ชื่อ: เลือกที่จะกรองตามชื่อ
  • รหัส: เลือกที่จะกรองตาม ID
  • PortACL: เลือกที่จะกรองตามพอร์ต ACL
คำสั่งตัวอย่าง

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

แนบและแยก ACLs พอร์ต



คุณสามารถแนบ ACLs ดังต่อไปนี้:
  • การตั้งค่าสากล (นำไปใช้กับการ์ดเครือข่าย VM ทั้งหมด เฉพาะ ผู้ดูแลเต็มรูปแบบสามารถทำ)
  • เครือข่าย VM (admins/SSUs admins/ผู้ เช่าเต็มสามารถทำได้)
  • เครือข่ายย่อย VM (admins/SSUs admins/ผู้ เช่าเต็มสามารถทำได้)
  • อะแดปเตอร์เครือข่ายเสมือน (admins/SSUs admins/ผู้ เช่าเต็มสามารถทำ)

ตั้งค่าส่วนกลาง

กฎการ ACL พอร์ตเหล่านี้ใช้ได้กับอะแดปเตอร์เครือข่ายเสมือน VM ทั้งหมดในโครงสร้างพื้นฐาน

Cmdlet ของ PowerShell ที่มีอยู่ถูกปรับปรุง ด้วยพารามิเตอร์ใหม่สำหรับแนบ และแยก ACLs พอร์ต

ชุด SCVMMServer – VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: ใหม่เป็นตัวเลือกพารามิเตอร์ที่คุณสามารถกำหนดค่าพอร์ตที่ระบุ ACL การตั้งค่าสากล
  • RemovePortACL: พารามิเตอร์ที่เลือกได้ใหม่ที่เอาใด ๆ มีการกำหนดค่าพอร์ต ACL จากการตั้งค่าสากล
รับ SCVMMServer: ส่งกลับ ACL พอร์ตที่กำหนดไว้ในวัตถุถูกส่งกลับ

คำสั่งตัวอย่าง

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

เครือข่าย VM


กฎเหล่านี้จะใช้กับการ์ดเครือข่ายเสมือน VM ทั้งหมดที่เชื่อมต่อกับเครือข่ายนี้ VM

Cmdlet ของ PowerShell ที่มีอยู่ถูกปรับปรุง ด้วยพารามิเตอร์ใหม่สำหรับแนบ และแยก ACLs พอร์ต

SCVMNetwork ใหม่ [– PortACLNetworkAccessControlList>] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เป็นตัวเลือกใหม่ที่ช่วยให้คุณระบุพอร์ต ACL VM เครือข่ายในระหว่างการสร้าง

ชุด SCVMNetwork [– PortACLNetworkAccessControlList> | -RemovePortACL] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เป็นตัวเลือกใหม่ที่ช่วยให้คุณสามารถตั้งค่า ACL พอร์ต VM เครือข่าย

-RemovePortACL: พารามิเตอร์ที่เลือกได้ใหม่ที่เอาใด ๆ ที่ตั้งค่าคอนฟิกพอร์ต ACL จาก VM เครือข่าย

รับ SCVMNetwork: ส่งกลับ ACL พอร์ตที่กำหนดไว้ในวัตถุถูกส่งกลับ

คำสั่งตัวอย่าง

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

เครือข่ายย่อย VM


กฎเหล่านี้จะใช้กับการ์ดเครือข่ายเสมือน VM ทั้งหมดที่เชื่อมต่อกับเครือข่ายย่อยนี้ VM

Cmdlet ของ PowerShell ที่มีอยู่ถูกปรับปรุง ด้วยพารามิเตอร์ใหม่สำหรับแนบ และแยก ACLs พอร์ต

SCVMSubnet ใหม่ [– PortACLNetworkAccessControlList>] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เป็นตัวเลือกใหม่ที่ช่วยให้คุณระบุพอร์ต ACL กับ VM subnet ในระหว่างการสร้าง

ชุด SCVMSubnet [– PortACLNetworkAccessControlList> | -RemovePortACL] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เป็นตัวเลือกใหม่ที่ช่วยให้คุณสามารถตั้งค่า ACL พอร์ตกับ VM subnet

-RemovePortACL: พารามิเตอร์ที่เลือกได้ใหม่ที่เอาใด ๆ ที่ตั้งค่าคอนฟิกพอร์ต ACL จากเครือข่ายย่อย VM

รับ SCVMSubnet: ส่งกลับ ACL พอร์ตที่กำหนดไว้ในวัตถุถูกส่งกลับ

คำสั่งตัวอย่าง

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

อะแดปเตอร์เครือข่ายเสมือน VM (vmNIC)


Cmdlet ของ PowerShell ที่มีอยู่ถูกปรับปรุง ด้วยพารามิเตอร์ใหม่สำหรับแนบ และแยก ACLs พอร์ต

SCVirtualNetworkAdapter ใหม่ [– PortACLNetworkAccessControlList>] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เป็นตัวเลือกใหม่ที่ช่วยให้คุณสามารถระบุพอร์ต ACL กับอะแดปเตอร์เครือข่ายเสมือนในขณะที่คุณกำลังสร้างเป็น vNIC ใหม่

ชุด SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList> | -RemovePortACL] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เป็นตัวเลือกใหม่ที่ช่วยให้คุณสามารถตั้งค่า ACL พอร์ตเป็นอะแดปเตอร์เครือข่ายเสมือน

-RemovePortACL: พารามิเตอร์ที่เลือกได้ใหม่ที่เอาใด ๆ ที่ตั้งค่าคอนฟิกพอร์ต ACL จากอะแดปเตอร์เครือข่ายเสมือน

รับ SCVirtualNetworkAdapter: ส่งกลับ ACL พอร์ตที่กำหนดไว้ในวัตถุถูกส่งกลับ

คำสั่งตัวอย่าง

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

ใช้กฎ ACL ของพอร์ต

เมื่อคุณรีเฟรชแบบ VMs หลังจากคุณแนบ ACLs พอร์ต คุณสังเกตเห็นว่า สถานะของ VMs จะถูกแสดงเป็น "ไม่เข้ากันกับ" ในมุมมองของพื้นที่ทำงานผ้าเครื่องเสมือน (เมื่อต้องการสลับไปที่มุมมองเครื่องเสมือน คุณจำเป็นต้องเรียกดูเครือข่ายแบบลอจิคัลโหนดหรือโหนสลับตรรกะของพื้นที่ทำงานผ้าก่อน) คุณควรตระหนักว่า ฟื้นฟู VM เกิดขึ้นโดยอัตโนมัติในแบบแบ็คกราวน์ (ตามกำหนดการ) ดังนั้น ถึงแม้ว่าคุณไม่ต้องรีเฟรช VMs อย่างชัดเจน เหล่านั้นจะเข้าสู่สถานะ noncompliant ในขั้นสุดท้าย



ณจุดนี้ ACLs พอร์ตได้ไม่ได้นำไปใช้กับ VMs และอะแดปเตอร์เครือข่ายเสมือนที่เกี่ยวข้องของพวกเขา เมื่อต้องการใช้พอร์ต ACLs คุณจำเป็นต้องก่อให้เกิดกระบวนการที่เรียกว่าด้าน นี้ไม่เคยเกิดขึ้นโดยอัตโนมัติ และควรจะเริ่มต้นอย่างชัดเจนเมื่อ มีการร้องขอของผู้ใช้

เมื่อต้องการเริ่มการทำงานด้าน คุณคลิRemediateบน Ribbon หรือเรียกใช้ cmdletซ่อมแซม SCVirtualNetworkAdapterไว้ มีการเปลี่ยนแปลงเฉพาะกับไวยากรณ์ cmdlet สำหรับคุณลักษณะนี้

ซ่อมแซม-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating VMs เหล่านี้จะทำเครื่องหมายเป็นไปตามข้อกำหนด และตรวจสอบให้แน่ใจว่า มีใช้ ACLs พอร์ตเพิ่มเติม คุณควรตระหนักว่า พอร์ต Acl จะไม่ใช้กับ VMs ใด ๆ ในขอบเขตได้จนกว่าคุณ remediate อย่างชัดเจน

ดูกฎ ACL ของพอร์ต

เมื่อต้องการดู ACLs และ ACL กฎ คุณสามารถใช้ cmdlet ของ PowerShell ต่อไปนี้

Cmdlet ของ PowerShell ใหม่ที่จะเพิ่ม

ดึงข้อมูลพอร์ต ACLs

1 การตั้งค่าพารามิเตอร์ เมื่อต้องการรับทั้งหมด หรือแสดง ตามชื่อ:รับ SCPortACL [-ชื่อ<>]

พารามิเตอร์การตั้งค่า 2 เมื่อต้องการเรียกดูตามรหัส:รับ-SCPortACL -รหัส<>[-ชื่อ<>]

เรียกใช้กฎ ACL ของพอร์ต

1 การตั้งค่าพารามิเตอร์ ทั้งหมดหรือแสดง ตามชื่อ:รับ SCPortACLrule [-ชื่อ<>]

พารามิเตอร์การตั้งค่า 2 โดย ID: SCPortACLrule รับ-Id <>

พารามิเตอร์การตั้งค่า 3 โดยออบเจกต์ ACL: SCPortACLrule รับ– PortACLNetworkAccessControlList>

กำลังปรับปรุง ACL กฎของพอร์ต

เมื่อคุณปรับปรุง ACL ที่แนบอยู่กับอะแดปเตอร์เครือข่าย การเปลี่ยนแปลงจะสะท้อนให้เห็นในกรณีอะแดปเตอร์เครือข่ายทั้งหมดที่ใช้ ACL ที่ สำหรับ ACL ที่แนบกับเครือข่ายย่อย VM หรือเครือข่าย VM กรณีอะแดปเตอร์เครือข่ายทั้งหมดที่เชื่อมต่อกับเครือข่ายย่อยที่มีการปรับปรุง ด้วยการเปลี่ยนแปลง

หมายเหตุ จะมีดำเนินการปรับปรุงกฎ ACL บนอะแดปเตอร์เครือข่ายแต่ละพร้อมกันในโครงร่างหนึ่งลองพยายามที่ดีที่สุด อะแดปเตอร์ที่ไม่สามารถปรับปรุงได้ด้วยเหตุผลใด ๆ ที่ถูกทำเครื่องหมาย "การรักษาความปลอดภัย incompliant" และงานเสร็จสิ้น มีข้อผิดพลาดที่ระบุว่า อะแดปเตอร์เครือข่ายที่ไม่ได้ปรับปรุงเสร็จเรียบร้อยแล้ว "การรักษาความปลอดภัย incompliant" นี่หมายถึงไม่ตรงกันในคาดว่ากฎ ACL ที่เกิดขึ้นจริงเทียบกับที่อยู่ อะแดปเตอร์จะมีสถานะการปฏิบัติตามกฎระเบียบของ "ไม่เข้ากันกับ" เข้าด้วยกันกับข้อผิดพลาดที่เกี่ยวข้อง ดูส่วนก่อนหน้านี้สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องเสมือน noncompliant remediating
Cmdlet PowerShell ใหม่ที่เพิ่ม
ชุด-SCPortACL - PortACLPortACL> [-ชื่อชื่อ>] [-คำอธิบาย <>n >]

ชุด-SCPortACLrule - PortACLrulePortACLrule> [-ชื่อชื่อ>] [-คำอธิบายสายอักขระ>] [-ชนิดPortACLRuleDirection> {ขาเข้า | ขาออก}] [-การดำเนินการPortACLRuleAction> {อนุญาตให้ | ปฏิเสธ}] [-SourceAddressPrefixสายอักขระ>] [-SourcePortRangeสายอักขระ>] [-DestinationAddressPrefixสายอักขระ>] [-DestinationPortRangeสายอักขระ>] [-โพรโทคอลPortACLruleProtocol> { Tcp | Udp | ใด ๆ }]

ชุด SCPortACL: เปลี่ยนแปลงคำอธิบาย ACL พอร์ต
  • คำอธิบาย: การปรับปรุงคำอธิบาย

ชุด SCPortACLrule: เปลี่ยนพารามิเตอร์กฎ ACL พอร์ต
  • คำอธิบาย: การปรับปรุงคำอธิบาย
  • ชนิด: อัพเดต ACL จะใช้ทิศทาง
  • การดำเนินการ: ปรับปรุงการดำเนินการของ ACL
  • โพรโทคอล: ปรับปรุงโพรโทคอลซึ่งจะนำไปใช้ ACL
  • ระดับความสำคัญ: การปรับปรุงสำคัญ
  • SourceAddressPrefix: ปรับปรุงคำเสริมหน้าในรายชื่อแหล่งที่มา
  • SourcePortRange: ปรับปรุงช่วงพอร์ตแหล่งที่มา
  • DestinationAddressPrefix: ปรับปรุงคำนำหน้าที่อยู่ปลายทาง
  • DestinationPortRange: ปรับปรุงช่วงพอร์ตปลายทาง

การลบพอร์ต ACLs และ ACL กฎของพอร์ต

สามารถลบ ACL ก็ต่อเมื่อมีการอ้างอิงไม่ได้แนบมา การอ้างอิงรวม VM เครือ ข่าย/VM ซับเน็ต/เสมือนเครือข่ายอะแดปเตอร์/ตั้งค่าสากลที่แนบกับ ACL เมื่อคุณพยายามที่จะลบพอร์ต ACL ได้ โดยใช้ cmdlet PowerShell, cmdlet นี้จะตรวจหาว่า พอร์ต ACL ที่แนบกับการอ้างอิงใด ๆ และจะอยู่นอกกระบวนการแสดงข้อผิดพลาดที่เหมาะสม

เอา ACLs พอร์ต

Cmdlet ของ PowerShell ใหม่ถูกเพิ่มเข้ามา:

เอา-SCPortACL - PortACLNetworkAccessControlList>

เอากฎ ACL ของพอร์ต

Cmdlet ของ PowerShell ใหม่ถูกเพิ่มเข้ามา:

เอา-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

โปรดทราบว่า เครือข่ายซับ เน็ต/VM ลบ VM/อะ แดปเตอร์เครือข่ายที่เชื่อมโยงกับ ACL ที่เอาออกโดยอัตโนมัติ

ACL สามารถยังสามารถยกเลิกความสัมพันธ์จากอะแดปเตอร์เครือข่าย/เครือข่ายซับ เน็ต/VM VM โดยการเปลี่ยนวัตถุการเชื่อมต่อเครือข่าย VMM เกี่ยวข้อง เมื่อต้องการทำเช่นนี้ ใช้ cmdletชุด-ร่วมกับสวิตช์- RemovePortACLตามที่อธิบายไว้ในส่วนก่อนหน้านี้ ในกรณีนี้ พอร์ต ACL จะถูกแยกออกจากเครือข่ายแต่ละวัตถุ แต่จะไม่ถูกลบออกจากโครงสร้างพื้นฐานของ VMM ดังนั้น จึง จะสามารถนำมาในภายหลัง

เปลี่ยนแปลงกฎ ACL ออกแบนด์

หากเรากำลังทำอยู่ออกแบนด์ (OOB) การเปลี่ยนแปลงกฎ ACL จาก Hyper-V เสมือนพอร์ตสวิทช์ (โดยใช้ cmdlet ของ Hyper-V ดั้งเดิมเช่นเพิ่ม VMNetworkAdapterExtendedAcl), รีเฟรช VM จะแสดงอะแดปเตอร์เครือข่ายเป็น "ความปลอดภัย Incompliant" อะแดปเตอร์เครือข่ายนั้นสามารถถูก remediated จาก VMM ตามที่อธิบายไว้ในส่วน "ACLs พอร์ต Applying" อย่างไรก็ตาม ด้านจะบันทึกทับกฎ ACL พอร์ตทั้งหมดที่กำหนดไว้ภายนอก VMM กับที่คาดไว้ โดย VMM

พอร์ต ACL กฎลำดับความสำคัญและแอพลิเคชันมีความสำคัญ (ขั้นสูง)

แนวคิดหลัก

กฎแต่ละกฎ ACL พอร์ตในพอร์ต ACL ที่มีคุณสมบัติที่มีชื่อว่า "สำคัญ" มีใช้กฎตามลำดับตามระดับความสำคัญ หลักการหลักดังต่อไปนี้กำหนดลำดับความสำคัญของกฎ:
  • ระดับความสำคัญต่ำ number ที่มีความสำคัญจะยิ่งมากขึ้น นั่นคือ ถ้าหลายกฎ ACL พอร์ตไม่ตรงกับแต่ละอื่น กฎที่ มีลำดับความสำคัญต่ำกว่าเป็นผู้ชนะ
  • การกระทำของกฎมีความสำคัญที่เลือกไว้ กล่าวคือ ไม่เหมือนกับ NTFS Acl (ตัวอย่าง), ที่นี่เราไม่มีแนวคิดเหมือน "ปฏิเสธเสมอจะมีความสำคัญเหนือกว่าอนุญาต"
  • ในแบบเดียวกับลำดับความสำคัญ (ค่าตัวเลขเดียวกัน), คุณไม่สามารถใช้กฎที่สอง มีทิศทางเดียวกันได้ ลักษณะการทำงานนี้ป้องกันไม่ให้สถานการณ์ข้างกล่องซึ่งหนึ่งไม่สามารถกำหนดกฎทั้ง "ปฏิเสธ" และ "อนุญาต" มีความสำคัญเท่ากัน เนื่องจากจะทำในการแปล หรือความขัดแย้ง
  • ความขัดแย้งถูกกำหนดเป็นอย่าง น้อยสองกฎที่มีความสำคัญเท่ากันและทิศทางเดียวกัน ความขัดแย้งอาจเกิดขึ้น ถ้ามีกฎ ACL พอร์ตสองทิศทางใน Acl ที่สองที่มีใช้งานในระดับที่แตกต่างกันและระดับความสำคัญเดียวกัน และระดับเหล่านั้นเหลื่อมบางส่วน นั่นคือ อาจมีวัตถุ (ตัวอย่างเช่น vmNIC) ที่อยู่ภายในขอบเขตของทั้งสองระดับ ตัวอย่างทั่วไปของการซ้อนทับกันเป็นเครือข่าย VM และซับเน็ต VM ในเครือข่ายเดียวกัน

ใช้พอร์ตหลาย ACLs กับเอนทิตีเดียว

เนื่องจากพอร์ต ACLs สามารถนำไปใช้ กับวัตถุการเชื่อมต่อเครือข่าย VMM ที่แตกต่างกัน (หรือ ใน ระดับที่แตกต่าง อธิบายไว้ก่อนหน้านี้), การ์ดเครือข่ายเสมือน VM (vmNIC) เดียวสามารถอยู่ภายในขอบเขตของพอร์ตหลาย ACLs ในสถานการณ์สมมตินี้ จะมีใช้กฎ ACL พอร์ตจาก Acl พอร์ตทั้งหมด อย่างไรก็ตาม ความสำคัญของกฎเหล่านั้นอาจแตกต่าง ขึ้นอยู่กับการตั้งค่าที่กล่าวถึงในบทความนี้เพื่อให้เกิด VMM ใหม่หลายครั้ง

การตั้งค่ารีจิสทรี

การตั้งค่าเหล่านั้นถูกกำหนดเป็นค่า Dword ใน Windows รีจิสทรีภายใต้คีย์ต่อไปนี้บนเซิร์ฟเวอร์จัดการ VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

โปรดระวังว่า ตั้งค่าทั้งหมดเหล่านี้จะมีผลต่อลักษณะการทำงานของพอร์ต ACLs ข้าม VMM โครงสร้างพื้นฐานทั้งหมด

ระดับความสำคัญของกฎ ACL ที่มีผลบังคับใช้พอร์ต

ในการสนทนานี้ เราจะอธิบายถึงลำดับความสำคัญที่แท้จริงของกฎของพอร์ต ACL เมื่อพอร์ตหลาย ACLs กับเอนทิตีเดียวเป็นระดับความสำคัญของกฎที่มีผลบังคับใช้ โปรดตระหนักว่า ไม่มีการตั้งค่าที่แยกต่างหากหรือวัตถุใน VMM เพื่อกำหนด หรือดูระดับความสำคัญของกฎที่มีผลบังคับใช้ จะมีคำนวณในขณะทำงาน

มีสองโหมดที่สากลสามารถคำนวณระดับความสำคัญของกฎที่มีผลบังคับใช้ โหมดจะสลับ โดยการตั้งค่ารีจิสทรี:
PortACLAbsolutePriority

ค่ายอมรับได้สำหรับการตั้งค่านี้มีค่าเป็น 0 (ศูนย์) หรือ 1 ซึ่ง 0 ระบุถึงลักษณะการทำงานเริ่มต้นขึ้น

ลำดับความสำคัญแบบสัมพัทธ์ (ลักษณะเริ่มต้น)

เมื่อต้องการเปิดใช้งานโหมดนี้ ตั้งค่าคุณสมบัติPortACLAbsolutePriorityในรีจิสทรีค่าเป็น 0 (ศูนย์) โหมดนี้นำไปใช้ถ้าการตั้งค่าไม่ได้กำหนดไว้ในรีจิสทรี (นั่นคือ ถ้าไม่มีสร้างคุณสมบัติ) นอกจากนี้

ในโหมดนี้ ใช้หลักการต่อไปนี้เพิ่มเติมจากแนวคิดหลักที่ได้อธิบายไว้ก่อนหน้านี้:
  • ระดับความสำคัญภายใน ACL พอร์ตเดียวกันจะถูกรักษาไว้ ดังนั้น ค่าลำดับความสำคัญที่กำหนดไว้ในกฎแต่ละกฎจะถือเป็นแบบย่อภายใน ACL
  • เมื่อคุณใช้พอร์ตหลาย ACLs มีใช้กฎของพวกเขาในกลุ่ม กฎจาก ACL เดียว (แนบกับวัตถุที่กำหนด) จะมีใช้ร่วมกันภายในกลุ่มเดียวกัน ความสำคัญของกลุ่มเฉพาะที่ขึ้นอยู่กับวัตถุที่แนบกับพอร์ต ACL
  • ที่นี่ กฎใด ๆ ที่กำหนดไว้ในการตั้งค่าสากล ACL (โดยไม่คำนึงถึงตนเองระดับความสำคัญตามที่กำหนดไว้ในพอร์ต ACL) เสมอ จะมีผลเหนือกฎที่กำหนดไว้ใน ACL ที่ใช้กับ vmNIC และอื่น ๆ อีกนัยหนึ่ง เว้นวรรคชั้นบังคับใช้

การแก้ไข ระดับความสำคัญของกฎที่มีผลบังคับใช้อาจแตกต่างจากค่าตัวเลขที่คุณกำหนดไว้ในคุณสมบัติกฎ ACL พอร์ต ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการบังคับใช้ลักษณะการทำงานนี้และคุณสามารถเปลี่ยนตรรกะของต่อไปนี้

  1. คุณสามารถเปลี่ยนลำดับที่สามระดับ "เฉพาะวัตถุ" (นั่นคือ vmNIC ซับเน็ต VM และเครือข่าย VM) จะมีผลก่อน

    1. ไม่สามารถเปลี่ยนลำดับของการตั้งค่าสากล ใช้ลำดับความสำคัญสูงสุดเสมอ (หรือใบสั่ง = 0)
    2. สำหรับอื่น ๆ สามระดับ คุณสามารถตั้งค่าการตั้งค่าต่อไปนี้เป็นค่าตัวเลขระหว่าง 0 ถึง 3, 0 มีความสำคัญสูงสุด (เท่ากับการตั้งค่าส่วนกลาง) และ 3 จะมีความสำคัญที่ต่ำที่สุดที่:
      • PortACLVMNetworkAdapterPriority
        (ค่าเริ่มต้นคือ 1)
      • PortACLVMSubnetPriority
        (ค่าเริ่มต้นคือ 2)
      • PortACLVMNetworkPriority
        (ค่าเริ่มต้นคือ 3)
    3. ถ้าคุณกำหนดค่าเดียวกัน (0 ถึง 3) เมื่อต้องการตั้งค่ารีจิสทรีเหล่านี้หลาย หรือ ถ้าคุณกำหนดค่าอยู่นอกช่วง 0 ถึง 3, VMM จะล้มเหลวเมื่อต้องการทำงานดีฟอลต์
  2. วิธีที่จัดลำดับการบังคับใช้อยู่ที่ระดับความสำคัญของกฎที่มีผลบังคับใช้มีการเปลี่ยนแปลงเพื่อให้กฎ ACL ที่กำหนดไว้ในระดับสูงกว่ามีระดับความสำคัญสูง (นั่นคือ มีขนาดเล็กกว่าค่าตัวเลข) ที่ได้รับ เมื่อมีคำนวณ ACL ที่มีผลบังคับใช้ ค่าระดับความสำคัญของแต่ละกฎที่เกี่ยวข้องเป็น "bumped" โดยค่าระดับเฉพาะหรือ "ขั้น"
  3. ค่าระดับเฉพาะคือ "ขั้นตอน" ที่แบ่งระดับที่แตกต่างกัน โดยค่าเริ่มต้น ขนาดของ "ขั้นตอน" คือ 10000 และมีการกำหนดค่าการตั้งค่ารีจิสทรีต่อไปนี้:
    PortACLLayerSeparation
  4. ซึ่งหมายความ ว่า ในโหมดนี้ ระดับความสำคัญของแต่ละกฎใด ๆ ภายใน ACL (นั่นคือ กฎที่ถือว่าเป็นแบบสัมพัทธ์) ต้องไม่เกินค่าของการตั้งค่าต่อไปนี้:
    PortACLLayerSeparation
    (โดยค่าเริ่มต้น 10000)
ตัวอย่างการตั้งค่าคอนฟิก
สมมติว่า ตั้งค่าทั้งหมดมีค่าเริ่มต้น (เหล่านี้อธิบายไว้ก่อนหน้านี้)
  1. เรามี ACL ที่แนบกับ vmNIC (PortACLVMNetworkAdapterPriority = 1)
  2. ระดับความสำคัญที่มีผลบังคับใช้สำหรับกฎทั้งหมดที่กำหนดไว้ใน ACL นี้คือ bumped ละ 10000 (PortACLLayerSeparation value)
  3. เรากำหนดกฎในนี้ ACL ที่มีระดับความสำคัญสูงที่ถูกตั้งค่าเป็น 100
  4. ระดับความสำคัญที่มีผลบังคับใช้สำหรับกฎนี้จะเป็น 10000 + 100 = 10100
  5. กฎจะเกิดขึ้นก่อนหน้ากฎอื่น ๆ ภายใน ACL เดียวกันที่มีลำดับความสำคัญมากกว่า 100
  6. กฎจะเสมอจะมีบทบาทเหนือกฎใด ๆ ที่กำหนดไว้ใน Acl ที่แนบบนเครือข่าย VM และระดับซับเน็ต VM (นี่เป็นจริงเนื่องจากข้อมูลที่จัดเป็นระดับ "ต่ำ")
  7. กฎจะไม่เคยจะมีบทบาทเหนือกฎใด ๆ ที่กำหนดไว้ในการตั้งค่า ACL สากล
ข้อดีของโหมดนี้
  • ไม่มีความปลอดภัยมากขึ้นในผู้เช่าหลายสถานการณ์เนื่องจากกฎ ACL ของพอร์ตที่กำหนด โดยผู้ดูแลระบบผ้า (ในระดับการตั้งค่าสากล) จะเสมอจะมีผลเหนือกฎใด ๆ ที่กำหนดไว้ โดยผู้เช่าเอง
  • พอร์ต ACL กฎข้อขัดแย้งใด ๆ (นั่นคือ ambiguities) จะไม่สามารถได้เนื่องจาก มีการแยกชั้นโดยอัตโนมัติ เป็นเรื่องง่ายมากในการทำนายกฎซึ่งจะมีผลบังคับใช้ และเหตุใดจึง
Cautions กับโหมดนี้
  • ความยืดหยุ่นน้อยลง ถ้าคุณกำหนดกฎ (ตัวอย่างเช่น, "ปฏิเสธการรับส่งข้อมูลทั้งหมดกับพอร์ต 80") ในการตั้งค่าสากล คุณไม่สามารถสร้างการยกเว้น granular มากขึ้นจากกฎนี้ในชั้นระดับล่าง (ตัวอย่างเช่น, "อนุญาตพอร์ต 80 บน VM นี้ที่เรียกใช้ถูกต้องตามกฎหมายของเว็บเซิร์ฟเวอร์เท่านั้น")

ระดับความสำคัญที่เกี่ยวข้อง

เมื่อต้องการเปิดใช้งานโหมดนี้ ตั้งค่าคุณสมบัติPortACLAbsolutePriorityในรีจิสทรีค่าเป็น 1

ในโหมดนี้ ใช้หลักการต่อไปนี้เพิ่มเติมจากแนวคิดหลักที่อธิบายไว้ก่อนหน้านี้:
  • ถ้าวัตถุอยู่ภายในขอบเขตของหลาย ACLs (ตัวอย่างเช่น เครือข่าย VM และซับเน็ต VM), มีใช้กฎทั้งหมดที่กำหนดไว้ใน Acl ใด ๆ แนบประกอบการลำดับ (หรือ เป็นฝากข้อมูลเดียว) ไม่มีไม่เว้นวรรคระดับและไม่มี "ชน" ก็ตาม
  • ระดับความสำคัญของกฎทั้งหมดจะถือว่าเป็นสมบูรณ์ เหมือนกับที่กำหนดไว้ในแต่ละระดับความสำคัญของกฎ อีกนัยหนึ่ง ระดับความสำคัญที่มีผลบังคับใช้สำหรับแต่ละกฎจะเหมือนกับสิ่งที่กำหนดไว้ในกฎตัวเอง และจะไม่เปลี่ยน โดยกลไก VMM ก่อนที่จะถูกนำไปใช้
  • ค่ารีจิสทรีอื่น ๆ ทั้งหมดที่อธิบายไว้ในส่วนก่อนหน้านี้จะไม่มีผล
  • ในโหมดนี้ ระดับความสำคัญของแต่ละกฎใด ๆ ใน ACL (นั่นคือ ความกฎสำคัญที่ถือว่าเป็นแบบสัมบูรณ์) ไม่เกิน 65535
ตัวอย่างการตั้งค่าคอนฟิก
  1. ในการตั้งค่าสากล ACL คุณกำหนดกฎที่มีลำดับความสำคัญถูกตั้งค่าเป็น 100
  2. ใน ACL ที่แนบอยู่กับ vmNIC คุณกำหนดกฎที่มีลำดับความสำคัญถูกตั้งค่าเป็น 50
  3. กฎที่กำหนดไว้ในระดับ vmNIC จะมีความสำคัญเนื่องจากมีความสำคัญสูงกว่า (นั่นคือ ต่ำกว่าค่าตัวเลข)
ข้อดีของโหมดนี้
  • เพิ่มความยืดหยุ่น คุณสามารถสร้าง exemptions "ใช้ครั้งเดียว" จากกฎการตั้งค่าสากลในระดับที่ต่ำกว่า (ตัวอย่างเช่น ซับเน็ต VM หรือ vmNIC)
Cautions กับโหมดนี้
  • การวางแผนอาจมีซับซ้อนมากขึ้นเนื่องจากมีไม่เว้นวรรคระดับ และสามารถมีกฎในระดับใดที่แทนกฎอื่น ๆ ที่กำหนดไว้ในวัตถุอื่น ๆ
  • ในสภาพแวดล้อมแบบหลายผู้เช่า ความปลอดภัยอาจเป็นผลเนื่องจากผู้เช่าสามารถสร้างกฎในระดับซับเน็ต VM ที่แทนนโยบายที่กำหนด โดยผู้ดูแลระบบผ้าในระดับการตั้งค่าส่วนกลาง
  • ความขัดแย้งของกฎ (นั่นคือ ambiguities) จะไม่ถูกตัดออกโดยอัตโนมัติ และสามารถเกิดขึ้นได้ VMM สามารถป้องกันข้อขัดแย้งในระดับ ACL เดียวเท่านั้น จะไม่สามารถป้องกันความขัดแย้งระหว่าง Acl ที่แนบอยู่กับวัตถุต่าง ๆ ในกรณีของความขัดแย้ง เนื่องจาก VMM ไม่สามารถแก้ไขความขัดแย้งโดยอัตโนมัติ ก็จะหยุดใช้กฎ นั้นจะอยู่นอกกระบวนข้อผิดพลาด

คำเตือน: บทความนี้ได้รับการแปลโดยอัตโนมัติ

คุณสมบัติ

รหัสบทความ: 3101161 - การตรวจสอบครั้งสุดท้าย: 10/30/2015 09:26:00 - ฉบับแก้ไข: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtth
คำติชม