Hyper-V bağlantı noktası ACL System Center 2012 R2 VMM, güncelleştirme paketi 8'de Genişletilmiş dağıtmak için destek

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 3101161
Özet
Yöneticiler, Microsoft System Center 2012 R2 Sanal Makine Yöneticisi (VMM) şimdi merkezi olarak oluşturabilir ve Hyper-V bağlantı noktasına erişim denetim listelerini (ACL) VMM yönetebilirsiniz.
Daha fazla bilgi
Sistem Merkezi 2012 R2 Sanal Makine Yöneticisi için güncelleştirme toplaması 8 hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

3096389 Güncelleştirme Paketi 8 için Sistem Merkezi 2012 R2 Sanal Makine Yöneticisi

Sözlük

Biz Sanal Makine Yöneticisi nesne modeli ağ yönetimi alanında aşağıdaki yeni kavramları ekleyerek iyileştirilmiştir.
  • Bağlantı noktası erişim denetim listesi (ACL bağlantı noktası)
    Ağ güvenliği açıklamak için çeşitli VMM ağ temelleri için bağlı bir nesne. Bağlantı noktası ACL erişim denetimi girdileri veya ACL kuralları koleksiyonu olarak hizmet verir. ACL herhangi bir sayıda (sıfır veya daha fazla) ağ VM ağ, VM alt ağ, sanal ağ bağdaştırıcısı veya VMM Yönetim sunucusu kendisi gibi ilkel VMM iliştirilebilir. ACL herhangi bir sayıda (sıfır veya daha fazla) ACL kurallar içerebilir. Temel ağ her uyumlu VMM (VM ağ, alt ağ VM, sanal ağ bağdaştırıcısı veya VMM Yönetim sunucusu) ACL eklenmiş bir bağlantı noktası veya none olabilir.
  • Bağlantı noktası erişim denetim girdisi veya ACL kuralı
    Filtreleme İlkesi tanımlayan nesne. Birden çok ACL kuralları, aynı bağlantı noktasına ACL var ve öncelikleri alınarak uygulanır. Her bir ACL kuralı ACL tek bir bağlantı noktasına karşılık gelir.
  • Genel ayarları
    Bağlantı noktası tüm altyapı VM sanal ağ bağdaştırıcıları için uygulanan ACL açıklar sanal bir kavram. Genel ayarlar için ayrı bir nesne türü yok. Bunun yerine, genel ayarları bağlantı noktası ACL VMM Yönetim sunucusu kendisi iliştirir. VMM Yönetim sunucu nesnesi ACL bir bağlantı noktası veya none olabilir.
Ağ Yönetimi alanında daha önce kullanılabilen nesneleri hakkında daha fazla bilgi için bkz. Sanal Makine Yöneticisi ağ nesnesinin temelleri.

Bu özellik ile ne yapabilirim?

VMM PowerShell arabirimi kullanarak, şimdi aşağıdaki eylemleri gerçekleştirebilirsiniz:
  • Bağlantı noktası ACL ve kendi ACL kuralları tanımlayın.
    • Kurallar "genişletilmiş bağlantı noktası ACL" Hyper-V sunucuları üzerinde virtual anahtar bağlantı noktalarına uygulanır (VMNetworkAdapterExtendedAcl) Hyper-V terminoloji içinde. Başka bir deyişle, yalnızca Windows Server 2012 R2 (ve Hyper-V Server 2012 R2) ana bilgisayar sunucularına uygulayabilirsiniz.
    • "Eski" Hyper-V bağlantı noktası (VMNetworkAdapterAcl) ACL'leri VMM oluşturmaz. Bu nedenle, VMM kullanarak Windows Server 2012 (veya Hyper-V Server 2012) ana bilgisayar sunucularına bağlantı noktası ACL uygulayamazsınız.
    • Bu özelliği kullanarak VMM içinde tanımlanan tüm bağlantı noktası ACL (TCP için) durum bilgisi olan kurallardır. VMM kullanarak TCP için durum bilgisi olmayan ACL kuralları oluşturamazsınız.
    Genişletilmiş bağlantı noktası ACL özelliği Windows Server 2012 R2 Hyper-V hakkında daha fazla bilgi için bkz. Güvenlik ilkeleri Windows Server 2012 R2 ile genişletilmiş bağlantı noktasına erişim denetim listelerini oluşturmak.
  • Bağlantı noktası ACL için genel ayarları ekleyin. Bu, tüm VM sanal ağ bağdaştırıcısına uygulanır. Yalnızca tam yöneticileri tarafından kullanılabilir.
  • VM ağ, VM alt ağlar veya VM sanal ağ bağdaştırıcıları için oluşturulan bağlantı noktası ACL'leri iliştirin. Bu tam yöneticileri, Kiracı Yöneticiler ve kullanıcılar kendi kendine (SSUs) için kullanılabilir.
  • Görüntülemek ve tek tek VM vNIC üzerinde yapılandırılan bağlantı noktası ACL kuralları güncelleştirin.
  • Bağlantı noktası ACL ve kendi ACL kuralları silin.
Bu eylemlerin her biri, bu makalenin sonraki bölümlerinde daha ayrıntılı olarak ele alınmaktadır.

Bu işlev yalnızca PowerShell cmdlet'leri sunulur ve VMM konsolunda UI (dışında "Uyumluluk" durumu) yansıtılmaz farkında olun.

Bu özellik ile ne yapabilirim değil mi?

  • Yönet/ayrı ayrı kuralları için tek bir örneği birden çok örneği arasında ACL paylaşıldığında güncelleştirme. Tüm kurallar, üst ACL içinde merkezi olarak yönetilir ve ACL bağlı olduğu her yerde uygulayın.
  • Birden fazla ACL bir varlığa iliştirin.
  • Bağlantı noktası ACL'leri (vNICs) sanal ağ bağdaştırıcıları için Hyper-V ana bölümü (işletim sistemi Yönetimi) uygulanır.
  • Bağlantı noktası ACL içeren IP düzeyinde iletişim kuralları (TCP veya UDP dışında) bir kural oluşturun.
  • Bağlantı noktası ACL Mantıksal ağlar, ağ siteleri (mantıksal ağ tanımları), alt ağ VLAN ve daha önce listelenmemiş diğer VMM ağ temelleri için geçerlidir.

Özelliğini nasıl kullanırım?

Yeni bağlantı noktası ACL ve onların bağlantı noktası ACL kurallarını tanımlama

Şimdi PowerShell cmdlet öğelerini kullanarak ACL ve doğrudan kendi ACL kuralları VMM oluşturabilirsiniz.

Yeni bir ACL oluşturun

Aşağıdaki yeni PowerShell cmdlet'leri eklenir:

Yeni SCPortACL – adıdize> [– Açıklamasıdize>]

-Adı: Adı bağlantı noktasının ACL

– Açıklama: ACL (isteğe bağlı parametre) bağlantı noktası açıklaması

Get-SCPortACL

Tüm bağlantı noktası ACL'leri alır.

– Adı: İsteğe bağlı olarak ada göre filtre

– ID: isteğe bağlı olarak Koduna göre filtre uygula

Örnek komutlar

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Bağlantı noktası bağlantı noktası ACL için ACL kurallarını tanımlama
ACL her bağlantı noktası bağlantı noktası ACL kuralları topluluğu oluşur. Her kural farklı parametreler içerir.

  • Adı
  • Açıklama
  • Türü: Gelen/giden (yön içinde ACL uygulanır)
  • Eylem: İzin ver/engelle (trafiğe izin veren veya trafiği engellemek için ACL Eylem)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Protokol: TCP/Udp/Any (Not: IP düzeyinde protokolleri VMM tarafından tanımlanan bağlantı noktası ACL içinde desteklenmiyor. Bunlar hala özgün Hyper-V tarafından desteklenmektedir.)
  • Öncelik: 1 – 65535 (en düşük sayı en yüksek önceliğe sahip). Uygulanmış katmana göre önceliktir. (ACL Kuralların uygulanması hakkında daha fazla bilgi öncelik ve ACL ekli aşağıdaki şekilde olduğu nesnenin temel.)

Eklenen yeni PowerShell cmdlet'leri

Yeni SCPortACLrule - PortACLPortACL>-Adıdize> [- <string>Açıklama]-türü <Inbound |="" outbound="">-Eylem <Allow |="" deny="">-Öncelik <uint16>- <Tcp |="" udp="" |="" any="">Protokolü [-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Tüm bağlantı noktası ACL kurallarını alır.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Adı: İsteğe bağlı olarak ada göre filtre
  • Kimliği: İsteğe bağlı olarak filtre kodu
  • PortACL: ACL bağlantı noktası tarafından isteğe bağlı olarak filtre
Örnek komutlar

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

ACL bağlantı noktası ayırma ve iliştirme



ACL şu şekilde eklenebilir:
  • Genel ayarlar (VM ağ bağdaştırıcıları uygulanır. Yalnızca tam admins yapabilirsiniz.)
  • VM ağ (tam admins Kiracı Yöneticiler/SSUs yapabilir bunu.)
  • VM alt (tam admins Kiracı Yöneticiler/SSUs yapabilir bunu.)
  • Sanal ağ bağdaştırıcıları (tam admins Kiracı Yöneticiler/SSUs bunu yapabilirsiniz.)

Genel ayarları

Tüm altyapı VM sanal ağ bağdaştırıcıları için bu bağlantı noktası ACL kuralları uygulanır.

Varolan PowerShell cmdlet'leri ACL bağlantı noktası ayırma ve iliştirme yeni parametreleri ile güncelleştirildi.

Kümesi-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Belirtilen bağlantı noktasına ACL genel ayarlarını yapılandıran yeni isteğe bağlı parametre.
  • RemovePortACL: bağlantı noktası ACL genel ayarları'ndan kaldırır herhangi yeni bir isteğe bağlı parametre yapılandırılmış.
Al-SCVMMServer: yapılandırılan bağlantı noktası ACL döndürülen nesneyi döndürür.

Örnek komutlar

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM ağ


Bu VM ağa bağlı tüm VM sanal ağ bağdaştırıcıları için bu kuralları uygulanacaktır.

Varolan PowerShell cmdlet'leri ACL bağlantı noktası ayırma ve iliştirme yeni parametreleri ile güncelleştirildi.

Yeni SCVMNetwork [– PortACLNetworkAccessControlList&gt;] [parametreleri geri kalanı]

-PortACL: olanak veren yeni bir isteğe bağlı parametre VM ağ bağlantı noktası ACL oluşturma sırasında belirtin.

Set-SCVMNetwork [– PortACLNetworkAccessControlList> | -RemovePortACL] [parametreleri geri kalanı]

-PortACL: olanak veren yeni bir isteğe bağlı parametre VM ağ bağlantı noktası ACL ayarlayın.

-RemovePortACL: kaldırır herhangi yeni bir isteğe bağlı parametre ACL VM ağ bağlantı noktası yapılandırılmış.

Al-SCVMNetwork: yapılandırılan bağlantı noktası ACL döndürülen nesneyi döndürür.

Örnek komutlar

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM alt ağ


Bu VM alt ağa bağlı tüm VM sanal ağ bağdaştırıcıları için bu kuralları uygulanacaktır.

Varolan PowerShell cmdlet öğelerini ekleme ve bağlantı noktası ACL ayırmak için yeni bir parametre ile güncelleştirildi.

Yeni SCVMSubnet [– PortACLNetworkAccessControlList&gt;] [parametreleri geri kalanı]

-PortACL: olanak veren yeni bir isteğe bağlı parametre VM alt ağ için bir bağlantı noktası ACL oluşturma sırasında belirtin.

Set-SCVMSubnet [– PortACLNetworkAccessControlList> | -RemovePortACL] [parametreleri geri kalanı]

-PortACL: olanak veren yeni bir isteğe bağlı parametre VM alt ağa bir bağlantı noktası ACL ayarlayın.

-RemovePortACL: kaldırır herhangi yeni bir isteğe bağlı parametre ACL VM alt ağdan bağlantı noktası yapılandırılmış.

Al-SCVMSubnet: yapılandırılan bağlantı noktası ACL döndürülen nesneyi döndürür.

Örnek komutlar

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM sanal ağ bağdaştırıcısı (vmNIC)


Varolan PowerShell cmdlet'leri ACL bağlantı noktası ayırma ve iliştirme yeni parametreleri ile güncelleştirildi.

Yeni SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList&gt;] [parametreleri geri kalanı]

-PortACL: yeni vNIC oluştururken sanal ağ bağdaştırıcısı için bir bağlantı noktası ACL olanak veren yeni bir isteğe bağlı parametre belirtin.

Set-SCVirtualNetworkAdapter [– PortACLNetworkAccessControlList> | -RemovePortACL] [parametreleri geri kalanı]

-PortACL: olanak veren yeni bir isteğe bağlı parametre için sanal ağ bağdaştırıcısı bağlantı noktası ACL ayarlayın.

-RemovePortACL: kaldırır herhangi yeni bir isteğe bağlı parametre sanal ağ bağdaştırıcısından ACL bağlantı noktası yapılandırılmış.

Al-SCVirtualNetworkAdapter: yapılandırılan bağlantı noktası ACL döndürülen nesneyi döndürür.

Örnek komutlar

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Bağlantı noktası ACL kuralları uygulama

Bağlantı noktası ACL'leri iliştirdikten sonra VMs yenilediğinizde, kumaş çalışma sanal makine görünümünü VMs durumu "uyumlu değil" görüntülenir unutmayın. (Sanal makine görünüme geçmek için Mantıksal ağlar düğümünün veya Mantıksal bir anahtarları düğüm kumaş çalışma alanının ilk göz zorunda). VM yenileme otomatik olarak arka planında (zamanlama) oluştuğunu unutmayın. VMs açıkça yenilediğinizde değil olsa bile, bu nedenle bunlar uyumlu olmayan bir duruma sonunda gidecek.



Bu noktada, bağlantı noktası ACL'leri VMs ve bunların ilgili sanal ağ bağdaştırıcıları için henüz uygulanmamış. Bağlantı noktası ACL uygulamak için düzeltme bilinen bir işlem tetiklemek yüklü. Bu hiçbir zaman otomatik olarak gerçekleşir ve kullanıcının isteği üzerine açıkça başladı.

Düzeltme başlatmak için Şerit üzerindeki Remediate tıklatın veya Onarım-SCVirtualNetworkAdapter cmdlet'ini çalıştırın. Bu özellik için cmdlet sözdizimi belirli herhangi bir değişiklik vardır.

Onarım-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Bu VMs gereksinimleriyle uyumlu olarak işaretlerken ve genişletilmiş bağlantı noktası ACL uygulandığından emin emin olun. Açıkça NAP'nin kadar bağlantı noktası ACL kapsamdaki tüm VMs uygulanmayacak olduğunu unutmayın.

Bağlantı noktası ACL kuralları görüntüleme

ACL ve ACL görüntülemek için kuralları için aşağıdaki PowerShell cmdlet öğelerini kullanabilirsiniz.

Eklenen yeni PowerShell cmdlet'leri

Bağlantı noktası ACL almak

Parametre 1 olarak ayarlayın. Tüm ya da ada göre almak için: Get-SCPortACL [-adı <> </>]

Parametre 2 ayarlayın. Tarafından kimliği almak için: Get-SCPortACL -kimlik <> [-adı <> </>]

Bağlantı noktası ACL kuralları almak

Parametre 1 olarak ayarlayın. Tüm ya da ada göre: Get-SCPortACLrule [-adı <> </>]

Parametre 2 ayarlayın. Tarafından kimliği: Get-SCPortACLrule -kimlik <>

3 parametre ayarlayın. ACL nesnesi tarafından: Get-SCPortACLrule – PortACLNetworkAccessControlList>

Bağlantı noktası ACL kuralları güncelleştiriliyor

Ağ bağdaştırıcısına bağlı ACL güncelleştirdiğinizde, değişiklikler o ACL kullanan tüm ağ bağdaştırıcısı örneklerde yansıtılır. Bir VM alt ağ veya VM ağa bağlı bir ACL için bu alt ağa bağlı tüm ağ bağdaştırıcısı örnekleri değişikliklerle birlikte güncelleştirilir.

Not: ACL kuralları ayrı ayrı ağ bağdaştırıcılarında güncelleştirme paralel bir try en iyi çalışma düzeni içinde gerçekleştirilir. Herhangi bir nedenle güncelleştirilemiyor bağdaştırıcıları "güvenlik incompliant" işaretlenir ve ağ bağdaştırıcıları başarılı bir şekilde güncelleştirilmedi bildiren bir hata iletisi ile görevini bitirir. "Güvenlik incompliant" Buraya bir uyuşmazlık karşı gerçek ACL kurallar beklendiği ifade eder. Bağdaştırıcı uyumluluk durumunu "Uyumlu" ile ilgili hata iletilerini birlikte olacaktır. Uyumlu olmayan sanal makineleri düzelterek hakkında daha fazla bilgi için önceki bölüme bakın.
Eklenen yeni PowerShell cmdlet
Kümesi-SCPortACL - PortACLPortACL> [-AdıAdı&gt;] [-Açıklama <>n >]

Kümesi-SCPortACLrule - PortACLrulePortACLrule> [-Adıadı&gt;] [-Açıklamadize&gt;] [-TürüPortACLRuleDirection> {Gelen | Giden}] [-eylemPortACLRuleAction> {İzin | DENY}] [-SourceAddressPrefixdize&gt;] [-SourcePortRangedize&gt;] [-DestinationAddressPrefixdize&gt;] [-DestinationPortRangedize&gt;] [-İletişim kuralıPortACLruleProtocol> {Tcp | UDP | Any}]

Set-SCPortACL: bağlantı noktası ACL açıklamasını değiştirir.
  • Açıklama: açıklama güncelleştirir.

Set-SCPortACLrule: bağlantı noktası ACL kural parametrelerini değiştirir.
  • Açıklama: açıklama güncelleştirir.
  • Türü: ACL uygulandığı yönde güncelleştirir.
  • Eylem: ACL Eylem güncelleştirir.
  • Protokol: ACL uygulanacak protokolünü güncelleştirir.
  • Öncelik: öncelik güncelleştirir.
  • SourceAddressPrefix: kaynak adres öneki güncelleştirir.
  • SourcePortRange: kaynak bağlantı noktası aralığını güncelleştirir.
  • DestinationAddressPrefix: hedef adres öneki güncelleştirir.
  • DestinationPortRange: hedef bağlantı noktası aralığı güncelleştirir.

Bağlantı noktası ACL ve bağlantı noktası ACL kuralları silme

Kendisine bağlı hiç bağımlılığı varsa bir ACL silinebilir. Bağımlılıkları ACL'ye ilişik VM ağ/VM alt/sanal ağ bağdaştırıcısı/genel ayarlar içerir. PowerShell cmdlet'ini kullanarak bir bağlantı noktası ACL silmeye çalıştığınızda, cmdlet bağlantı noktası ACL bağımlılıkları herhangi birine bağlı ve ilgili hata iletileri oluşturur olup olmadığını algılar.

Bağlantı noktası ACL kaldırma

Yeni PowerShell cmdlet'leri eklendi:

Kaldır-SCPortACL - PortACLNetworkAccessControlList>

Bağlantı noktası ACL kuralları kaldırma

Yeni PowerShell cmdlet'leri eklendi:

Kaldır-SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

VM silme alt/VM ağ/ağ bağdaştırıcısı otomatik olarak o ACL ilişkilendirmesini kaldırır unutmayın.

ACL de VM alt/VM ağ/ağ bağdaştırıcısından ilgili VMM ağ nesnesi değiştirerek ilişkilendirmesi. Bunu yapmak için Set - cmdlet - RemovePortACL anahtarıyla birlikte önceki bölümlerde açıklandığı gibi kullanın. Bu durumda, bağlantı noktası ACL ilgili ağ nesneden çıkarılmış ancak VMM altyapı silinmez. Bu nedenle, onu daha sonra yeniden kullanılabilir.

Bant dışı ACL kuralları değiştirir

Biz bant dışı (OOB) değişiklikleri ACL kuralları için Hyper-V virtual anahtar bağlantı noktasından ( Add-VMNetworkAdapterExtendedAclgibi yerel Hyper-V cmdlet öğelerini kullanarak) yapıyorsanız, yenileme VM ağ bağdaştırıcısı "güvenlik Incompliant." gösterir Ağ bağdaştırıcısı sonra VMM "Uygulama bağlantı noktası ACL" bölümünde açıklandığı şekilde remediated. Ancak, düzeltme VMM dışında VMM tarafından beklenen olanlar ile tanımlanan tüm bağlantı noktası ACL kuralları üzerine yazılır.

(Gelişmiş) bağlantı noktası ACL kural önceliği ve uygulama önceliği

Temel kavramlar

Her bağlantı noktası ACL ACL bağlantı noktası kuralında "Öncelik" adlı bir özelliğe sahiptir. Kurallar sırayla kendi öncelik sırasına göre uygulanır. Aşağıdaki temel kurallara öncelik kuralları tanımlayın:
  • Düşük öncelikli numara, önceliği o kadar yüksek olur. Birden çok bağlantı noktası ACL kuralları birbirleriyle çelişiyorsa, diğer bir deyişle, kuralın daha düşük öncelikli kazanır.
  • Kural eylemi öncelik etkilemez. "Deny her zaman izin ver önceliklidir"gibi NTFS ACL (örneğin), burada biz bir kavram yoktur.
  • Aynı öncelik (aynı sayısal değer) ile aynı yönde iki kural olamaz. Çünkü bu belirsizlik veya çakışmaya neden olan bu davranış, bir "Reddet" ve "Ver" kuralları, eşit öncelikli tanýmlayabilirsiniz varsayımsal bir durum engeller.
  • Bir çakışma aynı yönde ve aynı önceliğe sahip iki veya daha fazla kural tanımlanır. Aynı öncelik ve farklı düzeyde uygulanan iki ACL yönde iki bağlantı noktası ACL kuralları varsa ve bu düzeyleri kısmen üst üste gelirse çakışma ortaya çıkabilir. Diğer bir deyişle, her iki düzey kapsamı içinde kalan bir nesneyi (örneğin, vmNIC) olabilir. Çakışan bir ortak bir VM ağ ve aynı ağ alt VM örnektir.

Tek bir varlık için birden çok bağlantı noktası ACL uygulamak

Bağlantı noktası ACL ağ nesneleri farklı VMM (veya daha önce bahsedildiği gibi farklı düzeylerdeki) geçerli olduğundan, birden çok bağlantı noktası ACL kapsamı tek bir VM sanal ağ bağdaştırıcısı (vmNIC) düşürebilirler. Bu senaryoda, tüm bağlantı noktası ACL'leri bağlantı noktası ACL kuralları uygulanır. Ancak, bu kurallar önceliği, bu makalenin sonraki bölümlerinde anlatılan ayarları ince ayar birkaç yeni VMM bağlı olarak farklı olabilir.

Kayıt defteri ayarları

Bu ayarlar, VMM Yönetim sunucusunda aşağıdaki anahtar altında Dword değerleri Windows kayıt defterinde olarak tanımlanır:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Bu ayarlar tüm VMM alt yapısı üzerinden bağlantı noktası ACL davranışını etkileyen unutmayın.

Etkin bağlantı noktası ACL kural önceliği

Birden çok bağlantı noktası ACL'leri etkin olan kural öncelikli olarak tek bir varlık için uygulandığında bu tartışmada, biz gerçek öncelikli bağlantı noktası ACL kuralları açıklar. Ayrı ayar ya da VMM tanımlamak veya geçerlilik kuralı öncelik görüntülemek için nesne olduğunu unutmayın. Çalışma zamanında hesaplanır.

Geçerli kural önceliğini hesaplanabilir iki genel mod vardır. Kayıt defteri ayarıyla modları perdeli:
PortACLAbsolutePriority

Bu ayar için kabul edilebilir değerler 0 (sıfır) veya 1, burada 0 varsayılan davranışı gösterir var.

Göreli önceliği (varsayılan davranış)

Bu modu etkinleştirmek için PortACLAbsolutePriority özelliği 0 (sıfır) değerini kayıt defterinde ayarlayın. (Diğer bir deyişle, özellik değil oluşturulduysa) ayarı kayıt defterinde tanımlı değilse, bu mod da geçerlidir.

Bu modda, daha önce açıklanan temel kavramlarını yanı sıra aşağıdaki kurallar uygulanır:
  • Öncelik ACL aynı bağlantı içinde korunur. Bu nedenle, her kural içinde tanımlanan öncelik değerleri ACL içinde göreli olarak kabul edilir.
  • Birden çok bağlantı noktası ACL uyguladığınızda, sonuç alanı kendi kuralları uygulanır. Kurallar (belirli bir nesneye ekli) ACL'ye birlikte aynı kova içinde uygulanır. Belirli demetleri önceliği, ACL bağlantı noktasına bağlı nesneye bağlıdır.
  • Burada, genel ayarlarda ACL (bağımsız olarak kendi öncelik bağlantı noktası ACL tanımlandığı gibi) her zaman tanımlanan tüm kuralları vmNIC ve benzeri uygulanan ACL tanımlanan kurallar önceliklidir. Diğer bir deyişle, katman ayrımı zorunlu.

Sonuçta, etkili kural önceliğini ACL bağlantı noktası kuralı özellikleri tanımlayan sayısal bir değer farklı olabilir. Bu davranışı nasıl uygulanacağını ve kendi mantığını nasıl değiştirebileceğiniz hakkında daha fazla bilgi aşağıdadır.

  1. Üç "nesneye özgü" düzeyi (yani, vmNIC, VM alt ve VM ağ) öncelikli olarak sırası değiştirilebilir.

    1. Genel ayarları sırası değiştirilemez. Her zaman en yüksek önceliği alır (veya sipariş = 0).
    2. Diğer üç düzeyleri için 0 ve 0 en yüksek önceliği (Genel ayarlar eşittir) ve 3 en düşük öncelikliye olduğu yerde 3 arasında sayısal bir değer için aşağıdaki ayarları ayarlayabilirsiniz:
      • PortACLVMNetworkAdapterPriority
        (varsayılan 1'dir)
      • PortACLVMSubnetPriority
        (varsayılan 2'dir)
      • PortACLVMNetworkPriority
        (varsayılan değer 3'tür)
    3. Bu birden çok kayıt defteri ayarları için aynı değeri (0-3) atarsanız veya 0 ile 3 aralık dışında bir değer atarsanız, VMM varsayılan davranışa başarısız olur.
  2. Sıralama uygulanır böylece daha yüksek öncelik (diğer bir deyişle, daha küçük bir sayısal değer) daha yüksek bir düzeyde tanımlanan ACL kuralları alma etkin kural önceliğini değiştirilir yoludur. Etkili ACL hesaplandığında, her kural göreli öncelik değeri "düzeyi özgü değer ya da"adım"indirgenmesine"
  3. Özel düzey "farklı düzeylerini ayıran adım" değeridir. Varsayılan olarak, "adım" boyutu 10000'dir ve aşağıdaki kayıt defteri ayarına göre yapılandırılır:
    PortACLLayerSeparation
  4. Bu modda, tüm tek tek kural önceliğini ACL (göreli olarak kabul edilir bir kuralı) içinde aşağıdaki ayarı değerini aşamaz, yani:
    PortACLLayerSeparation
    (varsayılan olarak, 10000)
Yapılandırma örneği
Tüm ayarları varsayılan değerlerine sahip olduğunuzu varsayın. (Bunlar daha önce açıklanmıştır.)
  1. Biz vmNIC için bağlı bir ACL'ye sahip (PortACLVMNetworkAdapterPriority = 1).
  2. Etkili bu ACL üzerinde tanımlanmış olan tüm kuralların önceliğini (PortACLLayerSeparation değeri) 10000 tarafından indirgenmesine.
  3. 100'e ayarlamak bir önceliğe sahip bu ACL içinde kural tanımlayın.
  4. Bu kural için etkin öncelik 10000 + 100 = 10100 olacaktır.
  5. Kural önceliği 100'den büyük aynı ACL içindeki diğer kurallar göre öncelikli olacaktır.
  6. Kural her zaman VM ağ ve alt ağ düzeyinde VM bağlı ACL tanımlanan tüm kuralları önceliklidir. (Bu "Düşük" olarak kabul edilir çünkü bu doğrudur).
  7. Kural hiçbir zaman ACL genel ayarlarında tanımladığınız tüm kuralları önceliklidir.
Bu mod avantajları
  • Yok daha iyi güvenlik çok müşterili senaryolarda (Genel ayarlar düzey üzerinde) kumaş yönetici tarafından tanımlanan bağlantı noktası ACL kuralları her zaman kendilerini kiracılar tarafından tanımlanan tüm kuralları öncelikli çünkü.
  • (Diğer bir deyişle, belirsizliğe) bağlantı noktası ACL kural çakışmaları otomatik olarak katman ayrımı nedeniyle engellenmiş olur. Hangi kuralları geçerli olur tahmin etmek çok kolaydır ve neden.
Bu mod ile uyarılar
  • Daha az esneklik sağlar. (Örneğin, "bağlantı noktası 80 için tüm trafik genel ayarlarında reddet") bir kural tanımlarsanız, alt katmanda (örneğin, "izin ver 80 numaralı bağlantı noktası, yasal web sunucusu çalıştıran bu VM") hiçbir zaman bu kuraldan daha belirgin bir muafiyet oluşturabilirsiniz.

Göreli önceliği

Bu modu etkinleştirmek için kayıt defteri değerinin 1 için PortACLAbsolutePriority özelliğini ayarlayın.

Bu modda, daha önce açıklanan temel kavramlarını yanı sıra aşağıdaki kurallar uygulanır:
  • Bir nesneye birden fazla ACL'ler (örneğin, VM ağ ve alt ağ VM) kapsamında denk gelirse, herhangi ekli ACL içinde tanımlanan tüm kuralları birleştirilmiş sırada (veya tek bir kova olarak) uygulanır. Düzey ayrımı yok ve hiçbir "doğabilecek bumping" yoktur.
  • Her kuralın öncelik alanında tam olarak tanımlanan tüm kural öncelikleri mutlak kabul edilir. Diğer bir deyişle, her kural için etkin öncelik ne kuralında tanımlanır ve onu uygulanmadan önce VMM altyapısı tarafından değiştirilmez aynıdır.
  • Önceki bölümde açıklanan diğer tüm kayıt defteri ayarlarını bir etkisi yoktur.
  • Bu modda, herhangi bir ACL (diğer bir deyişle, mutlak olarak kabul edilir bir kural önceliğini) içinde tek tek kural önceliğini 65535 sınırını aşamaz.
Yapılandırma örneği
  1. Genel ayarlarında ACL önceliğini 100 olarak ayarlanmışsa bir kural tanımlayın.
  2. VmNIC için bağlı ACL üzerinde bir kural önceliğini 50'ye ayarlanmıştır tanımlayın.
  3. (Diğer bir deyişle, bir düşük sayısal değer) daha yüksek öncelikli olduğundan vmNIC düzeyinde tanımlı kural öncelikli olur.
Bu mod avantajları
  • Daha fazla esneklik sağlar. Alt düzey (örneğin, alt ağ VM veya vmNIC), "özel" muafiyetlerini genel ayarları kuralları oluşturabilirsiniz.
Bu mod ile uyarılar
  • Hiçbir düzey ayrımı olduğundan planlama daha karmaşık hale gelebilir. Ve diğer nesnelerde tanımlı olan diğer kurallar kılan herhangi bir düzeyde bir kural olabilir.
  • Genel ayarları düzeyinde kumaş yönetici tarafından tanımlanan ilkeleri geçersiz kılar VM alt düzeydeki bir kiracı bir kural oluşturabilirsiniz çünkü çok müşterili ortamlarında güvenlik etkilenebilir.
  • (Diğer bir deyişle, belirsizliğe) kural çakışmaları otomatik olarak ortadan yok ve oluşabilir. VMM düzeyde ACL üzerinde yalnızca çakışmaları önleyebilirsiniz. Çakışmalar, farklı nesnelere bağlı ACL boyunca engelleyemez. Çakışma durumlarda, VMM çakışmayı otomatik olarak düzeltemiyor çünkü bu kuralları uygulama durdurur ve bir hata durum oluşturur.

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 3101161 - Son İnceleme: 10/30/2015 09:27:00 - Düzeltme: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMttr
Geri bildirim