Hỗ trợ triển khai mở rộng cổng ACLs trong hệ thống Trung tâm 2012 R2 VMM Update Rollup 8 Hyper-V

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3101161
Tóm tắt
Quản trị viên của Microsoft System Center 2012 R2 máy ảo quản lý (VMM) có thể hiện trung tâm tạo và quản lý Hyper-V cổng truy cập điều khiển danh sách (ACLs) trong VMM.
Thông tin thêm
Để biết thêm thông tin về bản Cập Nhật Rollup 8 cho hệ thống Trung tâm 2012 R2 Bộ quản lí cấu hình, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

3096389 Update Rollup 8 cho hệ thống Trung tâm 2012 R2 Bộ quản lí cấu hình

Bảng thuật ngữ

Chúng tôi đã cải thiện mô hình đối tượng quản lý máy ảo bằng cách thêm các khái niệm mới sau trong quản lý mạng.
  • điều khiển danh sách truy cập cổng (port ACL)
    Đối tượng được gắn vào các VMM mạng gốc để ký hiệu mô tả an toàn thông tin. Cổng ACL chức năng như một tập hợp các mục nhập kiểm soát truy cập hoặc quy tắc ACL. Một ACL có thể được gắn vào bất kỳ số (số không hay nhiều) VMM mạng gốc, chẳng hạn như mạng VM, VM con, bộ thích ứng mạng ảo hoặc máy chủ quản lý VMM tự. Một ACL có thể chứa bất kỳ số (số không hay nhiều) ACL quy tắc. Mỗi tương hợp về sau VMM mạng nguyên sơ (VM mạng, mạng con VM, mạng ảo hoặc máy chủ quản lý VMM) có thể có một cổng ACL đính kèm hoặc không.
  • mục nhập kiểm soát truy cập cổng hoặc ACL quy tắc
    Đối tượng mô tả chính sách lọc. Nhiều ACL quy tắc có thể tồn tại trong cùng một cổng ACL và áp dụng theo ưu tiên của họ. Mỗi quy tắc ACL tương ứng với một cổng ACL.
  • Thiết đặt chung
    Khái niệm ảo mô tả một cổng ACL được áp dụng cho tất cả các bộ thích ứng mạng ảo VM trong cơ sở hạ tầng. Không có loại đối tượng riêng cho thiết đặt chung. Thay vào đó, cổng thiết đặt chung ACL gắn vào máy chủ quản lý VMM chính nó. Đối tượng máy chủ quản lý VMM có một cổng ACL hoặc không.
Để biết thông tin về các đối tượng trong quản lý mạng đã có sẵn, hãy xem Quản lý máy ảo mạng đối tượng cơ bản.

Tôi có thể làm gì với tính năng này?

Bằng cách sử dụng giao diện PowerShell trong VMM, bạn có thể mất các thao tác sau:
  • Xác định cổng ACLs và các quy tắc ACL.
    • Các quy tắc được áp dụng cho cổng chuyển ảo Hyper-V máy chủ là "mở rộng cổng ACLs" (VMNetworkAdapterExtendedAcl) trong thuật ngữ Hyper-V. Điều này có nghĩa rằng họ có thể chỉ áp dụng cho máy chủ máy chủ Windows Server 2012 R2 (và Hyper-V Server 2012 R2).
    • VMM sẽ tạo ra "hợp lệ" Hyper-V cổng ACLs (VMNetworkAdapterAcl). Vì vậy, bạn không thể áp dụng ACLs cổng máy chủ máy chủ Windows Server 2012 (hoặc Hyper-V Server 2012) bằng cách sử dụng VMM.
    • Tất cả quy tắc ACL cổng được xác định trong VMM bằng cách sử dụng tính năng này là trạm đậu (đối với TCP). Bạn không thể tạo không trạm đậu ACL quy tắc cho Giao thức Kiểm soát Truyền bằng cách sử dụng VMM.
    Để biết thêm thông tin về tính năng ACL cổng mở rộng trong Windows Server 2012 R2 Hyper-V, hãy xem Tạo chính sách bảo mật với điều khiển danh sách truy cập cổng mở rộng cho Windows Server 2012 R2.
  • Đính kèm một cổng ACL thiết đặt chung. Điều này áp dụng cho tất cả các bộ thích ứng mạng ảo VM. Nó chỉ có sẵn cho toàn bộ quản trị viên.
  • Đính kèm ACLs cổng được tạo ra một mạng lưới máy ảo, VM mạng con hoặc bộ thích ứng mạng ảo VM. Điều này có đầy đủ các quản trị viên, người quản trị và người dùng tự phục vụ (SSUs).
  • Xem và cập nhật các quy tắc ACL cổng được cấu hình trên máy ảo vNIC cá nhân.
  • Xoá cổng ACLs và các quy tắc ACL.
Một trong các hành động được bao gồm trong chi tiết sau trong bài viết này.

Xin lưu ý rằng tính năng này được thể hiện chỉ đến lệnh ghép ngắn PowerShell và sẽ không được thể hiện trong Panel điều khiển VMM giao diện người dùng (ngoại trừ trạm đậu "Tuân thủ").

Tôi không phải làm gì với tính năng này?

  • Quản lý/Cập nhật các quy tắc cho một phiên bản khi ACL được chia sẻ trong nhiều trường hợp. Tất cả quy tắc được quản lý trung tâm trong của phụ huynh ACLs và áp dụng bất cứ nơi nào ACL được đính kèm.
  • Đính kèm nhiều ACL một thực thể.
  • Áp dụng cổng ACLs cho bộ thích ứng mạng ảo (vNICs) phân hoạch cha mẹ Hyper-V (quản lý hệ điều hành).
  • Tạo quy tắc ACL cổng bao gồm các giao thức IP cấp (ngoài Giao thức Kiểm soát Truyền hoặc UDP).
  • Áp dụng cổng ACLs logic mạng, các web site mạng (mạng logic định nghĩa), mạng con VLAN và các gốc VMM mạng không được liệt kê trước đó.

Làm thế nào để sử dụng tính năng?

Định nghĩa mới cổng ACLs và các quy tắc ACL cổng

Bạn có thể bây giờ tạo ACLs và các quy tắc ACL trực tiếp từ trong VMM bằng cách sử dụng lệnh ghép ngắn PowerShell.

Tạo một ACL mới

Các lệnh ghép ngắn PowerShell sau mới được thêm vào:

Mới SCPortACL -tênChuỗi> [-Mô tảChuỗi>]

-: Tên cổng ACL

-Mô tả: Mô tả cổng ACL (tham số tùy chọn)

Get-SCPortACL

Lấy tất cả các cổng ACLs

-Tên: Tùy chọn lọc theo tên

-ID: tùy chọn lọc theo

Lệnh mẫu

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


Xác định quy tắc ACL cổng cho cổng ACL
Mỗi cổng ACL bao gồm một tập hợp các quy tắc cổng ACL. Mỗi quy tắc chứa các tham số khác nhau.

  • Tên
  • Mô tả
  • Loại: Đến/Outbound (hướng trong đó ACL sẽ được áp dụng)
  • Hành động: Cho phép/từ chối (hành động ACL, cho phép lưu lượng hoặc chặn lưu lượng truy cập)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • Giao thức: TCP/Udp/bất kỳ (chú ý: cấp IP giao thức không hỗ trợ cổng ACLs được xác định bởi VMM. Họ được vẫn còn hỗ trợ bản Hyper-V.)
  • Ưu tiên: 1-65535 (số lượng thấp nhất có ưu tiên cao nhất). Ưu tiên này có liên quan đến lớp này được áp dụng. (Thêm thông tin về cách ACL quy tắc được áp dụng theo ưu tiên và các đối tượng mà ACL là đính kèm sau.)

Lệnh ghép ngắn PowerShell mới được thêm vào

Mới SCPortACLrule - PortACLPortACL>-TênChuỗi> [-Mô tả <string>]-loại <Inbound |="" outbound="">-hành động <Allow |="" deny="">-ưu tiên <uint16>-giao thức <Giao thức Kiểm soát Truyền |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

Get-SCPortACLrule

Lấy tất cả các quy tắc ACL cổng.

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • Tên: Tùy chọn lọc theo tên
  • ID: Tùy chọn lọc theo
  • PortACL: Tùy chọn lọc bằng cổng ACL
Lệnh mẫu

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Đính kèm và tách cổng ACLs



ACLs có thể được gắn vào sau:
  • Thiết đặt chung (áp dụng cho tất cả các máy ảo bộ thích ứng mạng. Chỉ toàn bộ quản trị viên có thể thực hiện việc này.)
  • Mạng máy ảo (đầy đủ quản trị viên/người quản trị viên/SSUs có thể thực hiện việc này.)
  • Mạng con VM (đầy đủ quản trị viên/người quản trị viên/SSUs có thể thực hiện việc này.)
  • bộ thích ứng mạng ảo (đầy đủ quản trị viên/người quản trị viên/SSUs có thể thực hiện việc này.)

Thiết đặt chung

Các cổng ACL áp dụng cho tất cả các bộ thích ứng mạng ảo VM trong cơ sở hạ tầng.

Lệnh ghép ngắn PowerShell sẵn có được Cập Nhật với các tham số mới để đính kèm và tách cổng ACLs.

Set-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> | -RemovePortACL]
  • PortACL: Mới tùy chọn tham số cấu hình cổng ACL đã chỉ định thiết đặt chung.
  • RemovePortACL: Mới tham số tùy chọn loại bỏ bất kỳ cấu hình cổng ACL cài đặt chuyên biệt chung.
Get-SCVMMServer: trả về cấu hình cổng ACL đối tượng quay trở lại.

Lệnh mẫu

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Mạng máy ảo


Các quy tắc này sẽ được áp dụng cho tất cả máy ảo ảo bộ thích ứng mạng được kết nối với mạng máy ảo này.

Lệnh ghép ngắn PowerShell sẵn có được Cập Nhật với các tham số mới để đính kèm và tách cổng ACLs.

Mới SCVMNetwork [-PortACLNetworkAccessControlList&gt;] [còn lại của các tham số]

-PortACL: tham số tùy chọn mới cho phép bạn chỉ định một cổng ACL VM mạng trong quá trình tạo.

Set-SCVMNetwork [-PortACLNetworkAccessControlList> | -RemovePortACL] [còn lại của các tham số]

-PortACL: tham số tùy chọn mới cho phép bạn thiết lập một cổng ACL mạng VM.

-RemovePortACL: mới tham số tùy chọn loại bỏ bất kỳ cấu hình cổng ACL mạng VM.

Get-SCVMNetwork: trả về cấu hình cổng ACL đối tượng quay trở lại.

Lệnh mẫu

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM mạng con


Các quy tắc này sẽ được áp dụng cho tất cả máy ảo ảo bộ thích ứng mạng được kết nối với mạng con VM này.

Lệnh ghép ngắn PowerShell sẵn có được Cập Nhật với các tham số mới để đính kèm và tách cổng ACLs.

Mới SCVMSubnet [-PortACLNetworkAccessControlList&gt;] [còn lại của các tham số]

-PortACL: tham số tùy chọn mới cho phép bạn chỉ định một cổng ACL con VM trong quá trình tạo.

Set-SCVMSubnet [-PortACLNetworkAccessControlList> | -RemovePortACL] [còn lại của các tham số]

-PortACL: tham số tùy chọn mới cho phép bạn đặt một cổng ACL con VM.

-RemovePortACL: mới tham số tùy chọn loại bỏ bất kỳ cấu hình cổng ACL từ mạng con VM.

Get-SCVMSubnet: trả về cấu hình cổng ACL đối tượng quay trở lại.

Lệnh mẫu

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

bộ thích ứng mạng ảo VM (vmNIC)


Lệnh ghép ngắn PowerShell sẵn có được Cập Nhật với các tham số mới để đính kèm và tách cổng ACLs.

Mới SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList&gt;] [còn lại của các tham số]

-PortACL: tham số tùy chọn mới cho phép bạn chỉ định một cổng ACL vào bộ thích ứng mạng ảo trong khi bạn đang tạo một vNIC mới.

Set-SCVirtualNetworkAdapter [-PortACLNetworkAccessControlList> | -RemovePortACL] [còn lại của các tham số]

-PortACL: tham số tùy chọn mới cho phép bạn thiết lập một cổng ACL vào bộ thích ứng mạng ảo.

-RemovePortACL: mới tham số tùy chọn loại bỏ bất kỳ cấu hình cổng ACL từ mạng ảo.

Get-SCVirtualNetworkAdapter: trả về cấu hình cổng ACL đối tượng quay trở lại.

Lệnh mẫu

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Áp dụng quy tắc ACL cổng

Khi bạn làm mới các máy ảo sau khi lắp ACLs cổng, bạn thấy trạm đậu của các máy ảo được hiển thị là "Không phù hợp" trong máy ảo của vải workspace. (Để chuyển sang máy ảo, bạn phải lần đầu tiên trình duyệt nút chọn một Logic mạng hoặc nút chọn một Logic chuyển việc vải). Xin lưu ý rằng VM làm mới xảy ra tự động sau (trên lịch). Vì vậy, ngay cả khi bạn không làm mới VM rõ ràng, họ sẽ noncompliant Thái cuối cùng.



Tại thời điểm này, ACLs cổng chưa máy ảo và các bộ thích ứng mạng ảo có liên quan. Để sử dụng cổng ACLs, bạn phải kích hoạt một quá trình được gọi là sửa chữa. Điều này không xảy ra tự động và sẽ được Bắt đầu rõ ràng khi yêu cầu người dùng.

Để Bắt đầu khắc phục, bạn bấm Remediate trên ruy băng hoặc chạy lệnh Sửa chữa SCVirtualNetworkAdapter . Không có cú pháp lệnh cho tính năng này không có thay đổi cụ thể.

Sửa chữa-SCVirtualNetworkAdapter - VirtualNetworkAdapterVirtualNetworkAdapter>

Remediating các máy ảo sẽ đánh dấu kiểm là phù hợp và sẽ đảm bảo rằng cổng mở rộng ACLs được áp dụng. Xin lưu ý rằng cổng ACLs sẽ áp dụng cho bất kỳ máy ảo trong phạm vi cho đến khi bạn remediate họ rõ ràng.

Xem quy tắc ACL cổng

Để xem ACLs và ACL quy tắc, bạn có thể sử dụng lệnh ghép ngắn PowerShell sau.

Lệnh ghép ngắn PowerShell mới được thêm vào

Lấy cổng ACLs

Tham số đặt 1. Để có được tất cả hoặc tên: Get-SCPortACL [-tên <> </>]

Tham số đặt 2. Để có được theo: Get-SCPortACL -Id <> [-tên <> </>]

Lấy cổng ACL quy tắc

Tham số đặt 1. Tất cả hoặc tên: Get-SCPortACLrule [-tên <> </>]

Tham số đặt 2. Theo: Get-SCPortACLrule -Id <>

Tham số đặt 3. Của đối tượng ACL: Get-SCPortACLrule -PortACLNetworkAccessControlList>

Cập nhật các quy tắc ACL cổng

Khi bạn Cập Nhật ACL được gắn vào bộ thích ứng mạng, các thay đổi được phản ánh trong tất cả các mạng hợp trường hợp sử dụng ACL đó. Đối với một ACL được gắn vào một máy ảo mạng con hoặc mạng VM, tất cả các mạng hợp Phiên bản được kết nối với mạng con có được Cập Nhật với những thay đổi.

Lưu ý: Cập nhật các quy tắc ACL trên bộ thích ứng mạng cá nhân được thực hiện song song trong một chương trình cố gắng một nỗ lực tốt nhất. Bộ điều hợp không được Cập Nhật vì lý do nào được đánh dấu kiểm "bảo mật incompliant" và việc kết thúc với thông báo lỗi cho biết rằng bộ thích ứng mạng không được cập nhật thành công. "An ninh incompliant" đây là một không phù hợp trong mong muốn và thực tế ACL quy tắc. Bộ điều hợp sẽ có trạm đậu tuân thủ "Không tương thích" cùng với thông báo lỗi liên quan. Xem phần trước đây để biết thêm thông tin về máy ảo noncompliant remediating.
Lệnh ghép ngắn PowerShell mới thêm
Set-SCPortACL - PortACLPortACL> [-TênTên&gt;] [-Mô tả <>n >]

Set-SCPortACLrule - PortACLrulePortACLrule> [-Têntên&gt;] [-Mô tảChuỗi&gt;] [-LoạiPortACLRuleDirection> {Đến | Đi}] [-hành độngPortACLRuleAction> {Cho phép | Từ chối}] [-SourceAddressPrefixChuỗi&gt;] [-SourcePortRangeChuỗi&gt;] [-DestinationAddressPrefixChuỗi&gt;] [-DestinationPortRangeChuỗi&gt;] [/ Giao thứcPortACLruleProtocol> {Tcp | UDP | Bất kỳ}]

Set-SCPortACL: thay đổi cổng ACL mô tả.
  • Mô tả: Cập Nhật mô tả.

Set-SCPortACLrule: thay đổi các tham số quy tắc cổng ACL.
  • Mô tả: Cập Nhật mô tả.
  • Loại: Cập Nhật hướng ACL được áp dụng.
  • Hành động: Cập Nhật tác vụ ACL.
  • Giao thức: Cập Nhật giao thức mà ACL sẽ được áp dụng.
  • Ưu tiên: Cập Nhật ưu tiên.
  • SourceAddressPrefix: Cập Nhật tiền tố địa chỉ nguồn.
  • SourcePortRange: Cập Nhật dải cổng nguồn.
  • DestinationAddressPrefix: Cập Nhật tiền tố địa chỉ đích.
  • DestinationPortRange: Cập Nhật dải cổng đích.

Xoá cổng ACLs và cổng ACL quy tắc

Một ACL đều bị xoá nếu không có phụ thuộc với nó. Phụ thuộc bao gồm VM mạng/VM con ảo hợp chung thiết đặt mạng được đính kèm vào ACL. Khi bạn cố gắng xoá một cổng ACL bằng cách sử dụng lệnh ghép ngắn PowerShell, lệnh sẽ phát hiện xem cổng ACL được gắn vào bất kỳ phụ thuộc và sẽ ném lỗi phù hợp.

Xoá cổng ACLs

Lệnh ghép ngắn PowerShell mới được thêm vào:

Loại bỏ SCPortACL - PortACLNetworkAccessControlList>

Loại bỏ các quy tắc ACL cổng

Lệnh ghép ngắn PowerShell mới được thêm vào:

Loại bỏ SCPortACLRule - PortACLRuleNetworkAccessControlListRule>

Xin lưu ý xoá một máy ảo mạng con/VM/mạng tự động loại bỏ liên kết với ACL đó.

Một ACL cũng có thể được rời khỏi bộ điều hợp mạng/con/VM VM bằng cách thay đổi các đối tượng mạng VMM tương ứng. Để thực hiện việc này, sử dụng thiết lập - lệnh cùng với chuyển đổi - RemovePortACL , như được mô tả trong phần trước. Trong trường hợp này, cổng ACL sẽ được tách ra từ các đối tượng tương ứng mạng nhưng sẽ không bị xoá khỏi cơ sở hạ tầng VMM. Do đó, nó có thể được tái sử dụng sau này.

Thay đổi ra băng ACL quy tắc

Nếu chúng tôi đang ra băng (OOB) thay đổi quy tắc ACL từ cổng chuyển ảo Hyper-V (bằng cách sử dụng lệnh ghép ngắn Hyper-V riêng chẳng hạn như Thêm-VMNetworkAdapterExtendedAcl), VM làm mới sẽ hiển thị các bộ thích ứng mạng là "An ninh Incompliant." bộ thích ứng mạng rồi có thể được remediated từ VMM như được mô tả trong phần "Áp dụng cổng ACLs". Tuy nhiên, khắc phục sẽ ghi đè lên tất cả các cổng ACL quy tắc được xác định ở VMM với những người được mong đợi của VMM.

Cổng ACL quy tắc ưu tiên và ứng dụng ưu (nâng cao)

Khái niệm cơ bản

Mỗi quy tắc ACL cổng vào một cổng ACL có một thuộc tính được đặt tên "Ưu tiên." Quy tắc được áp dụng theo ngày ưu tiên của họ. Nguyên tắc cốt lõi sau đây xác định quy tắc ưu tiên:
  • Ưu tiên thấp hơn số, là các ưu tiên cao hơn. Tức là, nếu nhiều cổng ACL quy tắc mâu thuẫn với mỗi khác, các quy tắc ưu tiên thấp wins.
  • Hành động quy tắc ảnh hưởng đến các ưu tiên. Tức là, không giống như NTFS ACLs (ví dụ), ở đây không có một khái niệm như "Từ chối luôn sẽ ưu tiên hơn cho phép".
  • Trên cùng ưu tiên (cùng một số giá trị), bạn không thể có hai quy tắc với cùng một hướng. Hành vi này ngăn chặn tình huống giả mà một có thể xác định quy tắc "Từ chối" và "Cho phép" bằng ưu tiên, vì điều này sẽ dẫn đến mơ hồ hoặc xung đột.
  • Xung đột được định nghĩa là hai hoặc nhiều quy tắc cùng ưu tiên và hướng tương tự. Xung đột có thể xảy ra nếu có hai quy tắc ACL cổng với cùng mức ưu tiên và trong hai ACLs được áp dụng vào cấp độ khác nhau, và nếu những mức độ phần trùng lặp. Tức là, có một đối tượng (ví dụ: vmNIC) nằm trong phạm vi của cả hai cấp độ. Một ví dụ phổ biến của chồng chéo là một mạng máy ảo VM con trong cùng một mạng.

Áp dụng nhiều cổng ACLs một thực thể duy nhất

Vì cổng ACLs có thể áp dụng khác VMM mạng đối tượng (hoặc trên cấp độ khác nhau, như được mô tả trước đó), bộ thích ứng mạng ảo VM đơn (vmNIC) có thể rơi vào phạm vi của nhiều cổng ACLs. Trong trường hợp này, các quy tắc ACL cổng từ tất cả các cổng ACLs được áp dụng. Tuy nhiên, ưu tiên của các quy tắc có thể khác nhau, tuỳ thuộc vào một số VMM mới điều chỉnh thiết đặt được đề cập sau trong bài viết này.

Thiết đặt kiểm nhập

Các thiết đặt này được định nghĩa là giá trị Dword trong sổ kiểm nhập Windows trong khoá sau trên máy chủ quản lý VMM:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

Xin lưu ý tất cả các thiết đặt này sẽ ảnh hưởng đến hành vi của cổng ACLs trên cơ sở hạ tầng VMM toàn bộ.

Hiệu quả cổng ACL quy tắc ưu tiên

Thảo luận này, chúng tôi sẽ mô tả ưu thực cổng ACL quy tắc khi nhiều cổng ACLs được áp dụng cho một thực thể duy nhất là hiệu quả quy tắc ưu tiên. Xin lưu ý rằng không có thiết đặt riêng hoặc các đối tượng trong VMM để xác định hoặc xem hiệu quả quy tắc ưu tiên. Nó được tính trong thời gian.

Có hai chế độ toàn cầu có hiệu quả quy tắc ưu tiên có thể được tính. Chế độ chuyển cài đặt chuyên biệt đăng ký:
PortACLAbsolutePriority

Các giá trị được chấp nhận cho thiết đặt này là 0 (không) hoặc 1, trong đó 0 chỉ ra hành vi mặc định.

Ưu tiên tương đối (hành vi mặc định)

Để kích hoạt chế độ này, đặt thuộc tính PortACLAbsolutePriority trong sổ kiểm nhập giá trị 0 (không). Chế độ này cũng áp dụng nếu cài đặt chuyên biệt không được xác định trong sổ kiểm nhập (tức là, nếu thuộc tính không được tạo ra).

Trong chế độ này, các nguyên tắc sau áp dụng ngoài các khái niệm cơ bản được mô tả trước đó:
  • Ưu tiên trong cùng một cổng ACL được giữ lại. Tuy nhiên, giá trị ưu tiên được xác định trong mỗi quy tắc được coi là tương đối trong ACL.
  • Khi bạn áp dụng nhiều cổng ACLs, các quy tắc được áp dụng trong nhóm. Quy tắc từ cùng ACL (với một đối tượng nhất định) được áp dụng với nhau trong cùng một nhóm. Ưu tiên của nhóm đặc biệt phụ thuộc vào các đối tượng mà cổng ACL được đính kèm.
  • Ở đây, bất kỳ quy tắc nào được xác định trong cài đặt chuyên biệt chung ACL (bất kể mình ưu tiên như được xác định trong cổng ACL) luôn chiếm ưu quy tắc được xác định trong ACL được áp dụng cho vmNIC, v.v.. Nói cách khác, lớp tách được áp dụng.

Cuối cùng, ưu tiên quy tắc hiệu quả có thể khác với giá trị số mà bạn xác định trong thuộc tính quy tắc cổng ACL. Thông tin về cách thi hành vi này và cách bạn có thể thay đổi logic tiếp theo.

  1. Có thể được thay đổi thứ tự trong đó có ba cấp độ "đối tượng cụ thể" (tức là, vmNIC, VM con và VM mạng) có ưu tiên.

    1. Không thể thay đổi thứ tự cài đặt chuyên biệt chung. Luôn có ưu tiên cao nhất (hoặc thứ tự = 0).
    2. Cho các ba cấp độ, bạn có thể đặt các thiết đặt giá trị đếm chữ 0 đến 3, trong đó 0 là ưu tiên cao nhất (bằng thiết đặt chung) và 3 ưu tiên thấp nhất:
      • PortACLVMNetworkAdapterPriority
        (mặc định là 1)
      • PortACLVMSubnetPriority
        (mặc định là 2)
      • PortACLVMNetworkPriority
        (mặc định là 3)
    3. Nếu bạn chỉ định giá trị (0-3) các thiết đặt kiểm nhập nhiều, hoặc nếu bạn chỉ định một giá trị bên ngoài phạm vi 0-3, VMM sẽ không trở lại chế độ mặc định.
  2. Ra rằng đặt được áp dụng là ưu tiên quy tắc hiệu quả được thay đổi để ACL quy tắc được xác định độ cao được ưu tiên cao hơn (tức là, một số giá trị nhỏ hơn). Khi tính toán hiệu quả ACL mỗi giá trị ưu tiên tương đối quy tắc "bumped" giá trị cấp cụ thể hoặc "bước".
  3. Giá trị cấp cụ thể là "bước" tách cấp độ khác nhau. theo mặc định, kích thước "bước" là 10000 và đặt cấu hình cài đặt chuyên biệt kiểm nhập sau:
    PortACLLayerSeparation
  4. Điều này có nghĩa là, ở chế độ này, bất kỳ quy tắc cá nhân ưu tiên trong ACL (tức là, quy tắc được coi là tương đối) không thể vượt quá giá trị của thiết đặt sau:
    PortACLLayerSeparation
    (theo mặc định, 10000)
Cấu hình mẫu
Giả sử rằng tất cả các thiết đặt có giá trị mặc định của họ. (Này được mô tả trước đó.)
  1. Chúng tôi có một ACL được gắn vào vmNIC (PortACLVMNetworkAdapterPriority = 1).
  2. Hiệu quả ưu tiên cho tất cả các quy tắc được xác định trong này ACL bumped bởi 10000 (PortACLLayerSeparation giá trị).
  3. Chúng tôi xác định quy tắc trong này ACL có ưu tiên được đặt thành 100.
  4. Hiệu quả ưu tiên cho quy tắc này là 10000 + 100 = 10100.
  5. Quy tắc sẽ được ưu tiên hơn quy định khác trong cùng ACL mà ưu tiên là lớn hơn 100.
  6. Quy tắc sẽ luôn chiếm ưu bất kỳ quy tắc nào được xác định trong ACLs gắn trên mạng máy ảo VM con cấp. (Điều này đúng vì những được coi là cấp "dưới").
  7. Quy tắc không bao giờ sẽ được ưu tiên hơn bất kỳ quy tắc nào được xác định trong cài đặt chuyên biệt chung ACL.
Lợi ích của chế độ này
  • Không bảo mật tốt hơn trong trường hợp nhiều người thuê do quy tắc ACL cổng được xác định bởi quản trị vải (trên mức thiết đặt chung) luôn sẽ được ưu tiên qua bất kỳ quy tắc nào được xác định bởi người thuê nhà mình.
  • Bất kỳ xung đột quy tắc cổng ACL (tức là, ambiguities) đang ngăn chặn tự động vì lớp tách. Thật dễ dàng để dự đoán quy tắc đó sẽ có hiệu lực và tại sao.
Lưu ý với chế độ này
  • Linh hoạt hơn. Nếu bạn xác định quy tắc (ví dụ: "từ chối tất cả lưu lượng đến cổng 80") trong thiết đặt chung, bạn không bao giờ có thể tạo một miễn chi tiết hơn quy tắc này trên một lớp thấp hơn (ví dụ: "cho phép cổng 80 chỉ trên máy ảo này chạy Máy chủ Web hợp pháp").

Ưu tiên tương đối

Để kích hoạt chế độ này, đặt thuộc tính PortACLAbsolutePriority trong sổ kiểm nhập giá trị 1.

Trong chế độ này, các nguyên tắc sau áp dụng ngoài khái niệm cốt lõi được mô tả trước đó:
  • Nếu một đối tượng nằm trong phạm vi của nhiều ACLs (ví dụ: VM mạng và mạng con VM), tất cả các quy tắc được xác định trong bất kỳ ACLs đính kèm được áp dụng để thống nhất (hoặc là một nhóm duy nhất). Không có sự tách biệt mức và không "chạm" nào.
  • Tất cả quy tắc ưu tiên được coi là tuyệt đối, chính xác như chúng được xác định trong mỗi nguyên tắc ưu tiên. Nói cách khác, hiệu quả ưu tiên cho mỗi quy tắc là giống như những gì được định nghĩa trong các quy tắc tự và không được thay đổi bằng công cụ VMM trước khi nó được áp dụng.
  • Tất cả các thiết đặt kiểm nhập được mô tả trong phần trước đây không có hiệu lực.
  • Trong chế độ này, bất kỳ quy tắc cá nhân ưu tiên trong một ACL (tức là, một quy tắc ưu tiên đã được coi là tuyệt đối) không thể vượt quá 65535.
Cấu hình mẫu
  1. Trong cài đặt chuyên biệt chung ACL, bạn xác định quy tắc có mức ưu tiên được đặt là 100.
  2. Trong ACL được gắn vào vmNIC, bạn xác định quy tắc có mức ưu tiên được đặt là 50.
  3. Quy tắc được xác định mức độ vmNIC mất ưu vì có một ưu tiên cao hơn (tức là, một số giá trị thấp hơn).
Lợi ích của chế độ này
  • Linh hoạt hơn. Bạn có thể tạo "off" miễn trừ khỏi các quy tắc chung cài đặt chuyên biệt cấp độ thấp hơn (ví dụ: VM mạng con hoặc vmNIC).
Lưu ý với chế độ này
  • Lập kế hoạch có thể trở nên phức tạp hơn vì không có sự tách biệt cấp. Và có thể là quy định bất kỳ cấp độ ghi đè các quy tắc được xác định các đối tượng khác.
  • Trong môi trường nhiều người thuê, bảo mật có thể bị ảnh hưởng bởi vì một người có thể tạo quy tắc cấp con VM ghi đè chính sách được xác định bởi quản trị vải mức thiết đặt chung.
  • Quy tắc xung đột (tức là, ambiguities) không bị loại bỏ tự động và có thể xảy ra. VMM có thể ngăn chặn xung đột trên cùng cấp ACL. Nó không thể ngăn chặn xung đột trên ACLs được đính kèm vào đối tượng khác nhau. Trong trường hợp xung đột, vì VMM không thể sửa chữa xung đột tự động, nó sẽ ngừng áp dụng các quy tắc và sẽ ném một lỗi.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3101161 - Xem lại Lần cuối: 10/30/2015 09:53:00 - Bản sửa đổi: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtvi
Phản hồi