Hỗ trợ triển khai các ACLs cổng mở rộng Hyper-V trong System Center 2012 R2 VMM với Bản tổng hợp Cập nhật 8

Xác định ACL cổng mới và quy tắc ACL cổng của họ

Giờ đây, bạn có thể tạo các ACLs và quy tắc ACL của chúng trực tiếp từ VMM bằng cách sử dụng lệnh ghép ngắn PowerShell.

Tạo ACL mới

Các lệnh ghép ngắn PowerShell mới sau đây được thêm vào:

New-SCPortACL –Đặt tên <chuỗi> [–Mô tả chuỗi <>]

–Tên: Tên của cổng ACL

–Mô tả: Mô tả về cổng ACL (tham số tùy chọn)

Get-SCPortACL

Truy xuất tất cả các ACLs

cổng –Tên:

Tùy chọn lọc theo tên –ID: Tùy chọn lọc theo lệnh Mẫu ID

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

Các lệnh ghép ngắn PowerShell mới được thêm vào

New-SCPortACLrule -PortACL <> PortACL -Name <string> [-Description <string>] -Type <Inbound | Thư đi> -Tùy chọn hành <cho | Từ chối> -Priority <uint16> -Protocol <Tcp | Giao diện Udp | Mọi> [-SourceAddressPrefix <chuỗi: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y| Bất>] [-DestinationAddressPrefix <chuỗi: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y| Mọi>]

Get-SCPortACLrule

Retrieves all the port ACL rules.

• Tên: Tùy chọn lọc theo tên

• ID: Tùy chọn lọc theo ID

• PortACL: Tùy chọn lọc theo cổng ACL

Các lệnh mẫu

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

Gắn và tháo rời cổng ACLs

AcLs có thể được đính kèm vào sau đây:

• Cài đặt chung (Áp dụng cho tất cả bộ điều hợp mạng máy ảo. Chỉ người quản trị đầy đủ mới có thể thực hiện điều này.)

• Mạng máy ảo (Người quản trị đầy đủ/Người quản trị đối tượng thuê/SSU có thể thực hiện điều này.)

• Mạng con VM (Người quản trị đầy đủ/Người quản trị đối tượng thuê/SSU có thể thực hiện điều này.)

• Bộ điều hợp mạng ảo (Quản trị viên đầy đủ/người quản trị đối tượng thuê/SSU có thể thực hiện điều này.)

Cài đặt chung

Các quy tắc ACL cổng áp dụng cho tất cả các VM mạng ảo bộ điều hợp trong cơ sở hạ tầng.

Các lệnh ghép ngắn PowerShell hiện tại đã được cập nhật các tham số mới để gắn và tháo rời các ACLs cổng.

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: Tham số tùy chọn mới cấu hình ACL cổng được chỉ định cho thiết đặt chung.

• RemovePortACL: Tham số tùy chọn mới loại bỏ bất kỳ cổng Cấu hình ACL từ thiết đặt toàn cầu.

Get-SCVMMServer: Trả về ACL cổng được cấu hình trong đối tượng được trả về.

Các lệnh mẫu

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

Mạng máy ảo

Các quy tắc này sẽ được áp dụng cho tất cả các bộ điều hợp mạng ảo máy ảo được kết nối với mạng máy ảo này.

Các lệnh ghép ngắn PowerShell hiện tại đã được cập nhật các tham số mới để gắn và tháo rời các ACLs cổng.

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [rest of the parameters]

-PortACL: New optional parameters that lets you specify a port ACL to the VM network during creation.

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [phần còn lại của các tham số]

-PortACL: Tham số tùy chọn mới cho phép bạn đặt một cổng ACL vào mạng máy ảo.

-RemovePortACL: Tham số tùy chọn mới loại bỏ bất kỳ cổng Cấu hình ACL từ mạng máy ảo.

Get-SCVMNetwork: Trả về ACL cổng được cấu hình trong đối tượng được trả về.

Các lệnh mẫu

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

Mạng con VM

Các quy tắc này sẽ được áp dụng cho tất cả các bộ điều hợp mạng ảo máy ảo được kết nối với mạng con máy ảo này.

Các lệnh ghép ngắn PowerShell hiện có đã được cập nhật với tham số mới để đính kèm và tháo rời các ACLs cổng.

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [rest of the parameters]

-PortACL: New optional parameters that lets you specify a port ACL to the VM subnet during creation.

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [phần còn lại của các tham số]

-PortACL: Tham số tùy chọn mới cho phép bạn đặt cổng ACL thành mạng con VM.

-RemovePortACL: Tham số tùy chọn mới loại bỏ bất kỳ cổng Cấu hình ACL từ mạng con VM.

Get-SCVMSubnet: Trả về cổng Cấu hình ACL trong đối tượng được trả về.

Các lệnh mẫu

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

Bộ điều hợp mạng ảo VM (vmNIC)

Các lệnh ghép ngắn PowerShell hiện tại đã được cập nhật các tham số mới để gắn và tháo rời các ACLs cổng.

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [phần còn lại của các tham số]

-PortACL: Tham số tùy chọn mới cho phép bạn chỉ định ACL cổng vào bộ điều hợp mạng ảo trong khi bạn đang tạo một vNIC mới.

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [phần còn lại của các tham số]

-PortACL: Tham số tùy chọn mới cho phép bạn thiết lập một cổng ACL vào bộ điều hợp mạng ảo.

-RemovePortACL: Tham số tùy chọn mới loại bỏ bất kỳ cổng Cấu hình ACL từ bộ điều hợp mạng ảo.

Get-SCVirtualNetworkAdapter: Trả về cổng được đặt cấu hình ACL trong đối tượng được trả về.

Các lệnh mẫu

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

Áp dụng quy tắc ACL cổng

Khi bạn làm mới máy ảo sau khi bạn đính kèm cổng ACLs, bạn nhận thấy rằng trạng thái của máy ảo được hiển thị là "Không tuân thủ" trong dạng xem Máy Ảo của không gian làm việc Fabric. (Để chuyển sang chế độ xem Máy Ảo, trước tiên bạn phải duyệt đến nút Logical Networks hoặc nút Logical Switches của không gian làm việc Fabric). Hãy lưu ý rằng làm mới máy ảo xảy ra tự động trong nền (theo lịch trình). Vì vậy, ngay cả khi bạn không làm mới máy ảo một cách rõ ràng, họ sẽ đi vào một trạng thái không tuân thủ cuối cùng.



tại thời điểm này, cổng ACLs chưa được áp dụng cho máy ảo và bộ điều hợp mạng ảo có liên quan của họ. Để áp dụng cổng ACLs, bạn phải kích hoạt một quá trình được gọi là khắc phục. Điều này không bao giờ xảy ra tự động và sẽ được bắt đầu một cách rõ ràng theo yêu cầu của người dùng.

Để bắt đầu khắc phục, bạn bấm Vào Khắc phục trên Dải băng hoặc chạy lệnh ghép ngắn Repair-SCVirtualNetworkAdapter kế. Không có thay đổi cụ thể nào đối với cú pháp lệnh ghép ngắn cho tính năng này.

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Remediating these VMs will mark them as compliant and will make sure that extended port ACLs are applied. Lưu ý rằng acls cổng sẽ không áp dụng cho bất kỳ máy ảo trong phạm vi cho đến khi bạn khắc phục chúng một cách rõ ràng.

Xem quy tắc ACL của cổng

Để xem các quy tắc ACLs và ACL, bạn có thể sử dụng các lệnh ghép ngắn PowerShell sau đây.

Cập nhật quy tắc ACL của cổng

Khi bạn cập nhật ACL được đính kèm với bộ điều hợp mạng, những thay đổi được phản ánh trong tất cả các trường hợp bộ điều hợp mạng sử dụng ACL đó. Đối với ACL được gắn với mạng con VM hoặc mạng VM, tất cả các trường hợp bộ điều hợp mạng được kết nối với mạng con đó đều được cập nhật các thay đổi.

Lưu ý Cập nhật ACL quy tắc trên bộ điều hợp mạng cá nhân được thực hiện song song trong một chương trình một lần thử nỗ lực tốt nhất. Bộ điều hợp không thể cập nhật vì bất kỳ lý do nào được đánh dấu là "không tương thích bảo mật" và tác vụ kết thúc với thông báo lỗi cho biết bộ điều hợp mạng không được cập nhật thành công. "Không tuân thủ bảo mật" ở đây đề cập đến một không phù hợp trong dự kiến so với quy tắc ACL thực tế. Bộ điều hợp sẽ có trạng thái tuân thủ "Không tuân thủ" cùng với các thông báo lỗi có liên quan. Xem phần trước để biết thêm thông tin về cách khắc phục máy ảo không tuân thủ.

Xóa cổng ACL và quy tắc ACL cổng

Chỉ có thể xóa ACL nếu không có phụ thuộc nào kèm theo. Các phụ thuộc bao gồm mạng máy ảo/mạng con VM/bộ điều hợp mạng ảo/cài đặt toàn cầu được đính kèm với ACL. Khi bạn cố xóa cổng ACL bằng cách sử dụng lệnh ghép ngắn PowerShell, lệnh ghép ngắn sẽ phát hiện liệu cổng ACL được đính kèm với bất kỳ phụ thuộc nào và sẽ đưa ra thông báo lỗi thích hợp.

Loại bỏ acLs cổng

Các lệnh ghép ngắn PowerShell mới đã được thêm vào:

Remove-SCPortACL -PortACL <NetworkAccessControlList>

Loại bỏ quy tắc cổng ACL

Các lệnh ghép ngắn PowerShell mới đã được thêm vào:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

Lưu ý rằng việc xóa mạng con VM/VM Network/Network adapter sẽ tự động loại bỏ liên kết với ACL đó.

ACL cũng có thể được cắt liên kết từ mạng con VM/mạng VM/bộ điều hợp mạng bằng cách thay đổi đối tượng mạng VMM tương ứng. Để thực hiện điều này, hãy sử dụng lệnh ghép ngắn Set- cùng với khóa chuyển -RemovePortACL, như được mô tả trong các mục trước đó. Trong trường hợp này, cổng ACL sẽ được tách ra từ đối tượng mạng tương ứng nhưng sẽ không bị xóa khỏi cơ sở hạ tầng VMM. Do đó, nó có thể được tái sử dụng sau này.

Những thay đổi ngoài dải đối với quy tắc ACL

Nếu chúng tôi đang thực hiện thay đổi ngoài dải (OOB) đối với các quy tắc ACL từ cổng chuyển đổi ảo Hyper-V (bằng cách sử dụng các lệnh ghép ngắn Hyper-V gốc như Add-VMNetworkAdapterExtendedAcl), VM Refresh sẽ hiển thị bộ điều hợp mạng dưới dạng "Không tương thích bảo mật". Bộ điều hợp mạng sau đó có thể được khắc phục từ VMM như được mô tả trong phần "Áp dụng cổng ACLs". Tuy nhiên, khắc phục sẽ ghi đè tất cả các cổng ACL quy tắc được xác định bên ngoài VMM với những người được mong đợi bởi VMM.

Khái niệm cốt lõi

Mỗi quy tắc ACL cổng trong cổng ACL có một thuộc tính được đặt tên là "Ưu tiên". Các quy tắc được áp dụng theo thứ tự dựa trên mức ưu tiên của chúng. Các nguyên tắc cốt lõi sau đây xác định ưu tiên các quy tắc:

• Số ưu tiên càng thấp thì mức độ ưu tiên càng cao. Nghĩa là, nếu nhiều cổng ACL quy tắc mâu thuẫn với nhau, quy tắc với ưu tiên thấp hơn thắng.

• Hành động quy tắc không ảnh hưởng đến mức độ ưu tiên. Nghĩa là, không giống như NTFS ACLs (ví dụ), ở đây chúng ta không có khái niệm như "Từ chối luôn ưu tiên cho phép".

• Trên cùng một mức ưu tiên (cùng một giá trị số), bạn không thể có hai quy tắc cùng một hướng. Hành vi này ngăn chặn một tình huống giả thuyết trong đó người ta có thể xác định cả hai quy tắc "Từ chối" và "Cho phép" với mức ưu tiên bằng nhau, bởi vì điều này sẽ dẫn đến sự không rõ ràng, hoặc một cuộc xung đột.

• Xung đột được xác định là hai hoặc nhiều quy tắc có cùng mức ưu tiên và cùng một hướng. Xung đột có thể xảy ra nếu có hai quy tắc ACL cổng có cùng mức ưu tiên và hướng trong hai ACL được áp dụng ở các mức khác nhau và nếu các mức đó chồng lấp một phần. Nghĩa là, có thể có một đối tượng (ví dụ như vmNIC) nằm trong phạm vi của cả hai mức. Một ví dụ phổ biến của chồng chéo là một mạng máy ảo và mạng con VM trong cùng một mạng.

Áp dụng nhiều cổng ACLs cho một thực thể duy nhất 

Vì cổng ACLs có thể áp dụng cho các đối tượng mạng VMM khác nhau (hoặc trên các Mức khác nhau, như mô tả ở phần trước), một VM duy nhất mạng ảo adapter (vmNIC) có thể rơi vào phạm vi của nhiều cổng ACLs. Trong trường hợp này, cổng ACL quy tắc từ tất cả các cổng ACLs được áp dụng. Tuy nhiên, mức độ ưu tiên của những quy tắc này có thể khác nhau, tùy thuộc vào một số thiết đặt tinh chỉnh VMM mới được đề cập ở phần sau của bài viết này.

Cài đặt đăng ký

Những thiết đặt này được định nghĩa là giá trị Dword Windows Registry theo khóa sau đây trên máy chủ quản lý VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Cài đặt
Xin lưu ý rằng tất cả các thiết đặt này sẽ ảnh hưởng đến hành vi của cổng ACLs trên toàn bộ cơ sở hạ tầng VMM.

Hiệu quả cổng ACL quy tắc ưu tiên

Trong cuộc thảo luận này, chúng tôi sẽ mô tả sự ưu tiên thực tế của cổng ACL quy tắc khi nhiều cổng ACL được áp dụng cho một thực thể duy nhất như là hiệu quả quy tắc ưu tiên. Xin lưu ý rằng không có cài đặt hoặc đối tượng riêng biệt nào trong VMM để xác định hoặc xem Mức ưu tiên Quy tắc Hiệu quả. Nó được tính toán trong thời gian chạy.

Có hai chế độ toàn cầu trong đó Có thể tính toán Mức ưu tiên Quy tắc Hiệu quả. Các chế độ được chuyển bởi cài đặt đăng ký:

PortACLAbsolutePriority
Các giá trị được chấp nhận cho cài đặt này là 0 (không) hoặc 1, trong đó 0 cho biết hành vi mặc định.

Mức ưu tiên tương đối (hành vi mặc định)

Để bật chế độ này, hãy đặt thuộc tính PortACLAbsolutePriority trong sổ đăng ký thành giá trị 0 (không). Chế độ này cũng áp dụng nếu cài đặt không được xác định trong sổ đăng ký (có nghĩa là, nếu thuộc tính không được tạo).

Trong chế độ này, các nguyên tắc sau đây được áp dụng cùng với các khái niệm cốt lõi đã được mô tả trước đó:

• Mức ưu tiên trong cùng một cổng ACL được giữ nguyên. Do đó, các giá trị ưu tiên được xác định trong mỗi quy tắc được coi là tương đối trong ACL.

• Khi bạn áp dụng nhiều cổng ACLs, quy tắc của chúng sẽ được áp dụng trong bộ chứa. Các quy tắc từ cùng một ACL (đính kèm với một đối tượng nhất định) được áp dụng cùng nhau trong cùng một bộ chứa. Ưu tiên của bộ chứa cụ thể phụ thuộc vào đối tượng mà ACL cổng được đính kèm.

• Ở đây, bất kỳ quy tắc nào được xác định trong thiết đặt chung ACL (bất kể mức ưu tiên riêng của chúng như được định nghĩa trong ACL cổng) luôn ưu tiên các quy tắc được xác định trong ACL được áp dụng cho vmNIC, v.v. Nói cách khác, việc phân tách tầng là bắt buộc.
  
  

Cuối cùng, Mức ưu tiên Quy tắc Hiệu quả có thể khác với giá trị số mà bạn xác định trong các thuộc tính của quy tắc ACL cổng. Thông tin thêm về cách thực thi hành vi này và cách bạn có thể thay đổi lô-gic của hành vi này như thế nào.

1. Có thể thay đổi thứ tự ưu tiên trong đó ba mức độ "dành riêng cho đối tượng" (nghĩa là vmNIC, mạng con VM và mạng VM).
   
   

   1. Không thể thay đổi thứ tự của thiết đặt chung. Nó luôn được ưu tiên cao nhất (hoặc thứ tự = 0).

   2. Đối với ba mức khác, bạn có thể đặt các thiết đặt sau đây thành giá trị số từ 0 đến 3, trong đó 0 là mức ưu tiên cao nhất (bằng cài đặt chung) và 3 là mức ưu tiên thấp nhất:
      
      

      • PortACLVMNetworkAdapterPriority (mặc định là 1)

      • PortACLVMSubnetPriority (mặc định là 2)

      • PortACLVMNetworkPriority (mặc định là 3)

   3. Nếu bạn gán cùng một giá trị (0 đến 3) cho các thiết đặt đăng ký nhiều, hoặc nếu bạn gán một giá trị ngoài phạm vi 0 đến 3, VMM sẽ không trở lại hành vi mặc định.

2. Cách để thực thi thứ tự là Ưu tiên Quy tắc Hiệu quả được thay đổi để các quy tắc ACL được xác định ở mức cao hơn sẽ nhận được mức ưu tiên cao hơn (nghĩa là giá trị số nhỏ hơn). Khi tính toán ACL hiệu quả, mỗi giá trị ưu tiên quy tắc tương đối sẽ bị "va chạm" bởi giá trị cụ thể theo mức hoặc "bước".

3. Giá trị cụ thể theo mức là "bước" phân tách các Mức khác nhau. Theo mặc định, kích cỡ của "bước" là 10000 và được cấu hình theo thiết đặt sổ đăng ký sau đây:
   

   PortACLLayerSeparation

4. Điều này có nghĩa là, trong chế độ này, bất kỳ ưu tiên quy tắc cá nhân nào trong ACL (tức là, quy tắc được coi là tương đối) không thể vượt quá giá trị của cài đặt sau:
   

   PortACLLayerSeparation(theo mặc định, 10000)

Mức ưu tiên tương đối

Để bật chế độ này, hãy đặt thuộc tính PortACLAbsolutePriority trong sổ đăng ký thành giá trị 1.

Trong chế độ này, các nguyên tắc sau đây áp dụng ngoài các khái niệm cốt lõi được mô tả trước đó:

• Nếu một đối tượng nằm trong phạm vi của nhiều ACLs (ví dụ: mạng máy ảo và mạng con VM), tất cả các quy tắc được xác định trong bất kỳ ALL đính kèm nào sẽ được áp dụng theo thứ tự hợp nhất (hoặc dưới dạng một bộ chứa duy nhất). Không có sự phân tách cấp độ và không có "bumping" nào.

• Tất cả các quy tắc ưu tiên được coi là tuyệt đối, chính xác như chúng được định nghĩa trong mỗi quy tắc ưu tiên. Nói cách khác, mức ưu tiên hiệu quả cho mỗi quy tắc cũng giống như ưu tiên được xác định trong chính quy tắc đó và không bị thay đổi bởi công cụ VMM trước khi được áp dụng.

• Tất cả các thiết đặt đăng ký khác được mô tả trong phần trước đó không có hiệu lực.

• Trong chế độ này, bất kỳ mức ưu tiên quy tắc riêng lẻ nào trong ACL (nghĩa là mức ưu tiên quy tắc được coi là tuyệt đối) không thể vượt quá 65535.