对部署 Hyper-V 扩展端口 Acl 中具有更新汇总 8 System Center 2012 R2 VMM 支持

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3101161
概要
现在,管理员的 Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) 可以集中创建和管理 Hyper-V 端口访问控制列表 (Acl) 在 VMM 中。
更多信息
有关更新汇总 8 System Center 2012 R2 Virtual Machine Manager 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

3096389 更新汇总 8 个 System Center 2012 R2 Virtual Machine Manager

术语表

我们改进了 Virtual Machine Manager 对象模型,通过在网络管理区域中添加下面的新概念。
  • 端口访问控制列表 (ACL 端口)
    附加到各种 VMM 网络基元来描述网络安全对象。该端口 ACL 作为访问控制项或 ACL 规则的集合。ACL 可附加到 VMM 网络基元,如虚拟机网络、 虚拟机的子网、 虚拟网络适配器或 VMM 管理服务器本身的任何数字 (零个或更多)。ACL 可以包含任意数量 (零个或更多) 的 ACL 规则。每个兼容 VMM 网络基元 (VM 网络虚拟机网、 虚拟网络适配器、 VMM 管理服务器) 可以有一个 ACL 连接的端口或无。
  • 端口访问控制项或 ACL 规则
    对象,该对象描述筛选策略。多个 ACL 规则可以存在于同一个端口 ACL 并应用取决于它们的优先级。每个 ACL 规则对应到一个端口 ACL。
  • 全局设置
    一个虚拟的概念,介绍了 ACL 应用到基础架构中的所有虚拟机的虚拟网络适配器的端口。没有单独的对象类型的全局设置。相反,全局设置的端口 ACL 将附加到 VMM 管理服务器本身。VMM 管理服务器对象可以具有一个端口 ACL 或无。
以前是网络管理区域中的对象有关的信息,请参阅 Virtual Machine Manager 网络对象基础知识.

使用此功能可以做什么?

通过使用 VMM 中的 PowerShell 接口,您现在可以执行以下操作:
  • 定义端口 Acl 和其 ACL 规则。
    • 规则应用到 Hyper-V 服务器上的虚拟交换机端口为"扩展端口 Acl"(VMNetworkAdapterExtendedAcl) 在 Hyper-V 术语。这意味着它们可以应用于 Windows Server 2012 R2 (和 Hyper-V 服务器 2012 R2) 主机服务器。
    • VMM 将不会创建的"传统"Hyper-V 端口 Acl (VMNetworkAdapterAcl)。因此,不能通过使用 VMM 对 Windows Server 2012 (或 Hyper-V 服务器 2012年) 主机服务器应用端口 Acl。
    • 通过使用此功能在 VMM 中定义的所有端口 ACL 规则都有状态 (适用于 TCP)。不能为 TCP 使用 VMM 来创建无状态的 ACL 规则。
    有关扩展端口 ACL 功能 Windows Server 2012 R2 Hyper-V 的详细信息,请参阅 对于 Windows Server 2012 R2 与扩展的端口的访问控制列表创建安全策略.
  • 附加到全局设置的端口 ACL。这将其应用到所有虚拟机的虚拟网络适配器。它是仅适用于完整的管理员。
  • 附加到虚拟机网络、 虚拟机的子网或虚拟机的虚拟网络适配器创建的端口 Acl。这是可供完全管理员、 组织管理员和自助服务用户 (Ssu)。
  • 查看和更新在单个虚拟机 vNIC 配置的端口 ACL 规则。
  • 删除端口 Acl 和其 ACL 规则。
在本文的稍后部分详细介绍每种操作。

请注意此功能只能通过 PowerShell 命令 公开并不会反映在 VMM 控制台用户界面 (除了"符合"状态)。

什么我不如何使用此功能?

  • 管理/更新单独的规则的单一实例时在多个实例之间共享的 ACL。所有的规则在其父 Acl 集中管理并应用 ACL 所附加的任何地方。
  • 附加到实体的多个 ACL。
  • 将端口 Acl 应用于虚拟网络适配器 (vNICs) 中 Hyper-V 父分区 (管理操作系统)。
  • 创建包含 IP 层协议 (TCP 或 UDP) 以外的端口 ACL 规则。
  • 将端口 Acl 应用于逻辑网络、 网络站点 (逻辑网络定义)、 子网 Vlan 和其他没有前面列出的 VMM 网络基元。

如何使用此功能?

定义新的端口 Acl 和其端口 ACL 规则

您现在可以创建 Acl 并直接从其 ACL 规则在 VMM 中使用 PowerShell cmdlet。

创建一个新 ACL

添加以下新 PowerShell cmdlet:

新 SCPortACL -名称字符串> [-说明字符串>]

-名称: 端口 ACL 的名称

-说明: 端口 ACL (可选参数) 的说明

获得 SCPortACL

检索所有端口 Acl

-名称: (可选) 按名称筛选

--ID: (可选) 按 ID 筛选

示例命令

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


定义端口 ACL 的端口 ACL 规则
每个端口 ACL 包括端口 ACL 规则的集合。每个规则都包含不同的参数。

  • 名称
  • 说明
  • 类型: 入站/出站 (将在其中应用 ACL 的方向)
  • 措施: 允许/拒绝 (ACL,以允许通信,或阻止通信的操作)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • 协议: TCP/Udp/任何 (注: IP 层协议不支持通过 VMM 定义端口 Acl。他们现在仍然支持本机 Hyper-V。)
  • 优先级: 1-65535 (最低值具有最高优先级)。此优先级与应用它的图层。(有关如何应用 ACL 规则的详细信息基于优先级和 ACL 所附加如下所示的对象)。

新添加的 PowerShell 命令

新 SCPortACLrule PortACLPortACL> 的名称字符串> [-说明<string>]-类型<Inbound |="" outbound="">-<Allow |="" deny="">操作的优先级<uint16>-协议<Tcp |="" udp="" |="" any="">[-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

获得 SCPortACLrule

检索所有端口 ACL 规则。

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • (可选) 按名称筛选名称:
  • ID: (可选) 按 ID 筛选
  • PortACL: 有选择地筛选端口 ACL
示例命令

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

附加和分离端口 Acl



Acl 可附加到以下:
  • 全局设置 (适用于所有虚拟机的网络适配器。只有完整的管理员可以执行此操作。)
  • VM 网络 (完全的管理员租户管理员/Ssu 可以这么做。)
  • 虚拟机的子网 (完全的管理员租户管理员/Ssu 可以这么做。)
  • 虚拟网络适配器 (完全的管理员租户管理员/Ssu 可以这么做。)

全局设置

这些端口 ACL 规则适用于基础结构中的所有虚拟机的虚拟网络适配器。

附加和分离端口 Acl 的新参数更新了现有 PowerShell cmdlet。

组-SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> |-RemovePortACL]
  • PortACL: 新的可选参数,用于配置全局设置到指定的端口 ACL。
  • RemovePortACL: 新的可选参数,将删除任何配置全局设置的端口 ACL。
获得 SCVMMServer: 返回的对象中返回已配置的端口 ACL。

示例命令

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM 网络


这些规则将应用到所有虚拟机的虚拟网络适配器连接到此虚拟机的网络。

附加和分离端口 Acl 的新参数更新了现有 PowerShell cmdlet。

新 SCVMNetwork[-PortACLNetworkAccessControlList&gt;] [其他参数]

-PortACL: 新的可选参数允许您在创建过程中指定为 VM 网络端口 ACL。

一组 SCVMNetwork[-PortACLNetworkAccessControlList> |-RemovePortACL] [其他参数]

-PortACL: 新的可选参数允许您设置到 VM 网络端口 ACL。

-RemovePortACL: 新的可选参数,将删除任何配置 VM 网络端口 ACL。

获得 SCVMNetwork: 返回的对象中返回已配置的端口 ACL。

示例命令

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

虚拟机的子网


这些规则将应用到所有虚拟机的虚拟网络适配器连接到此虚拟机的子网。

使用新的参数附加和分离端口 Acl 更新了现有 PowerShell cmdlet。

新 SCVMSubnet[-PortACLNetworkAccessControlList&gt;] [其他参数]

-PortACL: 新的可选参数允许您在创建过程中指定端口 ACL 到虚拟机的子网。

一组 SCVMSubnet[-PortACLNetworkAccessControlList> |-RemovePortACL] [其他参数]

-PortACL: 新的可选参数允许您设置 ACL 的端口到虚拟机的子网。

-RemovePortACL: 新的可选参数,将删除任何配置端口 ACL 从 VM 的子网。

获得 SCVMSubnet: 返回的对象中返回已配置的端口 ACL。

示例命令

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

虚拟机的虚拟网络适配器 (vmNIC)


附加和分离端口 Acl 的新参数更新了现有 PowerShell cmdlet。

新 SCVirtualNetworkAdapter[-PortACLNetworkAccessControlList&gt;] [其他参数]

-PortACL: 新的可选参数允许您指定到虚拟网络适配器的端口 ACL,而您正在创建新的 vNIC。

一组 SCVirtualNetworkAdapter[-PortACLNetworkAccessControlList> |-RemovePortACL] [其他参数]

-PortACL: 新的可选参数允许您将端口 ACL 设置为虚拟网络适配器。

-RemovePortACL: 新的可选参数,将删除任何配置从虚拟网络适配器的端口 ACL。

获得 SCVirtualNetworkAdapter: 返回的对象中返回已配置的端口 ACL。

示例命令

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

应用端口 ACL 规则

当附加的端口 Acl 后刷新虚拟机时,您注意到虚拟机的状态将显示为"不符合"在虚拟机的结构工作区视图中。(要切换到虚拟机视图,必须先浏览到逻辑网络节点或逻辑切换工作区结构的节点)。请注意虚拟机刷新会自动在后台 (按计划)。因此,即使您不显式刷新虚拟机,它们将进入不符合状态最终。



在这种情况下,端口 Acl 尚未应用到虚拟机和它们相关的虚拟网络适配器。若要应用端口 Acl,您必须触发一个称为修正的过程。这永远不会自动发生,应根据用户的请求显式启动。

若要启动修正,您通过单击功能区上的修正或者运行修复 SCVirtualNetworkAdapter cmdlet。没有特定于此功能的 命令 语法更改。

修复-SCVirtualNetworkAdapter VirtualNetworkAdapterVirtualNetworkAdapter>

补救这些虚拟机将将它们标记为符合并将确保扩展的端口 Acl 会应用。请注意,端口 Acl 将不适用于在作用域中的任何虚拟机之前显式地修正。

查看端口 ACL 规则

若要查看 Acl 和 ACL 规则时,您可以使用下面的 PowerShell cmdlet。

新添加的 PowerShell 命令

检索端口 Acl

1 设置参数。若要获取所有或按名称:获取 SCPortACL [-名称<>]

参数设置 2。通过 ID 获取:获取 SCPortACL -Id <> [-名称<>]

检索端口 ACL 规则

1 设置参数。所有或按名称:获取 SCPortACLrule [-名称<>]

参数设置 2。标识: 通过Get SCPortACLrule -Id <>

3 设置参数。通过 ACL 对象:获取 SCPortACLrule -PortACLNetworkAccessControlList>

正在更新端口 ACL 规则

更新附加到网络适配器的 ACL 时,所做的更改将反映在使用该 ACL 的所有网络适配器实例。使用更改更新附加到虚拟机的子网或虚拟机网络的 ACL,与该网相连的所有网络适配器实例。

注意:一个尝试尽力方案中的并行执行更新单个网络适配器上的 ACL 规则。由于某种原因不能被更新的适配器被标记为"安全 incompliant,"和任务完成时有错误消息,指出未成功更新的网络适配器。"安全 incompliant"此处引用不匹配预期与实际的 ACL 规则。适配器将具有法规遵从性状态为"不符合"共同与相关的错误消息。请参阅上一节有关补救不符合要求的虚拟机的详细信息。
新添加的 PowerShell 命令
一组 SCPortACL PortACLPortACL> [-名称名称&gt;] [-说明 <>n >]

一组 SCPortACLrule PortACLrulePortACLrule> [-名称名称&gt;] [-说明字符串&gt;] [-类型PortACLRuleDirection> {站 |出站}] [-操作PortACLRuleAction> {允许 |拒绝}] [-SourceAddressPrefix字符串&gt;] [-SourcePortRange字符串&gt;] [-DestinationAddressPrefix字符串&gt;] [-DestinationPortRange字符串&gt;] [-协议PortACLruleProtocol> {Tcp |Udp |任何}]

一组 SCPortACL: 更改端口 ACL 描述。
  • 说明: 更新说明。

一组 SCPortACLrule: 更改端口 ACL 规则参数。
  • 说明: 更新说明。
  • 类型: 更新应用 ACL 的方向。
  • 操作: 将更新 ACL 的动作。
  • 协议: 更新将 ACL 应用于该协议。
  • 优先级: 更新优先级。
  • SourceAddressPrefix: 更新源地址前缀。
  • SourcePortRange: 更新的源端口的范围。
  • DestinationAddressPrefix: 更新目标地址前缀。
  • DestinationPortRange: 更新目标端口范围。

删除端口 Acl 和端口 ACL 规则

仅当连接到它没有依赖项,则可以删除 ACL。依赖项包括 VM 网络/虚拟机/虚拟子网的网络适配器/全局设置附加到 ACL。当您尝试通过使用 PowerShell 命令 删除端口 ACL 时,cmdlet 将检测是否端口 ACL 附加到任何依赖项,将引发相应的错误消息。

删除端口 Acl

已添加新的 PowerShell cmdlet:

删除 SCPortACL PortACLNetworkAccessControlList>

删除端口 ACL 规则

已添加新的 PowerShell cmdlet:

删除 SCPortACLRule PortACLRuleNetworkAccessControlListRule>

请注意,删除虚拟机/虚拟机的子网的网络/网络适配器将自动删除该 ACL 的关联。

通过更改相应的 VMM 网络对象从 VM 虚拟机网/网络/网络适配器可以也被解除 ACL。若要执行此操作,使用集合的命令的 RemovePortACL交换机,以及上文所述。在这种情况下,端口 ACL 将从各自的网络对象分离但不是会删除从 VMM 基础结构。因此,它可以重用。

带外更改 ACL 规则

如果我们要执行带外 (OOB) 更改 ACL 规则从 Hyper-V 虚拟交换机端口 (通过使用本机 Hyper-V cmdlet,如添加 VMNetworkAdapterExtendedAcl),刷新虚拟机将显示网络适配器为"安全 Incompliant"。"应用端口 Acl"一节中所述,然后可以从 VMM 修正的网络适配器。不过,补救措施将覆盖所有与预期通过 VMM VMM 外部定义的端口 ACL 规则。

端口 ACL 规则优先级和应用程序优先级 (高级)

核心概念

端口 ACL 中的每个端口 ACL 规则有一个属性,名为"优先级"。根据其优先级顺序应用规则。下面的核心原则定义规则优先顺序:
  • 低优先级数字较高的优先级是。也就是说,如果多个端口 ACL 规则相矛盾每个另一个,具有较低优先级的规则获胜。
  • 规则操作不影响优先级。就是与不同的 NTFS Acl (例如),这里我们没有概念像"拒绝始终优先于允许"。
  • 在相同优先级 (相同的数值),不能有两个规则具有相同的方向。此行为可防止在其中一个可能具有相同的优先级,定义"拒绝"和"允许"规则的假设情况,因为这会导致多义性或冲突中。
  • 冲突被指两个或多个规则具有相同的优先级和相同的方向。如果有两个端口 ACL 规则具有相同的优先级和在两个不同的级别应用的 Acl 的方向,如果这两种级别部分重叠,则可能会发生冲突。也就是说,可能在这两种级别的作用域内的对象 (例如,vmNIC)。重叠的一个常见示例是一个 VM 的网络和虚拟机在同一网络的子网。

将多个端口 Acl 应用于单个实体

因为端口 Acl 可以应用到不同的 VMM 网络对象 (或在不同的级别,如前面所述),单个 VM 虚拟网络适配器 (vmNIC) 可以分为多个端口 Acl 的范围。在这种情况下,将应用所有端口 Acl 中的端口 ACL 规则。但是,这些规则的优先级可以不同,这取决于几个新的 VMM 微调本文内下文中提到的设置。

注册表设置

这些设置被指在 VMM 管理服务器上的以下注册表项中 Windows 注册表 Dword 值:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

请注意,所有这些设置会影响整个的 VMM 基础架构的端口 Acl 的行为。

有效端口 ACL 规则的优先级

在本讨论中,我们将介绍实际的端口 ACL 规则的优先级在多个端口 Acl 应用于单个实体为有效的规则优先级时。请注意没有单独设置或定义或查看有效的规则优先级的 VMM 中的对象。它是在运行时计算的。

有两种可计算有效的规则优先级的全局模式。由注册表设置来切换模式:
PortACLAbsolutePriority

此设置可接受值为 0 (零) 或 1,其中 0 表示默认行为。

相对优先级 (默认行为)

若要启用此模式,设置值为 0 (零) 到注册表中的PortACLAbsolutePriority属性。如果定义的设置是不在注册表中 (也就是说,如果不创建属性),这种模式也适用。

在此模式下,上文所述的核心概念适用于下列原则:
  • 在同一个端口 ACL 的优先级将被保留。因此,每个规则中定义的优先级值被视为相对在 ACL 中。
  • 应用多个端口 Acl 时,它们的规则应用于存储桶。从 (附加到给定的对象) 的同一个 ACL 规则应用在相同的存储桶中。优先级的特定存储桶取决于端口 ACL 所依附的对象。
  • 在这里,总是在全局设置 ACL (无论他们的优先级定义端口 ACL 中) 中定义的所有规则都优先于应用于 vmNIC,等等的 ACL 中定义的规则。换句话说,强制层分离。

从根本上讲,有效的规则优先级可以不同于您定义端口 ACL 规则属性中的数值。有关如何实施此行为以及如何更改其逻辑的详细信息如下。

  1. 三个"特定对象"级别 (即 vmNIC,VM 网和 VM 网络) 优先的顺序可以更改。

    1. 不能更改全局设置的顺序。它始终将最高优先 (或订单 = 0)。
    2. 对于其他三个级别,可以为数字值 0 到 3,其中 0 表示最高优先级 (相同的全局设置),3 是最低优先级之间设置下列设置:
      • PortACLVMNetworkAdapterPriority
        (默认值为 1)
      • PortACLVMSubnetPriority
        (默认值为 2)
      • PortACLVMNetworkPriority
        (默认值为 3)
    3. 如果您将相同的值 (0 到 3) 分配给这些多个注册表设置,或者指定 0 到 3 范围以外的值,VMM 将故障回复到默认的行为。
  2. 排序强制执行的方式是有效的规则优先级,将更改,以便在更高的级别定义的 ACL 规则享有优先权 (,即较小数值)。计算有效 ACL 时,每个相对规则的优先级值是"撞击"的特定级别的值或"步骤"。
  3. 特定级别的值是用于分隔不同级别的"步骤"。默认情况下,"步骤"的大小为 10000,并由下面的注册表设置配置:
    PortACLLayerSeparation
  4. 这意味着,在此模式下,ACL (被视为相对规则) 内任何单个规则的优先级不能超过以下设置的值:
    PortACLLayerSeparation
    (默认情况下为 10000)
配置示例
假设所有的设置都具有它们的默认值。(这些被描述前面)。
  1. 我们必须附加到 vmNIC 的 ACL (PortACLVMNetworkAdapterPriority = 1)。
  2. 在此 ACL 中定义的所有规则的有效优先级是由 10000 (PortACLLayerSeparation 值) 解除了。
  3. 我们的优先级设置为 100,此 ACL 中定义的规则。
  4. 此规则的有效优先级是 10000 + 100 = 10100。
  5. 该规则将优先于其他规则的优先级大于 100 的 ACL 中。
  6. 该规则将始终优先于附加的虚拟机网络和虚拟机的子网级别的 Acl 中所定义的任何规则。(这是真正因为那些被认为是"低"级别)。
  7. 该规则将永远不会优先于全局设置 ACL 中定义的所有规则。
这种模式的优点
  • 有在多租户的情况下是更好的安全性,因为由结构管理员 (全局设置级别) 上定义的端口 ACL 规则将始终优先于由承租人自行定义的所有规则。
  • 任何端口 ACL 规则冲突 (即,含糊之处) 将自动阻止由于层分离。很容易预测的规则将有效以及为什么。
使用此模式的注意事项
  • 更少的灵活性。如果您定义的规则 (例如,"拒绝所有通信端口 80") 在全局设置,可以在较低图层 (例如,"允许端口 80 只在此 VM 运行合法的 web 服务器") 上永远不会创建与该规则的更精细例外。

相对优先级

若要启用此模式,设置值为 1 到注册表中的PortACLAbsolutePriority属性。

在此模式下,以下原则适用于前面所述的核心概念:
  • 如果一个对象的多个 Acl (例如,虚拟机网络和虚拟机的子网) 的范围内,按统一的顺序 (或作为单个桶) 应用任何附加的 Acl 中所定义的所有规则。没有任何级别的分离和没有"提高"无论如何。
  • 所有规则的优先级将被都视为绝对、 完全按照定义的每个规则的优先级。换句话说,对于每个规则有效的优先级是什么规则本身中定义和应用之前通过 VMM 引擎不更改相同。
  • 前一节所述的所有其他注册表设置没有任何影响。
  • 在此模式下,ACL (即被视为为绝对规则优先级) 中任何单个规则的优先级不能超过 65535。
配置示例
  1. 在全局设置 ACL,您定义的规则的优先级设置为 100。
  2. 在附加到 vmNIC 的 ACL,您定义的规则的优先级设置为 50。
  3. 因为它具有更高的优先级 (即较低数值),vmNIC 级别定义的规则优先。
这种模式的优点
  • 更大的灵活性。您可以在较低级别 (例如,虚拟机的子网或 vmNIC) 上创建"一次性"免除从全局设置规则。
使用此模式的注意事项
  • 因为没有级别分离,规划可能会更复杂。而在任何级别重写在其他对象定义的其他规则可以是规则。
  • 在多租户环境中,因为承租人可以重写由结构管理员在全局设置级别定义的策略的 VM 子网级别创建的规则会影响安全。
  • 规则冲突 (即,含糊之处) 发生,不会自动消除。VMM 可以防止冲突仅在相同的 ACL 级别上。它无法通过连接到不同的对象的 Acl 阻止冲突。在冲突的情况下,VMM 无法自动修复此冲突,因为它将停止应用的规则,将引发错误。

属性

文章 ID:3101161 - 上次审阅时间:10/30/2015 09:54:00 - 修订版本: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtzh
反馈