支援在 System Center 2012 R2 VMM 中部署含更新彙總套件 8 的 Hyper-V 延伸埠 ACLS

定義新埠 ACL 及其埠 ACL 規則

您現在可以使用 PowerShell Cmdlet 直接在 VMM 中建立 ACL 及其 ACL 規則。

建立新的 ACL

新增下列新 PowerShell Cmdlet：

New-SCPortACL –名稱<字串> [–描述<字串>]

–名稱：埠 ACL

的名稱 –描述：埠 ACL (選用參數的描述)

Get-SCPortACL

擷取所有埠 ACLS

–名稱：依名稱

選擇性篩選 –識別碼：依標識

符範例命令進行選擇性篩選

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

新增的 PowerShell Cmdlet

New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <inbound |輸出> -動作<允許|拒絕> -優先順序<uint16> -通訊協定<Tcp |Udp |任何> [-SourceAddressPrefix <字串：IPAddress |IPSubnet>] [-SourcePortRange <string：X|X-Y|任何>] [-DestinationAddressPrefix <字串：IPAddress |IPSubnet>] [-DestinationPortRange <字串：X|X-Y|任何>]

Get-SCPortACLrule

會擷取所有埠 ACL 規則。

• 名稱：選擇性地依名稱篩選

• 識別碼：選擇性地依識別碼篩選

• PortACL：選擇性地依埠 ACL 篩選

範例命令

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

連接和中斷連結埠 ACLs

ACL 可附加至下列專案：

• 全域設定 (適用于所有 VM 網路介面卡。 只有完整的系統管理員才能執行此動作。)

• VM 網路 (完整系統管理員/租使用者系統管理員/SSU 可以執行此動作。)

• VM 子網 (完整系統管理員/租使用者系統管理員/SSU 可以執行此動作。)

• 虛擬網路介面卡 (完整系統管理員/租使用者系統管理員/SSU 可以執行此動作。)

全域設定

這些埠 ACL 規則適用于基礎結構中的所有 VM 虛擬網路介面卡。

現有的 PowerShell Cmdlet 已更新為附加和中斷連結埠 ACL 的新參數。

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL：將指定的埠 ACL 設定為全域設定的新選用參數。

• RemovePortACL：新的選用參數，可從全域設定中移除任何已設定的埠 ACL。

Get-SCVMMServer：傳回傳回物件中已設定的埠 ACL。

範例命令

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM 網路

這些規則將會套用到所有連線至此 VM 網路的 VM 虛擬網路介面卡。

現有的 PowerShell Cmdlet 已更新為附加和中斷連結埠 ACL 的新參數。

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [其餘的參數]

-PortACL： 新的選用參數，可讓您在建立期間指定 VM 網路的埠 ACL。

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [其餘的參數]

-PortACL：新的選用參數，可讓您將埠 ACL 設定為 VM 網路。

-RemovePortACL：新的選用參數，可從 VM 網路移除任何已設定的埠 ACL。

Get-SCVMNetwork：傳回傳回物件中已設定的埠 ACL。

範例命令

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM 子網

這些規則將會套用到所有連線至此 VM 子網的 VM 虛擬網路介面卡。

現有的 PowerShell Cmdlet 已更新為附加和中斷連結埠 ACL 的新參數。

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [其餘的參數]

-PortACL：新的選用參數，可讓您在建立期間指定 VM 子網的埠 ACL。

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [其餘的參數]

-PortACL：新的選用參數，可讓您將埠 ACL 設定為 VM 子網。

-RemovePortACL：新的選用參數，可從 VM 子網移除任何已設定的埠 ACL。

Get-SCVMSubnet：傳回傳回物件中已設定的埠 ACL。

範例命令

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM 虛擬網路介面卡 (vmNIC)

現有的 PowerShell Cmdlet 已更新為附加和中斷連結埠 ACL 的新參數。

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [其餘的參數]

-PortACL：新的選用參數，可讓您在建立新的 vNIC 時，將埠 ACL 指定到虛擬網路介面卡。

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [其餘的參數]

-PortACL：新的選用參數，可讓您將埠 ACL 設定為虛擬網路介面卡。

-RemovePortACL：新的選用參數，可從虛擬網路介面卡移除任何已設定的埠 ACL。

Get-SCVirtualNetworkAdapter：傳回傳回物件中已設定的埠 ACL。

範例命令

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

套用埠 ACL 規則

當您附加埠 ACL 後重新整理 VM 時，您會注意到 VM 的狀態在 Fabric 工作區的虛擬機器檢視中顯示為「不相容」。 (若要切換到虛擬機器檢視，您必須先流覽到 [ 邏輯網路 ] 節點或 [布料] 工作區) 的 邏輯切換 節點。 請注意，VM 重新整理會依排程自動在背景 () 。 因此，即使您未明確地重新整理 VM，VM 最終仍會進入不相容的狀態。



目前，埠 ACL 尚未套用至 VM 及其相關的虛擬網路介面卡。 若要套用埠 ACL，您必須觸發稱為修復的程式。 這永遠不會自動發生，而且應該在使用者要求時明確啟動。

若要開始修復，您可以按一下功能區上的 [補救 ]，或執行Repair-SCVirtualNetworkAdapter Cmdlet。 對於這項功能的 Cmdlet 語法，沒有任何特定的變更。

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

補救這些 VM 會將其標示為符合規範，並確認已套用延伸埠 ACL。 請注意，在您明確修復之前，埠 ACL 不會套用至範圍內的任何 VM。

檢視埠 ACL 規則

若要檢視 ACL 和 ACL 規則，您可以使用下列 PowerShell Cmdlet。

更新埠 ACL 規則

當您更新附加到網路介面卡的 ACL 時，變更會反映在所有使用該 ACL 的網路介面卡實例中。 對於附加至 VM 子網或 VM 網路的 ACL，所有連線到該子網的網路介面卡實例都會隨變更一併更新。

注意 在個別網路介面卡上更新 ACL 規則，是在單一嘗試的最佳作法配置中平行執行。 因任何原因無法更新的介面卡會標示為「安全性不相容」，而工作完成時會出現錯誤訊息，指出網路介面卡未成功更新。 此處的「安全性不相容」指的是預期與實際 ACL 規則不相符。 配接器將具有「不相容」的合規性狀態以及相關的錯誤訊息。 如需有關修復不相容虛擬機器的詳細資訊，請參閱上一節。

刪除埠 ACL 和埠 ACL 規則

只有附加 ACL 沒有相依性時，才能刪除 ACL。 相依性包括附加至 ACL 的 VM 網路/VM 子網/虛擬網路介面卡/全域設定。 當您嘗試使用 PowerShell Cmdlet 刪除埠 ACL 時，Cmdlet 會偵測埠 ACL 是否已附加至任何相依性，並會傳回適當的錯誤訊息。

移除埠 ACL

已新增新的 PowerShell Cmdlet：

Remove-SCPortACL -PortACL <NetworkAccessControlList>

移除埠 ACL 規則

已新增新的 PowerShell Cmdlet：

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

請注意，刪除 VM 子網/VM 網路/網路介面卡會自動移除與該 ACL 的關聯。

您也可以藉由變更個別的 VMM 網路物件，將 ACL 與 VM 子網/VM 網路/網路介面卡解除關聯。 若要這麼做，請使用 Set-Cmdlet 搭配 -RemovePortACL 參數，如先前各節所述。 在此情況下，埠 ACL 會與個別網路物件中斷連結，但不會從 VMM 基礎結構中刪除。 因此，日後可以重複使用。

ACL 規則的頻外變更

如果我們執行頻外 (OOB) 使用原生 Hyper-V Cmdlet（例如 Add-VNetworkAdapterExtendedAcl) ）來變更 Hyper-V 虛擬切換埠 (的 ACL 規則，VM 重新整理會將網路介面卡顯示為「安全性不相容」。 The network adapter can then be remediated from VMM as described in the "Applying port ACLs" section. 不過，補救會覆寫 VMM 以外定義的所有埠 ACL 規則，以及 VMM 預期的規則。

核心概念

埠 ACL 中的每個埠 ACL 規則都有一個名為「優先順序」的屬性。 規則會根據其優先順序來套用。 下列核心原則定義規則優先順序：

• 優先順序數位越低，優先順序越高。 也就是說，如果多個埠 ACL 規則互相對齊，優先順序較低的規則就會優先。

• 規則動作不會影響優先順序。 也就是說，與 NTFS ACL (例如) 不同，這裡並沒有像「拒絕一律優先于允許」這樣的概念。

• 在相同的優先順序 (相同的數值) ，您不能有兩個具有相同方向的規則。 此行為可避免一種假設的情況，在這種狀況中，一個規則可以定義為相同優先順序的「拒絕」和「允許」規則，因為這會導致不明確或衝突。

• 衝突定義為具有相同優先順序和相同方向的兩個或多個規則。 如果兩個埠 ACL 規則在兩個不同等級套用的 ACL 中具有相同的優先順序和方向，且這些等級部分重迭，可能會發生衝突。 也就是說，可能有一個物件 (例如，vmNIC) 落在這兩個層級的範圍內。 重迭的常見範例是相同網路中的 VM 網路和 VM 子網。

將多個埠 ACL 套用至單一實體 

由於埠 ACL 可以套用至 (或不同層級的不同 VMM 網路物件，如先前) 所述，單一 VM 虛擬網路介面卡 (vmNIC) 可能會落入多個埠 ACL 的範圍。 在此案例中，會套用來自所有埠 ACL 的埠 ACL 規則。 不過，這些規則的優先順序可能會有所不同，這取決於本文稍後提到的數個新 VMM 微調設定。

登錄設定

在 VMM 管理伺服器上的下列機碼下，這些設定在 Windows登錄中定義為 Dword 值：

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\設定
請注意，所有這些設定都會影響整個 VMM 基礎結構中的埠 ACL 行為。

有效埠 ACL 規則優先順序

在此討論中，我們會將多個埠 ACL 套用到單一實體做為有效規則優先順序時，描述埠 ACL 規則的實際優先順序。 請注意，VMM 中沒有可以定義或檢視有效規則優先順序的個別設定或物件。 它會在執行時間中計算。

有兩種全域模式可以計算有效的規則優先順序。 模式是由登錄設定切換：

PortACLAbsolutePriority
此設定可接受的值為 0 (零) 或 1，其中 0 表示預設行為。

相對優先順序 (預設行為)

若要啟用此模式，請將登錄中的 PortACLAbsolutePriority 屬性設為 0 (零) 。 如果登錄 (中未定義此設定，則) 未建立屬性時，也會套用此模式。

在此模式中，除了先前描述的核心概念以外，也適用下列原則：

• 會保留相同埠 ACL 內的優先順序。 因此，在每個規則中定義的優先順序值會視為 ACL 內的相對值。

• 當您套用多個埠 ACL 時，其規則會套用到貯體中。 附加至指定物件) 之相同 ACL (的規則會在同一個貯體中一起套用。 特定貯體的優先順序取決於連接埠 ACL 的物件。

• 在此處，全域設定中定義的任何規則 ACL (，無論其在埠 ACL 中定義的優先順序為何，) 一律優先于套用至 vmNIC 之 ACL 中定義的規則，依此類此類之。 換句話說，系統會強制執行圖層分隔。
  
  

最終，有效規則優先順序可能與您在埠 ACL 規則屬性中定義的數值不同。 進一步瞭解如何強制執行此行為，以及如何變更其邏輯。

1. 可變更三個「物件特定」層級 (的順序：vmNIC、VM 子網和 VM 網路) 優先順序。
   
   

   1. 無法變更全域設定的順序。 它一律採用最高優先順序 (或順序 = 0) 。

   2. 對於其他三個層級，您可以將下列設定設為 0 到 3 之間的數值，其中 0 是最高優先順序 (等於全域設定) ，而 3 為最低優先順序：
      
      

      • PortACLVMNetworkAdapterPriority (預設值為 1)

      • PortACLVMSubnetPriority (預設值為 2)

      • PortACLVMNetworkPriority (預設值為 3)

   3. 如果您將相同的值 (0 到 3) 指派給這些多個登錄設定，或者如果您指派 0 到 3 範圍以外的值，VMM 將無法回到預設行為。

2. 強制執行排序的方式是變更有效的規則優先順序，如此一來，在較高層級定義的 ACL 規則就會收到較高的優先順序 (，也就是較小的數值) 。 計算有效 ACL 時，每個相對規則優先順序值都會被層級特定值或「步驟」「緩衝」。

3. 層級特定值是分隔不同層級的「步驟」。 根據預設，「步驟」的大小為 10000，並由下列登錄設定：
   

   PortACLLayerSeparation

4. 這表示在此模式中，ACL (內的任何個別規則優先順序，即視為相對) 的規則不可超過下列設定的值：
   

   PortACLLayerSeparation 預設 (10000)

相對優先順序

若要啟用此模式，請將登錄中的 PortACLAbsolutePriority 屬性設為 1。

在此模式中，除了先前所述的核心概念外，也適用下列原則：

• 如果物件屬於多個 ACL (的範圍，例如 VM 網路和 VM 子網) ，任何附加 ACL 中定義的所有規則都會以統一順序套用 (或做為單一貯體) 。 沒有層級分隔，也沒有「緩衝」。

• 所有規則優先順序都視為絕對，與每個規則優先順序中所定義的完全一樣。 換句話說，每個規則的有效優先順序與規則本身所定義的相同，且 VMM 引擎在套用前並不會變更。

• 上一節所述的所有其他登錄設定都沒有作用。

• 在此模式中，ACL (中的任何個別規則優先順序，即視為絕對) 的規則優先順序不可超過 65535。