部署更新彙總套件 8 System Center 2012 R2 VMM 中的 Hyper-V 擴充的連接埠 Acl 的支援

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3101161
結論
系統管理員的 Microsoft System Center 2012 R2 Virtual Machine Manager (VMM) 可以現在集中建立和管理 Hyper-V 連接埠存取控制清單 (Acl) 在 VMM 中。
其他相關資訊
如需有關更新彙總套件 8 的 System Center 2012 R2 Virtual Machine Manager 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

3096389 更新彙總套件 8 System Center 2012 R2 Virtual Machine Manager

名詞解釋

我們已在網路的 [管理] 區域中加入下列的新概念,以改善 Virtual Machine Manager 物件模型。
  • 連接埠存取控制清單 (連接埠 ACL)
    若要物件附加到各種 VMM 網路基本項目來說明網路安全性。連接埠,ACL 會做為存取控制項目] 或 [ACL 規則的集合。可以附加到網路的基本項目,例如 VM 網路、 VM 子網路、 虛擬的網路介面卡或 VMM 管理伺服器本身的 VMM 任何數字 (零或多個) 的 ACL。ACL 可以包含任何 (零或多個) 的 ACL 規則數目。每個相容 VMM 網路基本 (VM 網路、 VM 子網路、 虛擬的網路介面卡或 VMM 管理伺服器) 可以有一個附加的 ACL 的連接埠] 或 [無。
  • 連接埠存取控制項目或 ACL 規則
    物件,描述篩選原則。多個 ACL 規則可以存在於相同的連接埠 ACL,並套用根據其優先順序。每個 ACL 規則對應到正好與其中一個連接埠 ACL。
  • 通用設定
    一種虛擬的概念,說明連接埠套用至所有的 VM 虛擬網路介面卡基礎結構中的 ACL。沒有為 [通用設定不同的物件型別。相反地,通用設定連接埠 ACL 將附加至 VMM 管理伺服器本身。VMM 管理的伺服器物件可以有一個連接埠 ACL] 或 [無。
在 [網路管理區先前可用的物件的相關資訊,請參閱 Virtual Machine Manager 網路物件的基本原則.

我可以用這項功能來做什麼?

藉由使用 PowerShell 介面,在 VMM 中的,您現在可以採取下列動作:
  • 定義連接埠 Acl 和其 ACL 規則。
    • 規則時,會套用到 Hyper-V 伺服器上的虛擬交換器連接埠上,為 「 擴充埠 Acl 」 (VMNetworkAdapterExtendedAcl) 在 Hyper-V 用語。這表示它們可以僅將套用到 Windows Server 2012 R2 (和 Hyper-V 伺服器 2012 R2) 的主機伺服器。
    • VMM 將不會建立 「 傳統 」 的 Hyper-V 連接埠 Acl (VMNetworkAdapterAcl)。因此,您無法套用到 Windows Server 2012 (或 Hyper-V 伺服器 2012年) 的主機伺服器的連接埠的 Acl,藉由使用 VMM。
    • 利用這項功能在 VMM 中定義的所有連接埠 ACL 規則是可設定狀態 (如 TCP)。您無法使用 VMM tcp 的檔案,以建立無狀態的 ACL 規則。
    如需有關延伸的連接埠 ACL 功能 Windows Server 2012 R2 Hyper-V 的詳細資訊,請參閱 為 Windows Server 2012 R2,建立具有延伸的連接埠存取控制清單的安全性原則.
  • 將連接埠 ACL 附加到 [通用設定中。它會套用至所有的 VM 虛擬網路介面卡。完整的系統管理員,才能使用。
  • 貼附 VM 網路 」、 「 VM 的子網路或 「 VM 的虛擬網路介面卡的連接埠 Acl 所建立的。這是可用於完整的系統管理員、 承租人系統管理員和自我服務的使用者 (SSUs)。
  • 檢視並更新個別的 VM vNIC 所設定的連接埠 ACL 規則。
  • 刪除連接埠 Acl 和其 ACL 規則。
在本文稍後詳細討論這些動作。

請留意這項功能只能透過 PowerShell cmdlet,並不會反映在 VMM 主控台 UI (除了 「 循規 」 狀態中)。

我不該怎麼使用此功能?

  • 管理/更新單一執行個體的個別規則時多個執行個體之間共用的 ACL。所有規則 Acl 其父代內集中管理,並套用 ACL 所連接的地方。
  • 附加到實體的一個以上的 ACL。
  • 套用至虛擬網路介面卡 (vNICs) 的連接埠的 Acl,在 Hyper-V 父磁碟分割 (管理 OS)。
  • 建立包含 IP 層級通訊協定 (TCP 或 UDP) 以外的連接埠 ACL 規則。
  • 您可以套用 [連接埠 Acl 至邏輯網路、 網路站台 (邏輯網路定義)、 子網路虛擬區域網路及不稍早列出其他 VMM 網路基本型別。

我要如何使用 「 」 功能?

定義新的連接埠 Acl 和它們的連接埠 ACL 規則

您現在可以藉由使用 PowerShell cmdlet 在 VMM 中建立的 Acl,並直接從其 ACL 規則。

建立新的 ACL

會加入下列的新 PowerShell 指令程式:

新 SCPortACL – 名稱字串> [– 描述字串>]

– 名稱: ACL 的連接埠的名稱

– 描述: ACL (選擇性的參數) 的連接埠的描述

取得 SCPortACL

擷取所有連接埠的 Acl

– 依名稱選擇篩選名稱:

– 識別碼: 選擇性地篩選識別碼

命令範例

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 


定義連接埠的連接埠 ACL 的 ACL 規則
每個連接埠的 ACL 所組成的連接埠 ACL 規則集合。每個規則包含不同的參數。

  • 名稱
  • 描述
  • 類型: 輸入/輸出 (將在其中套用 ACL 的方向)
  • 動作: 允許/拒絕 (允許的流量,或封鎖的流量的 ACL 的動作)
  • SourceAddressPrefix:
  • SourcePortRange:
  • DestinationAddressPrefix:
  • DestinationPortRange:
  • 通訊協定: TCP/Udp/任何 (附註: 連接埠的 Acl 所定義的 VMM 版的播放程式不支援 IP 層級通訊協定。它們仍然支援原生 Hyper-V。)
  • 優先順序: 1 – 65535 (最低數字會具有最高優先權)。此順序是相對於它套用的圖層。(有關如何套用 ACL 規則來自於優先順序與之物件的 ACL 附加如下所示)。

新加入的 PowerShell cmdlet

新 SCPortACLrule PortACLPortACL>-名稱字串> [-描述<string>]-型別<Inbound |="" outbound="">-<Allow |="" deny="">動作-優先順序<uint16>-<Tcp |="" udp="" |="" any="">的通訊協定 [-SourceAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-SourcePortRange <string:X|X-Y|Any>] [-DestinationAddressPrefix <string: ipaddress="" |="" ipsubnet="">] [-DestinationPortRange <string:X|X-Y|Any>]

取得 SCPortACLrule

擷取所有連接埠 ACL 規則。

</string:X|X-Y|Any></string:></string:X|X-Y|Any></string:></Tcp></uint16></Allow></Inbound></string>
  • 依名稱選擇篩選名稱:
  • 選擇性地篩選識別碼的識別碼:
  • PortACL: 選擇性地篩選由 ACL 的連接埠
命令範例

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

附加及分離連接埠的 Acl



Acl 可以附加至下列:
  • 通用的設定 (套用在所有 VM 網路介面卡。只有完整的系統管理員可以執行這項操作。)
  • VM 網路 (完整的系統管理員 」 承租人 admins/SSUs 可以執行這項操作。)
  • VM 子網路 (完整的系統管理員 」 承租人 admins/SSUs 可以執行這項操作。)
  • 虛擬網路介面卡 (完整的系統管理員 」 承租人 admins/SSUs 可以執行這項操作。)

通用設定

這些連接埠 ACL 規則將套用至所有基礎結構中的 VM 虛擬網路介面卡。

更新現有 PowerShell cmdlet 了與附加和中斷連結連接埠 Acl 的新參數。

設定 SCVMMServer -VMMServerVMMServer> [-PortACLNetworkAccessControlList> |-RemovePortACL]
  • PortACL: 新選擇性參數,將設定指定的連接埠 ACL 全域設定。
  • RemovePortACL: 移除所有的新選擇性參數設定通用設定的連接埠 ACL。
取得 SCVMMServer: 傳回設定的連接埠 ACL 中傳回的物件。

命令範例

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

VM 網路


這些規則會套用至所有 VM 虛擬網路介面卡連接到這個 VM 網路。

更新現有 PowerShell cmdlet 了與附加和中斷連結連接埠 Acl 的新參數。

新 SCVMNetwork[-PortACLNetworkAccessControlList&gt;] [其餘的參數]

-PortACL: 新的選擇性參數,可讓您在建立期間指定 VM 網路的連接埠 ACL。

設定 SCVMNetwork[-PortACLNetworkAccessControlList> |-RemovePortACL] [其餘的參數]

-PortACL: 新的選擇性參數,可讓您將設定在連接埠 ACL VM 網路。

-RemovePortACL: 移除所有的新選擇性參數設定從 VM 網路的連接埠 ACL。

取得 SCVMNetwork: 傳回設定的連接埠 ACL 中傳回的物件。

命令範例

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

VM 子網路


這些規則會套用至所有 VM 虛擬網路介面卡連接到這個 VM 子網路。

更新現有 PowerShell cmdlet 了具有附加和卸離埠 Acl 的新參數。

新 SCVMSubnet[-PortACLNetworkAccessControlList&gt;] [其餘的參數]

-PortACL: 新的選擇性參數,可讓您在建立期間指定到 VM 的子網路的連接埠 ACL。

設定 SCVMSubnet[-PortACLNetworkAccessControlList> |-RemovePortACL] [其餘的參數]

-PortACL: 新的選擇性參數,可讓您將通訊埠 ACL 設定 VM 子網路。

-RemovePortACL: 移除所有的新選擇性參數設定從 VM 子網路的連接埠 ACL。

取得 SCVMSubnet: 傳回設定的連接埠 ACL 中傳回的物件。

命令範例

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

VM 的虛擬網路介面卡 (vmNIC)


更新現有 PowerShell cmdlet 了與附加和中斷連結連接埠 Acl 的新參數。

新 SCVirtualNetworkAdapter[-PortACLNetworkAccessControlList&gt;] [其餘的參數]

-PortACL: 新的選擇性參數,可讓您在建立新的 vNIC 時,請指定連接埠 ACL 虛擬網路介面卡。

設定 SCVirtualNetworkAdapter[-PortACLNetworkAccessControlList> |-RemovePortACL] [其餘的參數]

-PortACL: 新的選擇性參數,可讓您將通訊埠 ACL 設定虛擬網路介面卡。

-RemovePortACL: 移除所有的新選擇性參數設定從虛擬網路介面卡的連接埠 ACL。

取得 SCVirtualNetworkAdapter: 傳回設定的連接埠 ACL 中傳回的物件。

命令範例

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

套用的連接埠 ACL 規則

當您更新的 Vm,在附加的連接埠 Acl 後時,您注意到的 Vm 狀態會顯示為 「 不是標準的 「 光纖工作區中的 [虛擬機器] 檢視中。(若要切換到虛擬機器的檢視,您必須先瀏覽至 [邏輯網路] 節點或 [結構] 工作區的邏輯切換節點)。請注意 VM 更新 (上排程) 的背景中自動發生。因此,即使您不要重新整理 Vm 明確,它們就會進入不合格狀態最後。



此時,連接埠 Acl 尚未套用到 Vm 和其相關的虛擬網路介面卡。若要套用的連接埠的 Acl,您必須觸發就所謂的補救程序。這不會自動發生,並應使用者要求而明確地啟動。

若要補救,請您按一下功能區上的Remediate或執行修復 SCVirtualNetworkAdapter指令程式。沒有這項功能的指令程式語法的特定變更。

修復 SCVirtualNetworkAdapter VirtualNetworkAdapterVirtualNetworkAdapter>

補救這些 Vm 會將它們標示為相容,並會確定延伸的連接埠 Acl 會套用。請注意,連接埠 Acl 不會套用到任何範圍中的 Vm 直到明確補救。

檢視 [連接埠 ACL 規則

若要檢視的 Acl 與 ACL 規則,您可以使用下列的 PowerShell cmdlet。

新加入的 PowerShell cmdlet

擷取連接埠的 Acl

參數會設定 1。若要取得 [全部] 或 [依名稱: Get SCPortACL [-名稱<>]

參數會設定 2。若要取得 id: Get SCPortACL -Id <> [-名稱<>]

擷取連接埠 ACL 規則

參數會設定 1。所有或名稱: Get SCPortACLrule [-名稱<>]

參數會設定 2。Id: Get SCPortACLrule -Id <>

3 設定參數。ACL 物件: Get SCPortACLrule -PortACLNetworkAccessControlList>

更新連接埠 ACL 規則

當您更新已附加到網路介面卡的 ACL 時,所做的變更會反映在所有網路介面卡執行個體,使用該 ACL 中。附加到 VM 子網路或網路 VM 的 acl,則會變更以更新所有網路介面卡執行個體連接到子網路。

注意更新個別的網路介面卡上的 ACL 規則是以一個重試的最大的努力配置中的平行執行。由於任何原因而無法更新的介面卡會標示 「 incompliant,安全性 」,而且在任務完成並出現錯誤訊息指出,網路介面卡未成功更新。"安全性 incompliant 「 這裡是指不符預期與實際的 ACL 規則。配接器會在一起有"不是標準的 「 相容性狀態,並顯示相關的錯誤訊息。請參閱前一節,如需有關修復不合格的虛擬機器。
新加入的 PowerShell 指令程式
設定 SCPortACL PortACLPortACL> [-名稱名稱&gt;] [-描述 <>n >]

設定 SCPortACLrule PortACLrulePortACLrule> [-名稱名稱&gt;] [-描述字串&gt;] [-型別PortACLRuleDirection> {輸入 |輸出}] [-動作PortACLRuleAction> {允許 |拒絕}] [-SourceAddressPrefix字串&gt;] [-SourcePortRange字串&gt;] [-DestinationAddressPrefix字串&gt;] [-DestinationPortRange字串&gt;] [-通訊協定PortACLruleProtocol> {Tcp |Udp |任何}]

集 SCPortACL: 變更連接埠的 ACL 描述。
  • 描述: 更新描述。

集 SCPortACLrule: 變更連接埠的 ACL 規則參數。
  • 描述: 更新描述。
  • 類型: 更新 ACL 適的方向。
  • 動作: 更新 ACL 的動作。
  • 通訊協定: 更新將會套用 ACL 的通訊協定。
  • 優先順序: 更新的優先順序。
  • SourceAddressPrefix: 更新來源位址首碼。
  • SourcePortRange: 更新來源的連接埠範圍。
  • DestinationAddressPrefix: 更新目的地位址首碼。
  • DestinationPortRange: 更新的目的地連接埠範圍。

刪除連接埠 Acl 和連接埠 ACL 規則

沒有附加相依性時,才可以刪除 ACL。相依性會包括 VM VM 網路/子網路/虛擬網路介面卡/全域設定附加至 ACL。當您嘗試使用 PowerShell cmdlet 刪除連接埠 ACL 時,此指令程式會偵測是否連接埠 ACL 附加到任何相依性,並將會擲回適當的錯誤訊息。

移除連接埠的 Acl

已新增新的 PowerShell 指令程式:

移除 SCPortACL PortACLNetworkAccessControlList>

移除連接埠 ACL 規則

已新增新的 PowerShell 指令程式:

移除 SCPortACLRule PortACLRuleNetworkAccessControlListRule>

請注意,刪除 VM VM 子網路/網路/網路介面卡會自動移除該 ACL 關聯。

ACL 也可以分離從 VM VM 子網路/網路/網路介面卡中,但會藉由變更個別的 VMM 網路物件。若要這麼做,請使用cmdlet 加上-RemovePortACL參數中,如前面章節所述。在此情況下,連接埠 ACL 將會從各自的網路物件中斷連結,但不是會刪除從 VMM 基礎結構。因此,它可以供未來重覆使用。

Out-of-band 的 ACL 規則的變更

如果執行 out-of-band 的 (OOB) 變更 ACL 規則從 Hyper-V 虛擬交換器連接埠 (藉由使用原生的 Hyper-V cmdlet,例如新增 VMNetworkAdapterExtendedAcl),VM 重新整理會顯示網路介面卡為 「 安全性 Incompliant"。網路介面卡然後從 VMM 在於,「 正在套用連接埠 Acl > 一節所述。不過,補救,將會覆寫與應該由 VMM VMM 之外所定義的所有連接埠 ACL 規則。

連接埠 ACL 規則優先順序和應用程式優先順序 (進階)

核心概念

在 [連接埠 ACL 的每個連接埠 ACL 規則都具有屬性名為"優先順序"。規則會套用順序會依據其優先順序。下列核心原則定義規則的優先順序:
  • 越低優先順序數字愈高的優先順序是。也就是說,如果多個連接埠 ACL 規則與不符彼此,低優先順序規則獲勝。
  • 規則動作不會影響優先順序。也就是不同於 NTFS Acl (比方說),這裡我們不需要一種概念像"拒絕永遠優先於允許 」。
  • 同一個優先順序 (相同數字值),您不能有兩個規則具有相同的方向。這樣可以阻止假設性的情況下,一個可以在此定義以相同的優先權的 「 拒絕 」 與 「 允許 」 規則,因為這可能會造成模稜兩可,或發生衝突。
  • 衝突被定義為兩個或多個規則具有相同的優先順序和相同的方向。如果有兩個連接埠 ACL 規則具有相同的優先順序和適用於不同的層級的兩個 Acl 中的方向,而且這些層級部份重疊,則可能會發生衝突。也就是說,可能落在兩種層級的範圍內的物件 (例如,vmNIC)。重疊的常見例子是 VM 網路以及相同的網路中的 VM 子網路。

將多個連接埠 Acl 套用到單一的實體

連接埠 Acl 可以套用到不同的 VMM 網路物件 (或在稍早描述的不同層級上),因為單一 VM 虛擬網路介面卡 (vmNIC) 可以分成多個連接埠 Acl 的範圍中。在這個案例中,從所有連接埠 Acl 的連接埠 ACL 規則將會套用。不過,這些規則的優先順序可能會不同,數個新的 VMM 微調本文稍後所述的設定。

登錄設定

這些設定被定義成 Windows 登錄中的下面機 VMM 管理伺服器上的三個 Dword 值:
HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings

請留意所有這些設定會影響整個 VMM 基礎結構的連接埠 Acl 的行為。

有效的連接埠 ACL 規則優先順序

在本節當中,我們將介紹實際的連接埠 ACL 規則優先順序,當多個連接埠 Acl 套用到單一的實體為有效的規則優先順序。請留意,沒有個別的設定或定義,或檢視有效的規則優先順序 VMM 中的物件。在執行階段計算。

有兩個通用的模式,可以用來計算有效的規則優先順序。由登錄設定來切換模式:
PortACLAbsolutePriority

此設定可接受的值是 0 (零) 或 1,0 表示預設行為的地方。

相對優先權 (預設行為)

若要啟用此模式,請設定為 0 (零) 到登錄中設定PortACLAbsolutePriority屬性。如果 (亦即,如果尚未建立的屬性),在登錄中未定義的設定,也會套用這種模式。

在這個模式中,以下的原則套用除了前述的核心概念:
  • 會保留相同的連接埠 ACL 中的優先順序。因此,每個規則中所定義的優先權值會視為在 ACL 中為相對的。
  • 當您套用多個連接埠 Acl 時,其規則會套用在雜湊桶中。內的相同的值區中,相同的 ACL (附加至指定的物件) 中的規則會套用在一起。特定的雜湊桶的優先順序是根據 ACL 的連接埠所連接的物件而定。
  • 在這裡,會永遠全域設定 ACL (不論其本身的優先權所定義的連接埠 ACL) 中定義的任何規則優先於適用於 vmNIC,以此類推的 ACL 中所定義的規則。換句話說,會強制執行層分隔。

最後,有效的規則優先順序可以不同於您在連接埠的 ACL 規則內容中定義的數值。如何強制執行這項行為及您要如何變更其邏輯的相關資訊如下。

  1. 您可以變更三個 「 特定物件 」 層級 (也就是 vmNIC、 VM 子網路及 VM 網路) 優先的順序。

    1. 無法變更全域設定的順序。便永遠擁有最高的優先權 (或順序 = 0)。
    2. 其他三個層級,您可以設定下列設定值,數值介於 0 到 3,其中 0 是最高的優先順序 (等於 [通用設定),而 3 是最低的優先順序:
      • PortACLVMNetworkAdapterPriority
        (預設值為 1)
      • PortACLVMSubnetPriority
        (預設值為 2)
      • PortACLVMNetworkPriority
        (預設值為 3)
    3. 如果您將相同的值 (0 到 3) 指派給這些多個登錄設定,或是您指定 0 到 3 的範圍之外的值,VMM 將無法回復預設行為。
  2. 排序會強制執行的方法是變更有效的規則優先順序時,讓 ACL 規則較高層級所定義的接收更高的優先順序 (也就是較小數值的值)。有效的 ACL 計算,當每個相對的規則優先順序值是"只有當"由特定層級的值或 「 步驟 」。
  3. 特定層級的值是 「 步驟 」,用來分隔不同層級。根據預設,「 步驟 」 的大小為 10000,而由下列的登錄設定中設定:
    PortACLLayerSeparation
  4. 這表示在這個模式中,ACL (也就是會被視為為相對的規則) 內的任何個別的規則優先順序不得超過下列設定值:
    PortACLLayerSeparation
    (根據預設,10000)
組態範例
假設所有設定都有其預設值。(這些被描述更早版本)。
  1. 我們擁有附加到 vmNIC 的 ACL (PortACLVMNetworkAdapterPriority = 1)。
  2. 此 ACL 中所定義的所有規則的有效優先順序被當由 10000 (PortACLLayerSeparation 值)。
  3. 我們在此有設定為 100 的優先順序的 ACL 中定義的規則。
  4. 這項規則的有效優先順序是 10000 + 100 = 10100。
  5. 規則會優先優先順序會大於 100 的相同 ACL 中的其他規則。
  6. 規則將永遠優先於任何附加的 VM 網路和 VM 的子網路層級的 Acl 中所定義的規則。(這是,則為 true 因為那些被視為 「 低 」 層級)。
  7. 規則將永遠不會優先於通用設定] 中的 ACL 中所定義的任何規則。
此模式的優點
  • 因為由 (在 [通用設定層級中) 上光纖系統管理員所定義的連接埠 ACL 規則將永遠優先於任何規則所定義的 tenants 本身中多承租人案例沒有較佳的安全性。
  • 因為層分隔,所以無法自動任何連接埠 ACL 規則衝突 (也就是語意模糊)。它是很容易就能預測哪些規則是否能有效及原因。
在這個模式下的注意事項
  • 較少的彈性。如果您定義的規則 (例如,"拒絕所有流量至連接埠 80") 通用設定] 中,您就可以在較低層 (例如,「 允許連接埠 80 只有在這個 VM,執行合法的 web 伺服器上 」),永遠不會建立更細微的豁免這項規則。

相對優先權

若要啟用這個模式,設定PortACLAbsolutePriority屬性值為 1 到登錄中。

在這個模式中,以下的原則套用除了稍早所述的核心概念:
  • 如果物件位於多個 Acl (例如,VM 網路和 VM 的子網路) 的範圍內,依統一順序 (或單一的桶),會套用任何附加的 Acl 中所定義的所有規則。沒有任何層級的分色稿和沒有"撞"皆不。
  • 按照每個規則優先順序定義這些所有的規則優先順序會被視為絕對。換句話說,每個規則的有效優先順序是如同什麼規則本身中所定義,並不會變更 VMM 引擎之前它將會套用。
  • 所有其他前一節所述的登錄設定並沒有影響。
  • 在這個模式中,ACL (也就是會被視為為絕對的規則優先順序) 中的任何個別的規則優先順序不能超過 65535。
組態範例
  1. 在通用設定 ACL,您可以定義的規則,其優先順序都設為 100。
  2. 在 ACL 中都附加到 vmNIC,您可以定義的規則,其優先順序都設為 50。
  3. VmNIC 層級定義的規則會優先,因為它具有較高的優先順序 (也就是較低數字的值)。
此模式的優點
  • 更多的彈性。您可以在較低的層級 (例如,VM 的子網路或 vmNIC),來建立 「 一次性 」 的豁免,從 [通用設定規則。
在這個模式下的注意事項
  • 規劃可能會更複雜,因為沒有層級的分隔。和其他在其他物件定義的規則會覆寫任何層級上可以有一個規則。
  • 在多承租人環境中,因為房客可以建立規則,由光纖系統管理員在通用設定層級所定義的原則會覆寫的 VM 子網路層級上,可能會影響安全性。
  • 規則衝突 (也就是語意模糊) 無法完全排除的話自動,就會發生衝突。VMM 可以避免只能在相同的 ACL 層級上的衝突。跨連接到不同的物件的 Acl,它就無法避免衝突。萬一發生衝突的詳細資訊,因為 VMM 無法自動修正衝突它便會將停止套用規則並將會擲回錯誤。

警告:本文為自動翻譯

內容

文章識別碼:3101161 - 最後檢閱時間:10/30/2015 09:55:00 - 修訂: 2.0

Microsoft System Center 2012 R2 Virtual Machine Manager

  • kbqfe kbsurveynew kbmt KB3101161 KbMtzh
意見反應