Správa seznamů ACL portu v nástroji VMM
V nástroji System Center Virtual Machine Manager (VMM) můžete centrálně konfigurovat a spravovat seznamy řízení přístupu (ACL) portů Hyper-V. Seznamy ACL portu je možné nakonfigurovat pro prostředky infrastruktury spravované síťovým adaptérem i pro sítě, které nejsou spravovány síťovým adaptérem.
- Seznam ACL portu je sada pravidel, která filtrují provoz na úrovni portu vrstvy 2. Seznam ACL portu v nástroji VMM filtruje přístup k určitému objektu VMM. Síťový objekt nemůže mít připojený více než jeden seznam ACL portu.
- Seznam ACL obsahuje pravidla a může být připojen k libovolnému počtu síťových objektů. Seznam ACL můžete vytvořit bez pravidel a později přidat pravidla. Každé pravidlo seznamu ACL odpovídá pouze jednomu seznamu ACL portu.
- Pokud seznam ACL obsahuje více pravidel, použijí se na základě priority. Po splnění kritérií a použití pravidla se nezpracují žádná další pravidla.
- Seznam ACL portu globálního nastavení se použije u všech virtuálních síťových adaptérů virtuálních počítačů v infrastruktuře. Pro globální nastavení neexistuje žádný samostatný typ objektu. Místo toho je seznam ACL portu globálního nastavení připojený k serveru pro správu VMM.
- Nastavení seznamu ACL portu se zveřejňují jenom prostřednictvím rutin PowerShellu v nástroji VMM a není možné je nakonfigurovat v konzole VMM.
- Seznamy ACL portu lze použít pro:
- Virtuální podsítě a adaptéry v nasazení síťového adaptéru
- Virtuální podsítě, síťové adaptéry, sítě virtuálních počítačů a server pro správu VMM v sítích, které nespravuje síťový adaptér.
Než začnete
- Pokud chcete použít seznam ACL na objekty spravované síťovým adaptérem, použijte příznak ManagedByNC a nastavte ho na Hodnotu True. Pokud není nastavená hodnota True, seznam ACL se vztahuje pouze na síťové objekty, které nejsou spravovány síťovým adaptérem.
- Typy seznamu ACL nejsou zaměnitelné. Seznam ACL s managedByNC nastaveným na false nemůžete použít u objektů spravovaných síťovým adaptérem a naopak.
- Klíčovým rozdílem mezi těmito dvěma druhy seznamů ACL je, že po použití seznamu ACL u objektů, které nejsou spravovány síťovým adaptérem, je potřeba opravit každý síťový adaptér.
- V rozsazích priority je také rozdíl:
- Seznamy ACL portu Hyper-V (nespravované síťovým adaptérem):: 1 – 65535
- Seznamy ACL portu SDN (spravované síťovým adaptérem):: 1 – 64500
- K připojení seznamu ACL portu ke globálnímu nastavení potřebujete úplná oprávnění správce VMM. Pokud chcete připojit seznam ACL k objektům VMM (sítě virtuálních počítačů, podsítě, virtuální síťové adaptéry), musíte být správcem VMM nebo správcem tenanta nebo samoobslužným uživatelem.
Nepodporované scénáře
Tady je seznam nepodporovaných scénářů:
- Umožňuje spravovat jednotlivá pravidla pro jednu instanci, když se seznam ACL sdílí s více instancemi. Všechna pravidla se spravují centrálně v rámci nadřazených seznamů ACL a použijí se všude, kde je seznam ACL připojený.
- Připojte více než jeden seznam ACL k entitě.
- Použijte seznamy ACL portu na virtuální síťové adaptéry v nadřazené části Hyper-V (operační systém pro správu).
- Vytvořte pravidla seznamu ACL portu v nástroji VMM, která obsahují protokoly na úrovni PROTOKOLU IP (jiné než TCP nebo UDP). Technologie Hyper-V stále nativně podporuje jiné protokoly.
- Použijte seznamy ACL portu pro logické sítě, síťové lokality (definice logické sítě), sítě VLAN podsítě a další síťové objekty VMM, které nejsou uvedené jako podporované.
Postup nasazení
Pomocí rozhraní PowerShellu VMM postupujte takto:
Definujte seznamy ACL portu a pravidla.
- Pravidla se použijí na porty virtuálního přepínače na serverech Hyper-V jako rozšířené seznamy ACL portu (VMNetworkAdapterExtendedAcl). To znamená, že se můžou vztahovat pouze na hostitele se systémem Windows Server 2012 R2 nebo novějším, protože VMM nevytvoří starší seznamy ACL portu Hyper-V (VMNetworkAdapterAcl) pro starší verze.
- Pravidla se použijí na porty virtuálního přepínače na serverech Hyper-V jako rozšířené seznamy ACL portu (VMNetworkAdapterExtendedAcl). To znamená, že se můžou vztahovat pouze na hostitele se systémem Windows Server 2016 nebo novějším, protože VMM nevytvoří starší seznamy ACL portu Hyper-V (VMNetworkAdapterAcl) pro starší verze.
- Pravidla se použijí na porty virtuálního přepínače na serverech Hyper-V jako rozšířené seznamy ACL portu (VMNetworkAdapterExtendedAcl). To znamená, že se můžou vztahovat pouze na hostitele se systémem Windows Server 2019 nebo novějším, protože VMM nevytvoří starší seznamy ACL portu Hyper-V (VMNetworkAdapterAcl) pro starší verze.
- Všechna pravidla seznamu ACL portu definovaná v nástroji VMM jsou stavová pro protokol TCP. Nemůžete vytvářet bezstavová pravidla seznamu ACL protokolu TCP.
Připojte seznam ACL portu ke globálnímu nastavení. Tím se seznam ACL použije u všech virtuálních síťových adaptérů virtuálních počítačů.
Připojte seznamy ACL portu k sítím virtuálních počítačů, podsítím virtuálních počítačů nebo virtuálním síťovým adaptérům virtuálních počítačů.
Správa pravidel seznamu ACL portu
Vytvoření seznamů ACL portu
Otevřete PowerShell v nástroji VMM.
Vytvořte seznam ACL portu pomocí rutiny New-SCPortACL .
New-SCPortACL [-Name] <String> [-Description <String>] [-JobVariable <String>] [-ManagedByNC] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-Owner <String>] [-PROTipID <Guid>] [-RunAsynchronously] [-UserRole <UserRole>] [-VMMServer <ServerConnection>] [<CommonParameters>]
Parametry
| Parametr | Podrobnosti |
|---|---|
| Jméno; Popis | Název a popis seznamu ACL portu |
| ÚlohaVariable | Ukládá průběh úlohy. |
| ManagedByNC | Určuje, jestli jsou objekty spravovány síťovým adaptérem. |
| OnBehalfOfUser/OnBehalfOfRole | Spuštění úlohy s uživatelským jménem nebo rolí |
| Vlastník | Určuje vlastníka objektu VMM ve formě platného uživatelského účtu domény. Příklad: Contoso\PattiFuller nebo PattiFuller@Contoso |
| ProTipID | ID protipu, který aktivoval akci |
| Spustit jakosychronously | Označuje, jestli se úloha spouští asynchronně. |
| Role uživatele | Určuje roli uživatele. |
| VMMServer | Určuje server VMM. |
| CommonParameters | Další informace |
Příklady
Vytvořte seznam ACL portu pro objekty spravované síťovým adaptérem DemoACLManagedByNC:
PS: C:\> New-SCPortACL -Name "DemoACLManagedByNC" -Description "PortACL Example Managed by NC" -ManagedByN
Vytvořte seznam ACL portu pro objekty, které nespravuje síťový adaptér DemPortACL:
PS: C:\> New-SCPortACL -Name "DemoPortACL" -Description "Port ACL Example Non Managed by NC"
Definování pravidel seznamu ACL portu pro seznam ACL portu
Otevřete PowerShell v nástroji VMM.
Vytvořte jedno nebo více pravidel pomocí rutiny New-SCPortACLRule .
New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Outbound> -Action <Allow | Deny> -Priority <uint16> -Protocol <Tcp | Udp | Any> [-LocalAddressPrefix <string: IPAddress | IPSubnet>] [-LocalPortRange <string:X|X-Y|Any>] [-RemoteAddressPrefix <string: IPAddress | IPSubnet>] [-RemotePortRange <string:X|X-Y|Any>]
Parametry
| Parametr | Podrobnosti |
|---|---|
| Název, popis | Název a popis pravidla |
| Typ | Určuje směr provozu, pro který se použije seznam ACL (příchozí nebo odchozí). |
| Akce | Určuje, jestli seznam ACL povoluje nebo blokuje provoz (Povolit nebo Odepřít). |
| LocalAddressPrefix | Určuje zdrojovou IP adresu nebo podsíť, která se používá k identifikaci provozu, který se musí filtrovat. |
| LocalPortRange | Určuje rozsah zdrojových portů, který se používá k identifikaci provozu. |
| RemoteAddressPrefix | Určuje cílovou IP adresu nebo podsíť, která se používá k identifikaci provozu pro filtrování. |
| RemotePortRange | Určuje rozsah cílových portů, který se používá k identifikaci provozu. |
| Protokol | Určuje protokol, pro který se pravidlo použije. |
| Priorita | Zadejte prioritu pravidla v seznamu ACL portu. Pravidla se použijí podle pořadí. Nastavte prioritu mezi 1 a 65535, kde nejnižší číslo má nejvyšší prioritu. Pravidla seznamů ACL portu pro objekty spravované síťovým adaptérem musí být nastavená na hodnotu 100 nebo vyšší. Síťový adaptér nepodporuje prioritu nižší než 100. |
Příklady
Vytvořte seznam ACL portu a uložte objekt do $portACL:
PS: C:\> $portACL = New-SCPortACL -Name "RDP ACL" -Description "Acl on RDP access"
Vytvořte pravidlo seznamu ACL portu, které povolí přístup RDP ze vzdálené podsítě:
PS: C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
Upravte prioritu pravidla seznamu ACL:
PS: C:\> $portACLRule = Get-SCPortACLRule -Name "AllowRDPAccess" `` <br/><br/> `` PS: C:\> Set-SCPortACLRule -PortACLRule $portACLRule -Priority 220
První příkaz získá pravidlo seznamu ACL portu AllowRDPAccess. Druhý příkaz změní prioritu pravidla na 220.
Upravte pravidlo seznamu ACL portu pro cílový rozsah adres a protokol pravidla:
PS: C:\> $portACLRule = Get-SCPortACLRule -Name "AllowRDPAccess" `` <br/><br/> `` PS: C:\> Set-SCPortACLRule -PortACLRule $portACLRule -RemoteAddressPrefix 172.185.21.0/24 -Protocol Udp
První příkaz načte pravidlo AllowRDPAccess. Druhý změní protokol na UDP a nastaví cíl na podsíť 172.185.21.0/24.
Připojení a odpojení seznamů ACL portu
Seznam ACL portu je možné připojit k globálnímu nastavení, sítím virtuálních počítačů, podsítím virtuálních počítačů a virtuálním síťovým adaptérům. Seznam ACL portu připojený ke globálnímu nastavení se standardně vztahuje na všechny virtuální síťové adaptéry virtuálních počítačů.
Otevřete PowerShell v nástroji VMM.
Připojte seznam ACL portálu pomocí rutiny Set-SCVMMServer .
Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]
Parametry
| Parametr | Podrobnosti |
|---|---|
| Server VMM | Název serveru VMM, na kterém se používá seznam ACL portu |
| Seznam PortACL | Volitelně připojí zadaný seznam ACL portu ke globálnímu nastavení. |
Příklady
Připojení seznamu ACL ke globálnímu nastavení:
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl`` <br/><br/> ExampleL: `` Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl
Odpojte seznam ACL od globálního nastavení:
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL
Připojení seznamu ACL k síti virtuálních počítačů během vytváření:
New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [rest of the parameters]
Připojte seznam ACL k existující síti virtuálních počítačů:
Set-SCVMNetwork -PortACL $acl`
Připojení seznamu ACL k podsíti virtuálního počítače během vytváření:
New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [rest of the parameters]
Připojte seznam ACL k existující podsíti virtuálního počítače:
Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [rest of the parameters]
Načtení a zobrazení seznamů ACL portu a pravidel
Otevřete PowerShell v nástroji VMM.
Spuštěním rutiny Get-SCPortACL načtěte a zobrazte seznam ACL portu:
Get-SCPortACL [[-Name] <String> ] [-ID <Guid> ] [-OnBehalfOfUser <String> ] [-OnBehalfOfUserRole <UserRole> ] [-VMMServer <ServerConnection> ] [ <CommonParameters>]Spuštěním příkazu Get-SCPortACLRule načtěte a zobrazte pravidlo:
Get-SCPortACLRule [-Name <String> ] [-ID <Guid> ] [-OnBehalfOfUser <String> ] [-OnBehalfOfUserRole <UserRole> ] [-PortACL <PortACL> ] [-VMMServer <ServerConnection> ] [ <CommonParameters>]
Parametry
| Parametr | Podrobnosti |
|---|---|
| Žádné parametry | Načte všechny seznamy ACL. |
| Název nebo ID | Načtení podle názvu nebo identifikátoru GUID |
| OnBehalfOfUser/OnBehalfOfUserRole | Spuštění s uživatelským jménem nebo rolí |
| VMMServer | Načtení seznamů ACL na konkrétním serveru VMM |
| CommonParameters | Další informace |
Příklady
Načtení konkrétního seznamu ACL:
PS: C:> $portACL = Get-SCPortACL -Name "DemoPortACL"
Získání pravidel pro konkrétní seznam ACL:
PS: C:> Get-SCPortACLRule -Name "AllowRDPAccess"
Získejte všechna pravidla pro seznam ACL:
PS: C:> Get-SCPortACLRule -PortACL $portACL
Úprava seznamů ACL a pravidel portu
Otevřete PowerShell v nástroji VMM.
Spuštěním rutiny Set-SCPortACL upravte seznam ACL portu:
Set-SCPortACL [-PortACL] <PortACL> [[-Description] <String>] [-JobVariable <String>] [-Name <String>] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-PROTipID <Guid>] [-RunAsynchronously] [-VMMServer <ServerConnection>] [<CommonParameters>]Spuštěním seznamu Remove-SCPortACL odeberte seznam ACL:
Remove-SCPortACL [-PortACL] <PortACL> [-Confirm] [-JobVariable <String>] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-PROTipID <Guid>] [-RunAsynchronously] [-VMMServer <ServerConnection>] [-WhatIf] [<CommonParameters>]Parametry
| Parametr | Podrobnosti |
|---|---|
| Název/popis | Název a popis seznamu ACL portu |
| ÚlohaVariable | Ukládá průběh úlohy. |
| OnBehalfOfUser/OnBehalfOfUserRole | Spuštění s uživatelským jménem nebo rolí |
| ProTipID | ID protipu, který aktivoval akci |
| Spustitsynchronně | Označuje, jestli se úloha spouští asynchronně. |
| Confirm | Výzvy před spuštěním úlohy |
| WhatIf | Ukazuje, co se stane bez spuštění příkazu. |
Příklady
Nastavení popisu seznamu ACL:
PS: C:> $portACL = Get-SCPortACL -Name "DemoPortACL"
PS: C:> Set-SCPortACL -PortACL $portACL -Description "Port ACL Example Non Managed by Network Controller"
První rutina načte seznam ACL; druhý nastaví popis seznamu ACL.
Odeberte seznam ACL:
PS: C:> $portACL = Get-SCPortACL -Name "DemoPortACL"
PS: C:> Remove-SCPortACL -PortACL $portACL
První rutina načte seznam ACL; druhý ho odebere.