Partager via

Autoriser et bloquer le trafic de machine virtuelle à l’aide d’ACL de port SDN

Dans System Center Virtual Machine Manager (VMM), vous pouvez configurer et gérer de manière centralisée les listes de contrôle d’accès aux ports (ACL) de réseau défini par logiciel (SDN).

  • Une liste de contrôle d'accès de port est un ensemble de règles de contrôle d'accès de port qui filtrent le trafic au niveau de la couche 2 du port.
  • Une liste de contrôle d’accès de port dans VMM filtre l’accès à un objet réseau VMM spécifique.
  • Chaque objet réseau VMM ne peut avoir qu’une seule ACL de port attachée.
  • Une liste de contrôle d’accès contient des règles et peut être attachée à n’importe quel nombre d’objets réseau VMM. Vous pouvez créer une liste de contrôle d’accès sans règles et ajouter les règles ultérieurement.
  • Si une liste de contrôle d’accès a plusieurs règles, elles sont appliquées en fonction de la priorité. Une fois qu’une règle correspond aux critères et qu’elle est appliquée, aucune autre règle n’est traitée.
  • Les ACL de port SDN peuvent être appliquées aux sous-réseaux virtuels et aux cartes réseau virtuelles.

Remarque

Les paramètres de liste de contrôle d’accès du port sont exposés uniquement par le biais d’applets de commande PowerShell dans VMM et ne peuvent pas être configurés dans la console VMM.

À l’aide de VMM PowerShell, vous pouvez également configurer des ACL de port Hyper-V. Pour plus d’informations, consultez les ACL de port Hyper-V.

Cet article fournit des informations sur la création et la gestion des ACL de port SDN à l’aide des applets de commande PowerShell VMM.

Avant de commencer

Vérifiez que le contrôleur de réseau SDN est déployé.

Créer une liste de contrôle d’accès pour un port

  1. Ouvrez PowerShell dans VMM.

  2. Créez une liste de contrôle d’accès pour un port.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC

    Remarque

    Le paramètre -ManagedByNC garantit que la liste de contrôle d’accès du port est gérée par le contrôleur de réseau (NC) et ne peut être attachée qu’aux objets managés nc. Les applets de commande fournies ici utilisent des exemples de valeurs.

Créer une règle de liste de contrôle d'accès pour le port

  1. Obtenez une règle de liste de contrôle d'accès pour le port.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"

  2. Créez une règle de liste de contrôle d'accès pour le port.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24

    Remarque

    • Plage de priorité pour les règles ACL de port SDN : 1 à 64500.
    • Seuls les paramètres de protocole TCP/UDP/Any sont pris en charge pour la création de règles de liste de contrôle d’accès.

Joindre une liste de contrôle d’accès à une carte réseau virtuelle

  1. Obtenez l'adaptateur de carte réseau virtuelle.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"

  2. Joignez une liste de contrôle d’accès de port existante à la carte réseau virtuelle.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL

    Remarque

    Vous pouvez également attacher une liste de contrôle d’accès de port lors de la création de la carte réseau virtuelle via l’applet de commande New-SCVirtualNetworkAdapter . Plus d’informations

Détacher une ACL de port d’un adaptateur réseau virtuel

  1. Obtenez la carte réseau virtuelle dont vous souhaitez dissocier la liste de contrôle d'accès pour le port.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm

  2. Détachez le port ACL de la carte réseau virtuelle.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL

Attacher une liste de contrôle d’accès à un sous-réseau de machine virtuelle

  1. Obtenez le sous-réseau VM pour joindre la liste de contrôle d'accès.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”

  2. Attachez une liste de contrôle d’accès de port existante au sous-réseau de la machine virtuelle.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL

    Remarque

    Vous pouvez également attacher une liste de contrôle d’accès de port lors de la création d’un sous-réseau de machine virtuelle via l’applet de commande New-SCVMSubnet. Plus d’informations

Dissocier une liste de contrôle d’accès de port d'un sous-réseau VM

  1. Identifiez le sous-réseau de VM duquel vous souhaitez dissocier la liste de contrôle d'accès du port.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”

  2. Dissociez la liste de contrôle d’accès du port du sous-réseau de la VM.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL

Supprimer une règle de liste de contrôle d’accès pour le port

  1. Récupérez la règle ACL du port que vous voulez supprimer.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”

  2. Supprimez la règle de liste de contrôle d’accès du port.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule

Supprimer une liste de contrôle d’accès de port

  1. Récupérez la liste de contrôle d’accès du port que vous souhaitez supprimer.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”

  2. Supprimez la liste de contrôle d’accès du port.

    PS C:\> Remove-SCPortACL -PortACL $portACL