Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
System Center Virtual Machine Manager'da (VMM), Hyper-V bağlantı noktası erişim denetim listelerini (ACL' ler) merkezi olarak yapılandırabilir ve yönetebilirsiniz. Bağlantı noktası ACL'leri hem Ağ Denetleyicisi tarafından yönetilen yapı hem de Ağ Denetleyicisi tarafından yönetilmeyen ağlar için yapılandırılabilir.
- Bağlantı noktası ACL'i, 2. katman bağlantı noktası düzeyinde trafiği filtreleyen bir kural kümesidir. VMM'deki bir bağlantı noktası ACL'si, belirli bir VMM nesnesine erişimi filtreler. Bir ağ nesnesinin bağlı birden fazla bağlantı noktası ACL'si olamaz.
- ACL kurallar içerir ve herhangi bir sayıda ağ nesnesine eklenebilir. Kuralları olmayan bir ACL oluşturabilir ve daha sonra kurallar ekleyebilirsiniz. Her ACL kuralı yalnızca bir bağlantı noktası ACL'sine karşılık gelir.
- Bir ACL'nin birden çok kuralı varsa, bunlar önceliğe göre uygulanır. Bir kural ölçütlerle eşleşip uygulandıktan sonra başka hiçbir kural işlenmez.
- Altyapı içindeki tüm VM sanal ağ bağdaştırıcılarına, genel ayarların yapıldığı bağlantı noktası ACL'si uygulanır. Genel ayarlar için ayrı nesne türü yoktur. Bunun yerine, genel ayarlar bağlantı noktası ACL'si VMM yönetim sunucusuna eklenir.
- Bağlantı noktası ACL ayarları yalnızca VMM'deki PowerShell cmdlet'leri aracılığıyla sunulur ve VMM konsolunda yapılandırılamaz.
- Bağlantı noktası ACL'leri şu adrese uygulanabilir:
- Ağ Denetleyicisi dağıtımındaki sanal alt ağlar ve bağdaştırıcılar.
- Ağ Denetleyicisi tarafından yönetilmeyen ağlarda sanal alt ağlar, ağ bağdaştırıcıları, VM ağları ve VMM yönetim sunucusu.
Başlamadan önce
- Ağ Denetleyicisi tarafından yönetilen nesnelere ACL uygulamak için ManagedByNC bayrağını kullanır ve True olarak ayarlarsınız. True olarak ayarlanmamışsa, ACL yalnızca Ağ Denetleyicisi tarafından yönetilmeyen ağ nesneleri için geçerlidir.
- ACL türleri birbirinin yerine kullanılamaz. ManagedByNC değeri false olarak ayarlanmış bir ACL'yi Ağ Denetleyicisi tarafından yönetilen nesnelere uygulayamazsınız ve bunun tersi de geçerlidir.
- Bu iki ACL türü arasındaki temel fark, Ağ Denetleyicisi tarafından yönetilmeyen nesnelere ACL uyguladıktan sonra her ağ bağdaştırıcısını düzeltmeniz gerektiğidir.
- Öncelik aralıklarında da bir fark vardır:
- Hyper-V bağlantı noktası ACL'leri (Ağ Denetleyicisi tarafından yönetilmiyor): 1 - 65535
- SDN bağlantı noktası ACL'leri (Ağ Denetleyicisi tarafından yönetilir): 1 - 64500
- Genel ayarlara bağlantı noktası ACL'sini eklemek için tam VMM yönetici izinlerine sahip olmanız gerekir. ACL'yi VMM nesnelerine (VM ağları, alt ağlar, sanal ağ bağdaştırıcıları) eklemek için VMM yöneticisi, kiracı yöneticisi veya self servis kullanıcı olmanız gerekir.
Desteklenmeyen senaryolar
Desteklenmeyen senaryoların listesi aşağıdadır:
- ACL birden çok örnekle paylaşıldığında tek bir örnek için tek tek kuralları yönetin. Tüm kurallar ana ACL'ler içinde merkezi olarak yönetilir ve ACL'nin iliştirildiği her yerde geçerlidir.
- Bir varlığa birden fazla ACL ekleyin.
- Hyper-V ana bölümündeki (yönetim işletim sistemi) sanal ağ bağdaştırıcılarına bağlantı noktası ACL'leri uygulayın.
- VMM'de IP düzeyi protokolleri (TCP veya UDP dışında) içeren bağlantı noktası ACL kuralları oluşturun. Diğer protokoller hala Hyper-V tarafından yerel olarak desteklenmektedir.
- Mantıksal ağlara, ağ sitelerine (mantıksal ağ tanımları), alt ağ VLAN'larına ve desteklendiği belirtilmeyen diğer VMM ağ nesnelerine bağlantı noktası ACL'leri uygulayın.
Dağıtım adımları
Aşağıdakileri yapmak için VMM PowerShell arabirimini kullanın:
Bağlantı noktası ACL'lerini ve kurallarını tanımlayın.
- Kurallar Hyper-V sunucularında sanal anahtar bağlantı noktalarına genişletilmiş bağlantı noktası ACL'leri (VMNetworkAdapterExtendedAcl) olarak uygulanır. Bu, VMM önceki sürümler için eski Hyper-V bağlantı noktası ACL'leri (VMNetworkAdapterAcl) oluşturmadığından yalnızca Windows Server 2012 R2 veya üzerini çalıştıran konaklara uygulanabilecekleri anlamına gelir.
- Kurallar Hyper-V sunucularında sanal anahtar bağlantı noktalarına "genişletilmiş bağlantı noktası ACL'leri" (VMNetworkAdapterExtendedAcl) olarak uygulanır. Bu, VMM önceki sürümler için eski Hyper-V bağlantı noktası ACL'leri (VMNetworkAdapterAcl) oluşturmadığından yalnızca Windows Server 2016 veya üzerini çalıştıran konaklara uygulanabilecekleri anlamına gelir.
- Kurallar Hyper-V sunucularında sanal anahtar bağlantı noktalarına genişletilmiş bağlantı noktası ACL'leri (VMNetworkAdapterExtendedAcl) olarak uygulanır. Bu, VMM önceki sürümler için eski Hyper-V bağlantı noktası ACL'leri (VMNetworkAdapterAcl) oluşturmadığından yalnızca Windows Server 2019 veya üzerini çalıştıran konaklara uygulanabilecekleri anlamına gelir.
- VMM'de tanımlanan tüm bağlantı noktası ACL kuralları, TCP için durum bilgili olarak tanımlanmıştır. Durum bilgisi olmayan TCP ACL kuralları oluşturamazsınız.
Genel ayarlara bağlantı noktası ACL'sini ekleyin. Bu, ACL'yi tüm VM sanal ağ bağdaştırıcılarına uygular.
Bağlantı noktası ACL'lerini VM ağlarına, VM alt ağlarına veya VM sanal ağ bağdaştırıcılarına ekleyin.
Bağlantı noktası ACL kurallarını yönetin.
Bağlantı noktası ACL'leri oluşturma
POWERShell'i VMM'de açın.
New-SCPortACL cmdlet'ini kullanarak bir bağlantı noktası ACL'si oluşturun.
New-SCPortACL [-Name] <String> [-Description <String>] [-JobVariable <String>] [-ManagedByNC] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-Owner <String>] [-PROTipID <Guid>] [-RunAsynchronously] [-UserRole <UserRole>] [-VMMServer <ServerConnection>] [<CommonParameters>]
Parametreler
| Parametre | Ayrıntılar |
|---|---|
| Ad; Açıklama | Port ACL adı ve açıklaması |
| İşDeğişkeni | İş ilerleme durumunu depolar |
| ManagedByNC | Nesnelerin Ağ Denetleyicisi tarafından yönetilip yönetilmeyeceğini belirtir |
| KullanıcıAdına/RolAdına | Kullanıcı adı veya rol ile işini çalıştırma |
| Sahip | Geçerli bir etki alanı kullanıcı hesabı biçiminde bir VMM nesnesinin sahibini belirtir. Örnek: Contoso\PattiFuller veya PattiFuller@Contoso |
| ProTipID | Eylemi tetikleyen ProTip ID'si |
| Eşzamanlı Olmadan Çalıştır | İşin zaman uyumsuz olarak çalıştırılıp çalıştırılmadığını gösterir |
| KullanıcıRolü | Kullanıcı rolünü belirtir |
| VMMServer | VMM sunucusunu belirtir |
| Ortak Parametreler | Daha fazla bilgi edinin |
Örnekler
"DemoACLManagedByNC" Ağ Denetleyicisi tarafından yönetilen nesneler için bir bağlantı noktası ACL'si oluşturun:
PS: C:\> New-SCPortACL -Name "DemoACLManagedByNC" -Description "PortACL Example Managed by NC" -ManagedByN
Ağ Denetleyicisi "DemPortACL" tarafından yönetilmeyen nesneler için bir bağlantı noktası ACL'sini oluşturun:
PS: C:\> New-SCPortACL -Name "DemoPortACL" -Description "Port ACL Example Non Managed by NC"
Bir bağlantı noktası ACL'si için kuralları tanımlayın
POWERShell'i VMM'de açın.
New-SCPortACLRule cmdlet'iyle bir veya daha fazla kural oluşturun.
New-SCPortACLrule -PortACL <PortACL> -Name <string> [-Description <string>] -Type <Inbound | Outbound> -Action <Allow | Deny> -Priority <uint16> -Protocol <Tcp | Udp | Any> [-LocalAddressPrefix <string: IPAddress | IPSubnet>] [-LocalPortRange <string:X|X-Y|Any>] [-RemoteAddressPrefix <string: IPAddress | IPSubnet>] [-RemotePortRange <string:X|X-Y|Any>]
Parametreler
| Parametre | Ayrıntılar |
|---|---|
| Ad, Açıklama | Kural adı ve açıklaması |
| Tip | ACL'nin uygulandığı trafik yönünü belirtir (Gelen veya Giden) |
| Eylem | ACL'nin trafiğe izin verip vermediğini veya trafiği engelleyip engellemediğini belirtir (İzin Ver veya Reddet) |
| YerelAdresÖneki | Filtrelenmiş olması gereken trafiği tanımlamak için kullanılan kaynak IP adresini veya alt ağı belirtir |
| LocalPortRange | Trafiği tanımlamak için kullanılan kaynak bağlantı noktası aralığını belirtir |
| UzakAdresÖnEk | Filtreleme için trafiği tanımlamak için kullanılan hedef IP adresini veya alt ağı belirtir |
| RemotePortRange | Trafiği tanımlamak için kullanılan hedef bağlantı noktası aralığını belirtir. |
| Protokol | Kuralın uygulandığı protokolü belirtir |
| Öncelik | Bağlantı noktası ACL'sinde kuralın önceliğini belirtin. Kurallar sıralamaya göre uygulanır. En düşük sayinin en yüksek önceliğe sahip olduğu 1 ile 65535 arasında bir öncelik ayarlayın. Ağ Denetleyicisi tarafından yönetilen nesneler için bağlantı noktası ACL'leri kuralları 100'e eşit veya daha büyük olarak ayarlanmalıdır. Ağ Denetleyicisi 100'in altındaki önceliği desteklemez. |
Örnekler
Bağlantı noktası ACL'sini oluşturun ve nesnesini $portACL içinde depolayın:
PS: C:\> $portACL = New-SCPortACL -Name "RDP ACL" -Description "Acl on RDP access"
Uzak bir alt ağdan RDP erişimine izin vermek için bir bağlantı noktası ACL kuralı oluşturun:
PS: C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
ACL kuralının önceliğini değiştirme:
PS: C:\> $portACLRule = Get-SCPortACLRule -Name "AllowRDPAccess" `` <br/><br/> `` PS: C:\> Set-SCPortACLRule -PortACLRule $portACLRule -Priority 220
İlk komut, "AllowRDPAccess" bağlantı noktası ACL kuralını alır. İkinci komut, kuralın önceliğini 220 olarak değiştirir.
Bir kuralın hedef adres aralığı ve protokolü için bağlantı noktası ACL kuralını değiştirin:
PS: C:\> $portACLRule = Get-SCPortACLRule -Name "AllowRDPAccess" `` <br/><br/> `` PS: C:\> Set-SCPortACLRule -PortACLRule $portACLRule -RemoteAddressPrefix 172.185.21.0/24 -Protocol Udp
İlk komut AllowRDPAccess kuralını alır. İkincisi protokolü UDP olarak değiştirir ve hedefi 172.185.21.0/24 alt ağı olarak ayarlar.
Bağlantı noktası ACL'lerini ekleyip çıkarma
Genel ayarlara, VM ağlarına, VM alt ağlarına ve sanal ağ bağdaştırıcılarına bağlantı noktası ACL'leri eklenebilir. Genel ayarlara bağlı bir bağlantı noktası ACL'i varsayılan olarak tüm VM sanal ağ bağdaştırıcılarına uygulanır.
POWERShell'i VMM'de açın.
Set-SCVMMServer cmdlet'ini kullanarak bir portal ACL'sini ekleyin.
Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]
Parametreler
| Parametre | Ayrıntılar |
|---|---|
| VMM sunucusu | Bağlantı noktası ACL'sinin uygulandığı VMM sunucusunun adı |
| PortACL | İsteğe bağlı olarak, belirtilen bağlantı noktası ACL'sini genel ayarlara ekler |
Örnekler
Genel ayarlara ACL ekleyin:
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl`` <br/><br/> ExampleL: `` Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl
ACL'yi genel ayarlardan ayırma:
Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL
Oluşturma sırasında bir VM ağına ACL ekleyin:
New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [rest of the parameters]
Mevcut bir VM ağına ACL ekleyin:
Set-SCVMNetwork -PortACL $acl`
Oluşturma sırasında bir VM alt ağına ACL ekleyin.
New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [rest of the parameters]
Mevcut bir VM alt ağına ACL ekleyin:
Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [rest of the parameters]
Bağlantı noktası ACL'lerini ve kurallarını alma ve görüntüleme
POWERShell'i VMM'de açın.
Bir bağlantı noktası ACL'sini almak ve görüntülemek için Get-SCPortACL cmdlet'ini çalıştırın:
Get-SCPortACL [[-Name] <String> ] [-ID <Guid> ] [-OnBehalfOfUser <String> ] [-OnBehalfOfUserRole <UserRole> ] [-VMMServer <ServerConnection> ] [ <CommonParameters>]Bir kuralı almak ve görüntülemek için Get-SCPortACLRule komutunu çalıştırın:
Get-SCPortACLRule [-Name <String> ] [-ID <Guid> ] [-OnBehalfOfUser <String> ] [-OnBehalfOfUserRole <UserRole> ] [-PortACL <PortACL> ] [-VMMServer <ServerConnection> ] [ <CommonParameters>]
Parametreler
| Parametre | Ayrıntılar |
|---|---|
| Parametre yok | Tüm ACL'leri alır |
| Ad/Kimlik | İsme veya GUID'ye göre getirme |
| Kullanıcı/adına kullanıcı rolü | Kullanıcı adı veya rol ile çalıştır |
| VMMServer | Belirli VMM sunucusundaki ACL'leri alma |
| Ortak Parametreler | Daha fazla bilgi edinin |
Örnekler
Belirli bir ACL'yi geri getirme
PS: C:> $portACL = Get-SCPortACL -Name "DemoPortACL"
Belirli bir ACL için kuralları alın.
PS: C:> Get-SCPortACLRule -Name "AllowRDPAccess"
ACL için tüm kuralları edinin.
PS: C:> Get-SCPortACLRule -PortACL $portACL
Bağlantı noktası ACL'lerini ve kurallarını değiştirme
POWERShell'i VMM'de açın.
Bağlantı noktası ACL'sini değiştirmek için Set-SCPortACL cmdlet'ini çalıştırın:
Set-SCPortACL [-PortACL] <PortACL> [[-Description] <String>] [-JobVariable <String>] [-Name <String>] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-PROTipID <Guid>] [-RunAsynchronously] [-VMMServer <ServerConnection>] [<CommonParameters>]Bir ACL'yi kaldırmak için Remove-SCPortACL'yi çalıştırın:
Remove-SCPortACL [-PortACL] <PortACL> [-Confirm] [-JobVariable <String>] [-OnBehalfOfUser <String>] [-OnBehalfOfUserRole <UserRole>] [-PROTipID <Guid>] [-RunAsynchronously] [-VMMServer <ServerConnection>] [-WhatIf] [<CommonParameters>]Parametreler
| Parametre | Ayrıntılar |
|---|---|
| Ad/Açıklama | Bağlantı noktası ACL'sinin adı ve açıklaması |
| İşDeğişkeni | İş ilerleme durumunu depolar |
| Kullanıcı/adına kullanıcı rolü | Kullanıcı adı veya rol ile çalıştır |
| ProTipID | Eylemi tetikleyen ProTip ID'si |
| Eşzamansız Olarak Çalıştır | İşin zaman uyumsuz olarak çalıştırılıp çalıştırılmadığını gösterir |
| Onayla | İşi başlatmadan önce uyarılar |
| WhatIf | Komutunu çalıştırmadan ne olacağını gösterir |
Örnekler
Bir ACL açıklaması ayarla.
PS: C:> $portACL = Get-SCPortACL -Name "DemoPortACL"
PS: C:> Set-SCPortACL -PortACL $portACL -Description "Port ACL Example Non Managed by Network Controller"
İlk cmdlet ACL'yi alır; ikinci, ACL'de açıklamayı ayarlar.
ACL'yi kaldır:
PS: C:> $portACL = Get-SCPortACL -Name "DemoPortACL"
PS: C:> Remove-SCPortACL -PortACL $portACL
İlk cmdlet ACL'yi alır; ikinci kaldırıyor.