Zulassen und Blockieren von VM-Datenverkehr mit SDN-Port-ACLs

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.

In System Center Virtual Machine Manager (VMM) können Sie die Port-Zugriffssteuerungslisten (Access Control Lists, ACLs) für das durch Software definierte Netzwerk (SDN) verwalten.

  • Eine Port-ACL ist ein Satz von Port-ACL-Regeln, die den Datenverkehr auf Portebene 2 filtern.
  • Eine Port-ACL in VMM filtert den Zugriff auf ein bestimmtes VMM-Netzwerkobjekt.
  • Jedes VMM-Netzwerkobjekt kann nur eine angefügte Port-ACL haben.
  • Eine ACL enthält Regeln und kann an eine beliebige Anzahl von VMM-Netzwerkobjekten angefügt werden. Sie können eine ACL ohne Regeln erstellen und die Regeln zu einem späteren Zeitpunkt hinzufügen.
  • Wenn eine ACL über mehrere Regeln verfügt, werden sie nach ihrer Priorität angewendet. Wenn eine Regel den Kriterien entspricht und angewendet wird, werden keinen anderen Regeln verarbeitet.
  • SDN-Port-ACLs können auf virtuelle Subnetze und virtuelle Netzwerkadapter angewendet werden.

Hinweis

Die Einstellungen für Port-ACLs können in VMM über PowerShell-Cmdlets festgelegt werden und können nicht in der VMM-Konsole konfiguriert werden.

Mithilfe von VMM-PowerShell können Sie auch Hyper-V-Port-ACLs konfigurieren. Weitere Informationen finden Sie unter Hyper-V-Port-ACLs.

Dieser Artikel stellt Informationen zum Erstellen und Verwalten von SDN-Port-ACLs mithilfe der VMM-PowerShell-Cmdlets bereit.

Vorbereitung

Stellen Sie sicher, dass der SDN-Netzwerkcontroller bereitgestellt wird.

Erstellen einer Port-ACL

  1. Öffnen Sie PowerShell in VMM.

  2. Erstellen Sie eine Port-ACL.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC
    

    Hinweis

    Der Parameter -ManagedByNC stellt sicher, dass die Port-ACL vom Netzwerkcontroller (NC) verwaltet wird und nur an verwaltete NC-Objekte angefügt werden kann. In den hier bereitgestellten Cmdlets werden Beispielwerte verwendet.

Erstellen einer Port-ACL-Regel

  1. Rufen Sie eine vorhandene Port-ACL auf.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    
  2. Erstellen Sie eine Port-ACL-Regel.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
    

    Hinweis

    • Der Prioritätsbereich für SDN-Port-ACL-Regeln: 1–64500
    • Zum Erstellen von ACL-Regeln werden nur TCP/UDP/Alle Protokollparameter unterstützt.

Anfügen einer ACL an einen virtuellen Netzwerkadapter

  1. Rufen Sie einen virtuellen Netzwerkadapter ab.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"
    
  2. Fügen Sie eine vorhandene Port-ACL an den virtuellen Netzwerkadapter an.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL
    

    Hinweis

    Sie können eine Port-ACL auch mit dem Cmdlet New-SCVirtualNetworkAdapter während dem Erstellen eines virtuellen Netzwerksadapters anfügen. Weitere Informationen

Trennen einer Port-ACL von einem virtuellen Netzwerkadapter

  1. Rufen Sie den virtuellen Netzwerkadapter ab, von dem Sie die Port-ACL trennen möchten.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm
    
  2. Trennen Sie die Port-ACL vom virtuellen Netzwerkadapter.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
    

Anfügen einer ACL an ein VM-Subnetz

  1. Rufen Sie das VM-Subnetz ab, um die ACL anzufügen.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Fügen Sie eine vorhandene Port-ACL an das VM-Subnetz an.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL
    

    Hinweis

    Sie können auch eine Port-ACL beim Erstellen des VM-Subnetzes mit dem Cmdlet New-SCVMSubnet anfügen. Weitere Informationen

Trennen einer Port-ACL von einem VM-Subnetz

  1. Rufen Sie das VM-Subnetz ab, von dem Sie die Port-ACL trennen möchten.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Trennen Sie die Port-ACL von dem VM-Subnetz.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
    

Entfernen einer Port-ACL-Regel

  1. Rufen Sie die zu entfernende Port-ACL-Regel auf.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”
    
  2. Entfernen Sie die Port-ACL-Regel.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
    

Entfernen einer Port-ACL

  1. Rufen Sie die Port-ACL ab, die Sie entfernen möchten.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”
    
  2. Entfernen Sie die Port-ACL.

    PS C:\> Remove-SCPortACL -PortACL $portACL