Zulassen und Blockieren von VM-Datenverkehr mit SDN-Port-ACLs
Wichtig
Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.
In System Center Virtual Machine Manager (VMM) können Sie die Port-Zugriffssteuerungslisten (Access Control Lists, ACLs) für das durch Software definierte Netzwerk (SDN) verwalten.
- Eine Port-ACL ist ein Satz von Port-ACL-Regeln, die den Datenverkehr auf Portebene 2 filtern.
- Eine Port-ACL in VMM filtert den Zugriff auf ein bestimmtes VMM-Netzwerkobjekt.
- Jedes VMM-Netzwerkobjekt kann nur eine angefügte Port-ACL haben.
- Eine ACL enthält Regeln und kann an eine beliebige Anzahl von VMM-Netzwerkobjekten angefügt werden. Sie können eine ACL ohne Regeln erstellen und die Regeln zu einem späteren Zeitpunkt hinzufügen.
- Wenn eine ACL über mehrere Regeln verfügt, werden sie nach ihrer Priorität angewendet. Wenn eine Regel den Kriterien entspricht und angewendet wird, werden keinen anderen Regeln verarbeitet.
- SDN-Port-ACLs können auf virtuelle Subnetze und virtuelle Netzwerkadapter angewendet werden.
Hinweis
Die Einstellungen für Port-ACLs können in VMM über PowerShell-Cmdlets festgelegt werden und können nicht in der VMM-Konsole konfiguriert werden.
Mithilfe von VMM-PowerShell können Sie auch Hyper-V-Port-ACLs konfigurieren. Weitere Informationen finden Sie unter Hyper-V-Port-ACLs.
Dieser Artikel stellt Informationen zum Erstellen und Verwalten von SDN-Port-ACLs mithilfe der VMM-PowerShell-Cmdlets bereit.
Vorbereitung
Stellen Sie sicher, dass der SDN-Netzwerkcontroller bereitgestellt wird.
Erstellen einer Port-ACL
Öffnen Sie PowerShell in VMM.
Erstellen Sie eine Port-ACL.
PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNCHinweis
Der Parameter -ManagedByNC stellt sicher, dass die Port-ACL vom Netzwerkcontroller (NC) verwaltet wird und nur an verwaltete NC-Objekte angefügt werden kann. In den hier bereitgestellten Cmdlets werden Beispielwerte verwendet.
Erstellen einer Port-ACL-Regel
Rufen Sie eine vorhandene Port-ACL auf.
PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"Erstellen Sie eine Port-ACL-Regel.
PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24Hinweis
- Der Prioritätsbereich für SDN-Port-ACL-Regeln: 1–64500
- Zum Erstellen von ACL-Regeln werden nur TCP/UDP/Alle Protokollparameter unterstützt.
Anfügen einer ACL an einen virtuellen Netzwerkadapter
Rufen Sie einen virtuellen Netzwerkadapter ab.
PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM” PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"Fügen Sie eine vorhandene Port-ACL an den virtuellen Netzwerkadapter an.
PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess" PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACLHinweis
Sie können eine Port-ACL auch mit dem Cmdlet New-SCVirtualNetworkAdapter während dem Erstellen eines virtuellen Netzwerksadapters anfügen. Weitere Informationen
Trennen einer Port-ACL von einem virtuellen Netzwerkadapter
Rufen Sie den virtuellen Netzwerkadapter ab, von dem Sie die Port-ACL trennen möchten.
PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM” PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vmTrennen Sie die Port-ACL vom virtuellen Netzwerkadapter.
PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
Anfügen einer ACL an ein VM-Subnetz
Rufen Sie das VM-Subnetz ab, um die ACL anzufügen.
PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”Fügen Sie eine vorhandene Port-ACL an das VM-Subnetz an.
PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACLHinweis
Sie können auch eine Port-ACL beim Erstellen des VM-Subnetzes mit dem Cmdlet New-SCVMSubnet anfügen. Weitere Informationen
Trennen einer Port-ACL von einem VM-Subnetz
Rufen Sie das VM-Subnetz ab, von dem Sie die Port-ACL trennen möchten.
PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”Trennen Sie die Port-ACL von dem VM-Subnetz.
PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
Entfernen einer Port-ACL-Regel
Rufen Sie die zu entfernende Port-ACL-Regel auf.
PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”Entfernen Sie die Port-ACL-Regel.
PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
Entfernen einer Port-ACL
Rufen Sie die Port-ACL ab, die Sie entfernen möchten.
PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”Entfernen Sie die Port-ACL.
PS C:\> Remove-SCPortACL -PortACL $portACL