VIRTUÁLIS gépek forgalmának engedélyezése és letiltása az SDN port ACL-ek használatávalAllow and block VM traffic using SDN port ACLs

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a VMM 2019-re.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

A System Center Virtual Machine Manager (VMM) szolgáltatásban központilag konfigurálhatja és kezelheti a szoftveresen definiált hálózati (SDN) port hozzáférés-vezérlési listákat (ACL-eket).In System Center Virtual Machine Manager (VMM), you can centrally configure and manage software defined network (SDN) port access control lists (ACLs).

  • A port ACL olyan port ACL-szabályok halmaza, amelyek a 2. rétegbeli portok szintjén szűrik a forgalmat.A port ACL is a set of port ACL rules that filter the traffic at layer 2 port level.
  • A VMM egy port ACL-je szűri egy adott VMM hálózati objektum elérését.A port ACL in VMM filters access to a specific VMM network object.
  • Mindegyik VMM-hálózati objektumnak csak egy port ACL-je lehet csatolva.Each VMM network object can have only one port ACL attached.
  • Az ACL szabályokat tartalmaz, és tetszőleges számú VMM hálózati objektumhoz csatlakoztatható.An ACL contains rules, and can be attached to any number of VMM network objects. Létrehozhat egy ACL-t szabályok nélkül, és később is hozzáadhatja a szabályokat.You can create an ACL without rules, and add the rules later.
  • Ha egy ACL-nek több szabálya van, azok a prioritás alapján lesznek alkalmazva.If an ACL has multiple rules, they are applied based on the priority. Ha egy szabály megfelel a feltételeknek, és alkalmazva van, a rendszer nem dolgozza fel más szabályokat.After a rule matches the criteria and is applied, no other rules are processed.
  • Az SDN port ACL-ek a virtuális alhálózatokra és a virtuális hálózati adapterekre is alkalmazhatók.SDN Port ACLs can be applied to virtual subnets and virtual network adapters.

Megjegyzés

A port ACL-beállítások csak a PowerShell parancsmagokon keresztül érhetők el a VMM-ben, és nem konfigurálhatók a VMM-konzolon.Port ACL settings are exposed only through PowerShell cmdlets in VMM, and can't be configured in the VMM console.

A VMM PowerShell használatával a Hyper-V port ACL-jeit is konfigurálhatja.Using VMM PowerShell, you can also configure Hyper-V port ACLs. További információ: Hyper-v port ACL-EK.For more information, see Hyper-v port ACLs.

Ez a cikk azt ismerteti, hogyan hozhatók létre és kezelhetők az SDN port ACL-ek a VMM PowerShell-parancsmagok használatával.This article provides information about how to create and manage SDN port ACLs by using the VMM PowerShell cmdlets.

ElőkészületekBefore you start

Győződjön meg arról, hogy az Sdn hálózati vezérlő telepítve van.Ensure that SDN network controller is deployed.

Port ACL létrehozásaCreate a port ACL

  1. Nyissa meg a PowerShellt a VMM-ben.Open PowerShell in VMM.

  2. Hozzon létre egy port ACL-t.Create a port ACL.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC
    

    Megjegyzés

    A -ManagedByNC paraméter biztosítja, hogy a port ACL-t a hálózati vezérlő (NC) felügyelje, és csak az NC által felügyelt objektumokhoz legyen csatolva.The parameter -ManagedByNC ensures that the port ACL is managed by Network Controller (NC) and can only be attached to NC managed objects. Az itt megadott parancsmagok példaként használják az értékeket.The cmdlets provided here use example values.

Port ACL-szabály létrehozásaCreate a port ACL rule

  1. Meglévő port ACL-lista beszerzése.Get an existing port ACL.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    
  2. Hozzon létre egy port ACL-szabályt.Create a port ACL rule.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
    

    Megjegyzés

    • Az SDN port ACL-szabályainak prioritási köre: 1 – 64500.Priority range for SDN port ACL rules: 1 – 64500.
    • ACL-szabályok létrehozásához csak a TCP/UDP/bármely protokoll-paraméterek támogatottak.Only TCP/UDP/Any protocol parameters are supported for creating ACL rules.

ACL csatolása virtuális hálózati adapterhezAttach an ACL to a virtual network adapter

  1. Szerezze be a virtuális hálózati adaptert.Get the virtual network adapter.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"
    
  2. Csatoljon egy meglévő port ACL-t a virtuális hálózati adapterhez.Attach an existing port ACL to the virtual network adapter.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL
    

    Megjegyzés

    Port ACL-t is csatolhat, miközben a virtuális hálózati adaptert a New-scvirtualnetworkadapter parancsmaggal parancsmagon keresztül hozza létre.You can also attach a port ACL while creating the virtual network adapter through New-SCVirtualNetworkAdapter cmdlet. További információ.Learn more.

Port ACL leválasztása virtuális hálózati adapterrőlDetach a port ACL from a virtual network adapter

  1. Szerezze be azt a virtuális hálózati adaptert, amelyről le szeretné választani a port ACL-t.Get the virtual network adapter that you want to detach the port ACL from.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm
    
  2. Válassza le a port ACL-t a virtuális hálózati adapterről.Detach the port ACL from the virtual network adapter.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
    

ACL csatolása virtuálisgép-alhálózathozAttach an ACL to a VM subnet

  1. Szerezze be a virtuálisgép-alhálózatot az ACL csatolásához.Get the VM subnet to attach the ACL.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Csatoljon egy meglévő port ACL-t a virtuálisgép-alhálózathoz.Attach an existing port ACL to the VM subnet.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL
    

    Megjegyzés

    Port ACL-t is csatolhat, miközben virtuálisgép-alhálózatot hoz létre a New-SCVMSubnet parancsmag használatával.You can also attach a port ACL while creating VM subnet through New-SCVMSubnet cmdlet. További információ.Learn more.

Port ACL leválasztása virtuálisgép-alhálózatbólDetach a port ACL from a VM subnet

  1. Szerezze be azt a virtuálisgép-alhálózatot, amelyről le szeretné választani a port ACL-t.Get the VM subnet that you want to detach the port ACL from.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Válassza le a port ACL-t a virtuálisgép-alhálózatból.Detach the port ACL from the VM subnet.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
    

Port ACL-szabályának eltávolításaRemove a port ACL rule

  1. Kérje le a port ACL-szabályát az eltávolításhoz.Get the port ACL rule to remove.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”
    
  2. Távolítsa el a port ACL-szabályt.Remove the port ACL rule.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
    

Port ACL-listájának eltávolításaRemove a port ACL

  1. Szerezze be az eltávolítani kívánt port ACL-t.Get the Port ACL that you want to remove.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”
    
  2. Távolítsa el a port ACL-t.Remove the port ACL.

    PS C:\> Remove-SCPortACL -PortACL $portACL