Virtuálisgép-forgalom engedélyezése és letiltása SDN-port ACL-ek használatával
Fontos
A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a VMM 2022-re.
A System Center Virtual Machine Manager (VMM) alkalmazásban központilag konfigurálhatja és kezelheti a szoftveralapú hálózati (SDN-) porthozzáférés-vezérlési listákat (ACL-eket).
- A port ACL port ACL-szabályok készlete, amelyek a forgalmat a 2. réteg portszintjén szűrik.
- A VMM-ben a port ACL egy adott VMM hálózati objektumhoz való hozzáférést szűri.
- Minden VMM hálózati objektumhoz csak egy port ACL csatolható.
- Az ACL-ek szabályokat tartalmaznak, és tetszőleges számú VMM hálózati objektumhoz csatolhatók. Szabályok nélkül is létrehozhat ACL-t, és később is hozzáadhatja a szabályokat.
- Ha egy ACL-nek több szabálya van, azok a prioritás alapján lesznek alkalmazva. Miután egy szabály megfelel a feltételeknek, és alkalmazva van, a rendszer nem dolgoz fel más szabályokat.
- Az SDN-port ACL-ek virtuális alhálózatokra és virtuális hálózati adapterekre alkalmazhatók.
Megjegyzés
A port ACL-beállítások csak a VMM PowerShell-parancsmagjaival érhetők el, és nem konfigurálhatók a VMM-konzolon.
A VMM PowerShell használatával Hyper-V port ACL-eket is konfigurálhat. További információ: Hyper-V port ACL-ek.
Ez a cikk bemutatja, hogyan hozhat létre és kezelhet SDN-port ACL-eket a VMM PowerShell-parancsmagok használatával.
Előkészületek
Győződjön meg arról, hogy az SDN hálózati vezérlő telepítve van.
Port ACL létrehozása
Nyissa meg a PowerShellt a VMM-ben.
Hozzon létre egy port ACL-t.
PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC
Megjegyzés
A -ManagedByNC paraméter biztosítja, hogy a port ACL-t a Hálózati vezérlő (NC) felügyelje, és csak NC által felügyelt objektumokhoz csatolható. Az itt megadott parancsmagok példaértékeket használnak.
Port ACL-szabály létrehozása
Szerezzen be egy meglévő port ACL-t.
PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
Hozzon létre egy port ACL-szabályt.
PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
Megjegyzés
- Az SDN-port ACL-szabályok prioritási tartománya: 1 – 64500.
- Az ACL-szabályok létrehozásához csak TCP/UDP/Bármely protokollparaméter támogatott.
ACL csatolása virtuális hálózati adapterhez
Kérje le a virtuális hálózati adaptert.
PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM” PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"
Csatoljon egy meglévő port ACL-t a virtuális hálózati adapterhez.
PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess" PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL
Megjegyzés
Port ACL-t is csatolhat a virtuális hálózati adapter létrehozásakor a New-SCVirtualNetworkAdapter parancsmaggal. További információk.
Port ACL leválasztása virtuális hálózati adapterről
Kérje le azt a virtuális hálózati adaptert, amelyről le szeretné választani a port ACL-ét.
PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM” PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm
Válassza le a port ACL-t a virtuális hálózati adapterről.
PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
ACL csatolása virtuálisgép-alhálózathoz
Kérje le a virtuálisgép-alhálózatot az ACL csatolásához.
PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
Csatoljon egy meglévő port ACL-t a virtuálisgép-alhálózathoz.
PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL
Megjegyzés
A virtuálisgép-alhálózat létrehozásakor a New-SCVMSubnet parancsmaggal port ACL-t is csatolhat. További információk.
Port ACL leválasztása virtuálisgép-alhálózatról
Kérje le azt a virtuálisgép-alhálózatot, amelyről le szeretné választani a port ACL-ét.
PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
Válassza le a port ACL-t a virtuálisgép-alhálózatról.
PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
Port ACL-szabály eltávolítása
Kérje le az eltávolítani kívánt port ACL-szabályt.
PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”
Távolítsa el a port ACL-szabályt.
PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
Port ACL eltávolítása
Kérje le az eltávolítani kívánt port ACL-t.
PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”
Távolítsa el a port ACL-t.
PS C:\> Remove-SCPortACL -PortACL $portACL
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: