Virtuálisgép-forgalom engedélyezése és letiltása SDN-port ACL-ek használatával

  • Cikk

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a VMM 2022-re.

A System Center Virtual Machine Manager (VMM) alkalmazásban központilag konfigurálhatja és kezelheti a szoftveralapú hálózati (SDN-) porthozzáférés-vezérlési listákat (ACL-eket).

  • A port ACL port ACL-szabályok készlete, amelyek a forgalmat a 2. réteg portszintjén szűrik.
  • A VMM-ben a port ACL egy adott VMM hálózati objektumhoz való hozzáférést szűri.
  • Minden VMM hálózati objektumhoz csak egy port ACL csatolható.
  • Az ACL-ek szabályokat tartalmaznak, és tetszőleges számú VMM hálózati objektumhoz csatolhatók. Szabályok nélkül is létrehozhat ACL-t, és később is hozzáadhatja a szabályokat.
  • Ha egy ACL-nek több szabálya van, azok a prioritás alapján lesznek alkalmazva. Miután egy szabály megfelel a feltételeknek, és alkalmazva van, a rendszer nem dolgoz fel más szabályokat.
  • Az SDN-port ACL-ek virtuális alhálózatokra és virtuális hálózati adapterekre alkalmazhatók.

Megjegyzés

A port ACL-beállítások csak a VMM PowerShell-parancsmagjaival érhetők el, és nem konfigurálhatók a VMM-konzolon.

A VMM PowerShell használatával Hyper-V port ACL-eket is konfigurálhat. További információ: Hyper-V port ACL-ek.

Ez a cikk bemutatja, hogyan hozhat létre és kezelhet SDN-port ACL-eket a VMM PowerShell-parancsmagok használatával.

Előkészületek

Győződjön meg arról, hogy az SDN hálózati vezérlő telepítve van.

Port ACL létrehozása

  1. Nyissa meg a PowerShellt a VMM-ben.

  2. Hozzon létre egy port ACL-t.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC

    Megjegyzés

    A -ManagedByNC paraméter biztosítja, hogy a port ACL-t a Hálózati vezérlő (NC) felügyelje, és csak NC által felügyelt objektumokhoz csatolható. Az itt megadott parancsmagok példaértékeket használnak.

Port ACL-szabály létrehozása

  1. Szerezzen be egy meglévő port ACL-t.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"

  2. Hozzon létre egy port ACL-szabályt.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24

    Megjegyzés

    • Az SDN-port ACL-szabályok prioritási tartománya: 1 – 64500.
    • Az ACL-szabályok létrehozásához csak TCP/UDP/Bármely protokollparaméter támogatott.

ACL csatolása virtuális hálózati adapterhez

  1. Kérje le a virtuális hálózati adaptert.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"

  2. Csatoljon egy meglévő port ACL-t a virtuális hálózati adapterhez.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL

    Megjegyzés

    Port ACL-t is csatolhat a virtuális hálózati adapter létrehozásakor a New-SCVirtualNetworkAdapter parancsmaggal. További információk.

Port ACL leválasztása virtuális hálózati adapterről

  1. Kérje le azt a virtuális hálózati adaptert, amelyről le szeretné választani a port ACL-ét.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm

  2. Válassza le a port ACL-t a virtuális hálózati adapterről.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL

ACL csatolása virtuálisgép-alhálózathoz

  1. Kérje le a virtuálisgép-alhálózatot az ACL csatolásához.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”

  2. Csatoljon egy meglévő port ACL-t a virtuálisgép-alhálózathoz.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL

    Megjegyzés

    A virtuálisgép-alhálózat létrehozásakor a New-SCVMSubnet parancsmaggal port ACL-t is csatolhat. További információk.

Port ACL leválasztása virtuálisgép-alhálózatról

  1. Kérje le azt a virtuálisgép-alhálózatot, amelyről le szeretné választani a port ACL-ét.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”

  2. Válassza le a port ACL-t a virtuálisgép-alhálózatról.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL

Port ACL-szabály eltávolítása

  1. Kérje le az eltávolítani kívánt port ACL-szabályt.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”

  2. Távolítsa el a port ACL-szabályt.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule

Port ACL eltávolítása

  1. Kérje le az eltávolítani kívánt port ACL-t.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”

  2. Távolítsa el a port ACL-t.

    PS C:\> Remove-SCPortACL -PortACL $portACL