Consentire e bloccare il traffico delle VM usando ACL di porta SDNAllow and block VM traffic using SDN port ACLs

Importante

Questa versione di Virtual Machine Manager (VMM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a VMM 2019.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

In System Center Virtual Machine Manager (VMM) è possibile configurare e gestire centralmente gli elenchi di controllo di accesso (ACL) di porta SDN (Software Defined Networking).In System Center Virtual Machine Manager (VMM), you can centrally configure and manage software defined network (SDN) port access control lists (ACLs).

  • Un ACL di porta è un set di regole ACL per la porta che filtrano il traffico al livello 2 della porta.A port ACL is a set of port ACL rules that filter the traffic at layer 2 port level.
  • Un ACL di porta in VMM filtra l'accesso a un oggetto di rete VMM specifico.A port ACL in VMM filters access to a specific VMM network object.
  • A ogni oggetto di rete VMM può essere collegato un solo ACL di porta.Each VMM network object can have only one port ACL attached.
  • Un ACL contiene regole e può essere collegato a qualsiasi numero di oggetti di rete VMM.An ACL contains rules, and can be attached to any number of VMM network objects. È possibile creare un ACL senza regole e quindi aggiungere le regole in un secondo momento.You can create an ACL without rules, and add the rules later.
  • Se un ACL include più regole, queste vengono applicate in base alla priorità.If an ACL has multiple rules, they are applied based on the priority. Dopo l'applicazione di una regola corrispondente ai criteri non vengono elaborate altre regole.After a rule matches the criteria and is applied, no other rules are processed.
  • Gli ACL di porta SDN possono essere applicati alle subnet virtuali e alle schede di rete virtuali.SDN Port ACLs can be applied to virtual subnets and virtual network adapters.

Nota

Le impostazioni degli ACL della porta vengono esposte solo attraverso i cmdlet di PowerShell in VMM e non possono essere configurate nella console di VMM.Port ACL settings are exposed only through PowerShell cmdlets in VMM, and can't be configured in the VMM console.

Usando VMM PowerShell è anche possibile configurare ACL di porta Hyper-V.Using VMM PowerShell, you can also configure Hyper-V port ACLs. Per altre informazioni, vedere ACL di porta Hyper-V.For more information, see Hyper-v port ACLs.

Questo articolo fornisce informazioni su come creare e gestire ACL di porta SDN usando i cmdlet di VMM PowerShell.This article provides information about how to create and manage SDN port ACLs by using the VMM PowerShell cmdlets.

Prima di iniziareBefore you start

Assicurarsi che il controller di rete SDN sia distribuito.Ensure that SDN network controller is deployed.

Creare un ACL di portaCreate a port ACL

  1. Aprire PowerShell in VMM.Open PowerShell in VMM.

  2. Creare un ACL di porta.Create a port ACL.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC
    

    Nota

    Il parametro - ManagedByNC assicura che l'ACL di porta sia gestito dal controller di rete e possa essere collegato solo a oggetti gestiti del controller di rete.The parameter -ManagedByNC ensures that the port ACL is managed by Network Controller (NC) and can only be attached to NC managed objects. I cmdlet indicati qui usano valori di esempio.The cmdlets provided here use example values.

Creare un regola ACL di portaCreate a port ACL rule

  1. Ottenere un ACL di porta esistente.Get an existing port ACL.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    
  2. Creare un regola ACL di porta.Create a port ACL rule.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
    

    Nota

    • Intervallo di priorità per le regole ACL di porta SDN: 1-64500.Priority range for SDN port ACL rules: 1 – 64500.
    • Per la creazione di regole ACL sono supportati solo i parametri TCP/UDP/Any protocol.Only TCP/UDP/Any protocol parameters are supported for creating ACL rules.

Collegare un ACL a una scheda di rete virtualeAttach an ACL to a virtual network adapter

  1. Ottenere la scheda di rete virtuale.Get the virtual network adapter.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"
    
  2. Collegare un ACL di porta esistente alla scheda di rete virtuale.Attach an existing port ACL to the virtual network adapter.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL
    

    Nota

    È anche possibile collegare un ACL di porta quando si crea la scheda di rete virtuale tramite il cmdlet New-SCVirtualNetworkAdapter.You can also attach a port ACL while creating the virtual network adapter through New-SCVirtualNetworkAdapter cmdlet. Altre informazioni.Learn more.

Scollegare un ACL di porta da una scheda di rete virtualeDetach a port ACL from a virtual network adapter

  1. Ottenere la scheda di rete virtuale da cui si vuole scollegare l'ACL di porta.Get the virtual network adapter that you want to detach the port ACL from.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm
    
  2. Scollegare l'ACL di porta dalla scheda di rete virtuale.Detach the port ACL from the virtual network adapter.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
    

Collegare un ACL a una subnet VMAttach an ACL to a VM subnet

  1. Ottenere la subnet VM a cui si vuole collegare l'ACL.Get the VM subnet to attach the ACL.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Collegare un ACL di porta esistente alla subnet VM.Attach an existing port ACL to the VM subnet.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL
    

    Nota

    È anche possibile collegare un ACL di porta quando si crea la subnet VM tramite il cmdlet New-SCVMSubnet.You can also attach a port ACL while creating VM subnet through New-SCVMSubnet cmdlet. Altre informazioni.Learn more.

Scollegare un ACL di porta da una subnet VMDetach a port ACL from a VM subnet

  1. Ottenere la subnet VM da cui si vuole scollegare l'ACL di porta.Get the VM subnet that you want to detach the port ACL from.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Scollegare l'ACL di porta dalla subnet VM.Detach the port ACL from the VM subnet.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
    

Rimuovere una regola ACL di portaRemove a port ACL rule

  1. Ottenere la regola ACL di porta da rimuovere.Get the port ACL rule to remove.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”
    
  2. Rimuovere la regola ACL di porta.Remove the port ACL rule.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
    

Rimuovere un ACL di portaRemove a port ACL

  1. Ottenere l'ACL di porta da rimuovere.Get the Port ACL that you want to remove.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”
    
  2. Rimuovere l'ACL di porta.Remove the port ACL.

    PS C:\> Remove-SCPortACL -PortACL $portACL