Consentire e bloccare il traffico delle VM usando ACL di porta SDN

  • Articolo

Importante

Questa versione di Virtual Machine Manager (VMM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a VMM 2022.

In System Center Virtual Machine Manager (VMM) è possibile configurare e gestire centralmente gli elenchi di controllo di accesso (ACL) di porta SDN (Software Defined Networking).

  • Un ACL di porta è un set di regole ACL per la porta che filtrano il traffico al livello 2 della porta.
  • Un ACL di porta in VMM filtra l'accesso a un oggetto di rete VMM specifico.
  • A ogni oggetto di rete VMM può essere collegato un solo ACL di porta.
  • Un elenco di controllo di accesso contiene regole e può essere collegato a un numero qualsiasi di oggetti di rete VMM. È possibile creare un ACL senza regole e quindi aggiungere le regole in un secondo momento.
  • Se un ACL ha più regole, vengono applicate in base alla priorità. Dopo l'applicazione di una regola corrispondente ai criteri non vengono elaborate altre regole.
  • Gli ACL di porta SDN possono essere applicati alle subnet virtuali e alle schede di rete virtuali.

Nota

Le impostazioni ACL delle porte vengono esposte solo tramite i cmdlet di PowerShell in VMM e non possono essere configurate nella console VMM.

Usando VMM PowerShell è anche possibile configurare ACL di porta Hyper-V. Per altre informazioni, vedere ACL di porta Hyper-V.

Questo articolo fornisce informazioni su come creare e gestire gli ACL delle porte SDN usando i cmdlet di PowerShell VMM.

Prima di iniziare

Assicurarsi che il controller di rete SDN sia distribuito.

Creare un ACL di porta

  1. Aprire PowerShell in VMM.

  2. Creare un ACL di porta.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC

    Nota

    Il parametro - ManagedByNC assicura che l'ACL di porta sia gestito dal controller di rete e possa essere collegato solo a oggetti gestiti del controller di rete. I cmdlet indicati qui usano valori di esempio.

Creare un regola ACL di porta

  1. Ottenere un ACL di porta esistente.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"

  2. Creare un regola ACL di porta.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24

    Nota

    • Intervallo di priorità per le regole ACL di porta SDN: 1-64500.
    • Per la creazione di regole ACL sono supportati solo i parametri TCP/UDP/Any protocol.

Collegare un ACL a una scheda di rete virtuale

  1. Ottenere la scheda di rete virtuale.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"

  2. Collegare un ACL di porta esistente alla scheda di rete virtuale.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL

    Nota

    È anche possibile collegare un ACL di porta quando si crea la scheda di rete virtuale tramite il cmdlet New-SCVirtualNetworkAdapter. Altre informazioni

Scollegare un ACL di porta da una scheda di rete virtuale

  1. Ottenere la scheda di rete virtuale da cui si vuole scollegare l'ACL di porta.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm

  2. Scollegare l'ACL di porta dalla scheda di rete virtuale.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL

Collegare un ACL a una subnet VM

  1. Ottenere la subnet VM a cui si vuole collegare l'ACL.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”

  2. Collegare un ACL di porta esistente alla subnet VM.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL

    Nota

    È anche possibile collegare un ACL di porta quando si crea la subnet VM tramite il cmdlet New-SCVMSubnet. Altre informazioni

Scollegare un ACL di porta da una subnet VM

  1. Ottenere la subnet VM da cui si vuole scollegare l'ACL di porta.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”

  2. Scollegare l'ACL di porta dalla subnet VM.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL

Rimuovere una regola ACL di porta

  1. Ottenere la regola ACL della porta da rimuovere.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”

  2. Rimuovere la regola ACL di porta.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule

Rimuovere un ACL di porta

  1. Ottenere l'elenco di controllo di accesso alla porta da rimuovere.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”

  2. Rimuovere l'ACL di porta.

    PS C:\> Remove-SCPortACL -PortACL $portACL