Megosztás a következőn keresztül:

A hálózati vezérlő védelme

  • Cikk

A következőkre vonatkozik: Azure Local 2311.2 és újabb; Windows Server 2022, Windows Server 2019, Windows Server 2016

Ez a cikk bemutatja, hogyan konfigurálhatja a biztonságot a hálózati vezérlő és más szoftverek és eszközök közötti összes kommunikációhoz.

A biztosítható kommunikációs útvonalak közé tartozik a Northbound kommunikáció a felügyeleti síkon, a hálózati vezérlő virtuális gépek közötti fürtkommunikáció, valamint a Southbound kommunikáció az adatsíkon.

  1. Northbound Communication. A hálózati vezérlő SDN-kompatibilis felügyeleti szoftverekkel kommunikál a felügyeleti síkon, például a Windows PowerShell-lel és a System Center Virtual Machine Managerrel (SCVMM). Ezekkel a felügyeleti eszközökkel meghatározhatja a hálózati házirendet, és létrehozhat egy célállapotot a hálózat számára, amellyel összehasonlíthatja a tényleges hálózati konfigurációt, hogy a tényleges konfiguráció paritásos legyen a célállapottal.

  2. Hálózati vezérlő fürtkommunikációja. Ha három vagy több virtuális gépet konfigurál hálózati vezérlőfürtcsomópontként, ezek a csomópontok kommunikálnak egymással. Ez a kommunikáció az adatok csomópontok közötti szinkronizálásához és replikálásához, illetve a Hálózati vezérlő szolgáltatásai közötti konkrét kommunikációhoz kapcsolódhat.

  3. Lefelé irányuló kommunikáció. A Hálózati vezérlő az adatsíkon kommunikál az SDN-infrastruktúrával és más eszközökkel, például szoftveres terheléselosztókkal, átjárókkal és gazdagépekkel. A hálózati vezérlővel konfigurálhatja és kezelheti ezeket a déli forgalmú eszközöket, hogy azok fenntartsák a hálózathoz konfigurált célállapotot.

Északi kommunikáció

A Hálózati vezérlő támogatja a hitelesítést, az engedélyezést és a titkosítást az északi kommunikációhoz. A következő szakaszok a biztonsági beállítások konfigurálásáról nyújtanak tájékoztatást.

Hitelesítés

Amikor a hálózati vezérlő észak-felé irányuló kommunikációjának hitelesítését konfigurálja, engedélyezi a hálózati vezérlő fürtcsomópontjainak és felügyeleti klienseinek, hogy igazolják annak az eszköznek az identitását, amellyel kommunikálnak.

A Hálózati vezérlő a következő három hitelesítési módot támogatja a felügyeleti ügyfelek és a Hálózati vezérlő csomópontok között.

Feljegyzés

Ha a System Center Virtual Machine Managerrel telepíti a hálózati vezérlőt, csak a Kerberos mód támogatott.

  1. Kerberos. Kerberos-hitelesítés használata a felügyeleti ügyfél és az összes Hálózati vezérlő fürtcsomópont Active Directory-tartományhoz való csatlakoztatásához. Az Active Directory-tartománynak rendelkeznie kell a hitelesítéshez használt tartományi fiókokkal.

  2. X509. Használja az X509-et tanúsítványalapú hitelesítéshez az Active Directory-tartományhoz nem csatlakozó felügyeleti ügyfelek esetében. Tanúsítványokat kell regisztrálnia az összes hálózati vezérlőfürtcsomópontra és felügyeleti ügyfélre. Emellett minden csomópontnak és felügyeleti ügyfélnek meg kell bíznia egymás tanúsítványaiban.

  3. Nincs. A Nincs lehetőséget tesztelési célokra használja tesztkörnyezetben, ezért éles környezetben nem ajánlott. Ha ezt a módot választja, nem történik hitelesítés a csomópontok és a felügyeleti ügyfelek között.

Az északi kommunikáció hitelesítési módját az Install-NetworkController Windows PowerShell-paranccsal konfigurálhatja a ClientAuthentication paraméterrel.

Engedélyezés

Ha a hálózati vezérlő észak-kimenő kommunikációjának engedélyezését konfigurálja, engedélyezi a hálózati vezérlő fürtcsomópontjainak és felügyeleti ügyfeleinek, hogy meggyőződjenek arról, hogy az eszköz, amellyel kommunikálnak, megbízható-e, és jogosult-e részt venni a kommunikációban.

A hálózati vezérlő által támogatott hitelesítési módokhoz használja az alábbi hitelesítési módszereket.

  1. Kerberos. A Kerberos hitelesítési módszer használatakor meg kell határoznia a hálózati vezérlővel való kommunikációra jogosult felhasználókat és számítógépeket egy biztonsági csoport létrehozásával az Active Directoryban, majd hozzá kell adnia az engedélyezett felhasználókat és számítógépeket a csoporthoz. Az Install-NetworkController Windows PowerShell parancs ClientSecurityGroup paraméterével úgy konfigurálhatja a hálózati vezérlőt, hogy a biztonsági csoportot engedélyezésre használja. A hálózati vezérlő telepítése után módosíthatja a biztonsági csoportot a Set-NetworkController paranccsal a -ClientSecurityGroup paraméterrel. HA SCVMM-et használ, az üzembe helyezés során paraméterként kell megadnia a biztonsági csoportot.

  2. X509. Az X509 hitelesítési módszer használatakor a Hálózati vezérlő csak olyan felügyeleti ügyfelektől érkező kéréseket fogad el, amelyek tanúsítvány-ujjlenyomatai ismertek a Hálózati vezérlő számára. Ezeket az ujjlenyomatokat az Install-NetworkController Windows PowerShell parancs ClientCertificateThumbprint paraméterével konfigurálhatja. A Set-NetworkController paranccsal bármikor hozzáadhat más ügyfél-ujjlenyomatokat.

  3. Nincs. Ha ezt a módot választja, nem történik hitelesítés a csomópontok és a felügyeleti ügyfelek között. A Nincs lehetőséget tesztelési célokra használja tesztkörnyezetben, ezért éles környezetben nem ajánlott.

Titkosítás

Az északi kommunikáció a Secure Sockets Layer (SSL) használatával hoz létre titkosított csatornát a felügyeleti ügyfelek és a hálózati vezérlő csomópontjai között. Az észak-kimenő kommunikáció SSL-titkosítása a következő követelményeket tartalmazza:

  • Minden hálózati vezérlőcsomópontnak azonos tanúsítvánnyal kell rendelkeznie, amely tartalmazza a kiszolgálóhitelesítési és ügyfél-hitelesítési célokat a bővített kulcshasználati (EKU-) bővítményekben.

  • A felügyeleti ügyfelek által a Hálózatvezérlővel való kommunikációhoz használt URI-nak a tanúsítvány tárgynevének kell lennie. A tanúsítvány tulajdonosának nevének tartalmaznia kell a teljes tartománynevet (FQDN) vagy a hálózati vezérlő REST-végpontjának IP-címét.

  • Ha a Hálózati vezérlő csomópontjai különböző alhálózatokon találhatók, a tanúsítványok alanyának neve meg kell egyezzen az RestName paraméterhez használt értékkel az Install-NetworkController Windows PowerShell parancsban.

  • Az összes felügyeleti ügyfélnek bíznia kell az SSL-tanúsítványban.

SSL-tanúsítványregisztráció és -konfiguráció

Az SSL-tanúsítványt manuálisan kell regisztrálnia a Hálózati vezérlő csomópontokon.

A tanúsítvány regisztrálása után konfigurálhatja a Hálózati vezérlőt úgy, hogy a tanúsítványt az Install-NetworkController Windows PowerShell parancs -ServerCertificate paraméterével használja. Ha már telepítette a Hálózati vezérlőt, bármikor frissítheti a konfigurációt a Set-NetworkController paranccsal.

Feljegyzés

Ha az SCVMM-et használja, a tanúsítványt tárerőforrásként kell hozzáadnia. További információ: SDN-hálózati vezérlő beállítása a VMM-hálóban.

Hálózati vezérlő fürtkommunikációja

A Hálózati vezérlő támogatja a hitelesítést, az engedélyezést és a titkosítást a hálózati vezérlő csomópontok közötti kommunikációhoz. A kommunikáció a Windows Communication Foundation (WCF) és a TCP protokollon keresztül történik.

Ezt a módot az Install-NetworkControllerCluster Windows PowerShell parancs ClusterAuthentication paraméterével konfigurálhatja.

További információ: Install-NetworkControllerCluster.

Hitelesítés

Amikor a hálózati vezérlőfürt kommunikációjának hitelesítését konfigurálja, engedélyezi, hogy a Hálózati vezérlő fürtcsomópontjai ellenőrizzék azon más csomópontok identitását, amelyekkel kommunikálnak.

A Hálózati vezérlő a következő három hitelesítési módot támogatja a hálózati vezérlő csomópontjai között.

Feljegyzés

Ha az SCVMM használatával telepíti a hálózati vezérlőt, csak a Kerberos mód támogatott.

  1. Kerberos. Kerberos-hitelesítést akkor használhat, ha az összes Hálózati vezérlő fürtcsomópont csatlakozik egy Active Directory-tartományhoz, és a hitelesítéshez tartományi fiókokat használ.

  2. X509. Az X509 tanúsítványalapú hitelesítés. X509-hitelesítést akkor használhat, ha a hálózati vezérlő fürtcsomópontjai nincsenek Active Directory-tartományhoz csatlakoztatva. Az X509 használatához tanúsítványokat kell regisztrálnia az összes hálózati vezérlő fürtcsomópontján, és minden csomópontnak meg kell bíznia a tanúsítványokban. Emellett az egyes csomópontokon bejegyzett tanúsítvány tárgy nevének meg kell egyeznie a csomópont DNS-nevével.

  3. Nincs. Ha ezt a módot választja, nem történik hitelesítés a hálózati vezérlő csomópontjai között. Ez a mód csak tesztelési célokra érhető el, és éles környezetben nem ajánlott.

Engedélyezés

Amikor konfigurálja a hálózati vezérlőfürt kommunikációjának engedélyezését, engedélyezi a hálózati vezérlő fürtcsomópontjai számára annak ellenőrzését, hogy azok a csomópontok, amelyekkel kommunikálnak, megbízhatóak-e, és rendelkeznek-e engedéllyel a kommunikációban való részvételre.

A hálózati vezérlő által támogatott hitelesítési módok mindegyikéhez a következő hitelesítési módszereket használja a rendszer.

  1. Kerberos. A hálózati vezérlő csomópontjai csak más hálózati vezérlő-számítógépfiókokból fogadják el a kommunikációs kéréseket. Ezeket a fiókokat a New-NetworkControllerNodeObject Windows PowerShell parancs Név paraméterével konfigurálhatja a hálózati vezérlő telepítésekor.

  2. X509. A hálózati vezérlő csomópontjai csak más hálózati vezérlő-számítógépfiókokból fogadják el a kommunikációs kéréseket. Ezeket a fiókokat a New-NetworkControllerNodeObject Windows PowerShell parancs Név paraméterével konfigurálhatja a hálózati vezérlő telepítésekor.

  3. Nincs. Ha ezt a módot választja, a hálózati vezérlő csomópontjai között nem történik engedélyezés. Ez a mód csak tesztelési célokra érhető el, és éles környezetben nem ajánlott.

Titkosítás

A hálózati vezérlő csomópontjai közötti kommunikáció WCF átviteli szintű titkosítással van titkosítva. Ezt a titkosítási formát akkor használja a rendszer, ha a hitelesítési és engedélyezési módszerek Kerberos vagy X509-tanúsítványok. További információkért tekintse át a következő témaköröket.

Déli kommunikáció

A Hálózati vezérlő különböző típusú eszközökkel kommunikál a déli kommunikációhoz. Ezek az interakciók különböző protokollokat használnak. Emiatt különböző követelmények vonatkoznak a hitelesítésre, az engedélyezésre és a titkosításra attól függően, hogy a Hálózati vezérlő milyen típusú eszközt és protokollt használ az eszközzel való kommunikációhoz.

Az alábbi táblázat a hálózati vezérlő különböző déli eszközökkel való interakciójával kapcsolatos információkat tartalmazza.

Délre irányuló eszköz/szolgáltatás Protokoll Használt hitelesítés
Szoftveres terheléselosztó WCF (MUX), TCP (Host) Diplomák
tűzfal OVSDB Diplomák
Átjáró WinRM Kerberos, Tanúsítványok
Virtuális hálózatkezelés OVSDB, WCF Diplomák
Felhasználó által megadott útválasztás OVSDB Diplomák

Az egyes protokollok esetében a kommunikációs mechanizmust a következő szakaszban ismertetjük.

Hitelesítés

A déli kommunikációhoz a következő protokollokat és hitelesítési módszereket használja a rendszer.

  1. WCF/TCP/OVSDB. Ezekben a protokollokban a hitelesítés X509-tanúsítványokkal történik. A hálózati vezérlő és a társ szoftveres terheléselosztási (SLB) multiplexer (MUX)/gazdagépek egyaránt egymásnak mutatják be a tanúsítványaikat a kölcsönös hitelesítés érdekében. A távoli társnak minden tanúsítványban meg kell bíznia.

    A déli alapú hitelesítéshez ugyanazt az SSL-tanúsítványt használhatja, amely az északi ügyfelekkel való kommunikáció titkosítására van konfigurálva. Emellett konfigurálnia kell egy tanúsítványt az SLB MUX-on és a gazda eszközökön. A tanúsítvány tulajdonosának neve meg kell egyeznie az eszköz DNS-nevével.

  2. WinRM. Ebben a protokollban a hitelesítés a Kerberos (tartományhoz csatlakoztatott gépek esetén) és tanúsítványok használatával történik (nem tartományhoz csatlakoztatott gépek esetén).

Engedélyezés

A déli kommunikációhoz a következő protokollokat és engedélyezési módszereket használja a rendszer.

  1. WCF/TCP. Ezen protokollok esetében az engedélyezés a társentitás alanyának nevéhez van kötve. A Hálózati vezérlő tárolja a társeszköz DNS-nevét, és az engedélyezéshez használja. Ennek a DNS-névnek meg kell egyeznie a tanúsítványban szereplő eszköz tulajdonosnevével. Hasonlóképpen, a hálózati vezérlő tanúsítványának meg kell egyeznie a társeszközön tárolt hálózati vezérlő DNS-nevével.

  2. WinRM. Kerberos használata esetén a WinRM-ügyfélfióknak egy előre definiált csoportban kell lennie az Active Directoryban vagy a kiszolgáló Helyi rendszergazdák csoportjában. Tanúsítványok használata esetén az ügyfél egy tanúsítványt mutat be a kiszolgálónak, amelyet a kiszolgáló a tulajdonosnév/kiállító használatával engedélyez, és a kiszolgáló egy leképezett felhasználói fiókot használ a hitelesítés végrehajtásához.

  3. OVSDB. Az engedélyezés a partner entitás alany nevére alapul. A hálózati vezérlő tárolja a társeszköz DNS-nevét, és az engedélyezéshez használja. Ennek a DNS-névnek meg kell egyeznie a tanúsítványban szereplő eszköz tulajdonosnevével.

Titkosítás

A déli kommunikációhoz az alábbi titkosítási módszereket használják a protokollokhoz.

  1. WCF/TCP/OVSDB. Ezen protokollok esetében a titkosítás az ügyfélen vagy kiszolgálón regisztrált tanúsítvány használatával történik.

  2. WinRM. A WinRM-forgalom alapértelmezés szerint a Kerberos biztonsági támogatási szolgáltató (SSP) használatával van titkosítva. A WinRM-kiszolgálón ssl formájában konfigurálhat további titkosítást.