Mengamankan Pengontrol Jaringan
Berlaku untuk: Azure Stack HCI, versi 23H2 dan 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Artikel ini menjelaskan cara mengonfigurasi keamanan untuk semua komunikasi antara Pengontrol Jaringan dan perangkat lunak dan perangkat lain.
Jalur komunikasi yang dapat Anda amankan termasuk komunikasi Northbound pada management plane, komunikasi kluster antara mesin virtual (VM) Pengontrol Jaringan dalam kluster, dan komunikasi Southbound pada data plane.
Komunikasi Northbound. Pengontrol Jaringan berkomunikasi di management plane dengan perangkat lunak manajemen berkemampuan SDN seperti Windows PowerShell dan System Center Virtual Machine Manager (SCVMM). Alat manajemen ini memberi Anda kemampuan untuk menentukan kebijakan jaringan dan untuk membuat status tujuan untuk jaringan di mana Anda dapat membandingkan konfigurasi jaringan aktual untuk membuat konfigurasi aktual mencapai paritas dengan status tujuan.
Komunikasi Kluster Pengontrol Jaringan. Saat Anda mengonfigurasi tiga mesin virtual atau lebih sebagai node kluster Pengontrol Jaringan, node ini berkomunikasi satu sama lain. Komunikasi ini mungkin terkait dengan sinkronisasi dan replikasi data di seluruh node, atau komunikasi khusus antara layanan Pengontrol Jaringan.
Komunikasi Southbound. Pengontrol Jaringan berkomunikasi pada data plane dengan infrastruktur SDN dan perangkat lainnya seperti penyeimbang beban perangkat lunak, gateway, dan mesin host. Anda dapat menggunakan Pengontrol Jaringan untuk mengonfigurasi dan mengelola perangkat southbound ini sehingga mereka mempertahankan status tujuan yang telah Anda konfigurasi untuk jaringan.
Komunikasi Northbound
Pengontrol Jaringan mendukung autentikasi, otorisasi, dan enkripsi untuk komunikasi Northbound. Bagian berikut menyediakan informasi mengenai cara mengonfigurasi pengaturan keamanan ini.
Autentikasi
Saat Anda mengonfigurasi autentikasi untuk komunikasi Network Controller Northbound, Anda mengizinkan node kluster Network Controller dan klien manajemen untuk memverifikasi identitas perangkat tempat mereka berkomunikasi.
Pengontrol Jaringan mendukung tiga mode autentikasi berikut antara klien manajemen dan node Pengontrol Jaringan.
Catatan
Jika Anda menyebarkan Pengontrol Jaringan dengan Manajer Komputer Virtual Pusat Sistem, hanya mode Kerberos yang didukung.
Kerberos. Gunakan autentikasi Kerberos saat menggabungkan klien manajemen dan semua node kluster Pengontrol Jaringan ke domain Active Directory. Domain Active Directory harus memiliki akun domain yang digunakan untuk autentikasi.
X509. Gunakan X509 untuk autentikasi berbasis sertifikat untuk klien manajemen yang tidak bergabung ke domain Active Directory. Anda harus mendaftarkan sertifikat ke semua node kluster Pengontrol Jaringan dan klien manajemen. Selain itu, semua node dan klien manajemen harus memercayai sertifikat satu sama lain.
Tidak ada. Gunakan Tidak Ada untuk tujuan pengujian di lingkungan pengujian dan, maka dari itu, tidak disarankan untuk digunakan di lingkungan produksi. Saat Anda memilih mode ini, tidak ada autentikasi yang dilakukan antara simpul dan klien manajemen.
Anda dapat mengonfigurasi mode Autentikasi untuk komunikasi Northbound menggunakan perintah Install-NetworkController Windows PowerShell dengan parameter ClientAuthentication.
Authorization
Saat Mengonfigurasi otorisasi untuk komunikasi Network Controller Northbound, Anda mengizinkan node kluster Pengontrol Jaringan dan klien manajemen untuk memverifikasi bahwa perangkat tempat mereka berkomunikasi dipercaya dan memiliki izin untuk berpartisipasi dalam komunikasi.
Gunakan metode otorisasi berikut untuk setiap mode autentikasi yang didukung oleh Pengontrol Jaringan.
Kerberos. Saat Anda menggunakan metode autentikasi Kerberos, Anda menentukan pengguna dan komputer yang berwenang untuk berkomunikasi dengan Pengontrol Jaringan dengan membuat grup keamanan di Direktori Aktif, lalu menambahkan pengguna dan komputer yang berwenang ke grup. Anda dapat mengonfigurasi Pengontrol Jaringan untuk menggunakan kelompok keamanan untuk otorisasi menggunakan parameter ClientSecurityGroup dari perintah Install-NetworkController Windows PowerShell. Setelah menginstal Pengontrol Jaringan, Anda dapat mengubah kelompok keamanan menggunakan perintah Set-NetworkController dengan parameter -ClientSecurityGroup. Apabila menggunakan SCVMM, Anda harus menyediakan kelompok keamanan sebagai parameter selama penyebaran.
X509. Saat Anda menggunakan metode autentikasi X509, Pengontrol Jaringan hanya menerima permintaan dari klien manajemen yang thumbprint sertifikatnya diketahui oleh Pengontrol Jaringan. Anda dapat mengonfigurasi thumbprint ini menggunakan parameter ClientCertificateThumbprint dari perintah Install-NetworkController Windows PowerShell. Anda dapat menambahkan thumbprint klien lainnya kapan saja menggunakan perintah Set-NetworkController.
Tidak ada. Saat Anda memilih mode ini, tidak ada autentikasi yang dilakukan antara simpul dan klien manajemen. Gunakan Tidak Ada untuk tujuan pengujian di lingkungan pengujian dan, maka dari itu, tidak disarankan untuk digunakan di lingkungan produksi.
Enkripsi
Komunikasi Northbound menggunakan Secure Sockets Layer (SSL) untuk membuat saluran terenkripsi antara klien manajemen dan node Pengontrol Jaringan. Enkripsi SSL untuk komunikasi Northbound mencakup persyaratan berikut:
Semua node Pengontrol Jaringan harus memiliki sertifikat identik yang menyertakan tujuan Autentikasi Server dan Autentikasi Klien dalam ekstensi Enhanced Key Usage (EKU).
URI yang digunakan oleh klien manajemen untuk berkomunikasi dengan Pengontrol Jaringan harus menjadi nama subjek sertifikat. Nama subjek sertifikat harus berisi Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) atau alamat IP Titik Akhir REST Pengontrol Jaringan.
Apabila node Pengontrol Jaringan berada di subnet yang berbeda, nama subjek sertifikat harus sama dengan nilai yang digunakan untuk parameter RestName dalam perintah Install-NetworkController Windows PowerShell.
Semua klien manajemen harus memercayai sertifikat SSL.
Pendaftaran dan Konfigurasi Sertifikat SSL
Anda harus mendaftarkan sertifikat SSL secara manual pada node Pengontrol Jaringan.
Setelah sertifikat terdaftar, Anda dapat mengonfigurasi Pengontrol Jaringan untuk menggunakan sertifikat dengan parameter -ServerCertificate dari perintah Install-NetworkController Windows PowerShell. Apabila Anda telah menginstal Pengontrol Jaringan, Anda dapat memperbarui konfigurasi kapan saja menggunakan perintah Set-NetworkController.
Catatan
Jika Anda menggunakan SCVMM, Anda harus menambahkan sertifikat sebagai sumber daya pustaka. Untuk informasi selengkapnya, lihat Menyiapkan pengontrol jaringan SDN di fabric VMM.
Komunikasi Kluster Pengontrol Jaringan
Pengontrol Jaringan mendukung autentikasi, otorisasi, dan enkripsi untuk komunikasi antar node Pengontrol Jaringan. Komunikasi tersebut berlangsung melalui Windows Communication Foundation (WCF) dan TCP.
Anda dapat mengonfigurasi mode ini dengan parameter ClusterAuthentication dari perintah Install-NetworkControllerCluster Windows PowerShell.
Untuk informasi selengkapnya, lihat Install-NetworkControllerCluster.
Autentikasi
Saat Mengonfigurasi autentikasi untuk komunikasi Kluster Pengontrol Jaringan, Anda mengizinkan node kluster Pengontrol Jaringan untuk memverifikasi identitas simpul lain yang berkomunikasi.
Pengontrol Jaringan mendukung tiga mode autentikasi berikut antara node Pengontrol Jaringan.
Catatan
Apabila Anda menyebarkan Pengontrol Jaringan menggunakan SCVMM, hanya mode Kerberos yang didukung.
Kerberos. Anda dapat menggunakan autentikasi Kerberos ketika semua node kluster Pengontrol Jaringan bergabung ke domain Active Directory, dengan akun domain yang digunakan untuk autentikasi.
X509. X509 adalah autentikasi berbasis sertifikat. Anda dapat menggunakan autentikasi X509 ketika node kluster Pengontrol Jaringan tidak bergabung ke domain Active Directory. Untuk menggunakan X509, Anda harus mendaftarkan sertifikat ke semua node kluster Pengontrol Jaringan, dan semua node harus memercayai sertifikat. Selain itu, nama subjek sertifikat yang terdaftar pada setiap node harus sama dengan nama DNS node.
Tidak ada. Saat Anda memilih mode ini, tidak ada autentikasi yang dilakukan antara simpul Pengontrol Jaringan. Mode ini disediakan hanya untuk tujuan pengujian, dan tidak disarankan untuk digunakan di lingkungan produksi.
Authorization
Saat mengonfigurasi otorisasi untuk komunikasi Kluster Pengontrol Jaringan, Anda mengizinkan node kluster Pengontrol Jaringan untuk memverifikasi bahwa simpul yang berkomunikasinya dipercaya dan memiliki izin untuk berpartisipasi dalam komunikasi.
Untuk setiap mode autentikasi yang didukung oleh Pengontrol Jaringan, metode otorisasi berikut digunakan.
Kerberos. Node Pengontrol Jaringan hanya menerima permintaan komunikasi dari akun mesin Pengontrol Jaringan lainnya. Anda dapat mengonfigurasi akun ini ketika menyebarkan Pengontrol Jaringan menggunakan parameter Name dari perintah New-NetworkControllerNodeObject Windows PowerShell.
X509. Node Pengontrol Jaringan hanya menerima permintaan komunikasi dari akun mesin Pengontrol Jaringan lainnya. Anda dapat mengonfigurasi akun ini ketika menyebarkan Pengontrol Jaringan menggunakan parameter Name dari perintah New-NetworkControllerNodeObject Windows PowerShell.
Tidak ada. Saat Anda memilih mode ini, tidak ada otorisasi yang dilakukan antara simpul Pengontrol Jaringan. Mode ini disediakan hanya untuk tujuan pengujian, dan tidak disarankan untuk digunakan di lingkungan produksi.
Enkripsi
Komunikasi antara node Pengontrol Jaringan dienkripsi menggunakan enkripsi tingkat Transportasi WCF. Bentuk enkripsi ini digunakan ketika metode autentikasi dan otorisasi adalah sertifikat Kerberos atau X509. Untuk informasi selengkapnya, lihat topik berikut.
- Cara: Mengamankan Layanan dengan Kredensial Windows
- Cara: Mengamankan Layanan dengan Sertifikat X.509.
Komunikasi Southbound
Pengontrol Jaringan berinteraksi dengan berbagai jenis perangkat untuk komunikasi Southbound. Interaksi ini menggunakan protokol yang berbeda. Oleh karena itu, ada berbagai persyaratan untuk autentikasi, otorisasi, dan enkripsi, tergantung pada jenis perangkat dan protokol yang digunakan oleh Pengontrol Jaringan untuk berkomunikasi dengan perangkat tersebut.
Tabel berikut menyediakan informasi mengenai interaksi Pengontrol Jaringan dengan perangkat southbound yang berbeda.
| Perangkat/layanan southbound | Protokol | Autentikasi yang digunakan |
|---|---|---|
| Perangkat Lunak Load Balancer | WCF (MUX), TCP (Host) | Sertifikat |
| Firewall | OVSDB | Sertifikat |
| Gateway | WinRM | Kerberos, Sertifikat |
| Jaringan Virtual | OVSDB, WCF | Sertifikat |
| Perutean yang ditentukan pengguna | OVSDB | Sertifikat |
Untuk setiap protokol ini, mekanisme komunikasi dijelaskan di bagian berikut.
Autentikasi
Untuk komunikasi Southbound, protokol dan metode autentikasi berikut digunakan.
WCF/TCP/OVSDB. Untuk protokol ini, autentikasi dilakukan menggunakan sertifikat X509. Pengontrol Jaringan dan Multiplexer (MUX) Penyeimbang Beban Perangkat Lunak (SLB)/mesin host serekan menyajikan sertifikat mereka satu sama lain untuk autentikasi timbal balik. Setiap sertifikat harus dipercaya oleh peer jarak jauh.
Untuk autentikasi southbound, Anda dapat menggunakan sertifikat SSL yang sama yang dikonfigurasi untuk mengenkripsi komunikasi dengan klien Northbound. Anda juga harus mengonfigurasi sertifikat pada MUX SLB dan perangkat host. Nama subjek sertifikat harus sama dengan nama DNS perangkat tersebut.
WinRM. Untuk protokol ini, autentikasi dilakukan menggunakan Kerberos (untuk mesin yang bergabung dengan domain) dan menggunakan sertifikat (untuk mesin yang bergabung dengan non-domain).
Authorization
Untuk komunikasi Southbound, protokol dan metode otorisasi berikut digunakan.
WCF/TCP. Untuk protokol ini, otorisasi didasarkan pada nama subjek entitas serekan. Pengontrol Jaringan menyimpan nama DNS perangkat serekan dan menggunakannya untuk otorisasi. Nama DNS ini harus cocok dengan nama subjek perangkat dalam sertifikat. Demikian juga, sertifikat Pengontrol Jaringan harus cocok dengan nama DNS Pengontrol Jaringan yang disimpan pada perangkat serekan.
WinRM. Apabila Kerberos sedang digunakan, akun klien WinRM harus ada dalam grup yang telah ditentukan sebelumnya di Active Directory atau di grup Administrator Lokal pada server. Apabila sertifikat sedang digunakan, klien menyajikan sertifikat ke server yang diotorisasi server menggunakan nama subjek/pengeluar sertifikat, dan server menggunakan akun pengguna yang dipetakan untuk melakukan autentikasi.
OVSDB. Otorisasi didasarkan pada nama subjek entitas serekan. Pengontrol Jaringan menyimpan nama DNS perangkat serekan dan menggunakannya untuk otorisasi. Nama DNS ini harus cocok dengan nama subjek perangkat dalam sertifikat.
Enkripsi
Untuk komunikasi Southbound, metode enkripsi berikut digunakan untuk protokol.
WCF/TCP/OVSDB. Untuk protokol ini, enkripsi dilakukan menggunakan sertifikat yang terdaftar di klien atau server.
WinRM. Lalu lintas WinRM dienkripsi secara default menggunakan penyedia dukungan keamanan (SSP) Kerberos. Anda dapat mengonfigurasi Enkripsi tambahan, dalam bentuk SSL, di server WinRM.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk