Condividi tramite


Configurare reti crittografate in SDN tramite VMM

Questo articolo illustra come crittografare le reti VM in una rete SDN (Software Defined Network) usando System Center Virtual Machine Manager (VMM).

Il traffico di rete può essere crittografato dal sistema operativo guest o da un'applicazione usando tecnologie come IPSec e TLS. Tuttavia, queste tecnologie sono difficili da implementare a causa della loro complessità intrinseca e delle sfide correlate all'interoperabilità tra sistemi a causa della natura dell'implementazione.

Usando la funzionalità reti crittografate in VMM, la crittografia end-to-end può essere facilmente configurata nelle reti VM usando il controller di rete (NC). Questa crittografia impedisce la lettura e la modifica del traffico tra due macchine virtuali nella stessa rete VM e nella stessa subnet.

Il controllo della crittografia è a livello di subnet e la crittografia può essere abilitata/disabilitata per ogni subnet della rete VM.

Questa funzionalità viene gestita tramite il controller di rete SDN .THIS FEATURE is managed through the SDN Network Controller (NC). Se non si dispone già di un'infrastruttura SDN (Software Defined Network) con un controller di rete, per altre informazioni, vedere Distribuire SDN.

Nota

Questa funzionalità offre attualmente protezione da amministratori non Microsoft e di rete e non offre alcuna protezione dagli amministratori dell'infrastruttura.

Prima di iniziare

Accertarsi di aver soddisfatto i prerequisiti seguenti:

  • Almeno due host per le macchine virtuali tenant per convalidare la crittografia.
  • Rete VM basata su HNV con crittografia abilitata e un certificato, che può essere creato e distribuito dall'amministratore dell'infrastruttura.

    Nota

    Il certificato, insieme alla chiave privata, deve essere archiviato nell'archivio certificati locale di tutti gli host in cui risiedono le macchine virtuali (di tale rete).

Procedura: configurare le reti crittografate

Seguire questa procedura per configurare le reti crittografate:

  1. Creare un certificato e quindi inserire il certificato nell'archivio certificati locale di tutti gli host in cui si prevede di inserire le macchine virtuali tenant per la convalida.

  2. È possibile creare un certificato autofirmato o ottenere un certificato da una CA. Per informazioni su come generare certificati autofirmato e inserirli nelle posizioni appropriate di ogni host in uso, vedere Configurare la crittografia per una subnet virtuale.

    Nota

    Prendere nota dell'identificazione personale del certificato generato. Nell'articolo precedente nel passaggio 2 non è necessario eseguire le azioni descritte in Creazione di credenziali certificato e Configurazione di un Rete virtuale per la crittografia. Queste impostazioni verranno configurate usando VMM nei passaggi seguenti.

  3. Configurare una rete del provider HNV per la connettività della macchina virtuale tenant, che verrà gestita dal controller di rete. Altre informazioni.

  4. Creare una rete VM tenant e una subnet. Durante la creazione della subnet, selezionare Abilita crittografia in Subnet vm. Altre informazioni.

    Nel passaggio successivo incollare l'identificazione personale del certificato creato.

    Screenshot della crittografia di rete.

    Screenshot dei dettagli della crittografia.

  5. Creare due macchine virtuali in due host fisici separati e connetterle alla subnet precedente. Altre informazioni.

  6. Collegare qualsiasi applicazione di analisi dei pacchetti nelle due interfacce di rete dei due host in cui sono posizionate le macchine virtuali tenant.

  7. Inviare traffico, ping, HTTP o qualsiasi altro pacchetto tra i due host e controllare i pacchetti nell'applicazione di analisi dei pacchetti. I pacchetti non devono avere testo normale riconoscibile, ad esempio i parametri di una richiesta HTTP.