De netwerkcontroller beveiligen

Van toepassing op: Azure Stack HCI, versies 23H2 en 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

In dit artikel wordt beschreven hoe u beveiliging configureert voor alle communicatie tussen netwerkcontroller en andere software en apparaten.

De communicatiepaden die u kunt beveiligen, zijn onder andere Northbound-communicatie op het beheervlak, clustercommunicatie tussen virtuele machines (VM's) van de netwerkcontroller in een cluster en Zuidkomende communicatie op het gegevensvlak.

1. Northbound Communication. Netwerkcontroller communiceert op het beheervlak met SDN-compatibele beheersoftware zoals Windows PowerShell en System Center Virtual Machine Manager (SCVMM). Deze beheerhulpprogramma's bieden u de mogelijkheid om netwerkbeleid te definiëren en een doelstatus voor het netwerk te maken, waarmee u de werkelijke netwerkconfiguratie kunt vergelijken om de werkelijke configuratie in pariteit te brengen met de doelstatus.

2. Netwerkcontrollerclustercommunicatie. Wanneer u drie of meer VM's configureert als clusterknooppunten van de netwerkcontroller, communiceren deze knooppunten met elkaar. Deze communicatie kan betrekking hebben op het synchroniseren en repliceeren van gegevens tussen knooppunten, of specifieke communicatie tussen netwerkcontrollerservices.

3. Southbound Communication. Netwerkcontroller communiceert op het gegevensvlak met sdn-infrastructuur en andere apparaten, zoals software load balancers, gateways en hostmachines. U kunt netwerkcontroller gebruiken om deze zuidwaartse apparaten te configureren en te beheren, zodat ze de doelstatus behouden die u hebt geconfigureerd voor het netwerk.

Northbound Communication

Netwerkcontroller ondersteunt verificatie, autorisatie en versleuteling voor northbound communicatie. De volgende secties bevatten informatie over het configureren van deze beveiligingsinstellingen.

Verificatie

Wanneer u verificatie configureert voor netwerkcontroller northbound communicatie, u toestaan netwerkcontroller clusterknooppunten en beheerclients om de identiteit te verifiëren van het apparaat waarmee ze communiceren.

Netwerkcontroller ondersteunt de volgende drie verificatiemodi tussen beheerclients en netwerkcontrollerknooppunten.

Notitie

Als u netwerkcontroller implementeert met System Center Virtual Machine Manager, wordt alleen de Kerberos-modus ondersteund.

1. Kerberos. Gebruik Kerberos-verificatie bij het toevoegen van zowel de beheerclient als alle clusterknooppunten van de netwerkcontroller aan een Active Directory-domein. Het Active Directory-domein moet domeinaccounts hebben die worden gebruikt voor verificatie.

2. X509. Gebruik X509 voor verificatie op basis van certificaten voor beheerclients die niet zijn toegevoegd aan een Active Directory-domein. U moet certificaten inschrijven voor alle clusterknooppunten en beheerclients van de netwerkcontroller. Ook moeten alle knooppunten en beheerclients elkaars certificaten vertrouwen.

3. Geen. Gebruik Geen voor testdoeleinden in een testomgeving en wordt daarom niet aanbevolen voor gebruik in een productieomgeving. Wanneer u deze modus kiest, wordt er geen verificatie uitgevoerd tussen knooppunten en beheerclients.

U kunt de verificatiemodus voor northbound-communicatie configureren met behulp van de Windows PowerShell opdracht Install-NetworkController met de parameter ClientAuthentication.

Autorisatie

Wanneer u de autorisatie configureert voor netwerkcontroller northbound communicatie, staat u netwerkcontroller clusterknooppunten en beheerclients toe om te controleren of het apparaat waarmee ze communiceren vertrouwd en gemachtigd is om deel te nemen aan de communicatie.

Gebruik de volgende autorisatiemethoden voor elk van de verificatiemodi die worden ondersteund door netwerkcontroller.

1. Kerberos. Wanneer u de Kerberos-verificatiemethode gebruikt, definieert u de gebruikers en computers die gemachtigd zijn om te communiceren met de netwerkcontroller door een beveiligingsgroep in Active Directory te maken en vervolgens de geautoriseerde gebruikers en computers toe te voegen aan de groep. U kunt de netwerkcontroller configureren voor het gebruik van de beveiligingsgroep voor autorisatie met behulp van de clientSecurityGroup parameter van de install-NetworkController Windows PowerShell opdracht. Nadat u de netwerkcontroller hebt geïnstalleerd, kunt u de beveiligingsgroep wijzigen met behulp van de opdracht Set-NetworkController met de parameter -ClientSecurityGroup. Als u SCVMM gebruikt, moet u tijdens de implementatie de beveiligingsgroep als parameter opgeven.

2. X509. Wanneer u de X509-verificatiemethode gebruikt, accepteert netwerkcontroller alleen aanvragen van beheerclients waarvan de certificaatvingerafdrukken bekend zijn bij netwerkcontroller. U kunt deze vingerafdrukken configureren met behulp van de parameter ClientCertificateThumbprint van de opdracht Install-NetworkController Windows PowerShell. U kunt op elk gewenst moment andere clientvingerafdrukken toevoegen met behulp van de opdracht Set-NetworkController .

3. Geen. Wanneer u deze modus kiest, wordt er geen verificatie uitgevoerd tussen knooppunten en beheerclients. Gebruik Geen voor testdoeleinden in een testomgeving en wordt daarom niet aanbevolen voor gebruik in een productieomgeving.

Versleuteling

Northbound communication maakt gebruik van Secure Sockets Layer (SSL) om een versleuteld kanaal te maken tussen beheerclients en netwerkcontrollerknooppunten. SSL-versleuteling voor Northbound-communicatie omvat de volgende vereisten:

• Alle knooppunten van de netwerkcontroller moeten een identiek certificaat hebben dat de serververificatie en clientverificatie in EKU-extensies (Enhanced Key Usage) bevat.

• De URI die door beheerclients wordt gebruikt om te communiceren met netwerkcontroller moet de onderwerpnaam van het certificaat zijn. De onderwerpnaam van het certificaat moet de FQDN (Fully Qualified Domain Name) of het IP-adres van het REST-eindpunt van de netwerkcontroller bevatten.

• Als netwerkcontrollerknooppunten zich in verschillende subnetten bevinden, moet de onderwerpnaam van hun certificaten hetzelfde zijn als de waarde die wordt gebruikt voor de parameter RestName in de opdracht Install-NetworkController Windows PowerShell.

• Alle beheerclients moeten het SSL-certificaat vertrouwen.

Ssl-certificaatinschrijving en -configuratie

U moet het SSL-certificaat handmatig registreren op netwerkcontrollerknooppunten.

Nadat het certificaat is ingeschreven, kunt u netwerkcontroller configureren om het certificaat te gebruiken met de parameter -ServerCertificate van de install-NetworkController Windows PowerShell opdracht. Als u de netwerkcontroller al hebt geïnstalleerd, kunt u de configuratie op elk gewenst moment bijwerken met behulp van de set-NetworkController opdracht.

Notitie

Als u SCVMM gebruikt, moet u het certificaat toevoegen als bibliotheekresource. Zie Een SDN-netwerkcontroller instellen in de VMM-infrastructuur voor meer informatie.

Netwerkcontrollerclustercommunicatie

Netwerkcontroller ondersteunt verificatie, autorisatie en versleuteling voor communicatie tussen netwerkcontrollerknooppunten. De communicatie verloopt via Windows Communication Foundation (WCF) en TCP.

U kunt deze modus configureren met de parameter ClusterAuthentication van de Windows PowerShell opdracht Install-NetworkControllerCluster.

Zie Install-NetworkControllerCluster voor meer informatie.

Verificatie

Wanneer u verificatie configureert voor netwerkcontrollerclustercommunicatie, staat u netwerkcontrollerclusterknooppunten toe om de identiteit te verifiëren van de andere knooppunten waarmee ze communiceren.

Netwerkcontroller ondersteunt de volgende drie verificatiemodi tussen netwerkcontrollerknooppunten.

Notitie

Als u netwerkcontroller implementeert met behulp van SCVMM, wordt alleen de Kerberos-modus ondersteund.

1. Kerberos. U kunt Kerberos-verificatie gebruiken wanneer alle netwerkcontrollerclusterknooppunten zijn gekoppeld aan een Active Directory-domein, met domeinaccounts die worden gebruikt voor verificatie.

2. X509. X509 is verificatie op basis van certificaten. U kunt X509-verificatie gebruiken wanneer netwerkcontrollerclusterknooppunten niet zijn gekoppeld aan een Active Directory-domein. Als u X509 wilt gebruiken, moet u certificaten inschrijven bij alle clusterknooppunten van de netwerkcontroller en moeten alle knooppunten de certificaten vertrouwen. Bovendien moet de onderwerpnaam van het certificaat dat is ingeschreven op elk knooppunt hetzelfde zijn als de DNS-naam van het knooppunt.

3. Geen. Wanneer u deze modus kiest, wordt er geen verificatie uitgevoerd tussen netwerkcontrollerknooppunten. Deze modus is alleen beschikbaar voor testdoeleinden en wordt niet aanbevolen voor gebruik in een productieomgeving.

Autorisatie

Wanneer u autorisatie configureert voor netwerkcontrollerclustercommunicatie, staat u netwerkcontrollerclusterknooppunten toe om te controleren of de knooppunten waarmee ze communiceren worden vertrouwd en gemachtigd zijn om deel te nemen aan de communicatie.

Voor elk van de verificatiemodi die worden ondersteund door netwerkcontroller, worden de volgende autorisatiemethoden gebruikt.

1. Kerberos. Netwerkcontrollerknooppunten accepteren communicatieaanvragen alleen van andere netwerkcontrollercomputeraccounts. U kunt deze accounts configureren wanneer u netwerkcontroller implementeert met behulp van de naam parameter van de New-NetworkControllerNodeObject Windows PowerShell opdracht.

2. X509. Netwerkcontrollerknooppunten accepteren communicatieaanvragen alleen van andere netwerkcontrollercomputeraccounts. U kunt deze accounts configureren wanneer u netwerkcontroller implementeert met behulp van de naam parameter van de New-NetworkControllerNodeObject Windows PowerShell opdracht.

3. Geen. Wanneer u deze modus kiest, wordt er geen autorisatie uitgevoerd tussen netwerkcontrollerknooppunten. Deze modus is alleen beschikbaar voor testdoeleinden en wordt niet aanbevolen voor gebruik in een productieomgeving.

Versleuteling

De communicatie tussen knooppunten van de netwerkcontroller wordt versleuteld met behulp van versleuteling op wcf-transportniveau. Deze vorm van versleuteling wordt gebruikt wanneer de verificatie- en autorisatiemethoden Kerberos- of X509-certificaten zijn. Zie de volgende onderwerpen voor meer informatie.

• Procedure: Een service beveiligen met Windows-referenties
• Procedure: Een service beveiligen met X.509-certificaten.

Southbound Communication

Netwerkcontroller communiceert met verschillende typen apparaten voor Southbound-communicatie. Deze interacties maken gebruik van verschillende protocollen. Daarom zijn er verschillende vereisten voor verificatie, autorisatie en versleuteling, afhankelijk van het type apparaat en protocol dat door de netwerkcontroller wordt gebruikt om met het apparaat te communiceren.

De volgende tabel bevat informatie over de interactie van de netwerkcontroller met verschillende southbound-apparaten.

Southbound-apparaat/service	Protocol	Gebruikte verificatie
Software-taakverdeler	WCF (MUX), TCP (host)	Certificaten
Firewall	OVSDB	Certificaten
Gateway	WinRM	Kerberos, Certificaten
Virtuele netwerken	OVSDB, WCF	Certificaten
Door de gebruiker gedefinieerde routering	OVSDB	Certificaten

Voor elk van deze protocollen wordt het communicatiemechanisme beschreven in de volgende sectie.

Verificatie

Voor Southbound-communicatie worden de volgende protocollen en verificatiemethoden gebruikt.

1. WCF/TCP/OVSDB. Voor deze protocollen wordt verificatie uitgevoerd met behulp van X509-certificaten. Zowel de netwerkcontroller als de SLB-multiplexer (SLB) of hostcomputers van de peer presenteren hun certificaten aan elkaar voor wederzijdse verificatie. Elk certificaat moet worden vertrouwd door de externe peer.

   Voor southbound-verificatie kunt u hetzelfde SSL-certificaat gebruiken dat is geconfigureerd voor het versleutelen van de communicatie met de Northbound-clients. U moet ook een certificaat configureren op de SLB MUX- en hostapparaten. De onderwerpnaam van het certificaat moet gelijk zijn aan de DNS-naam van het apparaat.

2. WinRM. Voor dit protocol wordt verificatie uitgevoerd met behulp van Kerberos (voor computers die lid zijn van een domein) en met behulp van certificaten (voor computers die niet lid zijn van een domein).

Autorisatie

Voor Southbound-communicatie worden de volgende protocollen en autorisatiemethoden gebruikt.

1. WCF/TCP. Voor deze protocollen is autorisatie gebaseerd op de onderwerpnaam van de peerentiteit. Netwerkcontroller slaat de DNS-naam van het peerapparaat op en gebruikt deze voor autorisatie. Deze DNS-naam moet overeenkomen met de onderwerpnaam van het apparaat in het certificaat. Op dezelfde manier moet het certificaat van de netwerkcontroller overeenkomen met de DNS-naam van de netwerkcontroller die is opgeslagen op het peerapparaat.

2. WinRM. Als Kerberos wordt gebruikt, moet het WinRM-clientaccount aanwezig zijn in een vooraf gedefinieerde groep in Active Directory of in de groep Lokale beheerders op de server. Als er certificaten worden gebruikt, presenteert de client een certificaat aan de server dat de server autoriseert met behulp van de onderwerpnaam/verlener, en gebruikt de server een toegewezen gebruikersaccount om verificatie uit te voeren.

3. OVSDB. Autorisatie is gebaseerd op de onderwerpnaam van de peerentiteit. Netwerkcontroller slaat de DNS-naam van het peerapparaat op en gebruikt deze voor autorisatie. Deze DNS-naam moet overeenkomen met de onderwerpnaam van het apparaat in het certificaat.

Versleuteling

Voor southbound-communicatie worden de volgende versleutelingsmethoden gebruikt voor protocollen.

1. WCF/TCP/OVSDB. Voor deze protocollen wordt versleuteling uitgevoerd met behulp van het certificaat dat is ingeschreven op de client of server.

2. WinRM. WinRM-verkeer wordt standaard versleuteld met behulp van kerberos-beveiligingsondersteuningsprovider (SSP). U kunt Aanvullende versleuteling in de vorm van SSL configureren op de WinRM-server.