Zabezpieczanie kontrolera sieci
Dotyczy: Azure Stack HCI, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
W tym artykule opisano sposób konfigurowania zabezpieczeń dla całej komunikacji między kontrolerem sieci a innym oprogramowaniem i urządzeniami.
Ścieżki komunikacyjne, które można zabezpieczyć, obejmują komunikację northbound na płaszczyźnie zarządzania, komunikację klastra między maszynami wirtualnymi kontrolera sieci w klastrze i komunikację typu Southbound na płaszczyźnie danych.
Komunikacja w kierunku północnym. Kontroler sieci komunikuje się na płaszczyźnie zarządzania za pomocą oprogramowania do zarządzania obsługującego sieć SDN, takiego jak Windows PowerShell i System Center Virtual Machine Manager (SCVMM). Te narzędzia do zarządzania zapewniają możliwość definiowania zasad sieci i tworzenia stanu celu dla sieci, z którą można porównać rzeczywistą konfigurację sieci w celu zapewnienia zgodności rzeczywistej konfiguracji ze stanem celu.
Komunikacja klastra kontrolera sieci. Podczas konfigurowania co najmniej trzech maszyn wirtualnych jako węzłów klastra kontrolera sieci te węzły komunikują się ze sobą. Ta komunikacja może być związana z synchronizacją i replikacją danych między węzłami lub konkretną komunikacją między usługami kontrolera sieci.
Komunikacja w kierunku południowym. Kontroler sieci komunikuje się na płaszczyźnie danych z infrastrukturą SDN i innymi urządzeniami, takimi jak programowe moduły równoważenia obciążenia, bramy i maszyny hosta. Za pomocą kontrolera sieci można skonfigurować te urządzenia typu southbound i zarządzać nimi, aby zachować stan celu skonfigurowany dla sieci.
Komunikacja w kierunku północnym
Kontroler sieci obsługuje uwierzytelnianie, autoryzację i szyfrowanie komunikacji northbound. W poniższych sekcjach opisano sposób konfigurowania tych ustawień zabezpieczeń.
Authentication
Podczas konfigurowania uwierzytelniania dla komunikacji northbound kontrolera sieci można zezwolić węzłom klastra kontrolera sieci i klientom zarządzania na weryfikowanie tożsamości urządzenia, za pomocą którego komunikują się.
Kontroler sieci obsługuje następujące trzy tryby uwierzytelniania między klientami zarządzania i węzłami kontrolera sieci.
Uwaga
Jeśli wdrażasz kontroler sieci z System Center Virtual Machine Manager, obsługiwany jest tylko tryb Kerberos.
Kerberos. Użyj uwierzytelniania Kerberos podczas dołączania zarówno klienta zarządzania, jak i wszystkich węzłów klastra kontrolera sieci do domeny usługi Active Directory. Domena usługi Active Directory musi mieć konta domeny używane do uwierzytelniania.
X509. Użyj platformy X509 do uwierzytelniania opartego na certyfikatach dla klientów zarządzania, którzy nie są przyłączone do domeny usługi Active Directory. Należy zarejestrować certyfikaty we wszystkich węzłach klastra kontrolera sieci i klientach zarządzania. Ponadto wszystkie węzły i klienci zarządzania muszą ufać certyfikatom innych węzłów.
Brak. Użyj wartości None do celów testowych w środowisku testowym i dlatego nie zaleca się używania ich w środowisku produkcyjnym. Po wybraniu tego trybu nie jest wykonywane uwierzytelnianie między węzłami i klientami zarządzania.
Tryb uwierzytelniania dla komunikacji ruchu northbound można skonfigurować za pomocą polecenia Windows PowerShell Install-NetworkController z parametrem ClientAuthentication.
Autoryzacja
Podczas konfigurowania autoryzacji dla komunikacji kontrolera sieci northbound można zezwolić węzłom klastra kontrolera sieci i klientom zarządzania na sprawdzenie, czy urządzenie, za pomocą którego komunikują się, jest zaufane i ma uprawnienia do udziału w komunikacji.
Użyj następujących metod autoryzacji dla każdego z trybów uwierzytelniania obsługiwanych przez kontroler sieci.
Kerberos. W przypadku korzystania z metody uwierzytelniania Kerberos należy zdefiniować użytkowników i komputery autoryzowane do komunikowania się z kontrolerem sieci przez utworzenie grupy zabezpieczeń w usłudze Active Directory, a następnie dodanie autoryzowanych użytkowników i komputerów do grupy. Kontroler sieci można skonfigurować tak, aby używał grupy zabezpieczeń do autoryzacji przy użyciu parametru ClientSecurityGroup polecenia Install-NetworkController Windows PowerShell. Po zainstalowaniu kontrolera sieci można zmienić grupę zabezpieczeń za pomocą polecenia Set-NetworkController z parametrem -ClientSecurityGroup. W przypadku korzystania z programu SCVMM należy podać grupę zabezpieczeń jako parametr podczas wdrażania.
X509. W przypadku korzystania z metody uwierzytelniania X509 kontroler sieci akceptuje żądania tylko od klientów zarządzania, których odciski palca certyfikatu są znane kontrolerowi sieci. Te odciski palca można skonfigurować przy użyciu parametru ClientCertificateThumbprint polecenia Install-NetworkController Windows PowerShell. Inne odciski palca klienta można dodawać w dowolnym momencie za pomocą polecenia Set-NetworkController .
Brak. Po wybraniu tego trybu nie jest wykonywane uwierzytelnianie między węzłami i klientami zarządzania. Użyj wartości None do celów testowych w środowisku testowym i dlatego nie zaleca się używania ich w środowisku produkcyjnym.
Szyfrowanie
Komunikacja northbound używa protokołu Secure Sockets Layer (SSL) do utworzenia szyfrowanego kanału między klientami zarządzania a węzłami kontrolera sieci. Szyfrowanie SSL dla komunikacji ruchu przychodzącego northbound obejmuje następujące wymagania:
Wszystkie węzły kontrolera sieci muszą mieć identyczny certyfikat, który obejmuje uwierzytelnianie serwera i uwierzytelnianie klienta w rozszerzeniach rozszerzonego użycia klucza (EKU).
Identyfikator URI używany przez klientów zarządzania do komunikowania się z kontrolerem sieci musi być nazwą podmiotu certyfikatu. Nazwa podmiotu certyfikatu musi zawierać w pełni kwalifikowaną nazwę domeny (FQDN) lub adres IP punktu końcowego REST kontrolera sieci.
Jeśli węzły kontrolera sieci znajdują się w różnych podsieciach, nazwa podmiotu ich certyfikatów musi być taka sama jak wartość używana dla parametru RestName w poleceniu Install-NetworkController Windows PowerShell.
Wszyscy klienci zarządzania muszą ufać certyfikatowi SSL.
Rejestracja i konfiguracja certyfikatu SSL
Należy ręcznie zarejestrować certyfikat SSL w węzłach kontrolera sieci.
Po zarejestrowaniu certyfikatu można skonfigurować kontroler sieci tak, aby używał certyfikatu z parametrem -ServerCertificatepolecenia Install-NetworkController Windows PowerShell. Jeśli masz już zainstalowany kontroler sieci, możesz zaktualizować konfigurację w dowolnym momencie za pomocą polecenia Set-NetworkController .
Uwaga
Jeśli używasz programu SCVMM, musisz dodać certyfikat jako zasób biblioteki. Aby uzyskać więcej informacji, zobacz Konfigurowanie kontrolera sieci SDN w sieci szkieletowej programu VMM.
Komunikacja klastra kontrolera sieci
Kontroler sieci obsługuje uwierzytelnianie, autoryzację i szyfrowanie komunikacji między węzłami kontrolera sieci. Komunikacja odbywa się za pośrednictwem programu Windows Communication Foundation (WCF) i protokołu TCP.
Ten tryb można skonfigurować za pomocą parametru ClusterAuthentication polecenia Install-NetworkControllerCluster Windows PowerShell.
Aby uzyskać więcej informacji, zobacz Install-NetworkControllerCluster.
Authentication
Podczas konfigurowania uwierzytelniania dla komunikacji klastra kontrolera sieci można zezwolić węzłom klastra kontrolera sieci na weryfikowanie tożsamości innych węzłów, z którymi komunikują się.
Kontroler sieci obsługuje następujące trzy tryby uwierzytelniania między węzłami kontrolera sieci.
Uwaga
W przypadku wdrażania kontrolera sieci przy użyciu programu SCVMM obsługiwany jest tylko tryb Kerberos .
Kerberos. Uwierzytelnianie Kerberos można użyć, gdy wszystkie węzły klastra kontrolera sieci są przyłączone do domeny usługi Active Directory z kontami domeny używanymi do uwierzytelniania.
X509. X509 to uwierzytelnianie oparte na certyfikatach. Uwierzytelnianie X509 można użyć, gdy węzły klastra kontrolera sieci nie są przyłączone do domeny usługi Active Directory. Aby używać programu X509, należy zarejestrować certyfikaty we wszystkich węzłach klastra kontrolera sieci, a wszystkie węzły muszą ufać certyfikatom. Ponadto nazwa podmiotu certyfikatu zarejestrowanego w każdym węźle musi być taka sama jak nazwa DNS węzła.
Brak. Po wybraniu tego trybu nie jest wykonywane uwierzytelnianie między węzłami kontrolera sieci. Ten tryb jest zapewniany tylko do celów testowych i nie jest zalecany do użycia w środowisku produkcyjnym.
Autoryzacja
Podczas konfigurowania autoryzacji dla komunikacji klastra kontrolera sieci można zezwolić węzłom klastra kontrolera sieci na sprawdzenie, czy węzły, z którymi komunikują się, są zaufane i mają uprawnienia do udziału w komunikacji.
Dla każdego z trybów uwierzytelniania obsługiwanych przez kontroler sieci używane są następujące metody autoryzacji.
Kerberos. Węzły kontrolera sieci akceptują żądania komunikacji tylko z innych kont komputera kontrolera sieci. Te konta można skonfigurować podczas wdrażania kontrolera sieci przy użyciu parametru Name polecenia New-NetworkControllerNodeObject Windows PowerShell.
X509. Węzły kontrolera sieci akceptują żądania komunikacji tylko z innych kont komputera kontrolera sieci. Te konta można skonfigurować podczas wdrażania kontrolera sieci przy użyciu parametru Name polecenia New-NetworkControllerNodeObject Windows PowerShell.
Brak. Po wybraniu tego trybu nie ma autoryzacji wykonywanej między węzłami kontrolera sieci. Ten tryb jest zapewniany tylko do celów testowych i nie jest zalecany do użycia w środowisku produkcyjnym.
Szyfrowanie
Komunikacja między węzłami kontrolera sieci jest szyfrowana przy użyciu szyfrowania na poziomie transportu WCF. Ta forma szyfrowania jest używana, gdy metody uwierzytelniania i autoryzacji są certyfikatami Kerberos lub X509. Aby uzyskać więcej informacji, zobacz następujące tematy:
- Instrukcje: Zabezpieczanie usługi za pomocą poświadczeń systemu Windows
- Instrukcje: zabezpieczanie usługi przy użyciu certyfikatów X.509.
Komunikacja dla ruchu przychodzącego w południe
Kontroler sieci współdziała z różnymi typami urządzeń na potrzeby komunikacji typu Southbound. Te interakcje używają różnych protokołów. W związku z tym istnieją różne wymagania dotyczące uwierzytelniania, autoryzacji i szyfrowania w zależności od typu urządzenia i protokołu używanego przez kontroler sieci do komunikowania się z urządzeniem.
Poniższa tabela zawiera informacje o interakcji kontrolera sieci z różnymi urządzeniami wychodzącymi na południe.
| Urządzenie/usługa dla ruchu południowo-przychodzącego | Protokół | Używane uwierzytelnianie |
|---|---|---|
| Usługa równoważenia obciążenia oprogramowania | WCF (MUX), TCP (host) | Certyfikaty |
| Firewall | OVSDB | Certyfikaty |
| Brama | WinRM | Kerberos, Certyfikaty |
| Sieć wirtualna | OVSDB, WCF | Certyfikaty |
| Routing zdefiniowany przez użytkownika | OVSDB | Certyfikaty |
Dla każdego z tych protokołów mechanizm komunikacji jest opisany w poniższej sekcji.
Authentication
W przypadku komunikacji southbound używane są następujące protokoły i metody uwierzytelniania.
WCF/TCP/OVSDB. W przypadku tych protokołów uwierzytelnianie odbywa się przy użyciu certyfikatów X509. Zarówno kontroler sieci, jak i równorzędne oprogramowanie równoważenia obciążenia (SLB) Multiplexer (MUX)/maszyny hosta prezentują swoje certyfikaty nawzajem na potrzeby wzajemnego uwierzytelniania. Każdy certyfikat musi być zaufany przez zdalną komunikację równorzędną.
W przypadku uwierzytelniania southbound można użyć tego samego certyfikatu SSL skonfigurowanego do szyfrowania komunikacji z klientami northbound. Należy również skonfigurować certyfikat na urządzeniach MUX i hostach SLB. Nazwa podmiotu certyfikatu musi być taka sama jak nazwa DNS urządzenia.
Usługa WinRM. W przypadku tego protokołu uwierzytelnianie odbywa się przy użyciu protokołu Kerberos (dla maszyn przyłączonych do domeny) i przy użyciu certyfikatów (dla maszyn nieprzyłączonych do domeny).
Autoryzacja
W przypadku komunikacji dla ruchu przychodzącego używane są następujące protokoły i metody autoryzacji.
WCF/TCP. W przypadku tych protokołów autoryzacja jest oparta na nazwie podmiotu jednostki równorzędnej. Kontroler sieci przechowuje nazwę DNS urządzenia równorzędnego i używa go do autoryzacji. Ta nazwa DNS musi być zgodna z nazwą podmiotu urządzenia w certyfikacie. Podobnie certyfikat kontrolera sieci musi być zgodny z nazwą DNS kontrolera sieci przechowywaną na urządzeniu równorzędnym.
Usługa WinRM. Jeśli jest używany protokół Kerberos, konto klienta usługi WinRM musi znajdować się w wstępnie zdefiniowanej grupie w usłudze Active Directory lub w grupie Administratorzy lokalni na serwerze. Jeśli certyfikaty są używane, klient przedstawia certyfikat na serwerze, który serwer autoryzuje przy użyciu nazwy podmiotu/wystawcy, a serwer używa zamapowanego konta użytkownika do przeprowadzenia uwierzytelniania.
OVSDB. Autoryzacja jest oparta na nazwie podmiotu jednostki równorzędnej. Kontroler sieci przechowuje nazwę DNS urządzenia równorzędnego i używa go do autoryzacji. Ta nazwa DNS musi być zgodna z nazwą podmiotu urządzenia w certyfikacie.
Szyfrowanie
W przypadku komunikacji southbound następujące metody szyfrowania są używane dla protokołów.
WCF/TCP/OVSDB. W przypadku tych protokołów szyfrowanie jest wykonywane przy użyciu certyfikatu zarejestrowanego na kliencie lub serwerze.
Usługa WinRM. Ruch usługi WinRM jest domyślnie szyfrowany przy użyciu dostawcy obsługi zabezpieczeń Protokołu Kerberos (SSP). Dodatkowe szyfrowanie można skonfigurować w postaci protokołu SSL na serwerze WinRM.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla