Konfigurowanie zaszyfrowanych sieci w sieci SDN przy użyciu programu VMM

W tym artykule wyjaśniono, jak szyfrować sieci maszyn wirtualnych w sieci zdefiniowanej programowo (SDN) przy użyciu programu System Center Virtual Machine Manager (VMM).

Ruch sieciowy może być szyfrowany przez system operacyjny gościa lub aplikację przy użyciu technologii, takich jak IPSec i TLS. Jednak te technologie są trudne do wdrożenia ze względu na ich nieodłączną złożoność i wyzwania związane z współdziałaniem systemów ze względu na charakter implementacji.

Korzystając z funkcji sieci zaszyfrowanych w programie VMM, kompleksowe szyfrowanie można łatwo skonfigurować w sieciach maszyn wirtualnych przy użyciu kontrolera sieci (NC). To szyfrowanie uniemożliwia odczytywanie i manipulowanie ruchem między dwiema maszynami wirtualnymi w tej samej sieci maszyn wirtualnych i tej samej podsieci.

Kontrola szyfrowania jest na poziomie podsieci, a szyfrowanie można włączyć/wyłączyć dla każdej podsieci sieci maszyn wirtualnych.

Ta funkcja jest zarządzana za pośrednictwem kontrolera sieci SDN (NC). Jeśli nie masz jeszcze infrastruktury programowalnej sieci komputerowej (SDN) z kontrolerem sieci, aby uzyskać więcej informacji, zobacz wdrażanie sieci SDN.

Uwaga

Ta funkcja zapewnia obecnie ochronę od administratorów sieci innych niż Microsoft i sieci i nie oferuje żadnej ochrony przed administratorami sieci szkieletowej.

Przed rozpoczęciem

Upewnij się, że zostały spełnione następujące wymagania wstępne:

• Co najmniej dwa hosty dla maszyn wirtualnych dzierżawy w celu zweryfikowania szyfrowania.
• Sieć maszyn wirtualnych oparta na protokole HNV z włączonym szyfrowaniem i certyfikatem, który można utworzyć i rozpowszechnić przez administratora sieci szkieletowej.

  Uwaga

  Certyfikat wraz z jego kluczem prywatnym musi być przechowywany w lokalnym magazynie certyfikatów wszystkich hostów, na których znajdują się maszyny wirtualne (z tej sieci).

Procedura — konfigurowanie zaszyfrowanych sieci

Wykonaj następujące kroki, aby skonfigurować zaszyfrowane sieci:

1. Utwórz certyfikat, a następnie umieść certyfikat w lokalnym magazynie certyfikatów wszystkich hostów, na których planujesz umieścić maszyny wirtualne dzierżawy na potrzeby tej weryfikacji.

2. Możesz utworzyć certyfikat z podpisem własnym lub uzyskać certyfikat z urzędu certyfikacji. Aby uzyskać informacje na temat generowania certyfikatów z podpisem własnym i umieszczania ich w odpowiednich lokalizacjach każdego hosta, którego będziesz używać, zobacz Konfigurowanie szyfrowania dla podsieci wirtualnej.

   Uwaga

   Zanotuj odcisk palca wygenerowanego certyfikatu. W powyższym artykule w kroku 2 nie trzeba wykonywać akcji opisanych w temacie Tworzenie poświadczeń certyfikatu i Konfigurowanie sieci wirtualnej na potrzeby szyfrowania. Te ustawienia zostaną skonfigurowane przy użyciu programu VMM w poniższych krokach.

3. Skonfiguruj sieć dostawcy HNV na potrzeby łączności maszyny wirtualnej dzierżawy, która będzie zarządzana przez kontroler sieci. Dowiedz się więcej.

4. Utwórz sieć maszyn wirtualnych dzierżawy i podsieć. Podczas tworzenia podsieci wybierz pozycję Włącz szyfrowanie w obszarze Podsieci maszyn wirtualnych. Dowiedz się więcej.

   W następnym kroku wklej odcisk palca utworzonego certyfikatu.

   

   

5. Utwórz dwie maszyny wirtualne na dwóch oddzielnych hostach fizycznych i połącz je z powyższą podsiecią. Dowiedz się więcej.

6. Dołącz dowolną aplikację do wąchania pakietów na dwóch interfejsach sieciowych dwóch hostów, na których są umieszczane maszyny wirtualne dzierżawcy.

7. Wysyłanie ruchu, ping, HTTP lub innych pakietów między dwoma hostami i sprawdzanie pakietów w aplikacji do wąchania pakietów. Pakiety nie mogą mieć żadnego zauważalnego zwykłego tekstu, takiego jak parametry żądania HTTP.