Partilhar via

Configurar redes encriptadas no SDN com o VMM

  • Artigo

Importante

Esta versão do Virtual Machine Manager (VMM) chegou ao fim do suporte. Recomendamos que atualize para o VMM 2022.

Este artigo explica como encriptar as redes VM na rede definida pelo software (SDN) com o System Center – Virtual Machine Manager (VMM).

Atualmente, o tráfego de rede pode ser encriptado pelo SO convidado ou por uma aplicação através de tecnologias como IPSec e TLS. No entanto, estas tecnologias são difíceis de implementar devido à sua complexidade inerente e aos desafios relacionados com a interoperabilidade entre sistemas devido à natureza da implementação.

Com a funcionalidade de redes encriptadas no VMM, a encriptação ponto a ponto pode ser facilmente configurada nas redes VM com o Controlador de Rede (NC). Esta encriptação impede que o tráfego entre duas VMs na mesma rede VM e na mesma sub-rede seja lido e manipulado.

O VMM 1801 e posterior suporta esta funcionalidade.

O controlo da encriptação está ao nível da sub-rede e a encriptação pode ser ativada/desativada para cada sub-rede da rede VM.

Esta funcionalidade é gerida através do Controlador de Rede SDN (NC). Se ainda não tiver uma infraestrutura de Rede Definida pelo Software (SDN) com um NC, para obter mais informações, veja Implementar a SDN.

Nota

Atualmente, esta funcionalidade fornece proteção contra administradores de terceiros e de rede e não oferece qualquer proteção contra administradores de recursos de infraestrutura. A proteção contra administradores de recursos de infraestrutura está no pipeline e estará disponível em breve.

Antes de começar

Certifique-se de que os seguintes pré-requisitos são cumpridos:

  • Pelo menos dois anfitriões para VMs de inquilino para validar a encriptação.
  • Rede VM baseada em HNV com encriptação ativada e um certificado, que pode ser criado e distribuído pelo administrador de recursos de infraestrutura.

    Nota

    O certificado, juntamente com a respetiva chave privada, tem de ser armazenado no arquivo de certificados local de todos os anfitriões onde residem as VMs (dessa rede).

Procedimento – configurar redes encriptadas

Utilize os seguintes passos:

  1. Crie um certificado e, em seguida, coloque o certificado no arquivo de certificados local de todos os anfitriões onde planeia colocar as VMs de inquilino para esta validação.

  2. Pode criar um certificado autoassinado ou obter um certificado a partir de uma AC. Para obter informações sobre como gerar certificados autoassinados e colocá-los nas localizações adequadas de cada anfitrião que irá utilizar, veja Configurar a Encriptação para uma Sub-rede Virtual.

    Nota

    Anote o "Thumbprint" do certificado que gera. No artigo acima, no passo 2, não tem de efetuar as ações detalhadas em "Criar uma Credencial de Certificado" e "Configurar uma Rede Virtual para Encriptação". Irá configurar essas definições com o VMM nos passos seguintes.

  3. Configure uma rede de fornecedor HNV para conectividade de VM de inquilino, que será gerida pelo NC. Saiba mais.

  4. Crie uma Rede VM de inquilino e uma sub-rede. Ao criar a sub-rede, selecione Ativar Encriptaçãoem Sub-redes da VM. Saiba mais.

    No passo seguinte, cole o thumbprint do certificado que criou.

    Captura de ecrã a mostrar a encriptação de rede.

    Captura de ecrã a mostrar os detalhes da encriptação.

  5. Crie duas VMs em dois anfitriões físicos separados e ligue-as à sub-rede acima. Saiba mais.

  6. Anexe qualquer aplicação de farejador de pacotes nas duas interfaces de rede dos dois anfitriões onde as VMs do inquilino são colocadas.

  7. Envie tráfego, ping, HTTP ou quaisquer outros pacotes entre os dois anfitriões e verifique os pacotes na aplicação de farejador de pacotes. Os pacotes não devem ter texto simples perceptível, como os parâmetros de um pedido HTTP.