Безопасность сетевого контроллера

Область применения: Azure Stack HCI версий 23H2 и 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

В этой статье описывается, как настроить безопасность для всех подключений между сетевым контроллером и другим программным обеспечением и устройствами.

К путям связи, которые можно защитить, относятся северный трафик на плоскости управления, связь кластера между виртуальными машинами сетевого контроллера в кластере и связь с южным трафиком в плоскости данных.

  1. Северо-северная связь. Сетевой контроллер взаимодействует на плоскости управления с программным обеспечением для управления с поддержкой SDN, таким как Windows PowerShell и System Center Virtual Machine Manager (SCVMM). Эти средства управления предоставляют возможность определить сетевую политику и создать целевое состояние для сети, с которым можно сравнить фактическую конфигурацию сети, чтобы привести фактическую конфигурацию в соответствие с целевой.

  2. Взаимодействие с кластером сетевого контроллера. При настройке трех или более виртуальных машин в качестве узлов кластера сетевого контроллера эти узлы взаимодействуют друг с другом. Такое взаимодействие может быть связано с синхронизацией и репликацией данных между узлами или конкретным взаимодействием между службами сетевого контроллера.

  3. Связь с южным трафиком. Сетевой контроллер взаимодействует в плоскости данных с инфраструктурой SDN и другими устройствами, такими как программные подсистемы балансировки нагрузки, шлюзы и хост-компьютеры. Сетевой контроллер можно использовать для настройки этих устройств, входящих в южный трафик, и управления ими, чтобы они поддерживали целевое состояние, настроенное для сети.

Северо-северная связь

Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для северного трафика. В следующих разделах содержатся сведения о настройке этих параметров безопасности.

Аутентификация

При настройке проверки подлинности для сетевого контроллера через север вы разрешаете узлам кластера сетевого контроллера и клиентам управления проверять удостоверение устройства, с которым они обмениваются данными.

Сетевой контроллер поддерживает следующие три режима проверки подлинности между клиентами управления и узлами сетевого контроллера.

Примечание

Если вы развертываете сетевой контроллер с System Center Virtual Machine Manager, поддерживается только режим Kerberos.

  1. Kerberos. Используйте проверку подлинности Kerberos при присоединении клиента управления и всех узлов кластера сетевого контроллера к домену Active Directory. Домен Active Directory должен иметь учетные записи домена, используемые для проверки подлинности.

  2. X509. Используйте X509 для проверки подлинности на основе сертификатов для клиентов управления, не присоединенных к домену Active Directory. Необходимо зарегистрировать сертификаты для всех узлов кластера сетевого контроллера и клиентов управления. Кроме того, все узлы и клиенты управления должны доверять сертификатам друг друга.

  3. Нет. Используйте None для тестирования в тестовой среде и, следовательно, не рекомендуется использовать в рабочей среде. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется.

Вы можете настроить режим проверки подлинности для северного трафика с помощью команды Windows PowerShell Install-NetworkController с параметром ClientAuthentication.

Авторизация

При настройке авторизации для сетевого контроллера через север вы разрешаете узлам кластера сетевого контроллера и клиентам управления проверять, является ли устройство, с которым они обмениваются данными, является доверенным и имеет ли оно разрешение на участие в обмене данными.

Используйте следующие методы авторизации для каждого из режимов проверки подлинности, поддерживаемых сетевым контроллером.

  1. Kerberos. При использовании метода проверки подлинности Kerberos определяются пользователи и компьютеры, которым разрешено взаимодействовать с сетевым контроллером, путем создания группы безопасности в Active Directory, а затем добавления авторизованных пользователей и компьютеров в группу. Сетевой контроллер можно настроить для использования группы безопасности для авторизации с помощью параметра ClientSecurityGroup команды Install-NetworkController Windows PowerShell. После установки сетевого контроллера группу безопасности можно изменить с помощью команды Set-NetworkController с параметром -ClientSecurityGroup. При использовании SCVMM необходимо указать группу безопасности в качестве параметра во время развертывания.

  2. X509. При использовании метода проверки подлинности X509 сетевой контроллер принимает запросы только от клиентов управления, отпечатки сертификатов которых известны сетевому контроллеру. Эти отпечатки можно настроить с помощью параметра ClientCertificateThumbprint команды Install-NetworkController Windows PowerShell. Другие клиентские отпечатки можно добавить в любое время с помощью команды Set-NetworkController .

  3. Нет. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется. Используйте None для тестирования в тестовой среде и, следовательно, не рекомендуется использовать в рабочей среде.

Шифрование

Северный трафик использует протокол SSL для создания зашифрованного канала между клиентами управления и узлами сетевого контроллера. Ssl-шифрование для связи по Северному трафику включает следующие требования.

  • Все узлы сетевого контроллера должны иметь идентичный сертификат, который включает в себя цели проверки подлинности сервера и проверки подлинности клиента в расширениях расширенного использования ключей (EKU).

  • Универсальный код ресурса (URI), используемый клиентами управления для взаимодействия с сетевым контроллером, должен быть именем субъекта сертификата. Имя субъекта сертификата должно содержать полное доменное имя (FQDN) или IP-адрес конечной точки REST сетевого контроллера.

  • Если узлы сетевого контроллера находятся в разных подсетях, имя субъекта их сертификатов должно совпадать со значением, используемым для параметра RestName в команде Install-NetworkController Windows PowerShell.

  • Все клиенты управления должны доверять SSL-сертификату.

Регистрация и настройка SSL-сертификата

Необходимо вручную зарегистрировать SSL-сертификат на узлах сетевого контроллера.

После регистрации сертификата можно настроить сетевой контроллер для использования сертификата с параметром -ServerCertificate команды Windows PowerShell Install-NetworkController. Если вы уже установили сетевой контроллер, вы можете обновить конфигурацию в любое время с помощью команды Set-NetworkController .

Примечание

Если вы используете SCVMM, необходимо добавить сертификат в качестве ресурса библиотеки. Дополнительные сведения см. в статье Настройка сетевого контроллера SDN в структуре VMM.

Взаимодействие с кластером сетевого контроллера

Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для обмена данными между узлами сетевого контроллера. Обмен данными осуществляется через Windows Communication Foundation (WCF) и TCP.

Этот режим можно настроить с помощью параметра ClusterAuthentication команды Install-NetworkControllerCluster Windows PowerShell.

Дополнительные сведения см. в разделе Install-NetworkControllerCluster.

Аутентификация

При настройке проверки подлинности для связи с кластером сетевого контроллера вы разрешаете узлам кластера сетевого контроллера проверять удостоверения других узлов, с которыми они взаимодействуют.

Сетевой контроллер поддерживает следующие три режима проверки подлинности между узлами сетевого контроллера.

Примечание

При развертывании сетевого контроллера с помощью SCVMM поддерживается только режим Kerberos .

  1. Kerberos. Проверку подлинности Kerberos можно использовать, если все узлы кластера сетевого контроллера присоединены к домену Active Directory с учетными записями домена, используемыми для проверки подлинности.

  2. X509. X509 — это проверка подлинности на основе сертификата. Проверку подлинности X509 можно использовать, если узлы кластера сетевого контроллера не присоединены к домену Active Directory. Чтобы использовать X509, необходимо зарегистрировать сертификаты на всех узлах кластера сетевого контроллера, а все узлы должны доверять сертификатам. Кроме того, имя субъекта сертификата, зарегистрированного на каждом узле, должно совпадать с DNS-именем узла.

  3. Нет. При выборе этого режима проверка подлинности между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для тестирования и не рекомендуется использовать в рабочей среде.

Авторизация

При настройке авторизации для связи с кластером сетевого контроллера вы разрешаете узлам кластера сетевого контроллера проверять, что узлы, с которыми они взаимодействуют, являются доверенными и имеют разрешение на участие в обмене данными.

Для каждого из режимов проверки подлинности, поддерживаемых сетевым контроллером, используются следующие методы авторизации.

  1. Kerberos. Узлы сетевого контроллера принимают запросы на обмен данными только от других учетных записей компьютеров сетевого контроллера. Эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-NetworkControllerNodeObject Windows PowerShell.

  2. X509. Узлы сетевого контроллера принимают запросы на обмен данными только от других учетных записей компьютеров сетевого контроллера. Эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-NetworkControllerNodeObject Windows PowerShell.

  3. Нет. При выборе этого режима авторизация между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для тестирования и не рекомендуется использовать в рабочей среде.

Шифрование

Обмен данными между узлами сетевого контроллера шифруется с помощью шифрования на уровне транспорта WCF. Эта форма шифрования используется, если методами проверки подлинности и авторизации являются сертификаты Kerberos или X509. Дополнительные сведения см. в следующих разделах:

Связь с югом

Сетевой контроллер взаимодействует с различными типами устройств для южной связи. Эти взаимодействия используют разные протоколы. По этой причине существуют разные требования к проверке подлинности, авторизации и шифрованию в зависимости от типа устройства и протокола, используемого сетевым контроллером для взаимодействия с устройством.

В следующей таблице приведены сведения о взаимодействии сетевого контроллера с различными южными устройствами.

Устройство или служба в южном направлении Протокол Используемая проверка подлинности
Подсистема балансировки нагрузки программного обеспечения WCF (MUX), TCP (узел) Сертификаты
Брандмауэр OVSDB Сертификаты
Шлюз WinRM Kerberos, сертификаты
Виртуальная сеть OVSDB, WCF Сертификаты
Определяемая пользователем маршрутизация OVSDB Сертификаты

Для каждого из этих протоколов механизм связи описан в следующем разделе.

Аутентификация

Для связи на юг используются следующие протоколы и методы проверки подлинности.

  1. WCF/TCP/OVSDB. Для этих протоколов проверка подлинности выполняется с помощью сертификатов X509. Сетевой контроллер и одноранговый мультиплексор (MUX) или хост-компьютеры представляют свои сертификаты друг другу для взаимной проверки подлинности. Каждый сертификат должен быть доверенным для удаленного однорангового узла.

    Для проверки подлинности на юг можно использовать тот же SSL-сертификат, который настроен для шифрования обмена данными с клиентами в северном направлении. Необходимо также настроить сертификат на мультиплексора SLB и хост-устройствах. Имя субъекта сертификата должно совпадать с DNS-именем устройства.

  2. WinRM. Для этого протокола проверка подлинности выполняется с помощью Протокола Kerberos (для компьютеров, присоединенных к домену) и сертификатов (для компьютеров, не присоединенных к домену).

Авторизация

Для связи на юг используются следующие протоколы и методы авторизации.

  1. WCF/TCP. Для этих протоколов авторизация основана на имени субъекта одноранговой сущности. Сетевой контроллер хранит DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно соответствовать имени субъекта устройства в сертификате. Аналогичным образом сертификат сетевого контроллера должен соответствовать DNS-имени сетевого контроллера, хранящееся на одноранговом устройстве.

  2. WinRM. Если используется Kerberos, учетная запись клиента WinRM должна присутствовать в предопределенной группе в Active Directory или в группе локальных администраторов на сервере. Если используются сертификаты, клиент предоставляет серверу сертификат, который сервер авторизует с помощью имени субъекта или издателя, а сервер использует сопоставленную учетную запись пользователя для выполнения проверки подлинности.

  3. OVSDB. Авторизация основана на имени субъекта одноранговой сущности. Сетевой контроллер сохраняет DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно соответствовать имени субъекта устройства в сертификате.

Шифрование

Для связи на юг для протоколов используются следующие методы шифрования.

  1. WCF/TCP/OVSDB. Для этих протоколов шифрование выполняется с помощью сертификата, зарегистрированного на клиенте или сервере.

  2. WinRM. Трафик WinRM шифруется по умолчанию с помощью поставщика поддержки безопасности Kerberos (SSP). Вы можете настроить дополнительное шифрование в виде SSL на сервере WinRM.