Dela via

Skydda nätverksstyrenheten

  • Artikel

Gäller för: Azure Stack HCI, versionerna 23H2 och 22H2; Windows Server 2022, Windows Server 2019 Windows Server 2016

Den här artikeln beskriver hur du konfigurerar säkerhet för all kommunikation mellan nätverksstyrenheten och andra program och enheter.

De kommunikationsvägar som du kan skydda omfattar Northbound-kommunikation på hanteringsplanet, klusterkommunikation mellan virtuella nätverksstyrenhetsdatorer (VM) i ett kluster och southbound-kommunikation på dataplanet.

  1. Northbound Communication. Nätverksstyrenheten kommunicerar på hanteringsplanet med SDN-kompatibel hanteringsprogramvara som Windows PowerShell och System Center Virtual Machine Manager (SCVMM). Dessa hanteringsverktyg ger dig möjlighet att definiera nätverksprinciper och skapa ett måltillstånd för nätverket, mot vilket du kan jämföra den faktiska nätverkskonfigurationen för att få den faktiska konfigurationen i paritet med måltillståndet.

  2. Klusterkommunikation för nätverksstyrenhet. När du konfigurerar tre eller fler virtuella datorer som klusternoder för nätverksstyrenheten kommunicerar dessa noder med varandra. Den här kommunikationen kan vara relaterad till synkronisering och replikering av data mellan noder eller specifik kommunikation mellan nätverksstyrenhetstjänster.

  3. Southbound Communication. Nätverksstyrenheten kommunicerar på dataplanet med SDN-infrastrukturen och andra enheter som lastbalanserare för programvara, gatewayer och värddatorer. Du kan använda nätverksstyrenheten för att konfigurera och hantera dessa södergående enheter så att de behåller det måltillstånd som du har konfigurerat för nätverket.

Northbound Communication

Nätverksstyrenheten stöder autentisering, auktorisering och kryptering för Northbound-kommunikation. Följande avsnitt innehåller information om hur du konfigurerar dessa säkerhetsinställningar.

Autentisering

När du konfigurerar autentisering för nätverksstyrenhetens northbound-kommunikation tillåter du att nätverksstyrenhetens klusternoder och hanteringsklienter verifierar identiteten för den enhet som de kommunicerar med.

Nätverksstyrenheten stöder följande tre autentiseringslägen mellan hanteringsklienter och nätverksstyrenhetsnoder.

Anteckning

Om du distribuerar nätverksstyrenheten med System Center Virtual Machine Manager stöds endast Kerberos-läge.

  1. Kerberos. Använd Kerberos-autentisering när du ansluter både hanteringsklienten och alla nätverksstyrenhetsklusternoder till en Active Directory-domän. Active Directory-domänen måste ha domänkonton som används för autentisering.

  2. X509. Använd X509 för certifikatbaserad autentisering för hanteringsklienter som inte är anslutna till en Active Directory-domän. Du måste registrera certifikat till alla nätverksstyrenhetsklusternoder och hanteringsklienter. Dessutom måste alla noder och hanteringsklienter lita på varandras certifikat.

  3. Ingen. Använd Ingen i testsyfte i en testmiljö och rekommenderas därför inte för användning i en produktionsmiljö. När du väljer det här läget utförs ingen autentisering mellan noder och hanteringsklienter.

Du kan konfigurera autentiseringsläget för Northbound-kommunikation med hjälp av Windows PowerShell kommandot Install-NetworkController med parametern ClientAuthentication.

Auktorisering

När du konfigurerar auktorisering för northbound-kommunikation med nätverksstyrenheten tillåter du att nätverksstyrenhetens klusternoder och hanteringsklienter kontrollerar att enheten som de kommunicerar med är betrodd och har behörighet att delta i kommunikationen.

Använd följande auktoriseringsmetoder för var och en av de autentiseringslägen som stöds av nätverksstyrenheten.

  1. Kerberos. När du använder Kerberos-autentiseringsmetoden definierar du de användare och datorer som har behörighet att kommunicera med nätverksstyrenheten genom att skapa en säkerhetsgrupp i Active Directory och sedan lägga till behöriga användare och datorer i gruppen. Du kan konfigurera nätverksstyrenheten att använda säkerhetsgruppen för auktorisering med hjälp av parametern ClientSecurityGroup i kommandot Install-NetworkController Windows PowerShell. När du har installerat nätverksstyrenheten kan du ändra säkerhetsgruppen med hjälp av kommandot Set-NetworkController med parametern -ClientSecurityGroup. Om du använder SCVMM måste du ange säkerhetsgruppen som en parameter under distributionen.

  2. X509. När du använder X509-autentiseringsmetoden accepterar nätverksstyrenheten endast begäranden från hanteringsklienter vars tumavtryck för certifikat är kända för nätverksstyrenheten. Du kan konfigurera dessa tumavtryck med hjälp av parametern ClientCertificateThumbprint i kommandot Install-NetworkController Windows PowerShell. Du kan lägga till andra klienttumavtryck när som helst med hjälp av kommandot Set-NetworkController .

  3. Ingen. När du väljer det här läget utförs ingen autentisering mellan noder och hanteringsklienter. Använd Ingen i testsyfte i en testmiljö och rekommenderas därför inte för användning i en produktionsmiljö.

Kryptering

Northbound-kommunikation använder SSL (Secure Sockets Layer) för att skapa en krypterad kanal mellan hanteringsklienter och nätverksstyrenhetsnoder. SSL-kryptering för Northbound-kommunikation omfattar följande krav:

  • Alla nätverksstyrenhetsnoder måste ha ett identiskt certifikat som innehåller serverautentiserings- och klientautentiseringssyften i tillägg för förbättrad nyckelanvändning (EKU).

  • Den URI som används av hanteringsklienter för att kommunicera med nätverksstyrenheten måste vara certifikatets ämnesnamn. Certifikatets ämnesnamn måste innehålla antingen det fullständigt kvalificerade domännamnet (FQDN) eller IP-adressen för nätverksstyrenhetens REST-slutpunkt.

  • Om nätverksstyrenhetsnoder finns i olika undernät måste certifikatets ämnesnamn vara samma som värdet som används för restname-parametern i kommandot Install-NetworkController Windows PowerShell.

  • Alla hanteringsklienter måste lita på SSL-certifikatet.

Registrering och konfiguration av SSL-certifikat

Du måste registrera SSL-certifikatet manuellt på nätverksstyrenhetsnoder.

När certifikatet har registrerats kan du konfigurera nätverksstyrenheten att använda certifikatet med parametern -ServerCertificate för kommandot Install-NetworkController Windows PowerShell. Om du redan har installerat nätverksstyrenheten kan du uppdatera konfigurationen när som helst med hjälp av kommandot Set-NetworkController .

Anteckning

Om du använder SCVMM måste du lägga till certifikatet som en biblioteksresurs. Mer information finns i Konfigurera en SDN-nätverksstyrenhet i VMM-infrastrukturresurserna.

Klusterkommunikation för nätverksstyrenhet

Nätverksstyrenheten stöder autentisering, auktorisering och kryptering för kommunikation mellan nätverksstyrenhetsnoder. Kommunikationen sker via Windows Communication Foundation (WCF) och TCP.

Du kan konfigurera det här läget med parametern ClusterAuthentication i kommandot Install-NetworkControllerCluster Windows PowerShell.

Mer information finns i Install-NetworkControllerCluster.

Autentisering

När du konfigurerar autentisering för nätverksstyrenhetsklusterkommunikation tillåter du att nätverksstyrenhetens klusternoder verifierar identiteten för de andra noder som de kommunicerar med.

Nätverksstyrenheten stöder följande tre autentiseringslägen mellan nätverksstyrenhetsnoder.

Anteckning

Om du distribuerar nätverksstyrenheten med hjälp av SCVMM stöds endast Kerberos-läge .

  1. Kerberos. Du kan använda Kerberos-autentisering när alla nätverksstyrenhetsklusternoder är anslutna till en Active Directory-domän med domänkonton som används för autentisering.

  2. X509. X509 är certifikatbaserad autentisering. Du kan använda X509-autentisering när nätverksstyrenhetens klusternoder inte är anslutna till en Active Directory-domän. Om du vill använda X509 måste du registrera certifikat till alla nätverksstyrenhetsklusternoder och alla noder måste lita på certifikaten. Dessutom måste ämnesnamnet för certifikatet som har registrerats på varje nod vara samma som nodens DNS-namn.

  3. Ingen. När du väljer det här läget utförs ingen autentisering mellan nätverksstyrenhetsnoder. Det här läget tillhandahålls endast i testsyfte och rekommenderas inte för användning i en produktionsmiljö.

Auktorisering

När du konfigurerar auktorisering för nätverksstyrenhetsklusterkommunikation tillåter du att nätverksstyrenhetens klusternoder kontrollerar att de noder som de kommunicerar med är betrodda och har behörighet att delta i kommunikationen.

För vart och ett av de autentiseringslägen som stöds av nätverksstyrenheten används följande auktoriseringsmetoder.

  1. Kerberos. Nätverksstyrenhetsnoder accepterar endast kommunikationsbegäranden från andra nätverksstyrenhetsdatorkonton. Du kan konfigurera dessa konton när du distribuerar nätverksstyrenheten med hjälp av parametern Namn i kommandot New-NetworkControllerNodeObject Windows PowerShell.

  2. X509. Nätverksstyrenhetsnoder accepterar endast kommunikationsbegäranden från andra nätverksstyrenhetsdatorkonton. Du kan konfigurera dessa konton när du distribuerar nätverksstyrenheten med hjälp av parametern Namn i kommandot New-NetworkControllerNodeObject Windows PowerShell.

  3. Ingen. När du väljer det här läget utförs ingen auktorisering mellan nätverksstyrenhetsnoder. Det här läget tillhandahålls endast i testsyfte och rekommenderas inte för användning i en produktionsmiljö.

Kryptering

Kommunikationen mellan nätverksstyrenhetsnoder krypteras med kryptering på WCF-transportnivå. Den här typen av kryptering används när autentiserings- och auktoriseringsmetoderna är antingen Kerberos- eller X509-certifikat. Mer information finns i följande avsnitt.

Kommunikation i södergående riktning

Nätverksstyrenheten interagerar med olika typer av enheter för southbound-kommunikation. Dessa interaktioner använder olika protokoll. Därför finns det olika krav för autentisering, auktorisering och kryptering beroende på vilken typ av enhet och protokoll som används av nätverksstyrenheten för att kommunicera med enheten.

Följande tabell innehåller information om nätverksstyrenhetsinteraktion med olika södergående enheter.

Södergående enhet/tjänst Protokoll Autentisering som används
Belastningsutjämnare för programvara WCF (MUX), TCP (värd) Certifikat
Brandvägg OVSDB Certifikat
Gateway WinRM Kerberos, Certifikat
Virtuella nätverk OVSDB, WCF Certifikat
Användardefinierad routning OVSDB Certifikat

För vart och ett av dessa protokoll beskrivs kommunikationsmekanismen i följande avsnitt.

Autentisering

För southbound-kommunikation används följande protokoll och autentiseringsmetoder.

  1. WCF/TCP/OVSDB. För dessa protokoll utförs autentisering med hjälp av X509-certifikat. Både nätverksstyrenheten och peer-datorn MUX (Software Load Balancing) (SLB) /värddatorer presenterar sina certifikat för varandra för ömsesidig autentisering. Varje certifikat måste vara betrott av fjärr-peer.

    För sydgående autentisering kan du använda samma SSL-certifikat som har konfigurerats för kryptering av kommunikationen med northbound-klienterna. Du måste också konfigurera ett certifikat på SLB MUX- och värdenheterna. Certifikatmottagarens namn måste vara samma som enhetens DNS-namn.

  2. WinRM. För det här protokollet utförs autentisering med Kerberos (för domänanslutna datorer) och med hjälp av certifikat (för icke-domänanslutna datorer).

Auktorisering

För kommunikation i södergående riktning används följande protokoll och auktoriseringsmetoder.

  1. WCF/TCP. För dessa protokoll baseras auktoriseringen på ämnesnamnet för peer-entiteten. Nätverksstyrenheten lagrar PEER-enhetens DNS-namn och använder det för auktorisering. Det här DNS-namnet måste matcha enhetens ämnesnamn i certifikatet. På samma sätt måste nätverksstyrenhetscertifikatet matcha dns-namnet för nätverksstyrenheten som lagras på peer-enheten.

  2. WinRM. Om Kerberos används måste WinRM-klientkontot finnas i en fördefinierad grupp i Active Directory eller i gruppen Lokala administratörer på servern. Om certifikat används visar klienten ett certifikat till servern som servern godkänner med hjälp av ämnesnamnet/utfärdaren, och servern använder ett mappat användarkonto för att utföra autentisering.

  3. OVSDB. Auktoriseringen baseras på peer-entitetens ämnesnamn. Nätverksstyrenheten lagrar PEER-enhetens DNS-namn och använder det för auktorisering. Det här DNS-namnet måste matcha enhetens ämnesnamn i certifikatet.

Kryptering

För southbound-kommunikation används följande krypteringsmetoder för protokoll.

  1. WCF/TCP/OVSDB. För dessa protokoll utförs kryptering med hjälp av certifikatet som har registrerats på klienten eller servern.

  2. WinRM. WinRM-trafik krypteras som standard med hjälp av Kerberos SSP (Security Support Provider). Du kan konfigurera Ytterligare kryptering i form av SSL på WinRM-servern.