使用 VMM 在 SDN 中配置加密网络

本文介绍如何使用 System Center Virtual Machine Manager（VMM）加密软件定义的网络（SDN）中的 VM 网络。

来宾 OS 或使用 IPSec 和 TLS 等技术对网络流量进行加密。 但是，由于这些技术固有的复杂性和与系统之间的互操作性相关的挑战，由于实现的性质，这些技术难以实现。

使用 VMM 中的加密网络功能，可以使用网络控制器（NC）在 VM 网络上轻松配置端到端加密。 此加密可防止读取和操作同一 VM 网络上的两个 VM 与同一子网之间的流量。

加密控制在子网级别，可以为 VM 网络的每个子网启用/禁用加密。

此功能通过 SDN 网络控制器（NC）进行管理。 如果还没有具有 NC 的软件定义网络（SDN）基础结构，有关详细信息，请参阅 部署 SDN。

注意

此功能当前提供非Microsoft和网络管理员的保护，不提供对构造管理员的任何保护。

开始之前

请确保满足以下先决条件：

• 租户 VM 至少要验证加密的两个主机。
• 启用了加密的基于 HNV 的 VM 网络以及可由构造管理员创建和分发的证书。

  注意

  证书及其私钥必须存储在 VM 所在的所有主机的本地证书存储中。

过程 - 配置加密网络

按照以下步骤配置加密网络：

1. 创建证书，然后将证书放置在计划放置租户 VM 进行此验证的所有主机的本地证书存储中。

2. 可以创建自签名证书，也可以从 CA 获取证书。 有关如何生成自签名证书并将其放置在要使用的每个主机的相应位置的信息，请参阅 为虚拟子网配置加密。

   注意

   记下 生成的证书的指纹 。 在上述步骤 2 中的文章中，无需执行“创建证书凭据”和“配置加密虚拟网络”中详述的操作。 将在以下步骤中使用 VMM 配置这些设置。

3. 为租户 VM 连接设置 HNV 提供程序网络，该网络将由 NC 管理。 了解详细信息。

4. 创建租户 VM 网络和子网。 创建子网时，选择“在 VM 子网下启用加密”。 了解详细信息。

   在下一步中，粘贴所创建的证书的指纹。

   

   

5. 在两个单独的物理主机上创建两个 VM，并将其连接到上述子网。 了解详细信息。

6. 在放置租户 VM 的两个主机的两个网络接口上附加任何数据包探查应用程序。

7. 在两个主机之间发送流量、ping、HTTP 或任何其他数据包，并检查数据包探查应用程序中的数据包。 数据包不得具有任何明显的纯文本，如 HTTP 请求的参数。