Zabezpečení síťového adaptéru
Platí pro: Azure Local, verze 23H2 a 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Tento článek popisuje, jak nakonfigurovat zabezpečení pro veškerou komunikaci mezi síťovým adaptérem a jiným softwarem a zařízeními.
Mezi komunikační cesty, které můžete zabezpečit, patří komunikace northbound v rovině správy, komunikace clusteru mezi virtuálními počítači síťového adaptéru v clusteru a komunikace southbound v rovině dat.
Northbound Communication. Síťový adaptér komunikuje v rovině správy se softwarem pro správu podporujícím SDN, jako je Windows PowerShell a System Center Virtual Machine Manager (SCVMM). Tyto nástroje pro správu poskytují možnost definovat zásady sítě a vytvořit pro síť cílový stav, proti kterému můžete porovnat skutečnou konfiguraci sítě a přenést skutečnou konfiguraci do parity s cílovým stavem.
Komunikace clusteru síťového adaptéru Když nakonfigurujete tři nebo více virtuálních počítačů jako uzly clusteru síťového adaptéru, tyto uzly vzájemně komunikují. Tato komunikace může souviset se synchronizací a replikací dat mezi uzly nebo konkrétní komunikací mezi službami síťového adaptéru.
Southbound Communication. Síťový adaptér komunikuje v rovině dat s infrastrukturou SDN a dalšími zařízeními, jako jsou softwarové nástroje pro vyrovnávání zatížení, brány a hostitelské počítače. Síťový adaptér můžete použít ke konfiguraci a správě těchto zařízení na jih, aby zachovaly stav cíle, který jste nakonfigurovali pro síť.
Northbound Communication
Síťový adaptér podporuje ověřování, autorizaci a šifrování pro komunikaci northbound. Následující části obsahují informace o tom, jak tato nastavení zabezpečení nakonfigurovat.
Ověřování
Když nakonfigurujete ověřování pro komunikaci síťového adaptéru northbound, povolíte uzlům clusteru síťového adaptéru a klientům pro správu ověřit identitu zařízení, se kterým komunikují.
Síťový adaptér podporuje následující tři režimy ověřování mezi klienty pro správu a uzly síťového adaptéru.
Poznámka:
Pokud nasazujete síťový adaptér pomocí nástroje System Center Virtual Machine Manager, podporuje se jenom režim Kerberos .
Kerberos. Ověřování protokolem Kerberos použijte při připojování klienta pro správu i všech uzlů clusteru síťového adaptéru k doméně služby Active Directory. Doména služby Active Directory musí mít účty domény používané k ověřování.
X509. Pro ověřování na základě certifikátů pro klienty pro správu, kteří nejsou připojení k doméně služby Active Directory, použijte X509. Certifikáty musíte zaregistrovat pro všechny uzly clusteru síťového adaptéru a klienty pro správu. Všechny uzly a klienti pro správu také musí důvěřovat certifikátům ostatních.
Nezaokrouhlovat. Pro účely testování v testovacím prostředí použijte žádné, a proto se nedoporučuje používat v produkčním prostředí. Když zvolíte tento režim, neprovádí se mezi uzly a klienty pro správu žádné ověřování.
Režim ověřování pro komunikaci northbound můžete nakonfigurovat pomocí příkazu Windows PowerShell Install-NetworkController s parametrem ClientAuthentication.
Autorizace
Když nakonfigurujete autorizaci pro komunikaci síťového adaptéru northbound, povolíte uzlům clusteru síťového adaptéru a klientům pro správu ověřit, že zařízení, se kterým komunikují, je důvěryhodné a má oprávnění k účasti na komunikaci.
Pro každý režim ověřování podporovaný síťovým adaptérem použijte následující metody autorizace.
Kerberos. Při použití metody ověřování kerberos definujete uživatele a počítače autorizované ke komunikaci se síťovým adaptérem vytvořením skupiny zabezpečení ve službě Active Directory a následným přidáním autorizovaných uživatelů a počítačů do skupiny. Síťový adaptér můžete nakonfigurovat tak, aby používal skupinu zabezpečení pro autorizaci pomocí parametru ClientSecurityGroup příkazu Install-NetworkController pro Windows PowerShell. Po instalaci síťového adaptéru můžete změnit skupinu zabezpečení pomocí příkazu Set-NetworkController s parametrem -ClientSecurityGroup. Pokud používáte SCVMM, musíte během nasazování zadat skupinu zabezpečení jako parametr.
X509. Pokud používáte metodu ověřování X509, síťový adaptér přijímá požadavky jenom od klientů pro správu, jejichž kryptografické otisky certifikátů jsou známé síťovým adaptérem. Tyto kryptografické otisky můžete nakonfigurovat pomocí parametru ClientCertificateThumbprint příkazu Install-NetworkController windows PowerShell. Pomocí příkazu Set-NetworkController můžete kdykoli přidat další kryptografické otisky klienta.
Nezaokrouhlovat. Když zvolíte tento režim, neprovádí se mezi uzly a klienty pro správu žádné ověřování. Pro účely testování v testovacím prostředí použijte žádné, a proto se nedoporučuje používat v produkčním prostředí.
Šifrování
Northbound komunikace používá protokol SSL (Secure Sockets Layer) k vytvoření šifrovaného kanálu mezi klienty pro správu a uzly síťového adaptéru. Šifrování SSL pro komunikaci northbound zahrnuje následující požadavky:
Všechny uzly síťového adaptéru musí mít stejný certifikát, který zahrnuje účely ověřování serveru a ověřování klientů v rozšířeních rozšířeného použití klíče (EKU).
Identifikátor URI používaný klienty pro správu ke komunikaci se síťovým adaptérem musí být název subjektu certifikátu. Název subjektu certifikátu musí obsahovat plně kvalifikovaný název domény (FQDN) nebo IP adresu koncového bodu REST síťového adaptéru.
Pokud jsou uzly síťového adaptéru v různých podsítích, musí být název subjektu jejich certifikátů stejný jako hodnota použitá pro parametr RestName v příkazu Install-NetworkController Windows PowerShell.
Všichni klienti pro správu musí důvěřovat certifikátu SSL.
Registrace a konfigurace certifikátu SSL
Certifikát SSL musíte ručně zaregistrovat na uzlech síťového adaptéru.
Po registraci certifikátu můžete síťový adaptér nakonfigurovat tak, aby používal certifikát s parametrem -ServerCertificate příkazu Install-NetworkController Windows PowerShell. Pokud jste už síťový adaptér nainstalovali, můžete konfiguraci kdykoli aktualizovat pomocí příkazu Set-NetworkController .
Poznámka:
Pokud používáte SCVMM, musíte certifikát přidat jako prostředek knihovny. Další informace naleznete v tématu Nastavení síťového adaptéru SDN v prostředcích infrastruktury VMM.
Komunikace clusteru síťového adaptéru
Síťový adaptér podporuje ověřování, autorizaci a šifrování pro komunikaci mezi uzly síťového adaptéru. Komunikace probíhá přes Windows Communication Foundation (WCF) a TCP.
Tento režim můžete nakonfigurovat pomocí parametru ClusterAuthentication příkazu Install-NetworkControllerCluster Windows PowerShell.
Další informace naleznete v tématu Install-NetworkControllerCluster.
Ověřování
Při konfiguraci ověřování pro komunikaci clusteru síťového adaptéru povolíte uzlům clusteru síťového adaptéru ověřit identitu ostatních uzlů, se kterými komunikují.
Síťový adaptér podporuje následující tři režimy ověřování mezi uzly síťového adaptéru.
Poznámka:
Pokud síťový adaptér nasadíte pomocí SCVMM, podporuje se jenom režim Kerberos .
Kerberos. Ověřování protokolem Kerberos můžete použít, pokud jsou všechny uzly clusteru síťového adaptéru připojené k doméně služby Active Directory s účty domény používanými k ověřování.
X509. X509 je ověřování na základě certifikátů. Ověřování X509 můžete použít, když uzly clusteru síťového adaptéru nejsou připojené k doméně služby Active Directory. Pokud chcete použít X509, musíte zaregistrovat certifikáty do všech uzlů clusteru síťového adaptéru a všechny uzly musí důvěřovat certifikátům. Kromě toho musí být název subjektu certifikátu, který je zaregistrovaný v každém uzlu, stejný jako název DNS uzlu.
Nezaokrouhlovat. Když zvolíte tento režim, mezi uzly síťového adaptéru se neprovádí žádné ověřování. Tento režim je k dispozici pouze pro účely testování a nedoporučuje se pro použití v produkčním prostředí.
Autorizace
Při konfiguraci autorizace pro komunikaci clusteru síťového adaptéru povolíte uzlům clusteru síťového adaptéru ověřit, že uzly, se kterými komunikují, jsou důvěryhodné a mají oprávnění k účasti na komunikaci.
Pro každý režim ověřování podporovaný síťovým adaptérem se používají následující metody autorizace.
Kerberos. Uzly síťového adaptéru přijímají komunikační požadavky pouze z jiných účtů počítačů síťového adaptéru. Tyto účty můžete nakonfigurovat při nasazení síťového adaptéru pomocí parametru Name příkazu New-NetworkControllerNodeObject Windows PowerShell.
X509. Uzly síťového adaptéru přijímají komunikační požadavky pouze z jiných účtů počítačů síťového adaptéru. Tyto účty můžete nakonfigurovat při nasazení síťového adaptéru pomocí parametru Name příkazu New-NetworkControllerNodeObject Windows PowerShell.
Nezaokrouhlovat. Když zvolíte tento režim, mezi uzly síťového adaptéru se neprovádí žádná autorizace. Tento režim je k dispozici pouze pro účely testování a nedoporučuje se pro použití v produkčním prostředí.
Šifrování
Komunikace mezi uzly síťového adaptéru je šifrovaná pomocí šifrování na úrovni přenosu WCF. Tato forma šifrování se používá v případě, že metody ověřování a autorizace jsou certifikáty Kerberos nebo X509. Další informace najdete v těchto tématech:
- Postupy: Zabezpečení služby pomocí přihlašovacích údajů Windows
- Postupy: Zabezpečení služby pomocí certifikátů X.509
Southbound Communication
Síťový adaptér komunikuje s různými typy zařízení pro komunikaci southbound. Tyto interakce používají různé protokoly. Z tohoto důvodu existují různé požadavky na ověřování, autorizaci a šifrování v závislosti na typu zařízení a protokolu používaného síťovým adaptérem ke komunikaci se zařízením.
Následující tabulka obsahuje informace o interakci síťového adaptéru s různými zařízeními na jihových spojeních.
| Southbound zařízení/služba | Protokol | Použité ověřování |
|---|---|---|
| Nástroj pro vyrovnávání zatížení softwaru | WCF (MUX), TCP (hostitel) | Certifikáty |
| Brána firewall | OVSDB | Certifikáty |
| Brána | WinRM | Kerberos, certifikáty |
| Virtuální sítě | OVSDB, WCF | Certifikáty |
| Směrování definované uživatelem | OVSDB | Certifikáty |
Pro každý z těchto protokolů je komunikační mechanismus popsaný v následující části.
Ověřování
Pro komunikaci typu Southbound se používají následující protokoly a metody ověřování.
WCF/TCP/OVSDB. Pro tyto protokoly se ověřování provádí pomocí certifikátů X509. Síťový adaptér i peer Software Load Balance (SLB) Multiplexer (MUX)/hostitelské počítače vzájemně prezentují své certifikáty pro vzájemné ověřování. Každý certifikát musí být důvěryhodný vzdáleným partnerským uzly.
Pro ověřování na jih můžete použít stejný certifikát SSL, který je nakonfigurovaný pro šifrování komunikace s klienty Northbound. Musíte také nakonfigurovat certifikát na zařízeních SLB MUX a hostitelů. Název subjektu certifikátu musí být stejný jako název DNS zařízení.
WinRM. Pro tento protokol se ověřování provádí pomocí protokolu Kerberos (pro počítače připojené k doméně) a pomocí certifikátů (pro počítače, které nejsou připojené k doméně).
Autorizace
Pro komunikaci typu Southbound se používají následující protokoly a metody autorizace.
WCF/TCP. Pro tyto protokoly je autorizace založená na názvu subjektu partnerské entity. Síťový adaptér ukládá název DNS partnerského zařízení a používá ho k autorizaci. Tento název DNS musí odpovídat názvu subjektu zařízení v certifikátu. Podobně musí certifikát síťového adaptéru odpovídat názvu DNS síťového adaptéru uloženému na partnerském zařízení.
WinRM. Pokud se používá protokol Kerberos, musí být účet klienta WinRM v předdefinované skupině ve službě Active Directory nebo v místní skupině Administrators na serveru. Pokud se používají certifikáty, klient předloží certifikát serveru, který server autorizuje pomocí názvu subjektu nebo vystavitele, a server k ověření použije mapovaný uživatelský účet.
OVSDB. Autorizace je založená na názvu subjektu entity partnerského vztahu. Síťový adaptér ukládá název DNS partnerského zařízení a používá ho k autorizaci. Tento název DNS musí odpovídat názvu subjektu zařízení v certifikátu.
Šifrování
Pro komunikaci typu Southbound se pro protokoly používají následující metody šifrování.
WCF/TCP/OVSDB. U těchto protokolů se šifrování provádí pomocí certifikátu, který je zaregistrovaný na klientovi nebo serveru.
WinRM. Provoz WinRM je ve výchozím nastavení šifrovaný pomocí zprostředkovatele podpory zabezpečení kerberos (SSP). Na serveru WinRM můžete nakonfigurovat další šifrování ve formě SSL.